1 配置需求或说明

1.1  适用的产品系列

本案例适用于软件平台为ACG1000系列应用控制网关：ACG10X0、ACG1000-AKXXX等。

注：本案例是在ACG1040的Version 1.10, Release 6611版本上进行配置和验证的。

1.2  配置需求及实现的效果

目前ACG1000设备部署在互联网出口，目前用户ge1端口连接公司办公网络、ge2接口连财务网络；为网络安全考虑需要财务网络不能使用手机等移动终端接入，只能使用电脑接入的需求；

2 组网图

3 配置步骤

3.1  登录设备管理界面

设备管理口（ge0）的默认地址配置为192.168.1.1/24。默认允许对该接口进行PING，HTTPS操作。将终端与设备ge0端口互联，在终端打开浏览器输入https://192.168.1.1登录设备管理界面。默认用户名与密码均为admin。

3.2  检查设备软件版本

#“监控统计”>“系统状态中查询”，目前终端类型识别功能只能在6609P06之后的版本支持，因此如果需要配置此功能请将设备软件版本更新至6611版本。

3.3  配置IPV4控制策略

#在“上网行为管理”>“IPV4控制策略”中新建IPV4控制策略，在行为中选择拒绝，匹配条件选项中找到接口，在源接口/域中选择ge2接口（连接财务内网的接口）。

接下来在高级配置中将终端类型选择移动终端。

设置完成后在IPV4策略显示：

3.4  配置保存

#在设备管理界面右上角点击配置保存，保存当前配置。

3.5  结果测试

在ge2接口连接无线AP，使用手机客户端连入无线网络后手机终端无法访问互联网。终端识别结果如下:

可以查到目前手机获取的IP笛子为192.168.2.4，终端类型已经被识别为移动终端，并在IPV4策略中查看发现拒绝策略已经有匹配次数。

3.6  注意事项

目前ACG终端识别功能是依靠HTTP流量的UA字段进行识别的，终端产生该流量即可识别。在客户端未发出流量或者在线用户列表中显示正在识别的用户是没有办法匹配策略的，经过测试终端从接入到识别需要5-8分钟时间，因此终端接入后请不要立即开始测试此功能，请观察设备在线列表确认此终端已经被识别为电脑或者移动终端后再进行测试。