深信服AC上架与组网部署

设备外观

image.png

解释：
AC/SG默认eth0为LAN口，eth2为WAN口，eth1为DMZ口 0、1为管理口，AC的管理口的作用可以用于管理设备，重定向认证页面、拒绝页面、准入页面，以及设备自己上网升级规则库
USB口接入鼠标 AC/SG不支持U盘恢复密码！
控制口仅供开发和测试调试使用。最终用户需从网口通过控制台接入。
console口是接短信猫或者是11.X之前版本高可用的心跳口，不能用于登录控制台和恢复密码， 最终用户需从普通网口通过控制台接入
左侧是锁硬盘的中间是风扇， 右侧是电源
VGA口 连接显示器
接口成对 Bypass 软bypass –直通 设备掉电 硬bypass
指示灯状态：
1、电源指示灯：绿色
2、HA灯：双机灯，AC主机HA口亮绿灯，备机HA口灯闪
3、alarm指示灯：开机的时候常亮和闪烁是正常；非开机时如果常亮可能是硬件故障，闪烁可能是因为系统日志里面有告警或者是报错日志产生
4、status：是硬盘指示灯，当硬盘在读取数据中，STATUS灯就会闪烁，其它情况是长亮状态，是正常状态
5、网口灯：网口灯如果灯颜色一致（2个都是绿色或者都是橙色），那么表示千兆；如果颜色不一致（一绿一橙），那么表示百兆注意：接口左侧的灯为ACT灯，接口右侧的灯为 link灯link灯：表示线路是否有接线，接线则常亮ACT灯：表示线路是否有数据，有数据的时候会闪烁；没有数据的时候，灯会熄灭或者是常亮

**一、设备管理登录与恢复
1、设备管理登录
（1）知道设备管理地址
直接通过管理地址登录，
eth0(LAN)：10.251.251.251/24 , eth1(DMZ)10.252.252.252/24
（2）不知道设备管理地址（被修改）
A、通过SANGFOR 升级系统工具进行扫描，扫描得到管理地址后登录
B、通过管理口保留地址登录，LAN（128.127.125.252/29）
DMZ（128.128.125.252/29），注意保留地址随着LAN/DMZ口漂移；

2、恢复出厂配置（丢配置）
（1）直接控制台恢复

image.png

（2）通过SANGFOR 升级系统工具加载升级包选择恢复出厂设置
（3）前两种方式需要知道管理地址和密码，如果忘记，可以使用第三种方法
电口交叉线短接（关机--交叉线非一组bypass--开机---观察alarm灯---拔线--登录）

3、恢复控制台密码（不丢配置）
首先访问https://acip/php/rp.php，提示如图

image.png

然后交叉线短接非一组bypass口，重启（关机-开机），等待5min左右，使用默认用户/密码登录。

image.png

**二、组网模式
1、路由模式（所有功能）
网关部署时配置SNAT、缺省外指，明细回指
2、网桥模式（除NAT等三层功能外都支持）
部署时注意AC的管理流量与上网流量
3、旁路模式（流量分析与审计、基于TCP的应用控制）
部署时注意监听口与镜像口

三、双向NAT
背景：出口部署完DNAT后，要求内网用户也通过DNAT访问内网server，达到隐藏内网server的真实IP地址的目的；但是我们内网客户端此时却不能通过访问DNAT访问到server，原因是数据流回包源IP问题；
解决办法：实现DNAT的同时，实现SNAT===》双向NAT，同时转换源、目IP