目录

引言

1. 高级流量管理配置

1.1 带宽分配与流量控制

2. 高级策略优化配置

2.1 用户认证策略配置

2.2 上网策略配置

2.3 审计策略与行为监控配置

3. 常见问题与解决方案

问题 1：配置带宽限制后，部分应用、用户流量管控不正确

问题 2：认证失败，用户无法正常接入网络

问题 3：上网策略未生效，部分用户仍能访问限制资源

总结

互动引导

引言

深信服 AC（Access Controller）是一款广泛应用于企业和学校的上网行为管理设备。它不仅支持用户认证和流量控制，还能够实现精细化的上网行为管控和审计。本文将介绍如何通过深信服 AC 的高级配置功能，优化网络流量、加强策略控制，并确保企业网络的安全性与高效性。

1. 高级流量管控配置

1.1 带宽分配与流量控制

流量控制和带宽分配是深信服 AC 的核心功能之一。合理的带宽管理可以避免网络拥塞，确保关键业务应用的稳定运行。

• 带宽管理的必要性：企业网络中的带宽资源有限，若不合理分配，非业务流量可能会影响到关键应用的性能。通过深信服 AC 的带宽分配和流量控制功能，企业可以对不同的用户和应用进行精细化管理，确保网络带宽的合理利用。

• 配置步骤：

  1. 登录深信服 AC 管理界面。
  2. 首先配置外网线路宽带，按照实际宽带大小填写。进入【流量管理】-【线路宽带配置】，比如上行100Mbps，下行1000Mbps
  3. 
  4. 进入“【流量管理】”模块，选择“【流控策略】”，新增流控策略，例如：
     1. 例一：【邮件、会议、IM、银行流量-保障策略】：选择办公、OA等应用，保障其每时每刻最少拥有60%最大带宽
     2. 
     3. 例二：【p2p、在线视频流量-限速策略】：选择P2P、在线视频等流量，限制其最大总带宽为最大带宽的20%。建议勾选抑制P2P下行丢包、允许突破，以提高宽带利用率。
     4. 
     5. 当应用类型不在配置的策略里面是，会匹配【默认策略】，建议在【默认策略】配置单用户限速，比如单用户限速50Mbps
     6. 
  5. 最后启动流量管理系统，使策略生效。
  6. 
  7. 验证测试单用户最大流量：终端最大上下行流量保持在50Mbps左右，测试无误。
  8. 

2. 高级策略优化配置

深信服 AC 的策略优化功能帮助企业通过认证、上网行为管控和审计，确保网络的安全性和合规性。

2.1 用户认证策略配置

• 目标：通过不同的认证方式管理不同类型的用户，确保网络接入的安全性。

• 配置步骤：

  1. 在深信服 AC 管理界面，选择【认证管理】-【接入管理】-【接入认证】
  2. 新增认证策略、填写认证范围网段、认证方式等。例如：
     1. 例一：员工网段使用OA密码认证：填写认证范围网段、选择密码认证、选择相应的认证服务器。
     2. 
     3. 
     4. 例二：访客网段无需认证：填写认证范围网段、选择免认证
     5. 
  3. 验证测试：终端使用网络前，会自动弹出认证界面，验证成功后才能使用网络
  4. 

2.2 上网管控策略配置

• 目标：控制用户访问网络资源的权限，确保只有授权用户能够访问企业网络中的关键应用。

• 配置步骤：

  1. 进入【行为管理】-【访问权限策略】，新建策略、选择相应的应用类型、选择适用对象。例如：
     1. 例一：【全体员工禁止访问娱乐网站】：勾选应用控制、选择相应的应用类型、动作选择拒绝，关联全部用户组。
     2. 
     3. 
     4. 例二：【无上网权限组禁止上网】：勾选应用控制、选择全部应用类型、动作选择拒绝，关联禁止上网的用户组。
     5. 
     6. 
     7. 例三：【VIP组无限制】：勾选应用控制、选择全部应用类型、动作选择允许，关联VIP用户组。
     8. 
     9. 
  2. 验证测试：
     1. 例一：终端无法打开娱乐网站，比如bilibili、爱奇艺等
     2. 
     3. 例二：禁止上网组里的用户，全天都无法上网
     4. 

2.3 审计策略与行为监控配置

• 目标：通过详细的审计和日志记录，确保网络使用行为合规并可追溯。

• 配置步骤：

  1. 在【行为审计】-【上网审计策略】，新增审计策略，选择需要审计的内容、选择使用对象。
  2. 
  3. 
  4. 需要审计日志，则进入右上角日志中心，设置查找条件、按需查看审计日志。
  5. 
  6. 
  7. 配置报表订阅，例如每周或每月生成日志报表，帮助管理员分析网络使用行为。
  8. 
  9. 设置告警规则，当发生异常流量或异常事件时，立即通知管理员。进入【系统管理】-【告警选项】，配置告警策略。注意：需要配置邮件服务器。
  10. 
  11. 

3. 常见问题与解决方案

问题 1：配置带宽限制后，部分应用、用户流量管控不正确

• 可能原因：带宽分配策略未正确配置，或优先级设置有误。
• 解决方案：检查带宽策略是否已正确设置，确保应用类型或适用对象选择正确。

问题 2：认证失败，用户无法正常接入网络

• 可能原因：认证服务器配置错误，认证服务器异常等。
• 解决方案：检查认证服务器网络连通性；确保用户匹配了正确的认证服务器。

问题 3：上网策略未生效，部分用户仍能访问限制资源

• 可能原因：策略规则设置不当，未应用到正确的用户组或设备。
• 解决方案：确认上网策略是否正确应用，检查策略顺序、优先级并重新调整策略顺序。

总结

通过对深信服 AC 的高级配置，企业能够实现对网络流量和上网行为的全面控制和优化。无论是带宽分配、认证策略、上网管控，还是审计日志管理，深信服 AC 都能够帮助企业提升网络性能、安全性和合规性。通过合理的配置，企业可以确保网络的高效运作，保障敏感信息的安全。

互动引导

如果你在配置深信服 AC 时遇到问题，或者有其他优化建议，欢迎在评论区与大家分享，让我们共同探讨！