深信服AC6.0快速配置手册

SANGFOR SG快速安装手册

技术支持说明

为了让您在安装，调试、配置、维护和学习SANGFOR设备时，能及时、快速、有效的获得技术支持服务，我们建议您：

1.参考本快速安装手册图文指导，帮助你快速的完成部署、安装SANGFOR设备。如果快速安装手册不能满足您的需要，您可以到SANGFOR技术论坛或官网获得电子版的完整版用户手册或者其他技术资料，以便你获得更详尽的信息。

2.致电您的产品销售商（合同签约商），寻求技术支持。为了更快速的响应您的服务要求和保证服务质量，您所在地的SANGFOR的产品销售商配备有经过厂家认证的技术工程师，会向您提供快捷的电话咨询、远程调试及必要的上门技术服务。

3.在不紧急的情况下，您可以访问SANGFOR的技术论坛，寻求技术问题的解决方案和办法。

4.致电SANGFOR客服中心，确认最适合您的服务方式和服务提供方，客服中心会在您的技术问题得到解决后，帮助您获得有效的服务信息和服务途径，以便您在后续的产品使用和维护中最有效的享受技术支持服务，及时、有效的解决产品使用中的问题。

SANGFOR技术论坛：https://www.wendangku.net/doc/a89998368.html,

公司网址：https://www.wendangku.net/doc/a89998368.html,

技术支持服务热线：400-630-6430（手机、固话均可拨打）

邮箱：support@https://www.wendangku.net/doc/a89998368.html,

目录

技术支持说明 (1)

目录 (2)

声明 (3)

前言 (4)

第1章SG系列硬件设备的安装 (5)

1.1环境要求 (5)

1.2电源 (5)

1.3产品接口说明 (5)

1.4配置与管理 (6)

1.5单设备接线方式 (8)

1.6双机备份接线方式 (9)

第2章SG系列硬件设备部署 (11)

2.1路由模式 (12)

2.1.1路由模式部署配置案例 (13)

2.2网桥模式 (19)

2.2.1网桥多网口 (19)

2.2.2多网桥 (25)

2.2.3DMZ口重定向 (32)

2.3旁路模式 (37)

2.3.1旁路模式部署配置案例 (38)

2.4单臂模式 (43)

2.4.1单臂模式部署配置案例 (43)

2.5高可用性配置案例 (46)

2.5.1多机同步 (46)

2.5.2双机维护 (50)

第3章基本功能配置 (55)

3.1封堵P2P应用配置案例 (55)

3.2审计用户上网行为配置案例 (59)

3.3限制下载工具的网络流量配置案例 (61)

3.4保证重要应用网络流量配置案例 (67)

3.5上网加速配置案例 (73)

3.6上网代理配置案例 (74)

3.7防共享功能配置案例 (75)

3.8无线管理配置案例 (78)

3.8.1客户网络环境与需求 (78)

3.8.2无线基本配置 (79)

3.8.3配置开放式无线网络案例 (79)

3.8.4配置企业级认证无线网络案例 (82)

第4章密码安全风险提示 (86)

4.1修改控制台登录密码 (86)

声明

Copyright?2015深圳市深信服电子科技有限公司及其许可者版权所有，保留一切权利。

未经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部，并不得以任何形式传播。

SANGFOR及图标为深圳市深信服电子科技有限公司的商标。对于本手册出现的其他公司的商标、产品标识和商品名称，由各自权利人拥有。

除非另有约定，本手册仅作为使用指导，本手册中的所有陈述、信息和建议不构成任何明示或暗示的担保。

本手册内容如发生更改，恕不另行通知。

如需要获取最新手册，请联系深信服电子科技有限公司客户服务部。

前言

本文仅提供SG设备安装部署和基本功能的配置指导，如需要更详细配置介绍，请查看随附光盘里的电子版用户手册或者登录深信服技术支持论坛下载详细电子版用户手册。深信服技术支持论坛地址https://www.wendangku.net/doc/a89998368.html,，详细电子版用户手册在[资料&文档]→[AC 上网行为管理/SG上网优化/NAC]→[用户手册（AC/SG/NAC）]。

本手册以深信服SG3600为例进行配置。各型号产品硬件规格存在一定差异，但是设备配置以及基本使用方法一致，本手册适用于所有型号的SG设备。

第1章SG系列硬件设备的安装

本部分主要介绍了SANGFOR SG系列产品的硬件安装。硬件安装正确之后，您可以进行配置和调试。

1.1环境要求

SG系列硬件设备可在如下的环境下使用：

输入电压：110V~230V

温度：0～45℃

湿度：5～90％

为保证系统能长期稳定地运行，应保证电源有良好的接地措施、防尘措施、保持使用环境的空气通畅和室温稳定。本产品符合关于环境保护方面的设计要求，产品的安放、使用和报废应遵照国家相关法律、法规要求进行。

1.2电源

SANGFOR SG系列硬件设备使用交流110V到230V电源。在您接通电源之前，请保证您的电源有良好的接地措施。

1.3产品接口说明

图1：SANGFOR SG设备正面面板（以SG3600为例）

1.CONSILE（控制）口

2.ETH0（LAN）

3.ETH2（WAN）

4.ETH1（DMZ）

5.ETH3（WAN2）

6.电源灯

7.告警灯

告警灯在设备启动期间是红灯长亮的。一般一两分钟后红灯熄灭，说明正常启动。如红灯长时间不熄灭，请关闭设备等待5分钟后重新开机。如果还是长亮，请联系客服部门确认是否设备损坏。正常启动后，有时红灯会闪烁，这是正常现象，红灯闪烁表示设备正在写系统日志。

控制口仅供开发和测试调试使用。最终用户需从网口通过控制台接入。

1.4配置与管理

设备出厂的默认IP见下表：

接口IP地址

ETH0（LAN）10.251.251.251/24

ETH1（DMZ）10.252.252.252/24

ETH2（WAN1）200.200.20.61/24

SG支持安全的HTTPS登录，使用的是HTTPS协议的标准端口登录。如果初始登录从LAN口登录，那么登录的URL为：https://10.251.251.251，默认情况下的用户名和密码均为admin。

HTTPS登录WEBUI管理SG可以防止配置过程在传输过程中被截获而产生的安全隐患。

如何登录SG设备控制台页面？

按照前面所示方法接好线后，通过WEB界面来配置SANGFOR SG设备。方法如下：

首先为本机器配置一个10.251.251.X网段的IP（如配置10.251.251.100），然后在IE浏览器中输入网关的默认登录IP及端口https://10.251.251.251。在出现一个如下图的安全提示：

点击是后出现以下的登录界面：

在登录框输入『用户名』和『密码』，点击登录按钮即可登录SG设备进行配置，默认情况下的用户名和密码均为admin。

登录控制台不需要安装任何控件，支持用非IE的浏览器登录控制台

1.5单设备接线方式

在背板上连接电源线，打开电源开关，此时前面板的Power灯（绿色，电源指示灯）和Alarm灯（红色，告警灯）会点亮。大约1-2分钟后Alarm灯熄灭，说明网关正常工作。

请用标准的RJ-45以太网线将ETH0（LAN）口与内部局域网连接，对SG设备进行配置。

请用标准的RJ-45以太网线将ETH2（WAN1）口与Internet接入设备相连接，如路由器、光纤收发器或ADSL Modem等。

登录控制台后根据网络拓扑配置『部署模式』

注意：多线路的SG设备可以支持多条Internet线路，此时将WAN2口与第二条Internet接入设备相连，WAN3口与第三条Internet线路相连，依此类推。

使用标准RJ-45以太网线将DMZ口与DMZ区的网络连接，一般而言，DMZ区放置对外提供服务的WEB服务器、EMAIL服务器等。SG设备可以为这些服务器提供安全保护。

设备正常工作时POWER灯常亮，WAN口和LAN口LINK灯长亮，SGT灯在有数据流量时会不停闪烁。ALARM红色指示灯只在设备启动时因系统加载会长亮（约一分钟），正常工作时熄灭。如果在安装时此红灯长亮，请将设备掉电重启，重启之后若红灯一直长亮不能熄灭，请与我们联系。

WAN口直接连接MODEM应使用直连线、连接路由器应使用交叉线；LAN口连接交换机应使用直通线、直接连接电脑网口应使用交叉线。当指示灯显示正常，但不能正常连接的时候，请检查连接线是否使用错误。直连网线与交叉网线的区别在于网线两端的线序不同，如下图：

图1直连线、交叉线线序

1.6双机备份接线方式

若采用SG双机热备的工作方式，按以下接线图方式进行外网线路和内网线路的接线。

使用标准RJ-45以太网线将两台SG设备的ETH2（WAN1）口（若使用多线路技术，接线方式类似，保证两台设备的外网接口接到同一个外网线路即可）接到同一交换机上，再使用标准的RJ-45以太网线与Internet接入设备相连接，如路由器、光纤收发器或ADSL Modem等。

将配件箱中的Console线取出，将两台SG设备的Console口用串口线连接起来。

使用标准RJ-45以太网线将两台SG设备的ETH0（LAN）口接到同一交换机上，再使用标准的RJ-45以太网线与局域网交换机相连，连接到内部局域网。

接线完毕后，分别打开两台设备的电源，即可进行系统配置。双机系统配置时和单机系统配置一样，仅对一台主设备进行配置，另外一台从设备将自动进行同步，无需另行配置。

第2章SG系列硬件设备部署

『部署模式』用于设置设备的工作模式，可把设备设定为路由模式、单臂模式、网桥模式和旁路模式。选择一个合适的部署模式，是顺利将设备架到网络中并且使其能正常使用的基础。

路由模式：设备做为一个路由设备使用，对网络改动最大，但可以实现设备的所有的功能。

单臂模式：单臂模式主要为了满足客户使用SG设备替代原有网络中的代理服务器的需求，设备可代理内网上网，同时实现控制和审计通过代理上网的行为。单臂模式下，部分功能实现受限。

网桥模式：可以把设备视为一条带过滤功能的网线使用，一般在不方便更改原有网络拓扑结构的情况下启用，平滑架到网络中，可以实现设备的大部分功能，网桥模式下不支持VPN和DHCP功能。

旁路模式：设备连接在内网交换机的镜像口或HUB上，镜像内网用户的上网数据，通过镜像的数据实现对内网上网数据的监控和控制，可以完全不需改变用户的网络环境，并且可以避免设备对用户网络造成中断的风险，但这种模式下设备的控制能力较差，部分功能实现不了。

选择【导航菜单】中的『网络配置』→『部署模式』，右边进入【部署模式】编辑页面，点击开始配置，会出现『路由模式』、『单臂模式』、『网桥模式』、『旁路模式』的选项，选择想要配置的网关模式。

在将设备架到网络中前，建议先将设备的部署模式、接口、路由、用户等信息配置好，设备出厂的默认IP见下表：

接口IP地址

ETH0（LAN）10.251.251.251/24

ETH1（DMZ）10.252.252.252/24

ETH2（WAN1）200.200.20.61/24

2.1路由模式

路由模式：是把设备作为一个路由设备使用，一般是把设备放在内网网关出口的位置，代理局域网上网；或者把设备放在路由器后面，再代理局域网上网，常见部署如下图所示：

2.1.1路由模式部署配置案例

客户环境和要求：用户网络是跨三层的环境，购买设备做为网关使用，代理内网用户上网，公网线路是光纤接入固定分配IP的。

配置方法：

第一步：先配置设备，通过默认IP登录设备，比如通过LAN口登录设备，LAN口的默认IP是10.251.251.251/24，在电脑上配置一个此网段的IP地址，通过https://10.251.251.251登录设备，默认登录用户名/密码是：admin/admin。

第二步：在【导航菜单】页面中的『网络配置』→『部署模式』，右边进入【部署模式】编辑页面，点击开始配置，出现以下页面：配置设备模式为路由模式，点击下一步

第三步：定义LAN区网口和WAN区网口，选择空闲网口，点击增加，将空闲网口移动到对应的网口列表。

设备默认的LAN口区网口是eth0，DMZ口区网口是eth1，WAN口区网口是eth2，这些网口位置建议不要随便修改，和设备面板的图示接口保持一致。

其他空闲接口可以自定义其所属的区域。

第四步：完成网口定义，点击下一步，配置LAN区网口IP地址，此例中LAN口区的网口是eth0，此处配置eth0的地址是：192.168.1.12/255.255.255.0

第五步：配置WAN区网口，此例中WAN口区的网口是eth2。

WAN口支持以太网和ADSL拨号两种类型，此例中公网线路是光纤接入，固定分配公网IP地址的，所以选择[以太网]。

1、如果线路是ADSL拨号，需要将WAN口和modem相连。勾选[自动拨号]作用是在拨号线路异常断开后自动重新拨号，或者是重启设备后自动拨号。分别在[账号]和[密码]中输入拨号的账号和密码。

第六步：配置DMZ区网口，此例中DMZ区的网口是eth1，配置[IP地址]和[子网掩码]。

第七步：NAT配置，用于设置代理上网规则，当设备做网关，直接接公网线路时，需要在设备上做代理上网设置，以代理内网用户正常上网。设置完成后，会在『NAT代理上网』中新增一条代理规则“代理LAN口上网”。

第八步：配置完毕，检查配置无误后，点击提交

设置完毕需要重启设备才可以生效，在弹出的提示框中点击是。

第九步：此例中由于内网网段跟设备LAN口不在同一网段，需要加上设备到内网的系统路由，在【导航菜单】页面中的『网络配置』→『静态路由』，右边进入【静态路由】编辑页面，点击新增则可以添加路由。当内网有多个网段时需要相应的添加多条系统路由。

第十步：配置『防火墙』→『过滤规则』，放通LAN→WAN的数据。

第十一步：基本配置完毕后，将设备接入网络中，WAN口接外网线路，LAN口接内网交换机。并且将内网交换机的上网路由指向SG设备的LAN口。

1．设备工作在路由模式时，局域网内电脑的网关都是指向设备的LAN口IP或指向三层交换机，三层交换机的网关再指向设备。上网数据由设备做NAT或路由转发出去。

2．WAN、LAN、DMZ网口应设置不同网段的IP地址。

3．如果设置路由模式为有前置设备，请在第五步配置WAN口IP为与前置设备LAN 口同网段IP，其他操作一样。

2.2网桥模式

网桥模式：是把设备视为一条带过滤功能的网线使用，一般在不方便更改原有网络拓扑结构的情况下启用。把设备接在原有网关及内网用户之间，在原网关及内网用户不需做任何配置改变的情况下，对设备进行一些配置即可使用。对原网关及内网用户而言，亦不知设备的存在，即所谓对原网关及内网用户透明。网桥模式的主要特点是：网桥模式对用户做到完全透明。网桥模式分为网桥多网口和多网桥两种模式。

2.2.1网桥多网口

网桥多网口是指设备只做一个网桥，但内外网口不是一一对应的，可能内网口需要接多个网口，也可能外网口需要接多个网口，各个网口之间的数据都可以设置转发，设备的ARP 表只维持一份。

网桥多网口一般用于以下环境：

运行环境1：交换机连接到外网两条线路FW1、FW2上，在交换机和防火墙之间接入设备，设备网桥模式部署，单进双出做网桥多网口模式：