未安装agent客户端主机需要访问内网打印机

发布时间:  2012-07-18 浏览次数:  67 下载次数:  0
问题描述

某客户网络部署了TSM及硬件SACG,有线网络均需要硬件SACG控制,保留少量无线网络是不经过SACG控制。网络中的打印机均在有线网络中,而从无线接入的PC终端需要访问打印机。

告警信息
处理过程

USG5300的V1R3版本无法修改ACL3099,需要通过right-manager策略中配置实现。

打印机IP为192.168.1.2,命令行配置如下:

policy interzone trust untrust inbound
 apply packet-filter right-manager
#
policy right-manager
 policy 0
 action permit
 policy source 192.168.1.2 mask 32   
 
 policy 2
 action permit
 policy destination 192.168.1.2 mask 32
 
policy interzone trust untrust outbound
 apply packet-filter right-manager
#
policy right-manager
 policy 0
 action permit
 policy source 192.168.1.2 mask 32
 
 policy 2
 action permit
 policy destination 192.168.1.2 mask 32
 
通过web界面也可完成配置,配置页面如下:
根因

打印机需要被未安装代理agent的终端访问,因此需要将打印机的IP在防火墙策略中放行,作为特权IP。

建议与总结
V1R3版本的命令行对于策略的配置命令变得较大,配置时需注意不要出错。

END