某客户网络结构如下图,公网出口线路带宽10M,内网上网用户在500人左右。由于带宽本身不足,加上上班时间经常有人下载,看电影等导致全网打开网页也十分慢,员工上班效率很低。
客户购买了SANGFORAC设备,希望能配置实现如下功能:
第一步:通过交叉线连接电脑与设备的ETH0(LAN)口,电脑配置10.251.251.X/24地址,使用https://10.251.251.251登录AC设备控制台。
第二步:网桥模式设置,分配防火墙与三层交换机直连网段的地址10.10.10.3/29给AC设备的网桥IP。通过『系统管理』→『网络配置』→『部署模式』进入配置界面,点击开始配置,选择网桥模式:
点击下一步,选择网桥的网口。本案例采用ETH0和ETH2作为一对网桥口,ETH0作为LAN区网口,ETH2作为WAN区网口。
点击下一步,设置AC设备的网桥IP:
点击下一步,设置DMZ管理口的IP地址,可保持默认配置:
点击下一步,设置设备上网的网关和DNS:
点击下一步,确认和提交配置:
第三步:用户组设置,新增普通员工组和领导组,通过『用户认证与管理』→『用户管理』→『组/用户』进入配置界面,在本地用户下新增组:
组名与组名之间通过英文逗号隔开,可实现同时添加多个用户组,点击提交,保存和生效配置。
第四步:跨三层MAC识别设置,本案例中,AC设备与内网用户之间通过三层交换机转发数据,需要开启跨三层MAC识别,才能在AC设备上绑定用户正确的IP/MAC地址。通过『用户认证与管理』→『认证高级选项』→『跨三层取MAC』进入配置页面:
勾选[启用SNMP设置],添加服务器和将三层交换机的MAC地址填入MAC地址排除列表:
点击提交,保存和生效配置。
第五步:认证策略设置,新增普通员工组用户认证策略和领导组认证策略,通过『用户认证与管理』→『用户认证』→『认证策略』进入配置页面:
点击新增,设置普通用户组认证策略,如下图:
点击提交,保存和生效配置。
点击新增,设置领导组认证策略,如下图:
第六步:普通用户组上网权限设置,通过『策略管理』→『上网策略』进入配置页面:
点击新增,选择上网权限策略,在『应用控制』里勾选[应用控制]设置上班时间封堵P2P和在线流媒体应用;全天不允许访问非法及不良网站。
选择【适用对象】:在“本地用户”中选择“普通用户组”:
点击提交,保存和生效配置。
普通用户组上网审计策略设置:新增上网审计策略,勾选[应用审计],添加审计的对象:
点击确定,提交配置。
选择【适用对象】:在“本地用户”中选择“普通用户组”:
点击提交,保存和生效配置。
普通用户组准入策略设置:新增准入策略,勾选[准入策略],添加IM聊天内容监控:
选择【适用对象】:在“本地用户”中选择“普通用户组”:
点击提交,保存和生效配置。
第七步:领导组上网审计策略设置:选择[应用审计],添加审计的对象:
选择【适用对象】:在“本地用户”中选择“领导组”:
点击提交,保存和生效配置。
第八步:流量管理策略设置,首先设置线路带宽,通过『流量管理』→『线路带宽配置』进入配置界面:
点击线路1,设置线路上下行带宽,10Mbps=1280KB/s:
点击提交,保存和生效配置。
其次,再设置流量管理通道,通过『流量管理』→『通道配置』进入配置界面,勾选[启用流量管理系统]:
点击新增通道,选择[新增一级通道],设置访问网站应用的保证通道:
点击确定,保存和生效配置。
点击新增通道,选择[新增一级通道],设置P2P,下载工具和在线流媒体应用的限制通道:
点击确定,保存和生效配置。
第九步:AC设备上架。将AC设备的ETH0(LAN)口连接三层交换机,ETH2(WAN)口连接防火墙内网口。
建议使用Chrome浏览器访问!