配置拨号上网

知NAT张旭2019-04-08发表ACG1000产品拨号上网部署方法组网及说明1配置需求或说明1.
1适用的产品系列本案例适用于软件平台为ACG1000系列应用控制网关:ACG10X0、ACG1000-AKXXX等.
注:本案例是在ACG1040的Version1.
10,Release6609P06版本上进行配置和验证的.
1.
2配置需求及实现的效果如下组网图所示,将ACG1040部署在外网出口作为路由器使用,外网使用PPPOE拨号方式上网,同时需要ACG1040为内网用户下发IP地址提供互联网接入.
其中ge2接口连接外网,ge3接口连接内网二层交换机.
2组网图配置步骤3配置步骤3.
1登录设备管理界面设备管理口(ge0)的默认地址配置为192.
168.
1.
1/24.
默认允许对该接口进行PING,HTTPS操作.
将终端与设备ge0端口互联,在终端打开浏览器输入https://192.
168.
1.
1登录设备管理界面.
默认用户名与密码均为admin.
3.
2配置连接互联网接口#选择"网络配置">"接口">"物理接口"中点击ge2接口后的编辑按钮,进行端口修改.
#设置ge2地址模式为PPPOE并填入运营商提供的上网账号和密码,PPPOE属性中必须勾选"更新网关"和"更新DNS".
#在接口选项下的"高级设置">"接口属性"中将ge2接口设置为外网接口,设置完成后点击提交.
配置完成后在"系统监控">"接口状态"中查看ge2端口是否获取了IP地址,如果无法获取IP地址请联系运营商确认账号密码是否正确3.
3配置Snat地址转换#选择"网络配置">"NAT">"源NAT"点击新建.
接口位置选择ge2(连接外网接口)后点击提交.
3.
4配置连接核心交换机接口#选择"网络配置">"接口">"物理接口"中点击ge3接口后的编辑按钮,进行端口修改.
设置ge3接口IP地址为192.
168.
10.
1/24.
#在接口选项下的"高级设置">"接口属性"中将ge3接口设置为内网接口.
3.
5配置DHCP为内网用户分发地址#选择"网络配置">"DHCP服务器">"DHCP服务"中ge3接口DHCP服务开启.
将ge3接口设置为DHCP服务器#选择"网络配置">"DHCP服务器">"地址池"中新建DHCP地址池中,完成下面配置:注:子网/掩码需要添加下发网段的网络位地址(一般子网的网络位最后一位为0),网关地址填写ge3接口地址,租约时间建议设置为24小时,否则会造成IP地址分配后无法回收.
DNS地址填写运营商提供的DNS地址,如果没有提供请填写114.
114.
114.
114或者8.
8.
8.
8作为DNS服务器.
3.
6配置IPV4策略审计用户流量#选择"上网行为管理">"策略配置">"IPV4策略">"新建"中创建审计策略.
注:下图中各参数使用默认配置即可.
新建应用审计策略用来审计所有应用.
注:这里的日志级别需要设置为信息,否则设备不记录日志.
新建URL审计策略审计所有网站,配置完成后选择提交完成所有配置.
3.
7配置保存#在设备管理界面右上角点击配置保存,保存当前配置.
3.
8策略验证用户网站访问"中国搜索"、"51cto"等网站测试:#在"日志查询">"网站访问日志">"访问网站日志"中查看对应日志.
#在"日志查询">"应用审计日志">"搜索引擎日志"中查看对应日志.
配置关键点3.
9注意事项1、目前ACG1000默认情况下只能过滤HTTP网页,如果遇到HTTPS网页如百度、淘宝、京东等需要配置HTTPS解密策略,才能正常过滤.
注:HTTPS解密策略需要升级ACG版本至R6608以上版本才能支持.
2、应用审计功能需要购买特征库激活文件并激活后才能使用,如果特征库授权未激活或者特征库授权过期则无法保证应用审计功能正常使用.
#在"系统管理">"授权管理"中可查看授权是否为已授权状态.
注:出现上图中"未授权"字样则表示没有授权,无法使用应用识别功能.