深信服上网行为管理部署方式及功能实现配置说明

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

深信服上网行为管理部署方式及功能实现配置说明(标化院)设备出厂的默认IP见下表:接口IP地址ETH0(LAN)10.251.251.251/24ETH1(DMZ)10.252.252.252/24ETH2(WAN1)200.200.20.61/24AC支持安全的HTTPS登录,使用的是HTTPS协议的标准端口登录。如果初始登录从LAN口登录,那么登录的URL为:,默认情况下的用户名和密码均为admin。设备正常工作时POWER灯常亮,WAN口和LAN口LINK灯长亮,ACT灯在有数据流量时会不停闪烁。ALARM红色指示灯只在设备启动时因系统加载会长亮(约一分钟),正常工作时熄灭。如果在安装时此红灯长亮,请将设备掉电重启,重启之后若红灯一直长亮不能熄灭,请与我们联系。『部署模式』用于设置设备的工作模式,可设定为路由模式、网桥模式或旁路模式。选择一个合适的部署模式,是顺利将设备架到网络中并且使其能正常使用的基础。路由模式:设备做为一个路由设备使用,对网络改动最大,但可以实现设备的所有的功能;网桥模式:可以把设备视为一条带过滤功能的网线使用,一般在不方便更改原有网络拓扑结构的情况下启用,平滑架到网络中,可以实现设备的大部分功能;旁路模式:设备连接在内网交换机的镜像口或HUB上,镜像内网用户的上网数据,通过镜像的数据实现对内网上网数据的监控和控制,可以完全不需改变用户的网络环境,并且可以避免设备对用户网络造成中断的风险,但这种模式下设备的控制能力较差,部分功能实现不了。选择【导航菜单】中的『网络配置』→『部署模式』,右边进入【部署模式】编辑页面,点击开始配置,会出现『路由模式』、『网桥模式』、『旁路模式』的选项,选择想要配置的网关模式。路由模式:是把设备作为一个路由设备使用,一般是把设备放在内网网关出口的位置,代理局域网上网;或者把设备放在路由器后面,再代理局域网上网。配置方法:第一步:先配置设备,通过默认IP登录设备,比如通过LAN口登录设备,LAN口的默认IP是10.251.251.251/24,在电脑上配置一个此网段的IP地址,通过登录设备,默认登录用户名/密码是:admin/admin。第二步:在【导航菜单】页面中的『网络配置』→『部署模式』,右边进入【部署模式】编辑页面,点击开始配置,出现以下页面:配置设备模式为路由模式,点击下一步第三步:定义LAN区网口和WAN区网口,选择空闲网口,点击增加,将空闲网口移动到对应的网口列表。设备默认的LAN口区网口是eth0,DMZ口区网口是eth1,WAN口区网口是eth2,这些网口位置建议不要随便修改,和设备面板的图示接口保持一致。其他空闲接口可以自定义其所属的区域。第四步:完成网口定义,点击下一步,配置LAN区网口IP地址,此例中LAN口区的网口是eth0,此处配置eth0的地址是:192.168.1.12/255.255.255.0第五步:配置WAN区网口,此例中WAN口区的网口是eth2。WAN口支持以太网和ADSL拨号两种类型,此例中公网线路是光纤接入,固定分配公网IP地址的,所以选择[以太网]。1、如果线路是ADSL拨号,需要将WAN口和modem相连。勾选[自动拨号]作用是在拨号线路异常断开后自动重新拨号,或者是重启设备后自动拨号。分别在[账号]和[密码]中输入拨号的账号和密码。第六步:配置DMZ区网口,此例中DMZ区的网口是eth1,配置[IP地址]和[子网掩码]。第七步:NAT配置,用于设置代理上网规则,当设备做网关,直接接公网线路时,需要在设备上做代理上网设置,以代理内网用户正常上网。设置完成后,会在『NAT代理上网』中新增一条代理规则“代理LAN口上网”。第八步:配置完毕,检查配置无误后,点击提交设置完毕需要重启设备才可以生效,在弹出的提示框中点击是。第九步:此例中由于内网网段跟设备LAN口不在同一网段,需要加上设备到内网的系统路由,在【导航菜单】页面中的『网络配置』→『静态路由』,右边进入【静态路由】编辑页面,点击新增则可以添加路由。当内网有多个网段时需要相应的添加多条系统路由。第十步:基本配置完毕后,将设备接入网络中,WAN口接外网线路,LAN口接内网交换机。并且将内网交换机的上网路由指向AC设备的LAN口。1.设备工作在路由模式时,局域网内电脑的网关都是指向设备的LAN口IP或指向三层交换机,三层交换机的网关再指向设备。上网数据由设备做NAT或路由转发出去。2.WAN、LAN、DMZ网口应设置不同网段的IP地址。3.如果设置路由模式为有前置设备,请在第五步配置WAN口IP为与前置设备LAN口同网段IP,其他操作一样。网桥模式网桥模式:是把设备视为一条带过滤功能的网线使用,一般在不方便更改原有网络拓扑结构的情况下启用。把设备接在原有网关及内网用户之间,在原网关及内网用户不需做任何配置改变的情况下,对设备进行一些配置即可使用。对原网关及内网用户而言,亦不知设备的存在,即所谓对原网关及内网用户透明。网桥模式的主要特点是:网桥模式对用户做到完全透明。网桥模式分为网桥多网口和多网桥两种模式。网桥多网口网桥多网口是指设备只做一个网桥,但内外网口不是一一对应的,可能内网口需要接多个网口,也可能外网口需要接多个网口,各个网口之间的数据都可以设置转发,设备的ARP表只维持一份。网桥多网口一般用于以下环境:运行环境1:交换机连接到外网两条线路FW1、FW2上,在交换机和防火墙之间接入设备,设备网桥模式部署,单进双出做网桥多网口模式:运行环境2:为了加强网络的稳定性,减少单点故障,内网核心交换和路由器都采用双机方案,这种环境下可以加入两台设备做网桥,双进单出做多网桥模式部署,如下图所示:网桥多网口部署配置案例客户环境和要求:如下是客户需要部署的拓扑,设备做网桥多网口模式,内网接三层交换机,内网网段有192.168.2.0/255.255.255.0、192.168.3.0/255.255.255.0两个网段。公网出口的两个防火墙分别承担流量用户的上网流量。配置方法:第一步:先配置设备,通过默认IP登录设备,比如通过LAN口登录设备,LAN口的默认IP是10.251.251.251/24,在电脑上配置一个此网段的IP地址,通过登录设备,默认登录用户名/密码是:admin/admin。第二步:在【导航菜单】页面中的『网络配置』→『部署模式』,右边进入【部署模式】编辑页面,点击开始配置,出现以下页面:配置设备模式为网桥模式,点击下一步第三步:选择网桥模式:网桥多网口模式第四步:定义网桥接口,以及允许数据转发的方向。LAN区网口和WAN区网口,选择空闲网口,点击增加,将空闲网口移动到对应的网口列表。设备默认的LAN口区网口是eth0,WAN口区网口是eth2,这些网口位置建议不要随便修改,和设备面板的图示接口保持一致。定义[允许数据转发方向],此处定义eth0-eth2、eth0-eth3之间可以转发数据,即内网口和两个外网口之间可以转发数据。第五步:完成网口定义,点击下一步,配置网桥IP、网桥网关等,此例中配置网桥IP为192.168.1.254,网关指向其中一个FW。注意:这里只能指定一个网关地址。第六步:[启用VLAN],如果设备做网桥,有VLAN数据穿过设备,这里需要设置VLAN的相关信息。此例中没有VLAN,所以这里不勾选[启用VLAN]。第七步:配置DMZ口以及防火墙规则:[选择管理网口]选择空闲的网口做为管理网口,用户可以通过此网口连接设备,默认情况下设备的管理网口是eth1口。配置[IP地址]和[子网掩码],注意:管理网口和网桥IP不能属于同一网段。勾选[自动放通防火墙规则]:用于放通WAN-LAN方向所有数据的防火墙规则。第八步:配置完毕,查看各个配置项是否正确,如果正确,点击提交,设置完毕需要重启设备才可以生效,在弹出的提示框中点击是。第九步:此例中由于内网网段跟设备LAN口不在同一网段,需要加上设备到内网的系统路由,在【导航菜单】页面中的『网络配置』→『静态路由』,右边进入【静态路由】编辑页面,点击新增则可以添加路由。当内网有多个网段时需要相应的添加多条系统路由。本例中要添加到192.168.2.0/255.255.255.0、192.168.3.0/255.255.255.0两个网段的路由,路由下一跳指向内网的三层交换机:第十步:基本配置完毕后,将设备接入网络中,WAN1口、WAN2口接FW,LAN口接内网交换机。多网桥多网桥是指一台AC设备可以做多个网桥,相当于多个交换机,和网桥多网口的区别是:设备的ARP表维持多份;内外网口是一一对应的;网口属于同一个网桥才能进行数据转发,不同网桥接口之间的数据不能转发。多网桥一般适用于以下几种情况:运行环境一:设备一进一出做单网桥运行环境二:适用于客户内网有VRRP或HSRP环境,架上设备做多网桥实现基本审计控制功能的同时,不影响客户原有主备的切换。如图所示的两种运行环境:多网桥部署配置案例客户环境和需求:客户的两个FW和交换机之间走VRRP协议,FW对应的虚拟IP是192.168.1.1,设备双进双出做双网桥部署在交换机和FW之间。配置方法:第一步:先配置设备,通过默认IP登录设备。第二步:在【导航菜单】页面中的『网络配置』→『部署模式』,右边进入【部署模式】编辑页面,点击开始配置,出现以下页面:配置设备模式为网桥模式,点击下一步第三步:选择网桥模式:多网桥模式。第四步:分别选择LAN区网口和WAN区网口,组成两对网桥,如图所示:[LAN网口选择]用于选择内网接口。[WAN网口选择]用于选择外网接口。[网桥列表]用于定义网桥,每对网桥接口之间允许转发数据,非一对网桥接口之间的数据是不允许转发的。勾选[开启多网桥链路同步],通常用于在冗余网络环境中通知对端设备该链路正发生了故障或已从故障中恢复。建议开启。第五步:分别配置两个网桥的IP,默认网关,首选DNS以及备用DNS,和是否启用VLAN。在『网桥配置』中配置设备的两个网桥IP、默认网关和DNS地址。此例中两个网桥是处于同一网段的,网桥IP可以设置同一网段的IP但是不能设置相同的IP,按照网络中空闲的IP地址分配两个地址用做网桥IP,默认网关指向前置FW的虚拟IP地址,DNS设置网络运营商分配的公网DNS地址。[启用VLAN]用于设备做网桥,有VLAN数据穿过设备,才需要设置VLAN的相关信息。此例中没有VLAN,所以这里不勾选[启用VLAN]。1、此处如果没有多余的空闲地址分配做网桥IP,不会影响内网上网的数据,但此时设备没有有效的IP和内网、外网进行通讯,某些功能会受到影响,比如:内置库更新、WEB认证、准入等)第六步:配置管理网口和防火墙规则管理网口DMZ口,选择一个设备空闲的的网口(非网桥口)做为管理网口。勾选[自动放通防火墙规则]:用于放通WAN-LAN方向所有数据的防火墙规则。第七步:确认配置信息,确认无误后,点击提交设置完毕需要重启设备才可以生效,在弹出的提示框中点击是。第八步:基本配置完毕后,将设备接入网络中,WAN1口、WAN2口分别接FW1、FW2,LAN1口、LAN2口接内网交换机。旁路模式旁路模式:实现监控控制的功能的同时,可以完全不需改变用户的网络环境,并且可以避免设备对用户网络造成中断的风险。用于把设备接在交换机的镜像口或者接在HUB上,保证内网用户上网的数据经过此交换机或者HUB,并且设置镜像口的时候需要同时镜像上下行的数据,从而实现对上网数据的监控与控制。这种模式对用户的网络环境完全没有影响,即使宕机也不会对用户的网络造成中断。常见的应用环境有以下两种:旁路模式部署配置案例客户环境和需求:客户网络环境如下图所示,客户需要监控内网各个网段的上网数据,需要设备可以自动更新内置规则库,内网用户使用WEB认证,并且能够在内网随时登录设备控制台进行管理,希望通过旁路模式部署配置实现。综合客户

1 / 48
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功