深信服可以算是上网行为管理的第一品牌了,这次是为用户上线SG上网行为管理设备,用户主要是将SG4300用来代替原有的代理服务器ISA,再就是进行上网管理、审计和流量管理。

我是第一次安装上网行为管理的产品,这次用户使用的就是深信服SG4300,虽然知道上网行为管理产品配置很简单,但是因为是第一次配置心里总难免还是存有疑虑。

通过和客户聊天发现用户使用的是ISA代理上网方式,每一个用户上网都是通过设置IE代理,将代理指向10.60.64.91这个IP。然后ISA服务器处于核心交换机和一个小三层交换之间,上联口接核心交换机IP地址为10.60.64.245,下联口地址就是10.60.64.91这个地址,实际就是将内外所有要上网的用户转换成10.60.64.245这个地址后去往省里统一出口。登陆设备Eth0口默认地址https://10.251.251.251。默认账号:Admin,密码:Admin。

开始配置也就是如果要将上网行为替换掉原ISA服务器的话最好使用路由模式,这样就能到达不修改用户配置,不改变网络结构的目的。

然后再设置静态路由,将10.0.0.0这个网段指回下了小核心交换机网关地址10.60.64.126。设置用户组,分为两个分组一个领导组,另一个是普通组,领导组只做审计不做限制,普通组要做限制也做审计。深信服支持数据导入,也就是说可以通过专用的表格将用户数据导入到分组中。另外一个使用到的功能就是流量管理,可以限制P2P的下载或者其他应用,支持两种,一种是带宽限制另一个是带宽的保证。关于URL和应用可以根据实际环境设置。

满怀信心的去上线设备,但是发现设备上线后就是没有起到代理上网的功能,ping都是通的但是不起作用,使用bypass直接让数据过去同样用户还是无法上网,实在没有办法,之好询问工程师,工程师指导一番后发现该设备的3.3R5版本不支持IE代理设置的上网方式,哎,无奈。回到宾馆晚上做梦,梦到用户能上网了

早上来到用户处,向用户解释说这个事情,心想不就是版本不支持吗重新升级下就是啦,结果深信服工程师说设备不能升级到3.4版本,巨无奈!只好让公司联系深信服,不过最后研发说可以升级,不过要先将设备版本由SG3.3R5降级到SG3.3R1然后再升级到SG3.4......没有办法了那就听人家研发的吧,做好配置,保存好序列号!费了一番功夫总算是先将后升算是达到了目的。发现升级到SG3.4后增加了一个代理设置、模式中增加了一个单臂模式还是有进步的嘛。重新把那些配置恢复回去,然后做路由模式,然后在代理设置中配上HTTP代理,端口设置8080。然后设备上架,换线,心里还有点激动,一看发现OK用户可以通过上网行为上网啦!

这次干活,印象深刻,不过学习到很多东西。