AC（上網行為管理）筆記：

深信服社區：bbs.sangfor.com 外置數據中心下載鏈接：http://www.sangfor.com.cn/service/downfile/100000007141875.html? 升級包下載鏈接：http://www.sangfor.com.cn/service/downfile/100000007887962.html 準入插件下載鏈接：http://acip:817/singress.exe

上網行為管理11.0R2升級包下載地址：

http://download.sangfor.com.cn/download/product/ac/AC11.0R2(20160406).ssu

外置數據中心DC11.0R2安裝包下載地址：

http://download.sangfor.com.cn/download/product/ac_data_center/DataCenterSetup_11.0R2_chs.zip

外置數據中心DC11.0R2升級包下載地址：

http://download.sangfor.com.cn/download/product/ac_data_center/DataCenterUpdate_11.0R2_chs.zip

很多時候我們去到客戶現場做測試或者上線，客戶使用的都不是直接使用三大運營商的網絡，有可能是二級運營商甚至是三級運營商的網絡，這時候設置DNS就比較麻煩了。大家通常都怎么設置？
我先說說我自己常用的DNS：

aliDNS （223.5.5.5， 223.6.6.6）

114DNS （114.114.114.114， 114.114.115.115）

114DNS安全版 （114.114.114.119， 114.114.115.119）

114DNS家庭版 （114.114.114.110， 114.114.115.110）

8.8.8.8 ?114.114.114.114

查找管理口IP：SANGFOR升級工具； 恢復控制臺密碼：訪問：https://acip/php/rp.php，連接交叉線并重啟設備； 恢復出廠設置： 1、通過控制臺； 2、升級工具+ssu包恢復； 3、交叉線，關機——連線——開機——等到設備重啟——拔掉；
AC： 默認IP：1、10.251.251.251；2、10.252.252.252 保留IP：1、128.127.125.252；2、128.128.125.252 SSL VPN： 默認IP：1、10.254.254.254；2、10.254.253.254 保留IP：10.111.222.33/30 默認登錄方式：1、https://ip:4430；2、https://ip:1000
AC只能升級不能降 arp：可查詢用戶IP、MAC和接口； 有些路由器WAN做了NAT轉換，默認是不能關的，這樣就只能看到WAN口的IP，其它接口的IP都顯示成WAN IP，如在AC上做策略就有影響； 攔截提示、監控QQ聊天記錄（如是客戶端要裝插件），把PC殺毒軟件和防火墻都退出，怕誤攔截這個數據包，準入不支持NAT環境； 外部認證也叫第三方認證，用戶的賬號密碼信息保存在第三方服務器上： LDAP：輕量目錄訪問； radius：賬戶認證服務器（身份認證）； PoP3：郵件服務器；
NAT代理上網即SNAT，對數據包源IP進行轉換，一般做私轉公；端口映射即DNAT，對數據包目標IP進行轉換，公轉么； 如用戶需通過AC上網，要設置地址轉換規則及防火墻； 跨三層MAC識別，如三層環境，要綁定終端電腦的IP和MAC，需配置跨三層MAC識別和在核心交換機開戶SNMP，如是二層環境則無需；
可同時創建多個用戶和組，以英文逗號分隔； 上網策略與域xx關聯，需先建立域服務器（在外部認證服務器那里新增）； 如把AC關機，不拔電源，AC會變成bypass模式成為一個網橋；

上網策略不生效：

1、看有無跟用戶關聯； 2、是否開啟直通或排除了IP； 3、看用戶是否關聯了多條上網權限策略； 4、是否有自定義應用（注意生效順序）； 5、看拒絕的應用與實際識別出的應用是否對應； 6、看應用規則庫是否更新到最新版本；

流控策略不生效：

1、看是不是啟用了流量管理系統的那個勾； 2、是否開啟直通或排除IP，流控通道是否有排除策略； 3、是否有多條流控通道； 4、規則庫是否為最新； 5、是否有自定義應用； 6、看流控的應用與實際應用是否對應； 7、最重要的是：WAN口和LAN口的線不能接錯，或數據未經過上網行為管理；

策略有誤把網絡攔掉了怎么排查？

1、看上網策略是否有設置攔截數據的策略； 2、開啟日志直通，測試故障，如開啟直通后能上網說明是策略的問題，看日志找問題； 3、關閉直通，測試效果；
外置數據中心：關閉內置——下載安裝——配置軟件——配AC——同步——登錄查看； 全局排除的IP地址，仍然有效的模塊有NAT，顯示代理，防火墻規則，防dos攻擊，arp欺騙防護，系統路由和策略路由，準入IM審記（先開啟審記后排除的情況）； 將域服務器開啟了DNS，PC首選DNS填入域服務器IP后，本機就上不了網了，如要上網：1、DNS轉發；2、代理上網； 策略路由：根據不同流量走不同鏈路；
服務器集群： 負載均衡（放在防火墻前面，做一個鏈路選擇，抗的帶寬大） 分為：1、應用（服務器）負載均衡；2、網絡（鏈路）負載均衡又分入站與出站；
DDOS：分布式拒絕服務攻擊（DOS像單挑則DDOS是群毆）； IDS：入侵檢測系統（沒防御功能），一般接sw； IPS：入侵防御系統，檢測攻擊行為（有防御功能），只檢測經過自己的數據包；



代理服務器還有功能是緩存網頁，有兩個功能； SNMP：AC想綁定PC的IP和MAC，但PC的數據是經過三層sw再到AC的，所以源MAC就變成了sw的MAC，在AC和核心sw中都要開啟SNMP才行；
AC： 路由模式（網關），需要用到DHCP、DNS、NAT時就用路由模式； 網橋模式，硬件bypass； 旁路模式，審計，基于TCP訪問控制； 單臂模式，代理；
網橋多網口：單進雙出； 電腦連的是wifi的話在AC上設置排除地址AC是檢測不到這個地址的，因為路由器WAN口做了NAT轉換（除非是高端路由器可以取消WAN口NAT，普通路由器不能取消），如果非要排除，就WAN口不連，線連在LAN口上，把路由器當交換機用；


FW比AC吞吐量高，但FW里的上網記錄功能較不全面； VPN：虛擬專線；

當抓包抓到一樣的會話，比如源地址全是一個，發送UDP會話到233.0.0.1，就是交換機環路了，因為233.0.0.1是每個設備的保留地址，就像127.0.0.1一樣，自己給自己發包就是環路了，也可以拿目的MAC去查，看到信息寫著是私營的話就是自己的地址，一般MAC地址會顯示廠商廠地信息的。

如果設備接反了線（內網口接了外網），在線用戶看到的就會是公網地址，還可通過設備的接口吞吐率折線圖，流量是否是雙向的進行判斷；

如果做了上網權限，你打開這個應用當應用需要聯網的情況下才能被數據中心記錄日志，不需要聯網AC就無法識別到；

客戶是PPPOE撥號獲取IP，撥號在路由器那里獲取了地址，然后AC如果部署路由模式就要設置內外網IP，不能同一網段，所以要配置為網橋模式，路由器—AC—交換機這樣部署；

?

AC恢復之前備份配置的要求是：
同版本導入配置：
1、有本地的備份的配置文件或者設備上面有之前備份的配置文件
2、新設備的網口數量需要比備份配置中使用的網口數量多或者是等于

不同版本導入配置（除了上述條件，還需要滿足）：
1、3.3R1版本之后開始支持導入到高版本中，但是最高為6.1的版本（舉例：比如4.5的配置可以導入到比4.5高但是比6.1版本低的版本中）
2、6.1的配置可以導入到11.0R2的版本中，不支持導入到其他的高版本中
3、11.x的版本，支持導入到比當前版本高的版本中
注意：
1、AC和SG的配置不能互導，但是有一個版本比較特殊，SG6.1的配置可以導入到AC11.0R2里面去，其他的版本都不行（因為SG設備沒有11.0R2的版本）
2、從什么地方備份的配置，只能從什么地方導入（比如網頁里面備份的配置僅支持從網頁里面導入，升級客戶端里面備份的配置，僅支持從升級客戶端導入）

?

您同步的話因為所有配置都會變成一樣的，如果是部署在跟之前A不同的網段:

1、需要修改網絡地址

2、針對用戶做的認證策略網段需要修改

3、策略適用用戶這些也需要修改

?

AC11.8支持從AC11.0R2、AC11.2的配置進行導入

6.1的配置可以導入到11.0R2的版本中，不支持導入到其他的高版本中

有沒有那種哪個設備能接多少用戶的那個表？

6.1的配置可以導入到AC11.0或者AC11.0R2的

?

如果接了新設備需要做配置，連上去默認是上不了網的，所以無法遠程（遠程的前提是需要網絡），除非電腦有雙網卡！

?

交換機接口被人用一根網線兩端連接兩個網線插口，形成回路會上不了網！

?

SANGFOR升級設備可以按F10查看具體報錯信息；

11.x的不支持網橋多網口了 需要修改成多網橋設置，才能升級；

改成多網橋之后建議用75檢測包檢測一下設備支不支持升級，版本支持的話不一定設備也支持：升級檢測包?：?http://pan.baidu.com/s/1kVnmPaJ

只有Ac11.8的升級包自帶檢測功能 可以加載升級包檢測 其他的都沒有檢測功能;

?

11.0升級檢測工具提示配置轉換失敗，可能是DMZ口重定向功能導致的，在高級設置里，如果開了，就關了提交再開再關，如關了就開了提交再關；?

如果OA無法收發郵件，并且確定是由于深信服策略引起的，可以將“owa.gf.com.cn”這地址添加到自定義排除地址里面，即可以解除相關的攔截

?

AC11.0r2升級包下載地址及說明

1.2015年1月后購買的設備可以升級到11.0R2,2015年前購買的設備，請先聯系400客服，確認硬件資源是否足夠升級到11.0R2

2.5.6到11.0R2的升級順序是：5.6→5.7→6.0→6.1→11.0R2

3.升級之后，會刪除以下功能：

郵件延遲審計，外發文件告警，插件過濾，腳本過濾及危險行為識別

4.如果有使用外置數據中心，升級后，必須安新版本的外置數據中心，并重新設置數據同步

5.升級包下載地址

上網行為管理11.0R2升級包下載地址：

http://download.sangfor.com.cn/download/product/ac/AC11.0R2(20160406).ssu

外置數據中心DC11.0R2安裝包下載地址：

http://download.sangfor.com.cn/download/product/ac_data_center/DataCenterSetup_11.0R2_chs.zip

外置數據中心DC11.0R2升級包下載地址：

http://download.sangfor.com.cn/download/product/ac_data_center/DataCenterUpdate_11.0R2_chs.zip

若是策略不生效 建議您確認一下這個

1、確認沒有開直通和全局排除地址

2、URL應用識別庫是最新的且是有效的

比如是否關聯了這個用戶是否之前有允許策略

在在線用戶列表中找到這個用戶看一下是否是匹配了這條策略

若是策略是正確的，沒有開直通和全局排除地址且URL應用識別庫是有效的最新的話
再建議您這樣操作一下您手動更新一下這個應用然后在日志中心查看一下日志查詢剛剛您更新的這個動作被識別成什么應用了

?

軟件下載的話這個只有一個行為記錄沒有具體的其他記錄，具體的下載AC無法審計到的

?

AC可以審計到網頁版的微信聊天，客戶端的審計不了;為什么QQ可以做到審計內容，微信做不到:

qq最初出現的時候它的承載平臺是pc（并且是windows pc需要安裝準入插件才可以記錄聊天信息），到后來智能移動終端的出現 qq才大范圍的用在了手機、平板這種移動端，目前涉及到移動端的也還是無法監控其聊天信息的（因為pc端和移動端的數據結構不一樣）；?
而微信最初的設計就是用在移動端（特別是手機端）上面使用，即便是后來出了pc端的app或網頁微信，仔細觀察功能和手機上面還是有差別的；

SSL VPN筆記：

查找管理口IP：SANGFOR升級工具； 恢復登錄臺密碼：1、交叉線；2、U盤（reset-network、reset-password、show-ifconfig）； 恢復出廠設置：使用升級工具加載同版本的ssu格式的升級包恢復出廠；
SSL VPN：（網關模式、單臂模式（對網絡環境無改動）），1、節省公網IP；2、保障安全； 默認IP：1、10.254.254.254；2、10.254.253.254 保留IP：10.111.222.33/30 默認登錄方式：1、https://ip:4430；2、https://ip:1000
VPN分類： PPTP：基于三層，涉及路由設置，根據虛擬IP做訪問控制； IPsec：（源始VPN），基于三層，通過acl控制； L2TP：打通二層； SSL：（加密），不涉及路由設置，根據用戶授權做訪問控制； SSL資源： 1、Web：無插件（不常用，較常用于手機）； 2、Tcp：可調用瀏覽器插件（裝控件）； 3、L3VPN：兼容性最好，需在client安裝虛擬網卡； 4、遠程應用：（應用虛擬化），需購買； 基于UDP、ICMP的應用或server需主動訪問client端的應用的時候使用L3VPN資源；
如VPN設備（無固定公網IP）是通過ADSL撥號上網，移動用戶可通過webagent功能實現動態IP尋址；如果是ADSL撥號環境，可使用Webagent技術來實現SSL VPN的接入訪問； 公有用戶允許多人同時登錄，私有用戶只能同時一人登錄； 只有私有用戶才能選數字證書認證方式； 硬件特征碼屬于輔助認證，必須同時使用一種主要認證； 訪問不同網段，需要在本地添加網段到“本地子網”中； 使用PPTP方式接入：允許手機用戶通過系統自帶的PPTP VPN接入和訪問資源； TCP和L3VPN資源在client端要裝組件，可設置自動安裝，在（系統設置-SSL VPN選項-客戶端選項）；

AD域里的用戶，里面添加了各自的電話號碼，，在VPN上進行域用戶同步過來，電話號碼同步不了：

把這個選項改成默認的?telephoneNumber?然后再同步看看號碼有沒有同步

除了手動同步還可以設置自動同步用戶：

可以部分用短信認證，部分不用的，只需要在新建用戶的時候選擇一下認證的方式就可以（用戶是從ldap那里對接過來也是可以配置的，因為短信驗證不會經過ldap ）

這個webservice的方式的話，在這個頁面配置的前提的話，是已經配置好webservice可以向外提供服務的，只要在這個地方填如webservice就可以的 （這個是配置好的webservice的URL）

輔助認證需要配合主要認證才能用，比如先設置主要認證為用戶名密碼認證，然后才可以設置輔助認證為短信認證

從ad同步過來的用戶，默認的主認證是外部認證，現在需要為個別ldap同步的用戶設置短信認證 ，截圖就變成灰色

這里把勾去掉 就可以設了（繼承了組的認證設置，就編輯不了）

總結

以上是生活随笔為你收集整理的SANGFOR产品笔记的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。