深信服_AC_部署模式

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

SINFORTECHNOLOGIESCO.,LTD.Page1AC部署SINFORTECHNOLOGIESCO.,LTD.Page2AC部署1、AC部署模式2、AC部署模式设置3、AC部署案例SINFORTECHNOLOGIESCO.,LTD.Page31、AC部署模式针对不同的客户网络环境及不同客户的需求,AC有三种部署模式,分别为路由模式、网桥模式和旁路模式。1.1路由模式(AC相当于路由器,代理PC上网)应用环境:客户用AC做访问控制的同时,需要AC当路由器使用,并代理内网上网等。SINFORTECHNOLOGIESCO.,LTD.Page41.1路由模式(续)网络拓朴:交换机前置设备动态拨号MODEM交换机交换机固定IPSINFORTECHNOLOGIESCO.,LTD.Page51.1路由模式(续)功能特点:(1)可以实现AC所有功能,对客户网络结构改变较大。(2)内外网口不能在同一网段,可以自定义网口。(3)有前置设备情况下,启用网关杀毒、邮件过滤等功能,或AC需要自动升级URL等内置库时,需要正确设置前置设备规则(防火墙、路由等),保证AC设备可访问外网(所有部署模式下均需注意)(4)客户需要使用nat、vpn和dhcp功能时使用路由模式。(5)支持802.1Qvlan协议。SINFORTECHNOLOGIESCO.,LTD.Page61.2网桥模式(AC相当于交换机,平滑部署到客户网络)应用环境:AC网桥模式分为网桥多网口和多网桥,一般适用于客户已经有FW或路由器代理上网,需要用到AC做访问控制和监控,无需用到vpn,nat,dhcp等功能,并且希望不改变客户网络原有结构,AC可以平滑部署到网络中,即使设备宕机,对客户网络影响不大。或客户内网原有VRRP或HSRP环境,架上AC做多网桥实现基本审计控制功能的同时,不影响客户原有主备的切换。建议用网桥模式部署。SINFORTECHNOLOGIESCO.,LTD.Page71.2网桥模式(续)网络拓朴:交换机路由器(FW)AC前置设备多网桥网桥多网口又称单网桥多网桥一般适用于客户内网有VRRP或HSRP环境,架上AC做多网桥实现基本审计控制功能的同时,不影响客户原有主备的切换。SINFORTECHNOLOGIESCO.,LTD.Page81.2网桥模式(续)功能特点:(1)AC做网桥部署,相当于网线,平滑架到网络中,不改变客户网络结构。(2)单网桥模式下,只有lan口和wan1口可用,dmz口为管理口;多网桥部署时,设备所有接口均可做网桥接口。(3)需设置网桥IP,如启用杀毒、邮件过滤等功能,则须配置默认网关和DNS,并保证AC本身访问外网(可通过升级控制台工具“ping”测试)。(4)如启用WEB认证、准入规则、URL过滤,同时内网有多网段时,须添加到内网非直连网段的路由指向内网路由设备。(5)网桥模式下不能实现NAT(代理上网和端口映射),vpn、dhcp功能不可用,不能自定义网口。(6)设备做多网桥时部署在网关设备与交换机之间,不改动内网环境,相当于多网口二层交换机。可以实现对内网VRRP环境和双机热备环境的支持。(7)支持802.1Qvlan协议。SINFORTECHNOLOGIESCO.,LTD.Page91.3旁路模式(主要用作审计功能,不影响客户网络)应用环境:客户网络已经规划好,且网络很重要,用AC主要做审计及一些简单的控制功能。并且希望如果设备出现故障,不会对正常应用告宬任何影响。SINFORTECHNOLOGIESCO.,LTD.Page101.3旁路模式(续)网络拓朴:SINFORTECHNOLOGIESCO.,LTD.Page111.3旁路模式(续)功能特点:(1)AC连接在内网交换机的镜像口或HUB上,对最整个局域网进行旁路模式的监控与控制。不改动现有网络,即使设备宕机也不会对用户的网络造成影响(2)AC的LAN或WAN接口都可用作旁路接口(不需设置IP),DMZ只能作为管理接口,不能用做旁路接口。(3)如果交换机没有镜像口,可以在交换机前加接HUB,AC连接到HUB上实现旁路。(4)如需部署数据中心可从DMZ口同步日志数据(需配置DMZ网关或相应系统路由)。(5)访问控制仅对TCP类服务有效。(6)AC要自动更新(URL),则必须配置正确dmz口IP地址、网关、DNS,保证AC设备可访问外网。(7)AC在旁路模式下主要实现审计功能,简单的控制功能(TCP类应用),nat,vpn,dhcp,准入无法实现。(8)Ac旁路部署时,如果lan口作为监听口,则网关运行状态不显示流量图,如果wan1口作为监听口,可以看到接收的流量。SINFORTECHNOLOGIESCO.,LTD.Page122、AC三种模式设置2.1路由模式设置网关当前所在运行模式配置信息至此,AC已配成路由模式,并代理192.168.125.0/24网段上网。最后还需要放通防火墙lan-wan规则,默认是放通的。SINFORTECHNOLOGIESCO.,LTD.Page132.2网桥模式设置(1)网桥多网口配置---单网桥配置交换机路由器(FW)AC前置设备SINFORTECHNOLOGIESCO.,LTD.Page14(1)网桥多网口配置(续)---单网桥配置如果交换机和前置设备走非trunk协议,此处禁用即可单网桥模式下配置管理口IP地址SINFORTECHNOLOGIESCO.,LTD.Page15(2)多网桥配置(以双网桥为例)多网桥一般适用于客户内网有VRRP或HSRP环境,架上AC做多网桥实现基本审计控制功能的同时,不影响客户原有的主备设备切换。SINFORTECHNOLOGIESCO.,LTD.Page16(2)多网桥配置(续)多网桥链路同步设置当网桥的一个接口down时,另一接口状态自动转换,以适应vrrp环境。配置网桥1的IP地址等信息配置网桥2的IP地址等信息网桥1和网桥2的vlan配置,如果内网无trunk环境,此处保持默认禁用即可。SINFORTECHNOLOGIESCO.,LTD.Page172.3旁路模式设置配置管理口地址及设备网关等信息填写需要监控的网段填写需要监控的服务器地址排除不需要监控的地址SINFORTECHNOLOGIESCO.,LTD.Page183、AC三种模式案例3.1、简单网络3.2、内网多网段3.3、内网划分VLAN3.4、使用代理服务器3.5、VRRP环境下的支持3.6、特殊环境(应用)SINFORTECHNOLOGIESCO.,LTD.Page19二层交换机路由器(FW)LANIP:192.168.1.254ip:192.168.1.2/24gw:192.168.1.254客户环境:路由器(FW)NAT代理上网,单一网络,无多网段客户需求:1、URL过滤、IM监控、上网行为记录…可选部署方式:路由、网桥、旁路3.1、简单网络SINFORTECHNOLOGIESCO.,LTD.Page20IP:192.168.1.2/24gw:192.168.1.254二层交换机ACLANIP:192.168.1.254部署方法:1、网关运行模式切换为路由模式;2、配置内、外网IP信息;3、添加NAT规则替换原网关,路由模式部署SINFORTECHNOLOGIESCO.,LTD.Page21ip:192.168.1.2/24gw:192.168.1.254路由器(FW)LANIP:192.168.2.254ACWANIP:192.168.2.1GW:192.168.2.254LANIP:192.168.1.254二层交换机部署方法:1、更改路由器内网IP,同时修改NAT规则、防火墙过滤规则;2、网关运行模式切换为路由模式;3、配置内、外网IP信息;4、WAN口连接路由器,LAN口连接交换机注意事项:1、需要改变原网络环境;2、AC可启用NAT代理。如AC不启用NAT代理,则路由器上需保留路由器原NAT规则,同时添加对192.168.2.x网段的NAT规则、防火墙过滤规则(保证AC可以连接外网进行更新、网关杀毒可用),并在添加回包路由。3、前置设备上的DHCP、IP/MAC绑定不可用保留原网关,路由模式部署SINFORTECHNOLOGIESCO.,LTD.Page22ip:192.168.1.2/24gw:192.168.1.254二层交换机路由器(FW)LANIP:192.168.1.254AC网桥IP:192.168.1.253GW:192.168.1.254部署方法:1、将网关运行模式切换为“网桥模式”;2、配置网桥IP,网关指向前置设备;3、WAN1口连接路由器,LAN口连接交换机注意事项:1、如不需要启用网关杀毒、准入规则等功能,网桥IP可设置与内网不同网段;2、启用杀毒等功能则网桥IP必须配置为同网段,网关、DNS配置正确,前置设备须放行AC上网数据(保证AC本身可以访问外网)启用这类功能时实际是AC代理访问。保留原网关,网桥模式部署SINFORTECHNOLOGIESCO.,LTD.Page23ip:192.168.1.2/24gw:192.168.1.254AC管理IP:192.168.1.253路由器(FW)LANIP:192.168.1.254二层交换机部署方法:1、将网关运行模式切换为“旁路模式”;2、配置管理接口“DMZ”IP信息,添加需监控的内网网段;3、将ACLAN或WAN1接口接到交换机的镜像口或HUB上注意事项:1、DMZ口不可用于监控。2、缺省不监控内网间的数据。3、WAN1口不要接HUB,否则容易导致异常。旁路部署SINFORTECHNOLOGIESCO.,LTD.Page24IP:192.168.3.2/24GW:192.168.3.254IP:192.168.2.2/24GW:192.168.2.254IP:192.168.1.2/24GW:192.168.1.254二层交换机路由器(FW)LANIP:192.168.1.254192.168.2.254192.168.3.254客户环境:内网划分多网段,(非VLAN),路由器绑定多IP。客户需求用户上网认证、分组访问控制、网关杀毒、邮件审计……可选部署方式:路由、网桥、旁路3.2、内网多网段(极特殊)SINFORTECHNOLOGIESCO.,LTD.Page25ACLANIP:192.168.1.254192.168.2.254192.168.3.254ip192.168.3.2/24gw:192.168.3.254ip:192.168.2.2/24gw:192.168.2.254ip:192.168.1.2/24gw:192.168.1.254二层交换机部署方法1、将网关运行模式切换为“路由模式”;2、配置内、外网接口,在LAN接口设置中配置多IP绑定注意事项:1、多网段之间需要互访,需设置AC防火墙LAN-LAN规则,放行相应数据(也可通过LAN-LAN规则实现多网段之间的访问控制)2、要代理多网段上网,需在NAT设置中添加相应代理信息。替换原网关,路由模式部署SINFORTECHNOLOGIESCO.,LTD.Page26路由器(FW)LANIP:192.168.1.254192.168.2.254192.168.3.254AC网桥IP:192.168.1.1192.168.2.1192.168.3.1ip:192.168.3.2/24gw:192.168.3.254ip:192.168.2.2/24gw:192.168.2.254ip:192.168.1.2/24gwGW:192.168.1.254二层交换机部署方法:1、将网关运行模式切换为“网桥模式”;2、配置网桥IP,网桥IP可设置为任意子网地址;3、WAN1口连接路由器、LAN口连接交换机注意事项:1、如启用网关杀毒、邮件过滤等功能需将网关指向前置设备、配置正确的DNS,并保证AC本身能够上网(前置设备上需放行AC数据);2、如启用URL、准入规则,需设置

1 / 44
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功