前言

深信服PT1-AC实验考试

实验练习可以去深信服的在线实验平台（链接如下）：

深信服在线实验平台 (sangfor.com.cn)https://hol.sangfor.com.cn/#/hol实验考试其实就是把所有的每一部分实验综合了起来 以下内容仅做参考，不确保一样

实验背景

你的主管通过ICARE系统向你派发了一个AC实施项目，登录TCARE系统了解项目相关信息发现此项目是一个全新建项目。

该公司在各地有多个分支单位，领导和业务同事经常出差各地分支单位，目前出差到不同分支单位后需要使用不同分支单位的账号进行上网认证，无法使用总部账号进行认证。且近期公司的分支单位发现在上班时间经常出现过大的流量。

该公司运维希望可以解决日前问题同时满足以下有求:

公司在总部新购了一台AC，与原先的AC做高可用性，当主机故障时自动切换到备机工作。

统一PC操作系统，对非统一操作系统进行记录。

限制用户使用部分软件，当用户使用限制软件时，禁上用户上网。

项目拓扑图

IP地址及端口规划

实验内容 

1、客户在总部添加了一台AC备机，希望和原先的总部AC组成主备模式。(主机管理地址为:172.16.0.20；备机管理地址为:172.16.0.23) 注：不得更改任何设备ETHO管理口地址和其IP后带的后缭，部署模式禁止调整。

高可用性配置-**实验步骤**

• 登录总部AC（172.16.0.20）【系统管理】-【网络配置】-【高可用性】配置高可用性，选择主备部署。

  

• 配置HA口信息，共享密钥及添加检测网口组。切换行为中的[选举主机优先级]选择<高>。

  

• 勾选<ICMP检测>配置出网口地址及内网PC地址。

  

• 登录总部AC（备机）（172.16.0.23）【系统管理】-【网络配置】-【高可用性】配置高可用性，选择主备部署。

  

  配置主/备HA口信息，共享密钥及添加检测网口组。[选举主机优先级]选择<低>。

2、客户希望设置总部AC为认证中心，分支配置认证托管。

认证中心部署-**实验步骤**

• 在总部AC找到【接入管理】-【接入认证】-【联动对接设置】-【控制器对接】-【认证中心设置】，勾选<启用认证中心功能>，设置认证中心的密钥和通信端口。

  

   

  

• 在分支AC，点击[接入管理/接入认证/认证高级选项]，选择<认证托管>，勾选<启用认证托管>，填写认证中心参数（IP地址和对接密钥），测试有效性，通过以后点击点击<提交>。

  

3、分支用户可以通过本地账号密码 (fenzhi)实现密码认证上网。(此处需要在总部创建用户，分支上网需要重定向到总部进行认证)

注意：需要在[接入管理]–[接入认证]–[认证高级选项]中勾选<未认证或被冻结时允许访问DNS>和<HTTPS请求来通过认证时，重定向到认证界面(代理时除外)>。

密码认证-**实验步骤**

• 登录分支AC（172.16.0.21），【接入管理】-【接入认证】-【PORTAL认证】-【认证策略】-【新增】添加分支认证策略。填写认证范围为<分支业务网段>，认证方式为<密码认证>，认证服务器为<本地用户>。

• 在【接入管理】-【用户管理】-【本地组/用户】-成员列表选择<新增>创建本地用户。

• 在【接入管理】-【接入认证】-【认证高级选项】中勾选<未认证或被冻结时允许访问DNS>和<HTTPS请求未通过认证时，重定向到认证界面（代理时除外）>。 

4、总部用户可以通过域账号(zongbu) 使用单点登录认证。(域用户需要自行创建)

注意: 总部PC加入域后若无法远程，请用原先账户登录，在PC的远程桌面用户中添加域用户。

AD域单点登录

实验步骤

1、登录总部AC（172.16.0.20），【接入管理】-【接入认证】-【PORTAL认证】-【认证服务器】添加认证服务器，注意IP地址始终用业务网口地址，非管理口地址。

2、【接入管理】-【接入认证】-【PORTAL认证】-【认证策略】添加总部认证策略。填写认证范围为<总部业务网段>，认证方式为<单点登录>，认证服务器选择<AD Server>。

3、配置单点登录。下载域单点登录程序，上传到AD域服务器(通过远程桌面复制粘贴)。

4、登录AD域服务器，打开组策略管理。

5、新增组策略对象，选中新增的组策略对象，右键点击编辑，进入编辑界面。

6、点击路径[用户配置/策略/Windows 设置/脚本（登录/注销）]，选中登录，右键点击<属性>，点击显示文件。

7、将<logon>文件放到弹出的文件夹中（通过复制粘贴）。

8、回到<登录>的属性，点击<添加>，脚本名点击浏览，选中刚才添加的<logon>文件，脚本参数配置 ‘acip 端口号 共享密钥’（参数之间用空格隔开），添加完成后点击<确定>。

9、点击<注销>属性，选择<属性>，点击<显示文件>将logoff文件放到弹出的文件夹中（照刚才的方式拖到文件夹下）。

10、回到<注销>的属性，点击添加，脚本名选择浏览，选中刚才添加的<logoff>文件，脚本参数填写 ‘acip’即可。点击确定。

 11、更新组策略（注：有时需要重启一些策略才会生效）。

12、配置域监控单点登录信息。

13、启用集成Windows身份验证。

14、整体配置截图如下：

15、总部PC加入域。（需要在总部PC上配置DNS，此处为域服务器业务口IP）

5、设置分支出口线路的流量上/下行为30Mbps，限制通道上下行带宽为10%。

流量管控-**实验步骤**

• 登录分支AC（172.16.0.21）【流量管理】-【线路带宽配置】-【线路1】调整线路上下行为30Mbps。

• 【流量管理】-【流控策略】-【新增通道】新增一级通道。

• 随后需要勾选启用流量管理系统方可生效。

  

6、总部主机上网需要满足条件:

限制用户只能使用Win7系统，如果使用其他系统会进行记录；限制用户使用Win10自带的计算器，如果打开进程将会禁止用户上网并提示。

准入认证配置-**实验步骤**

• 总部AC（172.16.0.20）中，在【接入管理】-【终端检查】-【检查规则】-【终端插件检查规则】-【新增】进程规则。

• 在【接入管理】-【终端检查】-【检查规则】-【终端插件检查规则】-【新增】操作系统规则。

• 配置准入客户端，并下载准入客户端，上传到总部PC。

• 总部PC（172.16.0.33）安装准入客户端。（安装时弹窗需要填写Administrator用户名密码）

• 总部AC添加并启用终端检查策略，在终端插件检查中，添加新建的规则。

• 注意：IP组设置内IP地址填写PC的业务出口地址，非管理地址。此处总部PC的业务IP为172.16.10.100。