部署模式
AC設備支持路由、網橋、旁路部署模式
SG設備支持路由、網橋、旁路、單臂部署模式
路由部署模式
AC當路由器使用,全功能啟用模式
具有路由轉發,NAT,VPN,DHCP等功能模塊
對網絡影響最大,串聯於網絡中。
網橋部署模式
對客戶來說就是一個透明設備,部分功能啟用。
如果AC出現故障,開啟硬件bypass功能相當於一對網線的轉接頭
不支持NAT(代理上網和端口映射)、VPN、DHCP等功能。
對網絡影響其次,串聯於網絡中。
旁路部署模式
旁路模式主要用於實現審計,基於TCP應用控制,其他功能都沒有。
通過把設備的監聽口接在交換機的鏡像口,實現對上網數據的監控。
宕機也不會對用戶的網絡造成中斷
除了管理口DMZ,其他都可以做監聽口
對網絡影響最小,並聯於網絡中。
需求背景
路由模式解決方案
1)內網網段需要上網,AC上需要做SNAT,源地址轉換,也叫代理上網
2)內網有服務器要發布出去,需要做端口映射
3)下面是多網段,所以需要在AC的下行口做靜態路由,也叫回包路由(即去往172.16.1.0/2.0/3.0的網段的下一跳路由需要給172.16.0.2)
4)AC上有防火牆,為了保證內外網暢通需要做策略或者關閉防火牆
網橋模式解決方案
部署位置:
三層設備之上,網關設備之下
在網橋模式下,AC上行跟下行口都是二層口不能配IP
上網四要素:IP地址,子網掩碼,默認網關,DNS
查看默認路由
掩碼為30位時,因DMZ是三層口,連接到下面三層設備上,網關為三層設備,即可配置IP地址等
在網橋模式上AC配置去往172.16.4.0網段到172.16.0.2的靜態路由的作用:
當4.10去訪問外網的時候,從三層設備到AC再到網關,AC上是默認路由所有都到網關。而網關上有去往各個內網網段的靜態路由,則回包時AC無此靜態路由,則去4.10先到AC,AC沒有去往4.10的靜態路由則走默認路由到網關172.16.0.254,網關查找路由表,發現去往4.10的路由要走172.16.0.2,則再從AC到172.16.0.2。
AC在網橋模式下,還有一個虛擬地址1.1.1.3,也可通過此IP管理AC
AC發包有可能時以1.1.1.3發出來的,做網絡規划時不能占用此網段
如果AC的上下行口接反,會導致策略不生效,在線用戶變為公網用戶
旁路模式解決方案
除了DMZ口其他口都可以做監聽口,主要用於流量審計。
旁路模式可以控制TCP原理:
在三層握手之后,偽造服務端發送RST包關閉連接,因AC在內網所以RST包比服務器響應包要先到達PC端,可以說非常有意思。
TRUNK部署解決方案
單臂路由,簡單不詳細寫了
10/192.168.10.1 中的10對應vlan10
防火牆過濾功能
基於包過濾實現
基於IP,端口轉發的四層防火牆
注意過濾方向
端口映射
第一種方法
LAN-LAN端口映射,相當於做了DNAT跟SNAT兩種轉換。
不勾選發布服務器(即只配置DNAT規則)僅允許外網IP訪問內網服務器,因為到AC的源IP不做轉換還是為內網PC的IP,這樣如果內網電腦訪問OA,OA直接回包不通過AC轉發,造成session不匹配,從而丟包。
勾選發布服務器,則AC的源IP地址會轉換成AC的IP地址而不是內網PC的IP地址。
2h10m是實驗
端口映射
第二種方法
2h19m是實驗
先做DNAT轉換,在長沙AC上做。
做DNAT的時候要指定入端口,這點跟發布服務器時配置選的應用於所有WAN口不一樣。
去掉發布服務器選項。
再做SNAT轉換
用戶認證與管理
HTTP認證
實驗操作2h34m
創建一個用戶
創建一個用戶組
新增認證策略
注意需要把DNS放通
也要把訪問HTTPS攔截到認證頁面,否則不能訪問https網站,也重定向不了認證頁面
至此第四天視頻看完