SANGFORAC11.0版本培訓(xùn)

1、SANGFOR AC 11.0版本培訓(xùn) 2015.8.25AC 11.0版本又稱三合一，三合一指的是將AC，IAM，AC10G三個(gè)版本合成一個(gè)版本。 11.0暫時(shí)沒(méi)有上網(wǎng)代理和加速功能，后續(xù)版本計(jì)劃合入 內(nèi)部培訓(xùn)PPT，請(qǐng)勿外泄。特別說(shuō)明1、將AC的所有功能合入到IAM和10G產(chǎn)品，可以顯著提升這兩個(gè)產(chǎn)品的競(jìng)爭(zhēng)力。2、完整支持IPv6.目前IPv6的推進(jìn)進(jìn)度在加快，國(guó)內(nèi)的政府，高校，海外的馬來(lái)，新加坡等都提出了IPv6支持的要求版本主要意義在于：3、AC和IAM性能得到提升培訓(xùn)內(nèi)容培訓(xùn)目標(biāo)用戶認(rèn)證掌握11.0支持的認(rèn)證策略掌握不同場(chǎng)景下認(rèn)證策略的使用掌握組/用戶及認(rèn)證高級(jí)策略使用對(duì)象定義及策略

2、管理掌握新增對(duì)象定義的使用掌握上網(wǎng)策略新增適用對(duì)象用戶屬性組、目標(biāo)區(qū)域的使用掌握用戶限額策略的使用掌握審計(jì)新增功能的使用掌握策略級(jí)排查用戶及策略高級(jí)選項(xiàng)的使用培訓(xùn)內(nèi)容培訓(xùn)目標(biāo)流量管理掌握流控懲罰通道的使用終端提示頁(yè)面掌握常見(jiàn)終端提示頁(yè)面定制修改方法掌握認(rèn)證頁(yè)面修改及授權(quán)使用場(chǎng)景其它功能改進(jìn)掌握其它新增功能改進(jìn)部署模式掌握典型部署部署介紹掌握新增重定向功能使用場(chǎng)景掌握高可用性部署升級(jí)與配置導(dǎo)入掌握升級(jí)的兩個(gè)過(guò)程及配置導(dǎo)入掌握SC支持下發(fā)的配置認(rèn)證策略介紹認(rèn)證策略使用場(chǎng)景SANGFOR AC&SG組/用戶，認(rèn)證高級(jí)策略使用一、用戶認(rèn)證 1 1認(rèn)證策略介紹一、認(rèn)證范圍 通過(guò)設(shè)置認(rèn)證策略，可以

3、決定用戶上網(wǎng)方式，獲取到用戶名，從而用于后面的控制。 本版本支持以ip/mac/vlan來(lái)劃分認(rèn)證策略的適用范圍，在適用范圍的基礎(chǔ)上可以添加適用終端。二、認(rèn)證方式 可以針對(duì)不同的客戶場(chǎng)景，選擇不同的認(rèn)證方式1、支持以下幾種認(rèn)證方式：AC認(rèn)證方式不需要認(rèn)證密碼認(rèn)證單點(diǎn)登錄不允許認(rèn)證(禁止上網(wǎng))本地密碼認(rèn)證第三方服務(wù)器密碼認(rèn)證短信認(rèn)證微信認(rèn)證二維碼認(rèn)證LDAP單點(diǎn)登錄數(shù)據(jù)庫(kù)單點(diǎn)登錄Web單點(diǎn)登錄PPPOE單點(diǎn)登錄POP3單點(diǎn)登錄PROXY單點(diǎn)登錄第三方設(shè)備單點(diǎn)登錄（銳捷，H3C，城市熱點(diǎn)）深信服設(shè)備之間單點(diǎn)登錄Radius單點(diǎn)登錄(LOGON，域監(jiān)控單點(diǎn)登錄，IWA ,監(jiān)聽(tīng)) ADSSO Dkey

4、認(rèn)證2、本版本可以對(duì)認(rèn)證后的用戶做如下處理2.1 上線組選擇(1)在本地組織結(jié)構(gòu)的用戶，以本地組上線(2)域用戶以其域上所屬ou組上線(3)如果單點(diǎn)登錄消息本身帶有組信息則已消息所帶組信息為準(zhǔn)(4)其他類型的用戶才以這里指定的組上線2.2 自動(dòng)錄入用戶到組織結(jié)構(gòu)注意：這里可以選擇用戶是否是私有賬號(hào)，默認(rèn)是公共賬號(hào)，域用戶不會(huì)錄入到本地組織結(jié)構(gòu)。2.3 自動(dòng)錄入綁定關(guān)系(1)自動(dòng)錄入ip/mac的綁定關(guān)系(2)自動(dòng)錄入用戶和ip/mac的綁定關(guān)系,用戶綁定關(guān)系可以分為三種：1、綁定ip 2、綁定mac 3、綁定ip和mac說(shuō)明：用戶與ip/mac的綁定關(guān)系可以用于免認(rèn)證，免認(rèn)證可以設(shè)置有效期，免

5、認(rèn)證的有效期分兩種：1、永久有效 2、有效期范圍（1-90）天2.4 認(rèn)證后處理高級(jí)選項(xiàng)(1)認(rèn)證前使用此組權(quán)限，支持選擇本地組(2)啟用用戶登錄限制，可以設(shè)置僅允許登錄的用戶和不允許登錄的用戶(3)可以啟用免認(rèn)證上線時(shí)彈出提示頁(yè)面(4)可以顯示免責(zé)聲明 2 2不同場(chǎng)景認(rèn)證使用CONTENTS單擊此處添加文字信息單擊此處添加文字信息單擊此處添加文字信息單擊此處添加文字信息5單擊此處添加文字信息1234不需要認(rèn)證密碼認(rèn)證單點(diǎn)登錄123 不允許上網(wǎng)4Dkey認(rèn)證5一、不需要認(rèn)證需求場(chǎng)景一：客戶想終端用戶上網(wǎng)認(rèn)證的過(guò)程是透明的，不會(huì)感知AC的存在，用ip、mac或計(jì)算機(jī)名標(biāo)識(shí)終端身份。認(rèn)證方式: 不

6、需要認(rèn)證，不錄入用戶到組織結(jié)構(gòu)，不錄入綁定關(guān)系認(rèn)證配置1、【用戶認(rèn)證與管理】【認(rèn)證策略】新增認(rèn)證策略，配置認(rèn)證范圍。2、認(rèn)證方式選擇不需要認(rèn)證，用戶名根據(jù)客戶需求選擇。3、認(rèn)證后處理，選擇上線組，選擇相應(yīng)的組就具相應(yīng)組的權(quán)限。認(rèn)證效果1、【系統(tǒng)管理】【在線用戶管理】可以看到用戶認(rèn)證上線的身份。2、【用戶管理】【組/用戶】查看用戶是沒(méi)有添加到組織結(jié)構(gòu)的。需求場(chǎng)景二：客戶想終端用戶上網(wǎng)認(rèn)證的過(guò)程是透明的，且終端用戶是不能修改IP/MAC地址的，如何實(shí)現(xiàn)？認(rèn)證方式: 不需要認(rèn)證，自動(dòng)錄入IP和MAC的綁定關(guān)系注意：如果用戶比較多建議不要錄入，沒(méi)有特殊需求也不要錄入，新版本沒(méi)有特殊需求用戶是不需要錄入

7、到本地的。認(rèn)證配置1、【用戶認(rèn)證與管理】【認(rèn)證策略】新增認(rèn)證策略，配置認(rèn)證范圍。2、認(rèn)證方式選擇不需要認(rèn)證，用戶名根據(jù)客戶需求選擇。3、認(rèn)證后處理，選擇上線組，勾選自動(dòng)錄入綁定關(guān)系-自動(dòng)錄入IP和MAC的綁定認(rèn)證效果1、【系統(tǒng)管理】【在線用戶管理】可以看到用戶認(rèn)證上線的身份。2、【用戶管理】【IP/MAC綁定】可以看到IP和MAC的綁定關(guān)系說(shuō)明：此時(shí)如果終端修改了IP或MAC地址，終端上不了網(wǎng)，終端無(wú)提示頁(yè)面。3、如果認(rèn)證策略選擇錄入本地組織結(jié)構(gòu)，【用戶管理】【組/用戶】可以查到用戶。需求場(chǎng)景三：客戶想終端用戶上網(wǎng)認(rèn)證的過(guò)程是透明的，但是用戶上線過(guò)程中希望能彈出免責(zé)申明的頁(yè)面或廣告頁(yè)面？說(shuō)明：

8、如果開(kāi)啟了顯示免責(zé)聲明，則每次上線的時(shí)候都會(huì)提示免責(zé)聲明，沒(méi)有開(kāi)啟則直接上線認(rèn)證效果1、終端打開(kāi)網(wǎng)頁(yè)，彈出免責(zé)申明，或包含廣告的免責(zé)申明頁(yè)面。2、終端點(diǎn)登陸，彈出提示“認(rèn)證成功，3s將跳轉(zhuǎn)頁(yè)面”3、認(rèn)證成功，跳轉(zhuǎn)到了之前打開(kāi)的頁(yè)面4、開(kāi)啟了免責(zé)申明提示，又開(kāi)啟了IP/MAC綁定，此時(shí)如果終端修改了IP或MAC地址，終端上不了網(wǎng)是有提示頁(yè)面的。二、密碼認(rèn)證 密碼認(rèn)證需要選擇密碼認(rèn)證服務(wù)器，密碼認(rèn)證服務(wù)器可以選擇本地用戶，也可以選擇短信認(rèn)證、微信認(rèn)證、二維碼認(rèn)證、ldap服務(wù)器、POP3服務(wù)器、radius服務(wù)器2.1 用戶名密碼認(rèn)證需求場(chǎng)景一：用戶上網(wǎng)的時(shí)候要求重定向到密碼認(rèn)證頁(yè)面，讓用戶進(jìn)行密

9、碼認(rèn)證，密碼認(rèn)證通過(guò)后才可以上網(wǎng)，密碼保存在本地。密碼認(rèn)證方式： 本地密碼認(rèn)證本地密碼認(rèn)證配置1、【用戶認(rèn)證與管理】【認(rèn)證策略】新增認(rèn)證策略，配置認(rèn)證范圍。2、認(rèn)證方式選擇密碼認(rèn)證，認(rèn)證服務(wù)器選擇“本地用戶”選擇認(rèn)證頁(yè)面，設(shè)置認(rèn)證之后跳轉(zhuǎn)到頁(yè)面3、認(rèn)證后處理保持默認(rèn)配置即可。認(rèn)證效果1、終端打開(kāi)網(wǎng)頁(yè)，彈出認(rèn)證頁(yè)面2、輸入本地賬號(hào)密碼，認(rèn)證通過(guò)跳轉(zhuǎn)到，認(rèn)證后跳轉(zhuǎn)設(shè)置的頁(yè)面。需求場(chǎng)景二：用戶上網(wǎng)的時(shí)候要求重定向到密碼認(rèn)證頁(yè)面，讓用戶進(jìn)行密碼認(rèn)證，密碼認(rèn)證通過(guò)后才可以上網(wǎng)，密碼保存在第三方LDAP服務(wù)器密碼認(rèn)證方式： 第三方密碼認(rèn)證第三方LDAP密碼認(rèn)證配置1、【用戶認(rèn)證與管理】【外部認(rèn)證服務(wù)器】新

10、增LDAP服務(wù)器外部認(rèn)證服務(wù)器(LDAP)支持測(cè)試有效性說(shuō)明：修改密碼 AD域賬號(hào)如果勾選了初次認(rèn)證可以修改密碼，那么可以可以直接在這里修改密碼。 設(shè)置完外部認(rèn)證服務(wù)器之后，【組/用戶】可以看到域的結(jié)構(gòu)2、【用戶認(rèn)證與管理】【認(rèn)證策略】新增認(rèn)證策略，配置認(rèn)證范圍。3、認(rèn)證方式選擇密碼認(rèn)證，認(rèn)證服務(wù)器選擇“LDAP”選擇認(rèn)證后跳轉(zhuǎn)頁(yè)面4、認(rèn)證后處理保持默認(rèn)配置即可。說(shuō)明：認(rèn)證效果和本地密碼認(rèn)證一樣在此不做說(shuō)明需求場(chǎng)景三：用戶上網(wǎng)使用密碼認(rèn)證，管理員要求初次認(rèn)證時(shí)自動(dòng)綁定終端的MAC，保證每個(gè)賬號(hào)只能在固定的1臺(tái)電腦上登陸；且已經(jīng)認(rèn)證的用戶下次上網(wǎng)無(wú)需輸入賬號(hào)密碼可直接上網(wǎng)，能否實(shí)現(xiàn)此需求？實(shí)現(xiàn)方

11、案：1、設(shè)置認(rèn)證策略，配置認(rèn)證范圍、認(rèn)證方式選擇密碼認(rèn)證，認(rèn)證后處理選擇自動(dòng)錄入用戶和IP/MAC的綁定關(guān)系選擇綁定MAC；同時(shí)勾選開(kāi)啟免認(rèn)證設(shè)置免認(rèn)證的有效期。說(shuō)明：用戶和IP或MAC的綁定關(guān)系才可以用來(lái)做免認(rèn)證2、【用戶管理】【用戶綁定】高級(jí)設(shè)置，設(shè)置每個(gè)用戶終端數(shù)為“1”說(shuō)明：用戶綁定指的是用戶和ip或mac的綁定關(guān)系，配置后全局生效，賬號(hào)可以是私有賬號(hào)可以是公有賬號(hào)。每個(gè)用戶終端數(shù)限制配置為多個(gè)時(shí)：賬號(hào)屬于私有賬號(hào)時(shí)同一時(shí)間只允許一個(gè)終端上線是新用戶上線還是老用戶上線由認(rèn)證沖突的配置決定。公共賬號(hào)是可以多個(gè)終端同時(shí)上線的。測(cè)試效果1、終端打開(kāi)網(wǎng)頁(yè)輸入賬號(hào)密碼認(rèn)證成功2、【用戶管理】【用

12、戶綁定】可以看到自動(dòng)添加了賬號(hào)和mac的綁定關(guān)系3、已經(jīng)認(rèn)證的用戶下次需要上網(wǎng)，無(wú)需認(rèn)證直接就可上網(wǎng)。說(shuō)明：如果希望密碼認(rèn)證免認(rèn)證用戶在上線時(shí)彈出免責(zé)申明頁(yè)面也可以設(shè)置。需求場(chǎng)景四：客戶公司外網(wǎng)托管有自己的WEB服務(wù)器，訪問(wèn)方式http:/ 現(xiàn)用戶要求內(nèi)網(wǎng)所有用戶未認(rèn)證之前就能訪問(wèn)到公司服務(wù)器，如何實(shí)現(xiàn)？之前版本方案：全局排除域名弊端：全局排除容易出現(xiàn)域名填寫(xiě)不全，全局排除后數(shù)據(jù)不審計(jì)。11.0方案：認(rèn)證策略高級(jí)選項(xiàng)可實(shí)現(xiàn)此需求實(shí)現(xiàn)方案：1、設(shè)置認(rèn)證策略，配置認(rèn)證范圍、認(rèn)證方式，認(rèn)證后處理高級(jí)選項(xiàng)勾選認(rèn)證前使用此組權(quán)限此處我們選擇根組。說(shuō)明：強(qiáng)制對(duì)所有HTTP訪問(wèn)進(jìn)行認(rèn)證不勾選，那么只有被策略

13、拒絕的HTTP訪問(wèn)才需要認(rèn)證2、新增上網(wǎng)策略，放通sangfor服務(wù)器的應(yīng)用，其它應(yīng)用都拒絕。如果內(nèi)置規(guī)則庫(kù)不包含客戶應(yīng)用，可以自定義應(yīng)用，自定義url放通。3、將上網(wǎng)策略關(guān)聯(lián)給根組。測(cè)試效果1、用戶未認(rèn)證通過(guò)之前可以打開(kāi)頁(yè)面2、用戶打開(kāi)其它類型的頁(yè)面會(huì)彈認(rèn)證界面需求場(chǎng)景五：客戶內(nèi)網(wǎng)有多個(gè)部門(mén)，每個(gè)部門(mén)的網(wǎng)段不一樣，內(nèi)網(wǎng)上網(wǎng)使用密碼認(rèn)證，現(xiàn)要求每個(gè)ip段，只能用某部門(mén)帳號(hào)登錄，有沒(méi)有實(shí)現(xiàn)方法？實(shí)現(xiàn)方案：1、設(shè)置認(rèn)證策略，認(rèn)證范圍設(shè)置員工組所在網(wǎng)段，配置認(rèn)證方式，認(rèn)證后處理高級(jí)選項(xiàng)配置啟用用戶登陸限制 選擇員工組認(rèn)證范圍其它部門(mén)選擇相應(yīng)部門(mén)的用戶登陸限制2.2 短信認(rèn)證1、【用戶認(rèn)證】【外部認(rèn)證

14、服務(wù)器】新增短信認(rèn)證，配置短信認(rèn)證相關(guān)參數(shù) 2、短信認(rèn)證支持內(nèi)置和外置兩種和之前短信認(rèn)證配置一致3、【用戶認(rèn)證】【認(rèn)證策略】新增認(rèn)證策略，配置認(rèn)證范圍，認(rèn)證方式選擇密碼認(rèn)證，認(rèn)證服務(wù)器選擇短信認(rèn)證服務(wù)器。2.3 微信認(rèn)證1、【用戶認(rèn)證】【外部認(rèn)證服務(wù)器】新增微信認(rèn)證 ,選擇相應(yīng)的微信認(rèn)證方案，配置相關(guān)參數(shù)。說(shuō)明：(1)微信免認(rèn)證二層換生效，三層環(huán)境不生效 (2)微信掃一掃開(kāi)發(fā)者模式這個(gè)方案在此版本沒(méi)有了2.4 二維碼認(rèn)證需求場(chǎng)景：對(duì)于有多個(gè)終端的用戶，手機(jī)可以使用微信認(rèn)證直接上網(wǎng)，PC由于沒(méi)有微信，所以我們提供二維碼認(rèn)證方案，使用已通過(guò)認(rèn)證的手機(jī)掃描PC上顯示的二維碼，即可實(shí)現(xiàn)PC上網(wǎng)。說(shuō)明：

15、選擇不彈出審核頁(yè)面，直接以審核人身份上線，要求審核人賬號(hào)必須是公共賬號(hào)三、單點(diǎn)登錄3.1、強(qiáng)制單點(diǎn)登錄1、認(rèn)證方式選擇單點(diǎn)登錄，單點(diǎn)登錄失敗的用戶選擇跳轉(zhuǎn)到，并且設(shè)置內(nèi)置提示頁(yè)面即可2、認(rèn)證方式選擇強(qiáng)制單點(diǎn)登錄，認(rèn)證后處理的選項(xiàng)如下：3.2、單點(diǎn)登陸失敗，不需要認(rèn)證上線1、認(rèn)證方式選擇單點(diǎn)登錄，單點(diǎn)登錄失敗的用戶選擇不需要認(rèn)證自動(dòng)上線2、單點(diǎn)登錄失敗則以不需要認(rèn)證上線，認(rèn)證后處理的選項(xiàng)如下：3.3、單點(diǎn)登陸失敗，密碼認(rèn)證上線1、認(rèn)證方式選擇單點(diǎn)登錄，單點(diǎn)登錄失敗的用戶選擇密碼認(rèn)證2、單點(diǎn)登錄失敗則以密碼認(rèn)證上線，認(rèn)證后處理的選項(xiàng)如下：3.4 支持單點(diǎn)登錄方案變化3.4.1 新增AD域監(jiān)控單點(diǎn)登

16、錄1、原有ADSSO的單點(diǎn)登錄需要客戶找PC安裝我們的軟件來(lái)實(shí)現(xiàn)單點(diǎn)登錄，實(shí)際實(shí)施過(guò)程中客戶覺(jué)得麻煩，此版本將ADSSO程序合入到設(shè)備。需求場(chǎng)景一：客戶有1個(gè)AD域，有多個(gè)部門(mén),部門(mén)管理員買(mǎi)了一臺(tái)AC，只想管理本部門(mén)人員，不能看到其他部門(mén)人員。但是開(kāi)啟了域監(jiān)控單點(diǎn)登錄后，其他部門(mén)的很多用戶登錄到域后，也會(huì)顯示到在線用戶了?解決方案：無(wú)流量不上線功能如果用戶沒(méi)有流量，就不在AC上上線。這些獲取的用戶當(dāng)有流量時(shí)再上線，這里緩存的時(shí)間復(fù)用無(wú)流量注銷(xiāo)的時(shí)間。此功能默認(rèn)開(kāi)啟3.4.2、集成windows單點(diǎn)登錄新增重定向配置1、認(rèn)證策略是【單點(diǎn)登錄/不需要認(rèn)證】，默認(rèn)間隔30分鐘才發(fā)重定向包提交票據(jù)，導(dǎo)

17、致單點(diǎn)登錄不成功時(shí)第二次嘗試單點(diǎn)登錄間隔比較久，此版本界面可配置重定向時(shí)間。3.4.3、Radius單點(diǎn)登錄新增自定義屬性需求場(chǎng)景：客戶內(nèi)網(wǎng)有radius服務(wù)器，radius交互過(guò)程有定義自己的屬性，現(xiàn)在客戶想根據(jù)不同的radius屬性來(lái)做訪問(wèn)控制策略。說(shuō)明：賦值給用戶的自定義屬性必須是“序列”類別，值在屬性里不存在時(shí)自動(dòng)添加這個(gè)值3.4.4、Web單點(diǎn)登錄需求場(chǎng)景：當(dāng)有內(nèi)網(wǎng)用戶登錄web服務(wù)器的數(shù)據(jù)包經(jīng)過(guò)我們?cè)O(shè)備時(shí)，我們可以使用web單點(diǎn)登錄的方式來(lái)使用戶上線說(shuō)明：之前版本W(wǎng)EB單點(diǎn)登錄，未認(rèn)證之前跳轉(zhuǎn)到頁(yè)面，現(xiàn)在到認(rèn)證策略強(qiáng)制單點(diǎn)登錄的跳轉(zhuǎn)頁(yè)面處設(shè)置。其它類型單點(diǎn)登錄和之前版本保持一樣這里

18、不做講解四、不允許上網(wǎng)需求場(chǎng)景：客戶內(nèi)網(wǎng)網(wǎng)段固定，現(xiàn)要求新增加網(wǎng)段不能上網(wǎng)，如何處理？實(shí)現(xiàn)方案：新增認(rèn)證策略，認(rèn)證范圍設(shè)置內(nèi)網(wǎng)網(wǎng)段選擇相應(yīng)的認(rèn)證方式，缺省認(rèn)證策略，認(rèn)證方式選擇“不允許認(rèn)證”即可五、Dkey認(rèn)證Dkey有兩種，綠色的免認(rèn)證key，紫色的特權(quán)key。dkey用戶支持免控制、免審計(jì)、免控制。說(shuō)明：1、生成Dkey密碼只能使用IE瀏覽器(和以前保持一致)2、Dkey用戶和組織結(jié)構(gòu)用戶是獨(dú)立的，組織結(jié)構(gòu)用戶可以和Dkey用戶重復(fù)，這時(shí)Dkey用戶上線組即為組織結(jié)構(gòu)內(nèi)的組，否則上線組根據(jù)認(rèn)證策略來(lái)匹配。3、Dkey可以踢掉所有非Dkey用戶，非Dkey用戶無(wú)法踢掉Dkey用戶。 3 3組

19、/用戶及認(rèn)證高級(jí)屬性介紹CONTENTS單擊此處添加文字信息單擊此處添加文字信息單擊此處添加文字信息單擊此處添加文字信息5單擊此處添加文字信息1234組/用戶新增功能介紹用戶綁定IP/MAC綁定用戶自動(dòng)同步5認(rèn)證高級(jí)選項(xiàng)12341、用戶屬性介紹【用戶管理】【組/用戶】新增用戶，用戶屬性新增自定義屬性，此自定義屬性引用的是認(rèn)證高級(jí)選項(xiàng)的自定義屬性。一 、組/用戶自定義文本和序列號(hào)屬性自定義屬性配置完后可以在用戶自定義屬性看到之前定義的屬性Question:自定義屬性增加的目的是什么？有何作用？可以根據(jù)自定義屬性做不同的上網(wǎng)策略及流控策略2、高級(jí)屬性介紹限制在以下地址范圍內(nèi)登錄：指的是賬號(hào)只能在設(shè)

20、置地址范圍的終端上登陸，其它賬號(hào)也可以在這些地址上登陸。終端綁定(用戶綁定)：被綁定的地址只能在此賬號(hào)登陸，用戶同時(shí)可以綁定多個(gè)終端，可以用于免認(rèn)證二、用戶綁定用戶綁定可以設(shè)置每個(gè)用戶可綁定的終端個(gè)數(shù)，針對(duì)公共賬號(hào)私有賬號(hào)都生效三、IP/MAC綁定(1)自動(dòng)錄入IP/MAC綁定關(guān)系需要在用戶認(rèn)證成功以后，開(kāi)啟了跨三層的話只有獲取到真實(shí)的MAC后才錄入。(2)被排除的mac不能綁定，已綁定的mac被排除后要自動(dòng)刪除。IP/MAC綁定主要用于變ip場(chǎng)景，防止客戶私自修改PC的ip地址，不針對(duì)用戶名。三、用戶自動(dòng)同步 用戶自動(dòng)同步只支持?jǐn)?shù)據(jù)庫(kù)同步以及H3C CAMS同步，不支持LDAP自動(dòng)同步四、認(rèn)

21、證高級(jí)選項(xiàng)1、跨三層取MAC注意：自動(dòng)添加排除MAC，如果沒(méi)有達(dá)到設(shè)置的臨界值，MAC是被綁定的，當(dāng)達(dá)到排除的條件自動(dòng)刪除綁定關(guān)系。所以盡量手動(dòng)排除所有三層MAC。2、認(rèn)證高級(jí)選項(xiàng)新增功能域賬號(hào)附加域名作為用戶名：客戶有多個(gè)域服務(wù)器，域服務(wù)器存在同名賬號(hào)的情況用于區(qū)分用戶。不同Vlan中相同ip附加vlanid作為唯一標(biāo)識(shí)：以前這種情況識(shí)別一個(gè)IPWAN-LAN方向的連接不認(rèn)證：AC網(wǎng)橋部署在內(nèi)網(wǎng)和代理服務(wù)器之間，此種環(huán)境會(huì)有公網(wǎng)IP地址加入到在線列表。之前版本要修改authoption.ini文件，現(xiàn)在版本勾選這個(gè)選項(xiàng)即可。自動(dòng)刪除長(zhǎng)久未登錄的用戶，支持設(shè)置未登錄時(shí)間，只有自動(dòng)錄入的才會(huì)刪除

22、使用場(chǎng)景：(1)客戶內(nèi)網(wǎng)使用密碼認(rèn)證，現(xiàn)想實(shí)現(xiàn)認(rèn)證過(guò)程加密處理 (2)客戶申請(qǐng)了自己的域名，現(xiàn)希望認(rèn)證頁(yè)面URL以域名呈現(xiàn) 4 4對(duì)象定義及策略管理CONTENTS單擊此處添加文字信息單擊此處添加文字信息單擊此處添加文字信息單擊此處添加文字信息5單擊此處添加文字信息1234新增對(duì)象定義介紹新增適用對(duì)象介紹新增上網(wǎng)策略介紹上網(wǎng)審計(jì)新增功能介紹5策略級(jí)排除用戶策略高級(jí)選項(xiàng)介紹1234時(shí)間對(duì)象新增加了一個(gè)“日程”的規(guī)則，如果“時(shí)間計(jì)劃組”啟用日程功能，則只有滿足日程要求才會(huì)匹配。1、時(shí)間對(duì)象一、對(duì)象定義(1)自動(dòng)更新：默認(rèn)開(kāi)啟，更新周期默認(rèn)為“每天”(2)ISP地址庫(kù)與IP組類似，可以被“多線路選路

23、”、“流控-虛擬線路”這兩個(gè)地方的策略引用。2、ISP地址庫(kù)3、黑白名單組本版本刪除了黑白名單組需求。黑白名單組被“上網(wǎng)安全”和“文件類型過(guò)濾”兩個(gè)功能引用。上網(wǎng)安全需求也已經(jīng)被刪除，文件類型過(guò)濾需要做配置轉(zhuǎn)換。轉(zhuǎn)換規(guī)則如下：(1)每一條策略轉(zhuǎn)換時(shí)，將把手動(dòng)輸入的黑白名單URL轉(zhuǎn)成一條自定義URL(2)超過(guò)100條有配置具體URL的黑白名單設(shè)備，不允許升級(jí)。一、新增適用對(duì)象用戶屬性組 位置 目標(biāo)區(qū)域 新增二、策略管理1、用戶屬性組可以針對(duì)不同的用戶屬性做策略2、位置，新增可根據(jù)vlan做配置，位置里的無(wú)線網(wǎng)絡(luò)IP段VLAN是或關(guān)系(1)一個(gè)用戶只能屬于一個(gè)位置，記錄日志時(shí)會(huì)記錄用戶的位置；(2

24、)位置對(duì)象間不能重復(fù)。比如一個(gè)SSID所包含的IP可能包含在一個(gè)IP段定義的位置里。因此，不同類型間位置存重復(fù)時(shí)，按SSID IP VLAN 的順序識(shí)別；3、目標(biāo)區(qū)域需求場(chǎng)景：客戶在AC WAN區(qū)部署有自己的服務(wù)器，現(xiàn)在想對(duì)內(nèi)網(wǎng)訪問(wèn)服務(wù)器的數(shù)據(jù)單獨(dú)控制。二、用戶限額策略1、流量配額(1)當(dāng)日配額、月配額同時(shí)超限了，只生效1次/提示1次。沖突時(shí)，以日配額為準(zhǔn)(2)這個(gè)起始日期，AC里面是一個(gè)全局配置來(lái)的，即使配了多條策略，在其中一條里面修改這個(gè)配置，其他策略也會(huì)跟著改變。2、時(shí)長(zhǎng)配額(1)“應(yīng)用時(shí)長(zhǎng)”是指用戶產(chǎn)生的應(yīng)用流量通過(guò)設(shè)備的時(shí)間的累加。 用戶同時(shí)使用3個(gè)應(yīng)用，用了5分鐘；那么應(yīng)用時(shí)長(zhǎng)也是

25、5分鐘，而不是15分鐘。 用戶分別使用3個(gè)應(yīng)用，每個(gè)用了5分鐘；那么應(yīng)用時(shí)長(zhǎng)是15分鐘(2)“在線時(shí)長(zhǎng)”是指用戶在線時(shí)間的累加。3、流速配額4、并發(fā)連接數(shù)配額注意：(1)流量配額、時(shí)長(zhǎng)配額、流速限制、并發(fā)連接限制，這四個(gè)配額，都是基于用戶的。所以如果是公共賬號(hào)，同一個(gè)用戶名下同時(shí)有多個(gè)IP在線，則這些IP的流量都會(huì)統(tǒng)計(jì)到一個(gè)用戶名上，一起算配額(2)這四類配額超限的情況可以到懲罰頁(yè)面看到詳細(xì)信息說(shuō)明：剩余時(shí)間：支持顯示離解凍還剩余多少時(shí)間，支持按天顯示，比如3天5小時(shí)；如果是少于1天，則顯示 23:23:23處罰詳細(xì)：顯示是被凍結(jié)上網(wǎng)，還是被加入流控通道。5、在線終端數(shù)限額允許每用戶同時(shí)在線的

26、終端個(gè)數(shù)”，允許輸入范圍為 165535，只針對(duì)公共賬號(hào)生效超額終端的用戶是認(rèn)證通過(guò)馬上下線的狀態(tài)，偶爾會(huì)彈出認(rèn)證界面偶爾彈出終端超限頁(yè)面。三、上網(wǎng)審計(jì)策略1、日志精簡(jiǎn) url審計(jì)時(shí)，精簡(jiǎn)掉一些廣告外鏈，真實(shí)的記錄客戶手動(dòng)點(diǎn)擊的url訪問(wèn)。本版本會(huì)新增一個(gè)url精簡(jiǎn)模塊，用于識(shí)別url請(qǐng)求是客戶手動(dòng)點(diǎn)擊訪問(wèn)的，還是瀏覽器/軟件自動(dòng)發(fā)起的。該模塊，依賴url精簡(jiǎn)規(guī)則庫(kù)，過(guò)濾非人為點(diǎn)擊的url請(qǐng)求。 版本發(fā)布的時(shí)候，會(huì)帶一份規(guī)則庫(kù)，該規(guī)則庫(kù)針對(duì)Top200URL做的，這Top200URL是抽樣客戶環(huán)境，得出的訪問(wèn)次數(shù)排名前200的網(wǎng)站。url精簡(jiǎn)規(guī)則庫(kù)，支持自動(dòng)升級(jí)，后續(xù)持續(xù)維護(hù)。此功能默認(rèn)開(kāi)啟，

27、規(guī)則庫(kù)隨審計(jì)規(guī)則庫(kù)發(fā)布，前臺(tái)界面無(wú)需關(guān)注配置2、域名時(shí)長(zhǎng)流量統(tǒng)計(jì)針對(duì)HTTP GET請(qǐng)求，按請(qǐng)求的域名統(tǒng)計(jì)時(shí)長(zhǎng)流量，訪問(wèn)主站所產(chǎn)生的子請(qǐng)求的時(shí)長(zhǎng)流量，歸約到該域名的時(shí)長(zhǎng)流量上。程序會(huì)每5分鐘，記錄1次所有用戶的域名時(shí)長(zhǎng)流量統(tǒng)計(jì)結(jié)果，供數(shù)據(jù)中心統(tǒng)計(jì)使用。四、終端提醒策略定時(shí)時(shí)間點(diǎn)到了，若此時(shí)沒(méi)有HTTP流量，則不會(huì)推送公告頁(yè)面；等有HTTP流量后，才會(huì)推送公告頁(yè)面。五、策略級(jí)排除用戶1、在線用戶可直接刪除策略，刪除策略后，策略將用戶添加排除用戶2 、本地組織結(jié)構(gòu)刪除策略，是修改策略適用對(duì)象的已選列表下的用戶下的“排除用戶 區(qū)別： (1)策略級(jí)排除用戶，用戶不會(huì)匹配該條策略。 (2)上網(wǎng)策略排除用

28、戶則用戶還有可能具有該條策略，策略是否生效要看其它適用對(duì)象的配置，如源ip。六、策略高級(jí)選項(xiàng)1、日志記錄2、策略控制選項(xiàng)3、上網(wǎng)時(shí)長(zhǎng)排除應(yīng)用列表“上網(wǎng)時(shí)長(zhǎng)排除應(yīng)用列表”支持“排除端口”功能，主要目的是排除一些非人為流量 5 5流量管理一、通道配置1、新增懲罰通道需求場(chǎng)景：有些用戶在流量配額、上網(wǎng)時(shí)長(zhǎng)用完之后，又有正常辦公的需要，直接封堵不合適，從工作效率出發(fā)，可以給予低速通道上網(wǎng)，滿足基本上網(wǎng)需要懲罰通道說(shuō)明：(1)只能為限制通道,用戶對(duì)象不可選 ,此通道不可再建子通道(2)處罰通道要按應(yīng)用來(lái)匹配，即一個(gè)用戶流量可以跑到多個(gè)懲罰通道（最多20，沒(méi)匹配上懲罰通道的流量繼續(xù)走原有的通道配置流程(3

29、)處罰通道的生效時(shí)間、目的IP組、線路號(hào)也要有效用戶區(qū)分方式可分按IP和按用戶名，以前版本只有默認(rèn)按IP，一些公共賬戶就不能做到作為一個(gè)用戶來(lái)控制，單用戶上限就失效了，按用戶名作為一個(gè)用戶的話就能解決這個(gè)問(wèn)題。2、流控時(shí)可根據(jù)用戶區(qū)分3、流控新增適用對(duì)象為了適應(yīng)網(wǎng)絡(luò)的發(fā)展，增加可根據(jù)vlan_id來(lái)設(shè)置通道，以前版本如果不同VLAN，相同IP的用戶是不能區(qū)分的，流控看來(lái)是同一個(gè)IP，所以不能區(qū)分這二個(gè)用戶 5 5終端提示頁(yè)面修改1、終端提示頁(yè)面定制2、認(rèn)證頁(yè)面定制需求：客戶要求針對(duì)非admin賬戶，不同的賬戶有不同的認(rèn)證頁(yè)面編輯權(quán)限？終端頁(yè)面獨(dú)立權(quán)限控制可實(shí)現(xiàn)需求管理員可以授權(quán)給非管理員頁(yè)面權(quán)

30、限，未授權(quán)用戶看不到頁(yè)面 6 6其它功能改進(jìn)一、IPV6支持(1)H3C cams, 代碼兼容用戶IPv6地址，與第三方服務(wù)器的連接保持現(xiàn)有方式（不支持與IPv6服務(wù)器建立連接）。(2)域監(jiān)控單點(diǎn)登錄，工具不支持與IPv6服務(wù)器的連接，可以支持ipv4和ipv6的用戶上線(3)iwa，保持現(xiàn)有方式，不支持IPv6其它默認(rèn)都支持IPV6總結(jié)：我們代碼關(guān)于ip的處理默認(rèn)使用ipv4、ipv6兼容的格式，保證后續(xù)如果要支持ipv6可以很容易的支持，不特意去做針對(duì)ipv6格式的修改二、告警設(shè)置在原來(lái)版本的基礎(chǔ)上，新增WEB關(guān)鍵字過(guò)濾告警CPU占用過(guò)高警內(nèi)存占用過(guò)高告警;刪除了外發(fā)信息告警郵件延遲審計(jì)告

31、警危險(xiǎn)行為識(shí)別告警。三、SSHSSH服務(wù)后臺(tái)22345端口可以直接到界面上開(kāi)啟，方便進(jìn)入后臺(tái)調(diào)試，開(kāi)啟后服務(wù)一天后自動(dòng)關(guān)閉 7 7設(shè)備部署CONTENTS單擊此處添加文字信息單擊此處添加文字信息單擊此處添加文字信息單擊此處添加文字信息5單擊此處添加文字信息1234部署模式介紹新增重定向功能介紹高可用性123一、部署模式介紹11.0版本支持三種部署，路由、網(wǎng)橋、旁路。本版本不支持的部署網(wǎng)橋多網(wǎng)口，單臂部署。單臂模式:這種模式主要用于單臂顯示代理。因?yàn)檫@個(gè)版本里暫不支持顯示代理，所以支持單臂也就沒(méi)有意義,后面版本在做顯示代理功能時(shí)，會(huì)把這種模式加回來(lái)1、路由部署1.1 基本配置(1)【網(wǎng)絡(luò)配置】【

32、部署模式】選擇路由模式(2)選擇內(nèi)外網(wǎng)網(wǎng)口，新增配置進(jìn)度的展示，以及可以通過(guò)界面看到接線網(wǎng)口的狀態(tài)，依次點(diǎn)擊下一步1.2 路由配置(1)【系統(tǒng)管理】【靜態(tài)路由】新增內(nèi)網(wǎng)的回包路由，下一跳IP地址指向內(nèi)網(wǎng)交換機(jī)，可以選擇自動(dòng)選擇網(wǎng)口也可以選擇指定網(wǎng)口。支持配置IPV6路由。(2)查看系統(tǒng)路由可以查看設(shè)備的路由1.3 鏈路負(fù)載配置1.【網(wǎng)絡(luò)配置】【鏈路負(fù)載】新建多線路負(fù)載路由，根據(jù)客戶的選路策略配置相應(yīng)的策略路由。選路策略有三種：指定選路、多線路負(fù)載、VPN做專線備份(1)指定線路及多線路負(fù)載選路策略和之前版本一致(2)VPN做專線備份使用場(chǎng)景：客戶有兩條外網(wǎng)線路，線路1用來(lái)連接對(duì)端VPN，線路2

33、專線連接對(duì)端，現(xiàn)想實(shí)現(xiàn)訪問(wèn)對(duì)端應(yīng)用專線正常的情況走專線，當(dāng)專線斷開(kāi)了自動(dòng)切換到走VPN線路。1.4 注意事項(xiàng)1. 路由模式下，系統(tǒng)可以開(kāi)啟DHCP功能，由于老版本的DHCP默認(rèn)地址池只支持1024個(gè)，在大型網(wǎng)絡(luò)中經(jīng)常遇到不夠用的情況，本版本將IP地址池的默認(rèn)值擴(kuò)大為40962.VPN接口所屬區(qū)域LAN區(qū)：默認(rèn)值。表示VPNTUN默認(rèn)屬于LAN區(qū)域WAN區(qū)：選擇此選項(xiàng)時(shí)，則經(jīng)過(guò)VPNTUN口的數(shù)據(jù)都被當(dāng)成LAN-WAN數(shù)據(jù)，要求被認(rèn)證和審計(jì)、流控等。3.【網(wǎng)絡(luò)配置】【網(wǎng)口配置】可以修改mtu及網(wǎng)口工作模式1.5.鏈路故障檢測(cè)線路故障檢測(cè)，有DNS解析和ping兩種鏈路狀態(tài)監(jiān)測(cè)方法，可以自行選擇(

34、1) Ping和DNS檢測(cè)任意一個(gè)不通了，則認(rèn)為不通了(2)Ping和DNS里可以填多個(gè)地址；多個(gè)地址之間是或的關(guān)系任何一個(gè)成功即成功(3) 自動(dòng)檢測(cè)，表示是否開(kāi)啟了自動(dòng)檢測(cè)。如果不開(kāi)啟自動(dòng)檢測(cè)，那么只要網(wǎng)口有電，就認(rèn)為網(wǎng)絡(luò)是通的2、網(wǎng)橋部署第一步：點(diǎn)擊部署模式，選擇網(wǎng)橋模式2.1 基本配置第二步，網(wǎng)口配置(1)本版本以線路圖的形式展現(xiàn)網(wǎng)橋模式的整個(gè)配置流程。(2)可以顯示網(wǎng)口是否連通，高亮圖標(biāo)表示連通，灰色突變表示未連通。(3)網(wǎng)橋模式下開(kāi)啟網(wǎng)橋鏈路同步，會(huì)自動(dòng)顯示支持鏈路同步的網(wǎng)橋。第三步，網(wǎng)橋配置 對(duì)網(wǎng)橋配置進(jìn)行優(yōu)化，可以不配置網(wǎng)橋IP，以便實(shí)現(xiàn)完全透明的網(wǎng)橋。 說(shuō)明：此版本可以不用配置

35、網(wǎng)橋ip，配置個(gè)管理ip保證設(shè)備可以上網(wǎng)更新規(guī)則庫(kù)，可以管理設(shè)備即可第四步，管理口配置第五步，網(wǎng)關(guān)配置(1)本版本優(yōu)化了網(wǎng)關(guān)配置，所有網(wǎng)橋都使用同一個(gè)網(wǎng)關(guān)配置，默認(rèn)網(wǎng)關(guān)分為IPV4網(wǎng)關(guān)和IPV6網(wǎng)關(guān)。(2)網(wǎng)橋IP、管理口IP、默認(rèn)網(wǎng)關(guān)、DNS等可配置IP的地方均支持IPv62.2 路由配置2.3 光口bypass設(shè)置2.4 注意事項(xiàng)1、AC版本支持鏈路聚合選項(xiàng)被去除，默認(rèn)開(kāi)啟2、網(wǎng)橋部署重定向介紹說(shuō)明：(1)網(wǎng)橋模式可以配置網(wǎng)橋ip，也可以不配置，此版本重定向默認(rèn)使用設(shè)備的虛擬地址，上架實(shí)施保證內(nèi)網(wǎng)到虛擬地址路由可達(dá)即可。 在普通網(wǎng)橋，VLAN環(huán)境，QinQ環(huán)境，PPPoE環(huán)境這四種環(huán)可以使

36、用系統(tǒng)內(nèi)置的虛擬IP做透明代理和重定向，且網(wǎng)橋不需要配置IP。(2)對(duì)于除上面以外的其他協(xié)議玻璃環(huán)境，如WAC，L2tp，GRE等，會(huì)自動(dòng)根據(jù)路由選擇一個(gè)網(wǎng)口做透明代理和重定向強(qiáng)制根據(jù)路由做代理時(shí)，可以關(guān)閉地址還原功能3、旁路部署第一步：點(diǎn)擊部署模式，選擇旁路模式第二步：管理口選擇(1)之前旁路模式下的管理口固定為eth1，現(xiàn)在旁路模式下可以選擇管理口(2)管理口可配置VLAN ID，可配置多個(gè)IP第三步：鏡像口配置,鏡像口除DMZ外都可以配置二、高可用性1、主主模式路由和網(wǎng)橋部署都可以配置主主模式(1)主控配置第一步:【網(wǎng)絡(luò)配置】【高可用性】選擇主主模式第二步：配置設(shè)備標(biāo)識(shí)及角色選擇主控，配

37、置密鑰(2)節(jié)點(diǎn)配置第一步：高可用性選擇主主模式，配置設(shè)備標(biāo)識(shí)，角色選擇“節(jié)點(diǎn)”第二步：配置主機(jī)的IP地址及密鑰(3)主控狀態(tài)節(jié)點(diǎn)狀態(tài)主主模式的一些特殊場(chǎng)景說(shuō)明如下：1. 主主模式下，節(jié)點(diǎn)不能修改配置只能由主控同步，界面限制只能只讀；2. 主控會(huì)顯示所有節(jié)點(diǎn)狀態(tài)，名稱為“在線節(jié)點(diǎn)列表”，顯示所有在線的節(jié)點(diǎn)。2、主備模式路由模式可以配置主備模式，網(wǎng)橋模式下不能配置主備。(1)主機(jī)配置第一步：【網(wǎng)絡(luò)配置】【高可用性】選擇主備模式，點(diǎn)擊開(kāi)始配置第二步：配置主機(jī)設(shè)備標(biāo)識(shí)第三步：配置檢測(cè)網(wǎng)口搶占為主機(jī)：指的是當(dāng)主機(jī)切換為備機(jī)后，當(dāng)備機(jī)恢復(fù)正常后是否會(huì)主動(dòng)切換為主機(jī)，開(kāi)啟則會(huì)切換。指定HA口：用來(lái)同步配置

38、告警選項(xiàng)：手動(dòng)更改模式也會(huì)觸發(fā)告警(2)備機(jī)配置第一步：高可用性選擇主備模式，配置設(shè)備標(biāo)識(shí)，設(shè)備角色選擇備機(jī)第二步：配置主機(jī)的IP地址以及密鑰說(shuō)明：備機(jī)不能配置搶占主機(jī)與檢測(cè)網(wǎng)口以及配置告警信息，這些信息是由主機(jī)同步過(guò)來(lái)(3)主機(jī)狀態(tài)可以看到最近切換的時(shí)間，以及同步配置的時(shí)間，只有主機(jī)狀態(tài)才可以手動(dòng)切換到備機(jī)AC11.0版本之后，主備支持不用下架升級(jí)，升級(jí)步驟：升級(jí)步驟：1，先升備機(jī)，這時(shí)主機(jī)工作，不影響2，升級(jí)備機(jī)完，再升級(jí)主機(jī)4，這時(shí)主機(jī)會(huì)停掉所有后臺(tái)，備機(jī)檢測(cè)到心跳超時(shí)，進(jìn)行切換5，主機(jī)升級(jí)過(guò)程不影響網(wǎng)絡(luò)6，主機(jī)升級(jí)完畢，如果開(kāi)啟主機(jī)搶占，主機(jī)起來(lái)會(huì)自動(dòng)切換成主機(jī)7，如果沒(méi)有開(kāi)啟，要手動(dòng)切換(4)主備升降級(jí)3、注意事項(xiàng)(1)SC說(shuō)明 主主模式下，只