更新时间:2023-07-03
单臂模式是在AC开启代理模块,作为代理服务器代理内部终端上网,使上网数据经过设备,实现控制和审计功能。AC设备连接到交换机,部署无需改变用户网络拓扑,对用户的网络环境不会造成影响。
部署场景
注意事项
- 开启HTTP代理,认证策略如果设置密码认证,默认终端弹出的密码认证页面是微软的认证页面,如果客户需要弹出AC的Web认证页面,需要在[接入管理/接入认证/认证高级选项]勾选“代理上网时,密码认证使用WEB认证页面”,但是该功能只对http显示代理有效。
- 启用代理服务,如不配置代理策略,默认允许内网所有用户通过代理上网。
- 配置多条代理策略时,策略匹配顺序为从上往下匹配。
- 确保设备本身可以正常访问互联网,并且内网PC和设备之间通信正常。
配置指导
如下图所示,设备部署为单臂模式,启用上网代理功能。受防火墙安全策略管控,终端用户无法直接访问互联网,网络中只允许AC设备访问互联网,终端用户可以和AC设备正常通信。AC设备作为代理服务器代理内部终端上网,使上网数据经过设备,实现访问控制和审计功能,无需改变用户网络拓扑。
步骤1.通过默认IP登录设备,比如通过LAN口登录设备,LAN口的默认IP是10.251.251.251/24,在电脑上配置一个此网段的IP地址,通过https://10.251.251.251登录设备,默认登录用户名/密码是:admin/admin。
步骤2.在导航菜单中的[系统管理/网络配置/部署模式],右边进入部署模式编辑页面,点击<开始配置>,配置设备模式为单臂模式,点击<下一步>。
步骤3.选择eth0口,需要将设备的eth0口接到交换机上,并配置接口IP,支持配置IPV6地址,配置完成后,点击<下一步>。
步骤4.管理口配置:选择空闲的网口做为管理网口,用户可以通过此网口连接设备,默认情况下设备的管理网口是eth1口;支持配置IPV6地址,配置完成后,点击<下一步>。
步骤5.AC设备使用认证中心相关功能时需要配置认证口,给分支AC做认证托管功能使用,常规的旁路部署、网桥部署、路由部署、单臂模式无需设置认证口。
步骤6.配置AC设备网关(eth0接口,非管理口网关)以及DNS等信息,配置完成后,点击<下一步>。
步骤7.配置完成,检查各配置项信息,点击<提交>。
步骤8.设置完毕需要重启设备才可以生效,在弹出的提示框中点击<是>。