配置单机直路模式的SACG

配置单机直路模式的SACG
直路模式是指将SACG直接串接在原有网络中，或者替换原有的核心交换机或路由器，实现SACG联动的组网模式。
直挂模式可以在实现SACG联动的同时，继续使用其他的安全功能。
组网需求
某公司网络部署Agile Controller服务器组，同时以直路方式部署FW于网络出口，如图1所示，要求：
用户角色不同，能访问的网络资源也不同（在Agile Controller服务器中配置）。
用户角色变化后，对应的可用网络资源立即更新。
图1 直路方式的SACG配置举例组网图

数据规划

配置思路
采用如下思路配置：
（1）配置Agile Controller服务器。
（2）配置各接口基本参数。
（3）配置域间包过滤，以保证网络基本通信正常。
（4）新建Agile Controller服务器。
（5）配置认证URL。
（6）开启SACG，配置最小活跃服务器个数，开启服务器状态检测。
（7）在域间应用联动策略。

（1）配置Agile Controller服务器。
配置Agile Controller服务器的IP地址为10.3.2.2/24。
（2）配置各接口基本参数。
选择“网络 > 接口”。
单击GigabitEthernet 0/0/1对应的。
GigabitEthernet 0/0/1的相关参数如下，其他参数使用默认值：

单击“确定”。
单击GigabitEthernet 0/0/2对应的。
GigabitEthernet 0/0/2的相关参数如下，其他参数使用默认值：

单击GigabitEthernet 0/0/3对应的。
GigabitEthernet 0/0/3的相关参数如下，其他参数使用默认值：

单击“确定”。
（3）新建Agile Controller服务器。
 选择“网络 > SACG > 基本配置”。
在“配置SACG基本参数”界面，选择“认证服务器列表”页签。
单击，配置Agile Controller服务器1各参数。

服务器端口和共享密钥，FW端应与Agile Controller服务器端的配置保持一致。
单击“确定”。
重复上述步骤，新建Agile Controller服务器2，IP地址为10.3.2.3，端口：3288，共享密钥：TSM_Security。
（4）配置认证URL。
在“基本配置”界面，选择“认证URL列表”页签。

在文本框中分别输入推送Web页面中的URL地址“http://10.3.2.2:8080/webauth”和“http://10.3.2.3:8080/webauth”。
单击“添加”，URL地址显示在列表中如下图所示。

（5）开启SACG，配置最小活跃服务器个数，开启服务器状态检测。
在开启SACG功能前，需要通过命令行删除原组号为3099～3999的ACL，否则无法成功开启SACG。
在配置第三方服务器健康检查前，需要在“对象 > 健康检查”中配置相应参数并启用健康检查。
在“对象 > 健康检查”界面，按以下参数配置健康检查的参数。

在“配置SACG基本参数”界面，按以下参数配置。

单击“应用”。
（6）在域间应用联动策略。
选择“网络 > SACG > 联动策略”。
在“域间应用联动策略列表”列表中，通过下拉框选择Untrust安全区域和Trust安全区域，单击“添加”，将联动策略应用到该域间入方向。
在“域间应用联动策略列表”列表中，通过下拉框选择Untrust安全区域和DMZ安全区域，单击“添加”，将联动策略应用到该域间入方向，如下图所示。

（7）在Agile Controller上添加SACG设备的连接参数，并配置认证前域和认证后域，并创建用户信息。