SINFOR_AC_2009年度渠道培训_20090307.ppt

* 注：脚本方式设置演示。 * * * * 注：监听方式设置演示。 * * * * * * * 1、最多可以设置16级组，其中包括根组。 * 1、登录名：用户认证时的用户名。 显示名：在在线列表等地方配合登录名显示用户另一个描述名称。 * 1、注意：控制台用户权限对移动的限制。 * 1、”策略叠加时，缺省动作以此条为准，还是继续往下匹配“，注意此项的使用，一般是勾选上，继续往下匹配。 * 1、没有缺省允许，缺省拒绝，关键字只有拒绝的动作，没有设置的关键字是不做控制的。 * * 1、应用审计，没有叠加的概念，只要用户组关联的策略中有一条是勾选记录的，那么就可以记录 * 理解一个连接的概念 * 1、每个用户或用户组最多可以关联十条策略。 * 1、理解这样设计的原因。 * * 一定要求是NTFS格式的原因是由可能在同步日志的时候，某些日志文件可能超过4GB，而FAT-32的磁盘不允许单个文件超过4GB， 出于这种考虑要求一定要使用NTFS格式。 系统管理—用户管理 数据中心管理员设置，设置包括是否是DKey用户、管理哪些组的日志、自定义报表的权限和系统管理的权限。 选择Dkey认证后，只有 用Dkey登录才能进行 查询，用用户名登录 只能查看统计的日志， AC需要在多功能中激活 “Dkey登录数据中心”。 设置组权限 4.4 数据中心的使用 系统管理—系统设置 数据中心发送 报表使用的邮箱 设置系统自动生成 报表的时间 设置最多保存多少 份报表 查询日志的最多导 出条目。 4.4 数据中心的使用 系统管理—配置导入导出 数据中心中的配置导入导出，包括系统配置，自定义的报表模板等。 4.4 数据中心的使用 目 录 一、AC的部署方式 二、用户认证 三、访问控制 四、数据中心的安装及同步 五、策略故障排查 六、其他功能 五、策略故障排查 拒绝列表的使用： 拒绝列表用于记录数据包被AC功能模块拒绝的日志，主要用于排查AC策略、设置等问题，在排错中起到很大的作用。 开启后AC就会记录被拒绝掉的数据信息，包括被AC哪个模块拒绝的 开启拒绝列表的同时开启直通，即记录拒绝日志，同时放通策略和流控 用完记得关闭，否则AC会产生大量的日志占用空间。 由于拒绝日志很多，可以设置条件筛选记录 五、策略故障排查 拒绝列表的使用： 时间 拒绝模块 动作 端口、IP 转发接口 具体应用 五、策略故障排查 常见问题 A、内网用户无法上网，网关出口有AC设备，排错思路： 查看路由表，注意双向路由是否正确。 查看ARP表，注意是否有ARP欺骗。 开启拒绝列表，看数据是否被AC拒绝。 打开LogV，看是否有异常日志，DOS攻击。 五、策略故障排查 B、通过AC某些应用无法正常使用或使用不正常： 常见例子： ①、QQ、MSN收发消息、传文件不正常， ②、无法发送webmail， ③、某些网页无法打开 排错方法：（策略故障排除列表的使用） ①、确认主机与AC通信正常，如只有部分服务无法正常使用可直接进行步骤2。 ②、使用策略故障排除功能 a、设置开启条件（出现问题的主机IP、端口；目的IP、端口）--可选设置； b、点击“开启拒绝列表”，点击链接查看策略拒绝情况（找到drop条目），确认故障原因； c、根据故障原因修改AC规则策略，测试故障是否回复； d、如故障仍然出现可重复步骤a-c,修复故障后请务必“关闭拒绝列表”。 （如果开启拒绝列表没有相应的拒绝日志，请考虑是否是AC前置或后置设备的问题） 常见问题 C、在网速正常的情况下，架上AC后，用户反映上网速度变得很慢，或者是上网时通时断。 ①、测试内网电脑到AC的连通性： a、ping AC内网口，查看内网是否有ARP欺骗（通过网关升级客户端，或ARP日志），查看AC和直连设备的兼容性（通过查看网口错误包或ping大包测试） b、ping AC前置设备，查看AC和前置设备兼容性问题（通过查看网口错误包或ping大包测试） C、查看是否超过连接数的限制。 d、查看流量控制策略，看是否是实际带宽超过了分配值导致的。 常见问题 D、某些应用，架上AC就不能用了，但是AC开启直通还是不正常。常见例子：邮件收发不正常。 ①、查看是否开启了邮件过滤，或者邮件杀毒，AC代理转发邮件的情况下，需要保证AC可以正常收发邮件，AC到邮件服务器通讯是否正常，是否可以正常上网。 ②、排除AC的原因，请查看邮件服务器是否正常。 常见问题 目 录 一、AC的部署方式 二、用户认证 三、访问控制 四、数据中心的安装及同步 五、策略故障排查 六、其他功能 1、策略路由 策略路由用于设备有多线路的情况。根据源IP、目标IP、源端口、目标端口和协议条件设置符合此条件的数据包走指定线路出去，实现自动选路功能。主