标签归档：上网行为管理

深信服AC增加备HA口的配置方案

目前有两台深信服AC使用eth2口作为HA口，使用一根网线互联。

再增加一根心跳线，启用备HA口，以实现两台AC之间有两根心跳线。

操作前备份AC配置！

1、在AC主机A上修改部署模式，将eth3口加入到DMZ口，配置IP地址9.9.9.1/24，然后提交，此时A会重启， B由备机切换成主机，A重启完成后，此时B仍然是主机，A是备机；

2、修改B的部署模式，将eth3口加入到DMZ口，配置IP地址9.9.9.2/24，然后提交，此时B重启，A由备机切换成主机，B重启完成后，仍然是备机；

3、修改A的高可用性配置，将eth3口加入到备HA口，修改HA口的配置会提交重启高可用的进程，一旦进程重启时没有检测到备机，就会切换，一般设置的间隔时间是5秒钟，一般是不会引起主备切换，但是仍有一定几率会引起主备切换，B由备机切换成主机；

4、修改B的高可用性配置，将eth3口加入到备HA口，修改HA口的配置有一定几率会引起主备切换，A由备机切换成主机；

5、将A的eth3口与B的eth3口连接网线，整个过程完成。

整个过程会发生4次主备切换，每次切换预计30秒左右，会短暂影响业务。

如果配置后，HA状态异常或者业务中断，则优先恢复业务，回退本次修改的配置，并处理相关问题。

zabbix监控深信服上网行为管理AC时，会需要用到上网行为管理的OID，以下就是截止2020年9月，最新的OID表格：

CPU占用率，以百分比为单位	1.3.6.1.4.1.33333.1.1.1.0
设备类型(如M5000)	1.3.6.1.4.1.33333.1.1.2.0
剩余内存，free+buffers，以KB为单位	1.3.6.1.4.1.33333.1.1.3.0
设备运行时间（UPTIME），以1/100秒为单位。	1.3.6.1.2.1.1.3.0
系统描述	1.3.6.1.2.1.1.1.0
设备型号	1.3.6.1.2.1.1.5.0
接口数量	1.3.6.1.2.1.2.1.0
接口描述信息（不同的x数值代表不同的接口，视设备回复而定）	1.3.6.1.2.1.2.2.1.2.x
接口接收总流量，以Byte为单位（不同的x数值代表不同的接口，视设备回复而定）	1.3.6.1.2.1.2.2.1.10.x
接口发送总流量，以Byte为单位（不同的x数值代表不同的接口，视设备回复而定）	1.3.6.1.2.1.2.2.1.16.x
接口接口状态（1-up，2-down）（不同的x数值代表不同的接口，视设备回复而定）	1.3.6.1.2.1.2.2.1.8.x
接口速率，以10bps为单位（不同的x数值代表不同的接口，视设备回复而定）（查看接口是千兆还是百兆）	1.3.6.1.2.1.2.2.1.5.x

深信服AC12.0.7版本后，AC路由模式主备配置的时候DMZ不会同步，也就是主备两台AC可以分别由各自的DMZ口来同时管理。

主备配置步骤如下：
1、主机配置部署模式，WAN口、LAN口、DMZ口，如果需要通过DMZ口管理设备，建议DMZ口配置3个，保留默认的一个eth1口（10.252.252.252/24），还有一个管理口，以及心跳口。

如下图，eth2口心跳口：

2、主机高可用处，配置主机优先级为主，主HA口及对端IP，共享密钥，检测网口组，一般将LAN口配成一组，所有的WAN口配成一组，即LAN口断开会主备机切换，所有WAN口断开也会切换。

主机检测方式也可以不配置，此处配置的是arp和icmp都检测1个WAN口的网关

3、备机部署模式，WAN口、LAN口和主机一样，只有DMZ口不同，也是3个DMZ口，但是管理口地址不同，心跳口地址不同，还有剩下的不接线的eth1口地址也是10.252.252.252

4、备机高可用配置，基本配置也是主HA口、对端IP、共享密钥、检测网口组，备机的检测方式arp、icmp不配置，备机的切换行为、高级配置和主机一样。

某用户部署一台深信服AC设备，做网桥模式配置，现有两个需求，需求如下：
需求一、需将内网中的定制版QQ放行
需求二、只允许访问某邮箱地址mail.xxx.com，其他所有应用，网页都进行阻止

对于需求一的实现方法：
1、深信服AC开启直通，使用定制版QQ软件，查看直通日志，获取该QQ软件连接的服务器的地址；
2、在系统配置中，全局排除地址的自定义排除地址，添加刚才获取的该QQ软件连接的服务器的地址，并提交生效，即可实现该需求
如下图所示：

对于需求二的实现方法：
在上网权限策略——应用控制中，将该邮箱相关的选项都选择并允许，将SSL协议选中并允许，在URL分类库中新增URL类型，加入*.xxx.com，并将该URL类型，增加到相关的上网权限策略中，将相关策略关联给相应用户即可。