深信服-AC-部署模式課件_第1頁
深信服-AC-部署模式課件_第2頁
深信服-AC-部署模式課件_第3頁
深信服-AC-部署模式課件_第4頁
深信服-AC-部署模式課件_第5頁
已閱讀5頁,還剩83頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

AC部署AC部署AC部署1、AC部署模式2、AC部署模式設(shè)置3、AC部署案例AC部署1、AC部署模式1、AC部署模式針對不同的客戶網(wǎng)絡(luò)環(huán)境及不同客戶的需求,AC有三種部署模式,分別為路由模式、網(wǎng)橋模式和旁路模式。1.1路由模式(AC相當(dāng)于路由器,代理PC上網(wǎng))應(yīng)用環(huán)境:客戶用AC做訪問控制的同時,需要AC當(dāng)路由器使用,并代理內(nèi)網(wǎng)上網(wǎng)等。1、AC部署模式針對不同的客戶網(wǎng)絡(luò)環(huán)境及不同客戶的需求,AC1.1路由模式(續(xù))網(wǎng)絡(luò)拓樸:1.1路由模式(續(xù))網(wǎng)絡(luò)拓樸:1.1路由模式(續(xù))功能特點(diǎn):(1)可以實(shí)現(xiàn)AC所有功能,對客戶網(wǎng)絡(luò)結(jié)構(gòu)改變較大。(2)內(nèi)外網(wǎng)口不能在同一網(wǎng)段,可以自定義網(wǎng)口。(3)有前置設(shè)備情況下,啟用網(wǎng)關(guān)殺毒、郵件過濾等功能,或AC需要自動升級URL等內(nèi)置庫時,需要正確設(shè)置前置設(shè)備規(guī)則(防火墻、路由等),保證AC設(shè)備可訪問外網(wǎng)

(所有部署模式下均需注意)(4)客戶需要使用nat、vpn和dhcp功能時使用路由模式。(5)支持802.1Qvlan協(xié)議。1.1路由模式(續(xù))功能特點(diǎn):1.2網(wǎng)橋模式(AC相當(dāng)于交換機(jī),平滑部署到客戶網(wǎng)絡(luò))應(yīng)用環(huán)境:AC網(wǎng)橋模式分為網(wǎng)橋多網(wǎng)口和多網(wǎng)橋,一般適用于客戶已經(jīng)有FW或路由器代理上網(wǎng),需要用到AC做訪問控制和監(jiān)控,無需用到vpn,nat,dhcp等功能,并且希望不改變客戶網(wǎng)絡(luò)原有結(jié)構(gòu),AC可以平滑部署到網(wǎng)絡(luò)中,即使設(shè)備宕機(jī),對客戶網(wǎng)絡(luò)影響不大。或客戶內(nèi)網(wǎng)原有VRRP或HSRP環(huán)境,架上AC做多網(wǎng)橋?qū)崿F(xiàn)基本審計(jì)控制功能的同時,不影響客戶原有主備的切換。建議用網(wǎng)橋模式部署。1.2網(wǎng)橋模式(AC相當(dāng)于交換機(jī),平滑部署到客戶網(wǎng)絡(luò))應(yīng)用1.2網(wǎng)橋模式(續(xù))網(wǎng)絡(luò)拓樸:多網(wǎng)橋網(wǎng)橋多網(wǎng)口又稱單網(wǎng)橋多網(wǎng)橋一般適用于客戶內(nèi)網(wǎng)有VRRP或HSRP環(huán)境,架上AC做多網(wǎng)橋?qū)崿F(xiàn)基本審計(jì)控制功能的同時,不影響客戶原有主備的切換。1.2網(wǎng)橋模式(續(xù))網(wǎng)絡(luò)拓樸:多網(wǎng)橋網(wǎng)橋多網(wǎng)口又稱單網(wǎng)橋多1.2網(wǎng)橋模式(續(xù))功能特點(diǎn):(1)AC做網(wǎng)橋部署,相當(dāng)于網(wǎng)線,平滑架到網(wǎng)絡(luò)中,不改變客戶網(wǎng)絡(luò)結(jié)構(gòu)。(2)單網(wǎng)橋模式下,只有l(wèi)an口和wan1口可用,dmz口為管理口;多網(wǎng)橋部署時,設(shè)備所有接口均可做網(wǎng)橋接口。(3)需設(shè)置網(wǎng)橋IP,如啟用殺毒、郵件過濾等功能,則須配置默認(rèn)網(wǎng)關(guān)和DNS,并保證AC本身訪問外網(wǎng)(可通過升級控制臺工具“ping”測試)。(4)如啟用WEB認(rèn)證、準(zhǔn)入規(guī)則、URL過濾,同時內(nèi)網(wǎng)有多網(wǎng)段時,須添加到內(nèi)網(wǎng)非直連網(wǎng)段的路由指向內(nèi)網(wǎng)路由設(shè)備。(5)網(wǎng)橋模式下不能實(shí)現(xiàn)NAT(代理上網(wǎng)和端口映射),vpn、dhcp功能不可用,不能自定義網(wǎng)口。(6)設(shè)備做多網(wǎng)橋時部署在網(wǎng)關(guān)設(shè)備與交換機(jī)之間,不改動內(nèi)網(wǎng)環(huán)境,相當(dāng)于多網(wǎng)口二層交換機(jī)??梢詫?shí)現(xiàn)對內(nèi)網(wǎng)VRRP環(huán)境和雙機(jī)熱備環(huán)境的支持。(7)支持802.1Qvlan協(xié)議。

1.2網(wǎng)橋模式(續(xù))功能特點(diǎn):1.3旁路模式(主要用作審計(jì)功能,不影響客戶網(wǎng)絡(luò))應(yīng)用環(huán)境:客戶網(wǎng)絡(luò)已經(jīng)規(guī)劃好,且網(wǎng)絡(luò)很重要,用AC主要做審計(jì)及一些簡單的控制功能。并且希望如果設(shè)備出現(xiàn)故障,不會對正常應(yīng)用告宬任何影響。1.3旁路模式(主要用作審計(jì)功能,不影響客戶網(wǎng)絡(luò))應(yīng)用環(huán)境1.3旁路模式(續(xù))網(wǎng)絡(luò)拓樸:1.3旁路模式(續(xù))網(wǎng)絡(luò)拓樸:1.3旁路模式(續(xù))功能特點(diǎn):(1)AC連接在內(nèi)網(wǎng)交換機(jī)的鏡像口或HUB上,對最整個局域網(wǎng)進(jìn)行旁路模式的監(jiān)控與控制。不改動現(xiàn)有網(wǎng)絡(luò),即使設(shè)備宕機(jī)也不會對用戶的網(wǎng)絡(luò)造成影響(2)AC的LAN或WAN接口都可用作旁路接口(不需設(shè)置IP),DMZ只能作為管理接口,不能用做旁路接口。(3)如果交換機(jī)沒有鏡像口,可以在交換機(jī)前加接HUB,AC連接到HUB上實(shí)現(xiàn)旁路。(4)如需部署數(shù)據(jù)中心可從DMZ口同步日志數(shù)據(jù)(需配置DMZ網(wǎng)關(guān)或相應(yīng)系統(tǒng)路由)。(5)訪問控制僅對TCP類服務(wù)有效。(6)AC要自動更新(URL),則必須配置正確dmz口IP地址、網(wǎng)關(guān)、DNS,保證AC設(shè)備可訪問外網(wǎng)

。(7)AC在旁路模式下主要實(shí)現(xiàn)審計(jì)功能,簡單的控制功能(TCP類應(yīng)用),nat,vpn,dhcp,準(zhǔn)入無法實(shí)現(xiàn)。(8)Ac旁路部署時,如果lan口作為監(jiān)聽口,則網(wǎng)關(guān)運(yùn)行狀態(tài)不顯示流量圖,如果wan1口作為監(jiān)聽口,可以看到接收的流量。1.3旁路模式(續(xù))功能特點(diǎn):2、AC三種模式設(shè)置2.1路由模式設(shè)置網(wǎng)關(guān)當(dāng)前所在運(yùn)行模式配置信息至此,AC已配成路由模式,并代理/24網(wǎng)段上網(wǎng)。最后還需要放通防火墻lan->wan規(guī)則,默認(rèn)是放通的。2、AC三種模式設(shè)置2.1路由模式設(shè)置網(wǎng)關(guān)當(dāng)前所在運(yùn)行模式2.2網(wǎng)橋模式設(shè)置(1)網(wǎng)橋多網(wǎng)口配置---單網(wǎng)橋配置2.2網(wǎng)橋模式設(shè)置(1)網(wǎng)橋多網(wǎng)口配置---單網(wǎng)橋配置(1)網(wǎng)橋多網(wǎng)口配置(續(xù))---單網(wǎng)橋配置如果交換機(jī)和前置設(shè)備走非trunk協(xié)議,此處禁用即可單網(wǎng)橋模式下配置管理口IP地址(1)網(wǎng)橋多網(wǎng)口配置(續(xù))---單網(wǎng)橋配置如果交換機(jī)和前置設(shè)(2)多網(wǎng)橋配置(以雙網(wǎng)橋?yàn)槔┒嗑W(wǎng)橋一般適用于客戶內(nèi)網(wǎng)有VRRP或HSRP環(huán)境,架上AC做多網(wǎng)橋?qū)崿F(xiàn)基本審計(jì)控制功能的同時,不影響客戶原有的主備設(shè)備切換。(2)多網(wǎng)橋配置(以雙網(wǎng)橋?yàn)槔┒嗑W(wǎng)橋一般適用于客戶內(nèi)網(wǎng)有V(2)多網(wǎng)橋配置(續(xù))多網(wǎng)橋鏈路同步設(shè)置當(dāng)網(wǎng)橋的一個接口down時,另一接口狀態(tài)自動轉(zhuǎn)換,以適應(yīng)vrrp環(huán)境。配置網(wǎng)橋1的IP地址等信息配置網(wǎng)橋2的IP地址等信息網(wǎng)橋1和網(wǎng)橋2的vlan配置,如果內(nèi)網(wǎng)無trunk環(huán)境,此處保持默認(rèn)禁用即可。(2)多網(wǎng)橋配置(續(xù))多網(wǎng)橋鏈路同步設(shè)置當(dāng)網(wǎng)橋的一個接口do2.3旁路模式設(shè)置配置管理口地址及設(shè)備網(wǎng)關(guān)等信息填寫需要監(jiān)控的網(wǎng)段填寫需要監(jiān)控的服務(wù)器地址排除不需要監(jiān)控的地址2.3旁路模式設(shè)置配置管理口地址及設(shè)備網(wǎng)關(guān)等信息填寫需要監(jiān)3、AC三種模式案例3.1、簡單網(wǎng)絡(luò)3.2、內(nèi)網(wǎng)多網(wǎng)段3.3、內(nèi)網(wǎng)劃分VLAN3.4、使用代理服務(wù)器3.5、VRRP環(huán)境下的支持3.6、特殊環(huán)境(應(yīng)用)3、AC三種模式案例3.1、簡單網(wǎng)絡(luò)客戶環(huán)境:路由器(FW)NAT代理上網(wǎng),單一網(wǎng)絡(luò),無多網(wǎng)段客戶需求:1、URL過濾、IM監(jiān)控、上網(wǎng)行為記錄…可選部署方式:路由、網(wǎng)橋、旁路3.1、簡單網(wǎng)絡(luò)客戶環(huán)境:客戶需求:可選部署方式:路由、網(wǎng)橋、旁路3.1、簡部署方法:1、網(wǎng)關(guān)運(yùn)行模式切換為路由模式;2、配置內(nèi)、外網(wǎng)IP信息;3、添加NAT規(guī)則替換原網(wǎng)關(guān),路由模式部署部署方法:替換原網(wǎng)關(guān),路由模式部署部署方法:1、更改路由器內(nèi)網(wǎng)IP,同時修改NAT規(guī)則、防火墻過濾規(guī)則;2、網(wǎng)關(guān)運(yùn)行模式切換為路由模式;3、配置內(nèi)、外網(wǎng)IP信息;4、WAN口連接路由器,

LAN口連接交換機(jī)注意事項(xiàng):1、需要改變原網(wǎng)絡(luò)環(huán)境;2、AC可啟用NAT代理。如AC不啟用NAT代理,則路由器上需保留路由器原NAT規(guī)則,同時添加對192.168.2.x網(wǎng)段的NAT規(guī)則、防火墻過濾規(guī)則(保證AC可以連接外網(wǎng)進(jìn)行更新、網(wǎng)關(guān)殺毒可用),并在添加回包路由。3、前置設(shè)備上的DHCP、IP/MAC綁定不可用保留原網(wǎng)關(guān),路由模式部署注意事項(xiàng):保留原網(wǎng)關(guān),路由模式部署部署方法:1、將網(wǎng)關(guān)運(yùn)行模式切換為“網(wǎng)橋模式”;2、配置網(wǎng)橋IP,網(wǎng)關(guān)指向前置設(shè)備;3、WAN1口連接路由器,

LAN口連接交換機(jī)注意事項(xiàng):1、如不需要啟用網(wǎng)關(guān)殺毒、準(zhǔn)入規(guī)則等功能,網(wǎng)橋IP可設(shè)置與內(nèi)網(wǎng)不同網(wǎng)段;2、啟用殺毒等功能則網(wǎng)橋IP必須配置為同網(wǎng)段,網(wǎng)關(guān)、DNS配置正確,前置設(shè)備須放行AC上網(wǎng)數(shù)據(jù)(保證AC本身可以訪問外網(wǎng))啟用這類功能時實(shí)際是AC代理訪問。保留原網(wǎng)關(guān),網(wǎng)橋模式部署部署方法:注意事項(xiàng):保留原網(wǎng)關(guān),網(wǎng)橋模式部署部署方法:1、將網(wǎng)關(guān)運(yùn)行模式切換為“旁路模式”;2、配置管理接口“DMZ”IP信息,添加需監(jiān)控的內(nèi)網(wǎng)網(wǎng)段;3、將ACLAN或WAN1接口接到交換機(jī)的鏡像口或HUB上注意事項(xiàng):1、DMZ口不可用于監(jiān)控。2、缺省不監(jiān)控內(nèi)網(wǎng)間的數(shù)據(jù)。3、WAN1口不要接HUB,否則容易導(dǎo)致異常。旁路部署部署方法:注意事項(xiàng):旁路部署客戶環(huán)境:內(nèi)網(wǎng)劃分多網(wǎng)段,(非VLAN),路由器綁定多IP??蛻粜枨笥脩羯暇W(wǎng)認(rèn)證、分組訪問控制、網(wǎng)關(guān)殺毒、郵件審計(jì)……可選部署方式:路由、網(wǎng)橋、旁路3.2、內(nèi)網(wǎng)多網(wǎng)段(極特殊)客戶環(huán)境:客戶需求可選部署方式:路由、網(wǎng)橋、旁路3.2、內(nèi)網(wǎng)部署方法1、將網(wǎng)關(guān)運(yùn)行模式切換為“路由模式”;2、配置內(nèi)、外網(wǎng)接口,在LAN接口設(shè)置中配置多IP綁定注意事項(xiàng):1、多網(wǎng)段之間需要互訪,需設(shè)置AC防火墻LAN<->LAN規(guī)則,放行相應(yīng)數(shù)據(jù)(也可通過LAN<->LAN規(guī)則實(shí)現(xiàn)多網(wǎng)段之間的訪問控制)2、要代理多網(wǎng)段上網(wǎng),需在NAT設(shè)置中添加相應(yīng)代理信息。替換原網(wǎng)關(guān),路由模式部署部署方法注意事項(xiàng):替換原網(wǎng)關(guān),路由模式部署部署方法:1、將網(wǎng)關(guān)運(yùn)行模式切換為“網(wǎng)橋模式”;

2、配置網(wǎng)橋IP,網(wǎng)橋IP可設(shè)置為任意子網(wǎng)地址;3、WAN1口連接路由器、LAN口連接交換機(jī)注意事項(xiàng):1、如啟用網(wǎng)關(guān)殺毒、郵件過濾等功能需將網(wǎng)關(guān)指向前置設(shè)備、配置正確的DNS,并保證AC本身能夠上網(wǎng)(前置設(shè)備上需放行AC數(shù)據(jù));2、如啟用URL、準(zhǔn)入規(guī)則,需設(shè)置多IP綁定。3、網(wǎng)橋模式下DMZ不可用(只能作為管理接口)4、VPN功能不可用保留原網(wǎng)關(guān),網(wǎng)橋模式部署部署方法:注意事項(xiàng):保留原網(wǎng)關(guān),網(wǎng)橋模式部署部署方法:1、將網(wǎng)關(guān)運(yùn)行模式切換為“旁路模式”;2、配置管理接口“DMZ”IP信息,添加需監(jiān)控的內(nèi)網(wǎng)網(wǎng)段;3、將ACLAN或WAN1接口接到交換機(jī)的鏡像口或HUB上;注意事項(xiàng):1、DMZ口不可用于監(jiān)控。2、缺省不監(jiān)控內(nèi)網(wǎng)間的數(shù)據(jù)。3、WAN1口不要接HUB,否則容易導(dǎo)致異常。旁路模式部署注意事項(xiàng):旁路模式部署?討論:其他多網(wǎng)段環(huán)境?討論:其他多網(wǎng)段環(huán)境客戶環(huán)境:內(nèi)網(wǎng)二層交換機(jī)上劃分了多個VLAN,通過網(wǎng)關(guān)路由器實(shí)現(xiàn)NAT代理上網(wǎng)和VLAN之間路由客戶需求:URL過濾、P2P控制、郵件過濾……可選部署模式:路由,網(wǎng)橋,旁路3.3、內(nèi)網(wǎng)劃分VLAN可選部署模式:路由,網(wǎng)橋,旁路3.3、內(nèi)網(wǎng)劃分VLAN部署方法1、將網(wǎng)關(guān)運(yùn)行模式切換為“路由模式”;2、配置內(nèi)、外網(wǎng)接口IP信息;3、LAN接口啟用VLAN并添加相應(yīng)VLAN信息注意事項(xiàng):1、LAN口需配置一個不屬于任意VLAN的IP。例如:LAN口地址設(shè)置為(此IP不屬任何VLAN)2、在VLAN設(shè)置中需要添加每個VLAN的IP和ID。替換原網(wǎng)關(guān),路由模式部署部署方法注意事項(xiàng):替換原網(wǎng)關(guān),路由模式部署替換原網(wǎng)關(guān),路由模式部署(續(xù))第一步:按照2.1介紹的將設(shè)備配置成路由模式。第二步:lan口啟用vlan設(shè)置,配置各Vlan的IP地址等信息,見下圖。LAN口IP地址配置不屬于任何一個vlan的IP地址。替換原網(wǎng)關(guān),路由模式部署(續(xù))第一步:按照2.1介紹的將設(shè)備部署方法:1、將網(wǎng)關(guān)運(yùn)行模式切換為“網(wǎng)橋模式”;2、配置網(wǎng)橋IP;3、點(diǎn)擊VLAN設(shè)置,勾選“啟用VLAN”并添加各VLAN信息;4、WAN口連接路由器,LAN口連接交換機(jī)注意事項(xiàng):1、網(wǎng)橋IP需配置一個不屬于任意VLAN的IP。例如:LAN口地址設(shè)置為(此IP不屬任何VLAN)2、在VLAN設(shè)置中需要添加每個VLAN的IP和ID。保留原網(wǎng)關(guān),網(wǎng)橋模式部署注意事項(xiàng):保留原網(wǎng)關(guān),網(wǎng)橋模式部署保留原網(wǎng)關(guān),網(wǎng)橋模式部署(續(xù))配置網(wǎng)橋模式過程中啟用vlan配置,見下圖所示:網(wǎng)橋IP地址配置不屬于任何一個vlan的IP地址設(shè)備網(wǎng)關(guān)配置屬于任何一個vlan的網(wǎng)關(guān)保留原網(wǎng)關(guān),網(wǎng)橋模式部署(續(xù))配置網(wǎng)橋模式過程中啟用vlan部署方法:1、將網(wǎng)關(guān)運(yùn)行模式切換為“旁路模式”;2、配置管理接口“DMZ”IP信息,添加需監(jiān)控的內(nèi)網(wǎng)網(wǎng)段;3、將ACLAN或WAN1接口接到交換機(jī)的鏡像口或HUB上;保留原網(wǎng)關(guān),旁路模式部署保留原網(wǎng)關(guān),旁路模式部署用戶環(huán)境:路由器作為NAT代理網(wǎng)關(guān),有專門的代理服務(wù)器,客戶端配置的使用代理方式上網(wǎng)用戶需求:IM監(jiān)控、訪問記錄、流控……可選部署方式:路由、網(wǎng)橋、旁路3.4、使用代理服務(wù)器用戶環(huán)境:路由器作為NAT代理網(wǎng)關(guān),有專門的代理服務(wù)器,客戶部署方法:1、將網(wǎng)關(guān)運(yùn)行模式切換為“路由模式”;2、配置內(nèi)、外網(wǎng)接口IP信息;3、在AC控制臺->高級選項(xiàng)->“代理服務(wù)器設(shè)置”中添加代理服務(wù)器IP注意事項(xiàng):1、使用路由模式部署可能涉及內(nèi)網(wǎng)改動較大,建議使用網(wǎng)橋部署2、必須正確配置代理服務(wù)器列表。3、把AC的IP在IE的代理排除列表里排除掉。路由模式部署部署方法:注意事項(xiàng):路由模式部署部署方法:1、將網(wǎng)關(guān)運(yùn)行模式切換為“網(wǎng)橋模式”;2、配置網(wǎng)橋IP信息;3、在AC控制臺->高級->“代理服務(wù)器設(shè)置”中添加代理服務(wù)器IP。注意事項(xiàng):1、代理服務(wù)器設(shè)置與路由模式部署相同;2、必須正確配置代理服務(wù)器列表。3、把AC網(wǎng)橋IP在IE的代理排除列表里排除掉。4、如果AC本身要通過代理服務(wù)器上網(wǎng)更新內(nèi)置庫,只支持HTTP代理的方式(只有AC1.8版本才支持)。網(wǎng)橋模式部署部署方法:網(wǎng)橋模式部署部署方法:1、將網(wǎng)關(guān)運(yùn)行模式切換為“旁路模式”;2、配置管理接口“DMZ”IP信息,添加需監(jiān)控的內(nèi)網(wǎng)網(wǎng)段;3、在AC控制臺->高級選項(xiàng)->“代理服務(wù)器設(shè)置”中添加代理服務(wù)器IP4、將ACLAN接口接到交換機(jī)的鏡像口或HUB上旁路模式部署部署方法:旁路模式部署客戶需求:需要AC做審計(jì)、上網(wǎng)行為管理、網(wǎng)關(guān)殺毒、IPS、流量管理等;并且前面防火墻鏈路出現(xiàn)問題或者出現(xiàn)宕機(jī)之后,網(wǎng)絡(luò)還能夠切換3.5、VRRP環(huán)境下的支持客戶環(huán)境:內(nèi)網(wǎng)兩臺CISCO交換機(jī)做HSRP部署,前面是兩臺CISCO防火墻做雙出口。兩臺CISCO交換機(jī),PC段(百兆鏈路)的通過路由指向40;而服務(wù)器段(千兆鏈路)指向右側(cè)防火墻IP。當(dāng)一個出口出現(xiàn)問題的時候,交換機(jī)能通過探測包來檢測出口狀態(tài),做到斷路自動切換??蛻粜枨螅?.5、VRRP環(huán)境下的支持客戶環(huán)境:部署方法:多網(wǎng)橋部署,配置兩個網(wǎng)口為LAN口區(qū)網(wǎng)口,兩個網(wǎng)口為WAN口區(qū)網(wǎng)口,放通允許數(shù)據(jù)方向lan<->wan1和dmz<->wan2,并配置網(wǎng)橋1和網(wǎng)橋2的IP地址,網(wǎng)關(guān)等信息。3.5、VRRP環(huán)境下的支持(續(xù))部署方法:3.5、VRRP環(huán)境下的支持(續(xù))客戶環(huán)境:內(nèi)部多網(wǎng)段,有獨(dú)立的服務(wù)器區(qū),同時有分公司或移動用戶使用VPN登錄、訪問服務(wù)器區(qū)??蛻粜枨螅罕Wo(hù)服務(wù)器群數(shù)據(jù),進(jìn)行身份驗(yàn)證并分配不同訪問權(quán)限,對服務(wù)器區(qū)的訪問進(jìn)行監(jiān)控,日志記錄……3.6、特殊環(huán)境(應(yīng)用)客戶環(huán)境:客戶需求:3.6、特殊環(huán)境(應(yīng)用)部署方法:1、將網(wǎng)關(guān)運(yùn)行模式切換為l路由(網(wǎng)橋)模式,配置內(nèi)、外網(wǎng)IP(網(wǎng)橋IP)信息;2、設(shè)備內(nèi)網(wǎng)(LAN)連接交換機(jī),外網(wǎng)(WAN)連接服務(wù)器區(qū)注意事項(xiàng):1、如使用路由模式部署,需添加相應(yīng)路由,AC上可不啟用NAT2、服務(wù)器如需連接外網(wǎng)(eg:病毒庫更新)則AC上需放行(WAN->LAN)相應(yīng)規(guī)則,3、網(wǎng)關(guān)殺毒并不會攔截上傳到服務(wù)器區(qū)的病毒;4、正確配置防DOS,防范來自內(nèi)網(wǎng)的DOS攻擊(誤配置可能導(dǎo)致訪問不正常)5、推薦使用網(wǎng)橋部署(路由部署可能對內(nèi)網(wǎng)改動較大。路由、網(wǎng)橋部署部署方法:路由、網(wǎng)橋部署部署方法:1、將網(wǎng)關(guān)運(yùn)行模式切換為旁路模式,配置管理接口“DMZ”IP;2、在“監(jiān)控網(wǎng)段列表”中添加內(nèi)網(wǎng)各網(wǎng)段;3、將設(shè)備LAN或WAN1口連接至交換機(jī)的鏡像口上;注意事項(xiàng):1、訪問控制僅限TCP類服務(wù);旁路部署部署方法:注意事項(xiàng):旁路部署謝謝20090210謝謝20090210AC部署AC部署AC部署1、AC部署模式2、AC部署模式設(shè)置3、AC部署案例AC部署1、AC部署模式1、AC部署模式針對不同的客戶網(wǎng)絡(luò)環(huán)境及不同客戶的需求,AC有三種部署模式,分別為路由模式、網(wǎng)橋模式和旁路模式。1.1路由模式(AC相當(dāng)于路由器,代理PC上網(wǎng))應(yīng)用環(huán)境:客戶用AC做訪問控制的同時,需要AC當(dāng)路由器使用,并代理內(nèi)網(wǎng)上網(wǎng)等。1、AC部署模式針對不同的客戶網(wǎng)絡(luò)環(huán)境及不同客戶的需求,AC1.1路由模式(續(xù))網(wǎng)絡(luò)拓樸:1.1路由模式(續(xù))網(wǎng)絡(luò)拓樸:1.1路由模式(續(xù))功能特點(diǎn):(1)可以實(shí)現(xiàn)AC所有功能,對客戶網(wǎng)絡(luò)結(jié)構(gòu)改變較大。(2)內(nèi)外網(wǎng)口不能在同一網(wǎng)段,可以自定義網(wǎng)口。(3)有前置設(shè)備情況下,啟用網(wǎng)關(guān)殺毒、郵件過濾等功能,或AC需要自動升級URL等內(nèi)置庫時,需要正確設(shè)置前置設(shè)備規(guī)則(防火墻、路由等),保證AC設(shè)備可訪問外網(wǎng)

(所有部署模式下均需注意)(4)客戶需要使用nat、vpn和dhcp功能時使用路由模式。(5)支持802.1Qvlan協(xié)議。1.1路由模式(續(xù))功能特點(diǎn):1.2網(wǎng)橋模式(AC相當(dāng)于交換機(jī),平滑部署到客戶網(wǎng)絡(luò))應(yīng)用環(huán)境:AC網(wǎng)橋模式分為網(wǎng)橋多網(wǎng)口和多網(wǎng)橋,一般適用于客戶已經(jīng)有FW或路由器代理上網(wǎng),需要用到AC做訪問控制和監(jiān)控,無需用到vpn,nat,dhcp等功能,并且希望不改變客戶網(wǎng)絡(luò)原有結(jié)構(gòu),AC可以平滑部署到網(wǎng)絡(luò)中,即使設(shè)備宕機(jī),對客戶網(wǎng)絡(luò)影響不大。或客戶內(nèi)網(wǎng)原有VRRP或HSRP環(huán)境,架上AC做多網(wǎng)橋?qū)崿F(xiàn)基本審計(jì)控制功能的同時,不影響客戶原有主備的切換。建議用網(wǎng)橋模式部署。1.2網(wǎng)橋模式(AC相當(dāng)于交換機(jī),平滑部署到客戶網(wǎng)絡(luò))應(yīng)用1.2網(wǎng)橋模式(續(xù))網(wǎng)絡(luò)拓樸:多網(wǎng)橋網(wǎng)橋多網(wǎng)口又稱單網(wǎng)橋多網(wǎng)橋一般適用于客戶內(nèi)網(wǎng)有VRRP或HSRP環(huán)境,架上AC做多網(wǎng)橋?qū)崿F(xiàn)基本審計(jì)控制功能的同時,不影響客戶原有主備的切換。1.2網(wǎng)橋模式(續(xù))網(wǎng)絡(luò)拓樸:多網(wǎng)橋網(wǎng)橋多網(wǎng)口又稱單網(wǎng)橋多1.2網(wǎng)橋模式(續(xù))功能特點(diǎn):(1)AC做網(wǎng)橋部署,相當(dāng)于網(wǎng)線,平滑架到網(wǎng)絡(luò)中,不改變客戶網(wǎng)絡(luò)結(jié)構(gòu)。(2)單網(wǎng)橋模式下,只有l(wèi)an口和wan1口可用,dmz口為管理口;多網(wǎng)橋部署時,設(shè)備所有接口均可做網(wǎng)橋接口。(3)需設(shè)置網(wǎng)橋IP,如啟用殺毒、郵件過濾等功能,則須配置默認(rèn)網(wǎng)關(guān)和DNS,并保證AC本身訪問外網(wǎng)(可通過升級控制臺工具“ping”測試)。(4)如啟用WEB認(rèn)證、準(zhǔn)入規(guī)則、URL過濾,同時內(nèi)網(wǎng)有多網(wǎng)段時,須添加到內(nèi)網(wǎng)非直連網(wǎng)段的路由指向內(nèi)網(wǎng)路由設(shè)備。(5)網(wǎng)橋模式下不能實(shí)現(xiàn)NAT(代理上網(wǎng)和端口映射),vpn、dhcp功能不可用,不能自定義網(wǎng)口。(6)設(shè)備做多網(wǎng)橋時部署在網(wǎng)關(guān)設(shè)備與交換機(jī)之間,不改動內(nèi)網(wǎng)環(huán)境,相當(dāng)于多網(wǎng)口二層交換機(jī)??梢詫?shí)現(xiàn)對內(nèi)網(wǎng)VRRP環(huán)境和雙機(jī)熱備環(huán)境的支持。(7)支持802.1Qvlan協(xié)議。

1.2網(wǎng)橋模式(續(xù))功能特點(diǎn):1.3旁路模式(主要用作審計(jì)功能,不影響客戶網(wǎng)絡(luò))應(yīng)用環(huán)境:客戶網(wǎng)絡(luò)已經(jīng)規(guī)劃好,且網(wǎng)絡(luò)很重要,用AC主要做審計(jì)及一些簡單的控制功能。并且希望如果設(shè)備出現(xiàn)故障,不會對正常應(yīng)用告宬任何影響。1.3旁路模式(主要用作審計(jì)功能,不影響客戶網(wǎng)絡(luò))應(yīng)用環(huán)境1.3旁路模式(續(xù))網(wǎng)絡(luò)拓樸:1.3旁路模式(續(xù))網(wǎng)絡(luò)拓樸:1.3旁路模式(續(xù))功能特點(diǎn):(1)AC連接在內(nèi)網(wǎng)交換機(jī)的鏡像口或HUB上,對最整個局域網(wǎng)進(jìn)行旁路模式的監(jiān)控與控制。不改動現(xiàn)有網(wǎng)絡(luò),即使設(shè)備宕機(jī)也不會對用戶的網(wǎng)絡(luò)造成影響(2)AC的LAN或WAN接口都可用作旁路接口(不需設(shè)置IP),DMZ只能作為管理接口,不能用做旁路接口。(3)如果交換機(jī)沒有鏡像口,可以在交換機(jī)前加接HUB,AC連接到HUB上實(shí)現(xiàn)旁路。(4)如需部署數(shù)據(jù)中心可從DMZ口同步日志數(shù)據(jù)(需配置DMZ網(wǎng)關(guān)或相應(yīng)系統(tǒng)路由)。(5)訪問控制僅對TCP類服務(wù)有效。(6)AC要自動更新(URL),則必須配置正確dmz口IP地址、網(wǎng)關(guān)、DNS,保證AC設(shè)備可訪問外網(wǎng)

。(7)AC在旁路模式下主要實(shí)現(xiàn)審計(jì)功能,簡單的控制功能(TCP類應(yīng)用),nat,vpn,dhcp,準(zhǔn)入無法實(shí)現(xiàn)。(8)Ac旁路部署時,如果lan口作為監(jiān)聽口,則網(wǎng)關(guān)運(yùn)行狀態(tài)不顯示流量圖,如果wan1口作為監(jiān)聽口,可以看到接收的流量。1.3旁路模式(續(xù))功能特點(diǎn):2、AC三種模式設(shè)置2.1路由模式設(shè)置網(wǎng)關(guān)當(dāng)前所在運(yùn)行模式配置信息至此,AC已配成路由模式,并代理/24網(wǎng)段上網(wǎng)。最后還需要放通防火墻lan->wan規(guī)則,默認(rèn)是放通的。2、AC三種模式設(shè)置2.1路由模式設(shè)置網(wǎng)關(guān)當(dāng)前所在運(yùn)行模式2.2網(wǎng)橋模式設(shè)置(1)網(wǎng)橋多網(wǎng)口配置---單網(wǎng)橋配置2.2網(wǎng)橋模式設(shè)置(1)網(wǎng)橋多網(wǎng)口配置---單網(wǎng)橋配置(1)網(wǎng)橋多網(wǎng)口配置(續(xù))---單網(wǎng)橋配置如果交換機(jī)和前置設(shè)備走非trunk協(xié)議,此處禁用即可單網(wǎng)橋模式下配置管理口IP地址(1)網(wǎng)橋多網(wǎng)口配置(續(xù))---單網(wǎng)橋配置如果交換機(jī)和前置設(shè)(2)多網(wǎng)橋配置(以雙網(wǎng)橋?yàn)槔┒嗑W(wǎng)橋一般適用于客戶內(nèi)網(wǎng)有VRRP或HSRP環(huán)境,架上AC做多網(wǎng)橋?qū)崿F(xiàn)基本審計(jì)控制功能的同時,不影響客戶原有的主備設(shè)備切換。(2)多網(wǎng)橋配置(以雙網(wǎng)橋?yàn)槔┒嗑W(wǎng)橋一般適用于客戶內(nèi)網(wǎng)有V(2)多網(wǎng)橋配置(續(xù))多網(wǎng)橋鏈路同步設(shè)置當(dāng)網(wǎng)橋的一個接口down時,另一接口狀態(tài)自動轉(zhuǎn)換,以適應(yīng)vrrp環(huán)境。配置網(wǎng)橋1的IP地址等信息配置網(wǎng)橋2的IP地址等信息網(wǎng)橋1和網(wǎng)橋2的vlan配置,如果內(nèi)網(wǎng)無trunk環(huán)境,此處保持默認(rèn)禁用即可。(2)多網(wǎng)橋配置(續(xù))多網(wǎng)橋鏈路同步設(shè)置當(dāng)網(wǎng)橋的一個接口do2.3旁路模式設(shè)置配置管理口地址及設(shè)備網(wǎng)關(guān)等信息填寫需要監(jiān)控的網(wǎng)段填寫需要監(jiān)控的服務(wù)器地址排除不需要監(jiān)控的地址2.3旁路模式設(shè)置配置管理口地址及設(shè)備網(wǎng)關(guān)等信息填寫需要監(jiān)3、AC三種模式案例3.1、簡單網(wǎng)絡(luò)3.2、內(nèi)網(wǎng)多網(wǎng)段3.3、內(nèi)網(wǎng)劃分VLAN3.4、使用代理服務(wù)器3.5、VRRP環(huán)境下的支持3.6、特殊環(huán)境(應(yīng)用)3、AC三種模式案例3.1、簡單網(wǎng)絡(luò)客戶環(huán)境:路由器(FW)NAT代理上網(wǎng),單一網(wǎng)絡(luò),無多網(wǎng)段客戶需求:1、URL過濾、IM監(jiān)控、上網(wǎng)行為記錄…可選部署方式:路由、網(wǎng)橋、旁路3.1、簡單網(wǎng)絡(luò)客戶環(huán)境:客戶需求:可選部署方式:路由、網(wǎng)橋、旁路3.1、簡部署方法:1、網(wǎng)關(guān)運(yùn)行模式切換為路由模式;2、配置內(nèi)、外網(wǎng)IP信息;3、添加NAT規(guī)則替換原網(wǎng)關(guān),路由模式部署部署方法:替換原網(wǎng)關(guān),路由模式部署部署方法:1、更改路由器內(nèi)網(wǎng)IP,同時修改NAT規(guī)則、防火墻過濾規(guī)則;2、網(wǎng)關(guān)運(yùn)行模式切換為路由模式;3、配置內(nèi)、外網(wǎng)IP信息;4、WAN口連接路由器,

LAN口連接交換機(jī)注意事項(xiàng):1、需要改變原網(wǎng)絡(luò)環(huán)境;2、AC可啟用NAT代理。如AC不啟用NAT代理,則路由器上需保留路由器原NAT規(guī)則,同時添加對192.168.2.x網(wǎng)段的NAT規(guī)則、防火墻過濾規(guī)則(保證AC可以連接外網(wǎng)進(jìn)行更新、網(wǎng)關(guān)殺毒可用),并在添加回包路由。3、前置設(shè)備上的DHCP、IP/MAC綁定不可用保留原網(wǎng)關(guān),路由模式部署注意事項(xiàng):保留原網(wǎng)關(guān),路由模式部署部署方法:1、將網(wǎng)關(guān)運(yùn)行模式切換為“網(wǎng)橋模式”;2、配置網(wǎng)橋IP,網(wǎng)關(guān)指向前置設(shè)備;3、WAN1口連接路由器,

LAN口連接交換機(jī)注意事項(xiàng):1、如不需要啟用網(wǎng)關(guān)殺毒、準(zhǔn)入規(guī)則等功能,網(wǎng)橋IP可設(shè)置與內(nèi)網(wǎng)不同網(wǎng)段;2、啟用殺毒等功能則網(wǎng)橋IP必須配置為同網(wǎng)段,網(wǎng)關(guān)、DNS配置正確,前置設(shè)備須放行AC上網(wǎng)數(shù)據(jù)(保證AC本身可以訪問外網(wǎng))啟用這類功能時實(shí)際是AC代理訪問。保留原網(wǎng)關(guān),網(wǎng)橋模式部署部署方法:注意事項(xiàng):保留原網(wǎng)關(guān),網(wǎng)橋模式部署部署方法:1、將網(wǎng)關(guān)運(yùn)行模式切換為“旁路模式”;2、配置管理接口“DMZ”IP信息,添加需監(jiān)控的內(nèi)網(wǎng)網(wǎng)段;3、將ACLAN或WAN1接口接到交換機(jī)的鏡像口或HUB上注意事項(xiàng):1、DMZ口不可用于監(jiān)控。2、缺省不監(jiān)控內(nèi)網(wǎng)間的數(shù)據(jù)。3、WAN1口不要接HUB,否則容易導(dǎo)致異常。旁路部署部署方法:注意事項(xiàng):旁路部署客戶環(huán)境:內(nèi)網(wǎng)劃分多網(wǎng)段,(非VLAN),路由器綁定多IP??蛻粜枨笥脩羯暇W(wǎng)認(rèn)證、分組訪問控制、網(wǎng)關(guān)殺毒、郵件審計(jì)……可選部署方式:路由、網(wǎng)橋、旁路3.2、內(nèi)網(wǎng)多網(wǎng)段(極特殊)客戶環(huán)境:客戶需求可選部署方式:路由、網(wǎng)橋、旁路3.2、內(nèi)網(wǎng)部署方法1、將網(wǎng)關(guān)運(yùn)行模式切換為“路由模式”;2、配置內(nèi)、外網(wǎng)接口,在LAN接口設(shè)置中配置多IP綁定注意事項(xiàng):1、多網(wǎng)段之間需要互訪,需設(shè)置AC防火墻LAN<->LAN規(guī)則,放行相應(yīng)數(shù)據(jù)(也可通過LAN<->LAN規(guī)則實(shí)現(xiàn)多網(wǎng)段之間的訪問控制)2、要代理多網(wǎng)段上網(wǎng),需在NAT設(shè)置中添加相應(yīng)代理信息。替換原網(wǎng)關(guān),路由模式部署部署方法注意事項(xiàng):替換原網(wǎng)關(guān),路由模式部署部署方法:1、將網(wǎng)關(guān)運(yùn)行模式切換為“網(wǎng)橋模式”;

2、配置網(wǎng)橋IP,網(wǎng)橋IP可設(shè)置為任意子網(wǎng)地址;3、WAN1口連接路由器、LAN口連接交換機(jī)注意事項(xiàng):1、如啟用網(wǎng)關(guān)殺毒、郵件過濾等功能需將網(wǎng)關(guān)指向前置設(shè)備、配置正確的DNS,并保證AC本身能夠上網(wǎng)(前置設(shè)備上需放行AC數(shù)據(jù));2、如啟用URL、準(zhǔn)入規(guī)則,需設(shè)置多IP綁定。3、網(wǎng)橋模式下DMZ不可用(只能作為管理接口)4、VPN功能不可用保留原網(wǎng)關(guān),網(wǎng)橋模式部署部署方法:注意事項(xiàng):保留原網(wǎng)關(guān),網(wǎng)橋模式部署部署方法:1、將網(wǎng)關(guān)運(yùn)行模式切換為“旁路模式”;2、配置管理接口“DMZ”IP信息,添加需監(jiān)控的內(nèi)網(wǎng)網(wǎng)段;3、將ACLAN或WAN1接口接到交換機(jī)的鏡像口或HUB上;注意事項(xiàng):1、DMZ口不可用于監(jiān)控。2、缺省不監(jiān)控內(nèi)網(wǎng)間的數(shù)據(jù)。3、WAN1口不要接HUB,否則容易導(dǎo)致異常。旁路模式部署注意事項(xiàng):旁路模式部署?討論:其他多網(wǎng)段環(huán)境?討論:其他多網(wǎng)段環(huán)境客戶環(huán)境:內(nèi)網(wǎng)二層交換機(jī)上劃分了多個VLAN,通過網(wǎng)關(guān)路由器實(shí)現(xiàn)NAT代理上網(wǎng)和VLAN之間路由客戶需求:URL過濾、P2P控制、郵件過濾……可選部署模式:路由,網(wǎng)橋,旁路3.3、內(nèi)網(wǎng)劃分VLAN可選部署模式:路由,網(wǎng)橋,旁路3.3、內(nèi)網(wǎng)劃分VLAN部署方法1、將網(wǎng)關(guān)運(yùn)行模式切換為“路由模式”;2、配置內(nèi)、外網(wǎng)接口IP信息;3、LAN接口啟用VLAN并添加相應(yīng)VLAN信息注意事項(xiàng):1、LAN口需配置一個不屬于任意VLAN的IP。例如:LAN口地址設(shè)置為(此IP不屬任何VLAN)2、在VLAN設(shè)置中需要添加每個VLAN的IP和ID。替換原網(wǎng)關(guān),路由模式部署部署方法注意事項(xiàng):替換原網(wǎng)關(guān),路由模式部署替換原網(wǎng)關(guān),路由模式部署(續(xù))第一步:按照2.1介紹的將設(shè)備配置成路由模式。第二步:lan口啟用vlan設(shè)置,配置各Vlan的IP地址等信息,見下圖。LAN口IP地址配置不屬于任何一個vlan的IP地址。替換原網(wǎng)關(guān),路由模式部署(續(xù))第一步:按照2.1介紹的將設(shè)備部署方法:1、將網(wǎng)關(guān)運(yùn)行模式切換為“網(wǎng)橋模式”;2、配置網(wǎng)橋IP;3、點(diǎn)擊VLAN設(shè)置,勾選“啟用VLAN”并添加各VLAN信息;4、WAN口連接路由器,LAN口連接交換機(jī)注意事項(xiàng):1、網(wǎng)橋IP需配置一個不屬于任意VLAN的IP。例如:LAN口地址設(shè)置為(此IP不屬任何VLAN)2、在VLAN設(shè)置中需要添加每個VLAN的IP和ID。保留原網(wǎng)關(guān),網(wǎng)橋模式部署注意事項(xiàng):保留原網(wǎng)關(guān),網(wǎng)橋模式部署保留原網(wǎng)關(guān),網(wǎng)橋模式部署(續(xù))配置網(wǎng)橋模式過程中啟用vlan配置,見下圖所示:網(wǎng)橋IP地址配置不屬于任何一個vlan的IP地址設(shè)備網(wǎng)關(guān)配置屬于任何一個vlan的網(wǎng)關(guān)保留原網(wǎng)關(guān),網(wǎng)橋模式部署(續(xù))配置網(wǎng)橋模式過程中啟用vlan部署方法:1、將網(wǎng)關(guān)運(yùn)行模式切換為“旁路模式”;2、配置管理接口“DMZ”IP信息,添加需監(jiān)控的內(nèi)網(wǎng)網(wǎng)段;3、將ACLAN或WAN1接口接到交換機(jī)的鏡像口或HUB上;保留原網(wǎng)關(guān),旁路模式部署保留原網(wǎng)關(guān),旁路模式部署用戶環(huán)境:路由器作為NAT代理網(wǎng)關(guān),有專門的代理服務(wù)器,客戶端配置的使用代理方式上網(wǎng)用戶需求:IM監(jiān)控、訪問記錄、流控……可選部署方式:路由、網(wǎng)橋、旁路3.4、使用代理服務(wù)器用戶環(huán)境:路由器作為NAT代理網(wǎng)關(guān),有專門的代理服務(wù)器,客戶部署方法:1、將網(wǎng)關(guān)運(yùn)行模式切換為“路由模式”;2、配置內(nèi)、外網(wǎng)接口IP信息;3、在AC控制臺->高級選項(xiàng)->“代理服務(wù)器設(shè)置”中添加代理服務(wù)器IP注意事項(xiàng):1、使用路由模式部署可能涉及內(nèi)網(wǎng)改動較大,建議使用網(wǎng)橋部署2、必須正確配置

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論