上网行为组网方案
1.部署模式
部署模式是指设备以什么样的工作方式部署到客户网络中去,不同的部署模式对客户原有网络的影响各有不同;设备在不同模式下支持的功能也各不一样,设备以何种方式部署需要综合用户具体的网络环境和功能需求而定。
2.路由部署解决方案
①设备以路由模式部署时,AC的工作方式与路由器相当,具备基本的路由转发及NAT功能。一般在客户还没有相应的网关设备或者用户的网络环境规模比较小,需要将AC做网关使用时,建议以路由模式部署。
背景:客户需要用新的上网行为管理设备来替换旧的出口路由器,实现行为审计和管控
②配置思路
1、网口配置:配置各网口地址。如果是固定IP,则填写运营商给的IP地址及网关;如果是ADSL拨号上网,则填写运营商给的拨号帐号和密码;确定内网口的IP;
2、确定内网是否为多网段网络环境,如果是的话需要添加相应的回包路由,将到内网各网
③效果展示
④排错思路
(1)检查PC本身的网口IP,子网掩码
(2)检查PC本身的默认网关,首选的DNS服务器
(3)检查AC上给PC做的SNAT
(4)检查AC上给PC做的回包路由
(5)被PC访问的设备本身能否上网 PING /TELNET /WGET
(6)网口兼容性 换网线 换网口 中间加交换机
(7)arp防护和免费arp可能存在冲突
(8)通过ifconfig检查网口错误包或者丢包,ethtool -S 查看丢包类型
3.网桥部署解决方案
①设备以网桥模式部署时对客户原有的网络基本没有改动。网桥模式部署AC时,对客户来说AC就是个透明的设备,如果因为AC自身的原因而导致网络中断时可以开启硬件bypass功能,即可恢复网络通信。
需求:客户需要部署一台上网行为管理设备,但是又不想对网络改动太大。
②应用场景
③配置思路
1、配置设备网桥地址,网关地址,DNS地址。
2、确定内网是否为多网段网络环境,本案例就是三层环境,所以需要添加相应的回包路由,将到内网各网段的数据回指给设备
④效果展示
⑤排错思路
1、AC网线是否反接(在线用户列表出现大量公网IP)
2、网桥地址是否可用,是否和内网冲突
3、网关是否指向靠近出口方向的设备
4、设备上的DNS是否填写正确
5、确认前面设备是否有拦截(可能做ACL拦截了AC),或者是否对AC做源地址转换代理上网
4.旁路部署解决方案
①
旁路模式主要用于实现审计功能,完全不需要改变用户的网络环境,通过把设备的监听口接在交换机的镜像口,实现对上网数据的监控。这种模式对用户的网络环境完全没有影响,即使宕机也不会对用户的网络造成中断。
需求:某客户想部署上网行为管理设备来审计内网用户的上网行为,但是不能改动现有的网络环境。
功能
②配置思路
1、交换机设置镜像口,并接到AC监听口。
2、配置需要审计的内网网段和服务器网段。
3、配置管理口地址,用于管理AC设备。
④效果展示
⑤注意事项
1、路由模式可以实现设备所有功能,网桥模式其次,旁路模式多用于审计,只能对TCP应用控制,控制功能最弱。
2、路由模式对客户原有网络改造影响最大,网桥模式其次,旁路模式对客户原有网络改造无影响,即使设备宕机也不会影响客户断网。
5.防火墙过滤功能
防火墙规则是控制设备各个网口转发数据的开关。
这里设置的规则可基于IP和端口进行数据包的转发控制,和传统的四层防火墙相似。
6.端口映射
①背景
该客户已经通过配置实现了AC代理内网用户和服务器上公网。内网有一台OA服务器,地址是192.200.2.250,使用的服务端口是TCP 80。客户希望将此OA服务器发布到公网,外网用户通过
http://202.96.137.75:8000的方式访问到服务器。
②实现原理
端口映射即DNAT,用来设置对数据包目标IP地址进行转换的规则。
常用来实现客户内网有服务器需要发布到公网,或者内网用户需要通过公网地址访问内部服务器的需求。
③数据分析
只有当内网用户也需要用公网地址访问内部服务器时,才需要勾选“发布
服务器”。 若不勾选,仅允许公网用户通过公网地址访问到内网服务器。
④排错思路
1.检查内网PC到WEB务器的访问是否正常?(判断服务器本身是否OK)
2.检查AC到WEB服务器的访问是否正常?
3.检测外网的访问流量是否到达AC的外网口(运营商会封堵没备案的端口,比如说80)?
4.检查AC设备的端口映射配置?
5.检查AC设备的防火墙配置?
6.检查AC-WEB服务器中间设备的ACL策略?
7.检查WEB服务器本身的防火墙策略?(是否禁止公网IP访问)