二、上网行为管理部署模式

部署模式

AC设备支持路由、网桥、旁路部署模式

SG设备支持路由、网桥、旁路、单臂部署模式

路由部署模式

AC当路由器使用，全功能启用模式

具有路由转发，NAT，VPN，DHCP等功能模块

对网络影响最大，串联于网络中。

网桥部署模式

对客户来说就是一个透明设备，部分功能启用。

如果AC出现故障，开启硬件bypass功能相当于一对网线的转接头

不支持NAT（代理上网和端口映射）、VPN、DHCP等功能。

对网络影响其次，串联于网络中。

旁路部署模式

旁路模式主要用于实现审计，基于TCP应用控制，其他功能都没有。
通过把设备的监听口接在交换机的镜像口，实现对上网数据的监控。
宕机也不会对用户的网络造成中断

除了管理口DMZ，其他都可以做监听口

对网络影响最小，并联于网络中。

 

需求背景

路由模式解决方案

1）内网网段需要上网，AC上需要做SNAT，源地址转换，也叫代理上网

2）内网有服务器要发布出去，需要做端口映射

3）下面是多网段，所以需要在AC的下行口做静态路由，也叫回包路由（即去往172.16.1.0/2.0/3.0的网段的下一跳路由需要给172.16.0.2）

4）AC上有防火墙，为了保证内外网畅通需要做策略或者关闭防火墙

 

网桥模式解决方案

部署位置：

三层设备之上，网关设备之下

在网桥模式下，AC上行跟下行口都是二层口不能配IP

上网四要素：IP地址，子网掩码，默认网关，DNS

查看默认路由

掩码为30位时，因DMZ是三层口，连接到下面三层设备上，网关为三层设备，即可配置IP地址等

在网桥模式上AC配置去往172.16.4.0网段到172.16.0.2的静态路由的作用：

当4.10去访问外网的时候，从三层设备到AC再到网关，AC上是默认路由所有都到网关。而网关上有去往各个内网网段的静态路由，则回包时AC无此静态路由，则去4.10先到AC，AC没有去往4.10的静态路由则走默认路由到网关172.16.0.254，网关查找路由表，发现去往4.10的路由要走172.16.0.2，则再从AC到172.16.0.2。

AC在网桥模式下，还有一个虚拟地址1.1.1.3，也可通过此IP管理AC

AC发包有可能时以1.1.1.3发出来的，做网络规划时不能占用此网段

如果AC的上下行口接反，会导致策略不生效，在线用户变为公网用户

旁路模式解决方案

除了DMZ口其他口都可以做监听口，主要用于流量审计。

旁路模式可以控制TCP原理：

在三层握手之后，伪造服务端发送RST包关闭连接，因AC在内网所以RST包比服务器响应包要先到达PC端，可以说非常有意思。

TRUNK部署解决方案

单臂路由，简单不详细写了

10/192.168.10.1 中的10对应vlan10

防火墙过滤功能

基于包过滤实现

基于IP，端口转发的四层防火墙

注意过滤方向

端口映射

第一种方法

LAN-LAN端口映射，相当于做了DNAT跟SNAT两种转换。

不勾选发布服务器(即只配置DNAT规则)仅允许外网IP访问内网服务器，因为到AC的源IP不做转换还是为内网PC的IP，这样如果内网电脑访问OA，OA直接回包不通过AC转发，造成session不匹配，从而丢包。

勾选发布服务器，则AC的源IP地址会转换成AC的IP地址而不是内网PC的IP地址。

 

2h10m是实验

端口映射

第二种方法

2h19m是实验

先做DNAT转换，在长沙AC上做。

做DNAT的时候要指定入端口，这点跟发布服务器时配置选的应用于所有WAN口不一样。

去掉发布服务器选项。

再做SNAT转换

用户认证与管理

HTTP认证

实验操作2h34m

创建一个用户

创建一个用户组

新增认证策略

注意需要把DNS放通

也要把访问HTTPS拦截到认证页面，否则不能访问https网站，也重定向不了认证页面

至此第四天视频看完