深信服上网行为管理部署方式及功能实现配置说明.
深信服上网行为管理-数据中心配置介绍
点击主题订阅
如测试成功则点击创建主题
进相应配置,
为外置数据 中心提供邮 件服务器以 发送主题至 阅览者邮箱
可点击高级进行点击测试邮件服务器 详细信息配置 等信息是否填写正确
练练手
动手建立内容搜索系统,并能成功搜索到需要的内容
问题思考
1.内置搜索系统,可以搜索哪些类型的日志?
2.激活了数据中心Key功能,如果使用没有启用key的管理员帐号登录数据中 心是有日志查询权限?
内置数据中心KEY配置步骤
3、效果演示(对比dkey和nodkey用户登录数据中心查询效果)
dkey用户登录, 有no日d志ke查y用询户权登限录, 没有日志查询权限
外置数据中心KEY配置步骤
1、设备多功能序列号激活数据中心查询key功能,前面有介绍,这里不再重复。 2、建立外置数据中心管理员帐号,如下图
如图,新建控制台 用户dkey,先安装 key驱动。插入数据 中心查询key,输入 dkey密码。该用户 的“组织权限设置” 和“页面权限设置” 全选。
同时生成控制台用户nodkey,不生成DKEY。该用户的“组织权限设置”和 “页面权限设置”全选。对比dkey和nodkey用户登录数据中心查询效果
深信服上网行为管理 数据中心配置介绍
培训内容 数据中心Key
内容搜索
培训目标
1.了解数据中心key使用场景 2.掌握数据中心key使用方法,能够根据实际 环境配置内容搜索并达到效果
1.掌握内容搜索系统使用方法,能够根据实 际环境配置内容搜索并达到效果
SANGFOR AC&SG
数据中心key 内容搜索
3、使用启用dkey的帐号登录外置数据中心,有日志查询权限。
注意
深信服上网行为管理-系统管理配置指南
策略路由配置
3、导入各运营商的策略路由表 新发货的设备一般策略路由表都是空的,怎样导入初始策略路由表?
解决方案:下载导入/read.php?tid-2499.html
策略路由配置
4、我们提供了各大运营商的策略路由,导入后,内网PC经设备上网的 数据流,即可实现根据目标地址选路走同一个运营商的线路出去,如访 问电信的网站走电信线路,从而解决了跨运营商之间访问速度慢的问题。 同时也能实现当其中一条 线路故障,流量自动切换到其它线路,直到故 障线路恢复,从而实现了智能选路。
深信服上网行为管理系统管理配置指南培训内容培训目标策略路由和多线路掌握策略路由适用场景能够根据实际场景正确配置策略路由幵达到效果事件告警功能掌握事件告警功能种类能够根据实际场景配置事件告警功能幵达到效果snmp掌握设备支持snmp版本幵且能够正确配置snmp网管软件管理设备策略路由和多线路选路深信服公司简介snmpsangforacsg事件告警功能策略路由和多线路选路策略路由和多线路选路介绍应用背景
SNMP配置
SNMP配置
网管软件中输入设备ip,oid(1.3.6.1),community,这样可以读取所有信 息,如下图:
这种方法读出所有信息,并不知道每个值具体意义,因oid不具体,很难找 到我们需要的信息。
SNMP配置
下载mib库,导入网管软件, 方便管理查看设备信息 设备可供SNNP查询的信息及常用OID请参考文档 “SANGFOR_AC&SG_v6.0_2015年度渠道高级认证培训11_系统管理_可供SNMP 查询的设备信息表.xls”
事件告警功能
事件告警介绍
设备多个模块具有事件告警功能,当触发告警条件时,设备就会通过邮件 告警及登录控制台界面右下角小喇叭告警,以便能及时通知到管理员。设 备支持的告警事件类型如下。
深信服上网行为管理-基本功能介绍
网络应用识别
识别网络应用,了解用户行为,是管控措施的基础和对象 国内最大的应用识别库,超过2000多种主流应用
注:该规则库会定期更新,此显示 为2014年11月前更新的规则总数
网络应用识别
识别网络应用,了解用户行为,是管控措施的基础和对象
行为管理:应用授权
实现权限与职责的匹配,防止越权访问与泄密风险,管控与业 务无关的上网行为,提升员工工作效率, 过滤不良信息,防 止法律风险
上网行为管理标准 OA
审计
用户身份识别
网络应用识别
流控
封堵 行为管控
数据分析
SANGFOR AC基本功能介绍
用户身份识别
有效区分用户,分层次管理的组织架构,是部署差异化管理策略的依据
用户身份识别
未通过认证的用户: 控制上网权限
通过认证的用户: 定向至指定网页
本地认证
IP/MAC认证 自建帐号密码 USB-Key 认证 短信认证
定向至指定网页ipmac认证自建帐号密码usbkey认证短信认证ldapradiuspop3ipmac认证pop3proxyad单点登录微信认证web单点登录pppoe单点登陆数据库认证第三方设备单点登陆新用户认证自动分组自动认证自动授权用户身份识别有效区分用户分层次管理的组织架构是部署差异化管理策略的依据用户身份识别用户身份识别映射组织结构网关控制台用户与上网策略对应策略列表用户与行为一一对应数据中心网络应用识别识别网络应用了解用户行为是管控措施的基础和对象国内最大的应用识别库超过2000多种主流应用注
控制不可信的下载源,避免下载带病毒的文件 管控文件外发行为,防止机密文件外发等泄密事件
指定下载站点 封堵其他站点
基于文件类型 控制上传/下载
深信服上网行为管理流量管理系统配置说明
客户常见案例
配置图解: 1.设置公网线路的实际带宽
点击线路1进入 下面的配置框
注意KB/s,互联网 传输的单位是 bps,10M换算到大 B为:1250KB/S
客户常见案例
配置图解: 2. 新增策略1,对P2P等流媒体应用限制带宽
1,启用流量 管理系统
2,新增通道,选择新增 一级通道,建议所有的 策略均为一级通道
客户常见案例
配置图解: 两条策略配置完成后:
客户常见案例
流量管理策略效果验证方法:
1,客户端验证:
使用迅雷下载一个电影,看下载速度是不是小于50KB,小于50KB证 明流控策略有效,另外再关闭流控策略,看下载速度是不是可以上升, 以进一步证明流控策略有效。注意:不要用迅雷下载音乐软件,此类 下载可能为单线程下载,不在我们此次的流控范围。
客户常见案例
选择限制通道,设置20% 配置图解: 后,会自动根据线路带宽 配置换算为具体的带宽, 输入一个直观便 2. 新增策略1,对P2P等流媒体应用限制带宽 上行为上传,下行为下载 于理解的名称
通道内单用户的 带宽,设置为上 行下行50KB
客户常见案例
配置图解: 2. 新增策略1,对P2P等流媒体应用限制带宽
1,选择 自定义
2,选择后 点击确定
3,点击确定完成一 条有效的策略配置
客户常见案例
配置图解: 二,新增策略2,此策略是针对领导,配置步骤和上述新增步 骤一致,上下行带宽值不一样。
客户常见案例
配置图解: 二,新增策略2,此策略是针对领导,配置步骤和上述新增步 骤一致,上下行带宽值不一样。
选择领导 自定义客户10M上网线路,内网有200人,网络管理员抱怨内网上网 较慢,希望AC设备能够解决这个问题,但客户希望AC设备不 封堵任何人任何应用,还不要对领导限制太严。
深信服上网行为管理-安装部署指南
TRUNK环境部署:路由模式_配置步骤
LAN口(eth0)填写 任一个不存在的IP 配置完成后可看到配置汇总信息
启用VLAN并据实 填写VLAN地址信 息
TRUNK环境部署:路由模式_配置步骤
TRUNK环境部署:网桥模式
不改变原有拓扑结构,AC网桥模式串接在交换机和防火墙之间(推荐方案)
TRUNK环境部署:网桥模式_配置思路
1、网桥模式部署在路由器与交换机之间,按网桥模式部署配置好 设备。
2、网桥IP配置为不属于任何VLAN的IP,网桥的网关指向任意一个 VLAN的网关。配置启用VLAN,并按格式填写每个VLAN可用的IP。
TRUNK环境部署:网桥模式_配置步骤
填写配任置一完个成不后存可在看的到网汇桥总I信P息 据实填写其中一个能与互 联网通信的VLAN的网关 IP和准确的DNS信息
常见代理环境中的部署方式
2. 代理服务器双网卡(AC/SG设备旁路模式部署)
如果主要用于审计,设备可 采取旁路模式部署,用于监 听内网发往代理服务器的所 有数据。
常见代理环境中的部署方式
3. 代理服务器单网卡(AC/SG设备网桥模式部署) 如左图所示,代理服务器以单臂模 式接在核心交换机上。
内网用户上网数据先通过交换机到 达代理服务器,再由代理服务器经 核心交换机和防火墙到公网。
适用环境:用户通过内网代理服务器上 网,并且需要准确识别用户通过代理服 务器上网的数据和分权限控制。
常见代理环境中的部署方式
1. 代理服务器双网卡(AC/SG设备路由或网桥模式部署)
设备可采取路由模式或网桥模式部署在客户 端与代理服务器之间,考虑到内网改动的大 小,建议采用网桥模式部署。 必须保证内网发往代理服务器的数据先经过 AC/SG设备,也就是代理服务器应该部署于 AC/SG设备的WAN口方向。
深信服上网行为管理部署方式及功能实现配置说明
深信服上网行为管理部署方式及功能实现配置说明(标化院)设备出厂的默认IP见下表:接口IP地址ETH0(LAN)10.251.251.251/24ETH1(DMZ)10.252.252.252/24ETH2(W AN1)200.200.20.61/24AC支持安全的HTTPS登录,使用的是HTTPS协议的标准端口登录。
如果初始登录从LAN口登录,那么登录的URL为:https://10.251.251.251,默认情况下的用户名和密码均为admin。
设备正常工作时POWER灯常亮,W AN口和LAN口LINK灯长亮,ACT灯在有数据流量时会不停闪烁。
ALARM红色指示灯只在设备启动时因系统加载会长亮(约一分钟),正常工作时熄灭。
如果在安装时此红灯长亮,请将设备掉电重启,重启之后若红灯一直长亮不能熄灭,请与我们联系。
『部署模式』用于设置设备的工作模式,可设定为路由模式、网桥模式或旁路模式。
选择一个合适的部署模式,是顺利将设备架到网络中并且使其能正常使用的基础。
路由模式:设备做为一个路由设备使用,对网络改动最大,但可以实现设备的所有的功能;网桥模式:可以把设备视为一条带过滤功能的网线使用,一般在不方便更改原有网络拓扑结构的情况下启用,平滑架到网络中,可以实现设备的大部分功能;旁路模式:设备连接在内网交换机的镜像口或HUB上,镜像内网用户的上网数据,通过镜像的数据实现对内网上网数据的监控和控制,可以完全不需改变用户的网络环境,并且可以避免设备对用户网络造成中断的风险,但这种模式下设备的控制能力较差,部分功能实现不了。
选择【导航菜单】中的『网络配置』→『部署模式』,右边进入【部署模式】编辑页面,点击开始配置,会出现『路由模式』、『网桥模式』、『旁路模式』的选项,选择想要配置的网关模式。
路由模式:是把设备作为一个路由设备使用,一般是把设备放在内网网关出口的位置,代理局域网上网;或者把设备放在路由器后面,再代理局域网上网。
深信服上网行为管理-管理员手册v1.0
深信服上网行为管理-管理员手册深信服电子科技有限公司本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属深信服所有,受到有关产权及版权法保护。
任何个人、机构未经深信服的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录第1 章前言 (5)第2 章系统管理 (5)2.1 设备登录 (5)2.2 管理员配置 (7)2.2.1 修改管理员密码 (7)2.2.2 创建二级管理员 (7)2.3 系统基本信息配置 (9)2.3.1 序列号 (9)2.3.2 系统时间 (10)2.3.3 规则库升级 (10)2.3.4 全局排除地址 (11)2.3.5 设备配置备份与恢复 (11)2.3.6WEBUI 选项 (12)2.3.7 远程维护 (12)第3 章网络配置 (13)3.1 部署模式 (13)3.2 静态路由 (17)第4 章策略管理 (18)4.1 用户认证与管理 (18)4.1.1 用户组管理 (18)4.1.2 认证策略 (19)4.1.3 不需要认证 (19)4.1.4IP/MAC 绑定 ....................................4.1.5 不允许认证 (26)4.2 策略管理 (27)4.2.1 购物娱乐类网站 (27)4.2.2P2P 及P2P 流媒体封堵 (30)4.2.3 外发文件封堵 (33)4.2.4 上网审计 (36)4.3 流量管理 (38)4.3.1 线路带宽配置 (38)4.3.2 保证通道 (39)4.3.3 限制通道 (42)4.4 终端接入管理 (45)4.4.1 共享接入管理 (45)第5 章日志中心管理 (47)5.1 日志中心配置 (47)5.1.1 准备工作 (47)5.1.2 外置日志中心安装过程 (48)5.1.3 日志中心登录 ..................................5.1.4 同步策略设置 (53)5.1.5AC 同步配置 (54)5.2 日志中心登录 (55)5.2.1 内置日志中心登录 (55)5.2.2 外置日志中心登录 (55)5.3 日志查询 (56)5.3.1 所有行为日志 (56)5.3.2 网站访问日志 (59)5.3.3 邮件收发日志 (61)5.3.4 发帖/发微博日志 (62)5.3.5 其他日志 (65)5.3.6 日志导出 (65)5.3 流量时长分析 (66)5.4 报表中心 (67)5.5 系统管理 (68)第1 章前言本手册用于讲解 AC 常见功能操作方法,为管理员提供日常策略维护指导。
深信服上网行为管理配置详解
第五步:添加该用户的上网策略,点击进入【策略列表】页面,点击【添加策略】,在 弹出的【添加策略】页面选择需要关联的策略。
第六步:完成用户属性与策略的编辑后,点击提交,完成用户的添加。 第七步:通过设备上网时,验证IP和MAC是否正确,如果正确则认证通过,客户端不会弹 出认证页面。如果IP/MAC地址和绑定的IP/MAC不符,则认证不通过,此时没有提示页面 ,但客户端的现象是上不了网。
控制台功能说明
2.4.2.1.2设置用户组的上网策略
第一步:在【组织结构】中选择需要添加上网策略的用户组,右边进入管理页面,在【 策略列表】窗口中,点击添加策略按钮,然后弹出的【添加策略】页面,选择策略。 第二步:点击添加策略,在【添加策略】 中选择需要关联的上网策略工程师上网策 略,勾选[递归应用于子组]表示添加的策 略同时也会关联给子组,不勾选则表示子 组不会添加该策略。设置完成后点击确定。 第三步:返回【策略列表】页面,查看用 户组关联的。
代表网口状态是已连接状态, 击 可以设置自动刷新的时间。
代表网口状态是未连接状态,点
控制台功能说明
2.2.1运行状态
【接口吞吐率折线图】通过折线图的形式来动态显示外网接口实时发送 和接收数据的情况。
点击 可以设置[选择时间段]来显示相应时间段接口转发数据的情况 ,在[选择流量单位
控制台功能说明
2.2.1运行状态
控制台功能说明
2.1WebUI 配置界面
登录界面如下图所示:
控制台功能说明
2.1WebUI 配置界面
如何消除登录控制台的证书告警框?
首先,登录控制台,进入『系统配置』→『高级配置』→『WebUI选项 』页面,点击下载证书,将证书下载到本地安装。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
深信服上网行为管理部署方式及功能实现配置说明(标化院)设备出厂的默认IP见下表:AC支持安全的HTTPS登录,使用的是HTTPS协议的标准端口登录。
如果初始登录从LAN口登录,那么登录的URL为:https://10.251.251.251,默认情况下的用户名和密码均为admin。
设备正常工作时POWER灯常亮,W AN口和LAN口LINK灯长亮,ACT灯在有数据流量时会不停闪烁。
ALARM红色指示灯只在设备启动时因系统加载会长亮(约一分钟),正常工作时熄灭。
如果在安装时此红灯长亮,请将设备掉电重启,重启之后若红灯一直长亮不能熄灭,请与我们联系。
『部署模式』用于设置设备的工作模式,可设定为路由模式、网桥模式或旁路模式。
选择一个合适的部署模式,是顺利将设备架到网络中并且使其能正常使用的基础。
路由模式:设备做为一个路由设备使用,对网络改动最大,但可以实现设备的所有的功能;网桥模式:可以把设备视为一条带过滤功能的网线使用,一般在不方便更改原有网络拓扑结构的情况下启用,平滑架到网络中,可以实现设备的大部分功能;旁路模式:设备连接在内网交换机的镜像口或HUB上,镜像内网用户的上网数据,通过镜像的数据实现对内网上网数据的监控和控制,可以完全不需改变用户的网络环境,并且可以避免设备对用户网络造成中断的风险,但这种模式下设备的控制能力较差,部分功能实现不了。
选择【导航菜单】中的『网络配置』→『部署模式』,右边进入【部署模式】编辑页面,点击开始配置,会出现『路由模式』、『网桥模式』、『旁路模式』的选项,选择想要配置的网关模式。
路由模式:是把设备作为一个路由设备使用,一般是把设备放在内网网关出口的位置,代理局域网上网;或者把设备放在路由器后面,再代理局域网上网。
配置方法:第一步:先配置设备,通过默认IP登录设备,比如通过LAN口登录设备,LAN口的默认IP是10.251.251.251/24,在电脑上配置一个此网段的IP地址,通过https://10.251.251.251登录设备,默认登录用户名/密码是:admin/admin。
第二步:在【导航菜单】页面中的『网络配置』→『部署模式』,右边进入【部署模式】编辑页面,点击开始配置,出现以下页面:配置设备模式为路由模式,点击下一步第三步:定义LAN区网口和W AN区网口,选择空闲网口,点击增加,将空闲网口移动到对应的网口列表。
设备默认的LAN口区网口是eth0,DMZ口区网口是eth1,WAN口区网口是eth2,这些网口位置建议不要随便修改,和设备面板的图示接口保持一致。
其他空闲接口可以自定义其所属的区域。
第四步:完成网口定义,点击下一步,配置LAN区网口IP地址,此例中LAN口区的网口是eth0,此处配置eth0的地址是:192.168.1.12/255.255.255.0第五步:配置W AN区网口,此例中W AN口区的网口是eth2。
WAN口支持以太网和ADSL拨号两种类型,此例中公网线路是光纤接入,固定分配公网IP地址的,所以选择[以太网]。
1、如果线路是ADSL拨号,需要将WAN口和modem相连。
勾选[自动拨号]作用是在拨号线路异常断开后自动重新拨号,或者是重启设备后自动拨号。
分别在[账号]和[密码]中输入拨号的账号和密码。
第六步:配置DMZ区网口,此例中DMZ区的网口是eth1,配置[IP地址]和[子网掩码]。
第七步:NAT配置,用于设置代理上网规则,当设备做网关,直接接公网线路时,需要在设备上做代理上网设置,以代理内网用户正常上网。
设置完成后,会在『NAT代理上网』中新增一条代理规则“代理LAN口上网”。
第八步:配置完毕,检查配置无误后,点击提交设置完毕需要重启设备才可以生效,在弹出的提示框中点击是。
第九步:此例中由于内网网段跟设备LAN口不在同一网段,需要加上设备到内网的系统路由,在【导航菜单】页面中的『网络配置』→『静态路由』,右边进入【静态路由】编辑页面,点击新增则可以添加路由。
当内网有多个网段时需要相应的添加多条系统路由。
第十步:基本配置完毕后,将设备接入网络中,W AN口接外网线路,LAN口接内网交换机。
并且将内网交换机的上网路由指向AC设备的LAN口。
1.设备工作在路由模式时,局域网内电脑的网关都是指向设备的LAN口IP或指向三层交换机,三层交换机的网关再指向设备。
上网数据由设备做NAT或路由转发出去。
2.WAN、LAN、DMZ网口应设置不同网段的IP地址。
3.如果设置路由模式为有前置设备,请在第五步配置W AN口IP为与前置设备LAN 口同网段IP,其他操作一样。
网桥模式网桥模式:是把设备视为一条带过滤功能的网线使用,一般在不方便更改原有网络拓扑结构的情况下启用。
把设备接在原有网关及内网用户之间,在原网关及内网用户不需做任何配置改变的情况下,对设备进行一些配置即可使用。
对原网关及内网用户而言,亦不知设备的存在,即所谓对原网关及内网用户透明。
网桥模式的主要特点是:网桥模式对用户做到完全透明。
网桥模式分为网桥多网口和多网桥两种模式。
网桥多网口网桥多网口是指设备只做一个网桥,但内外网口不是一一对应的,可能内网口需要接多个网口,也可能外网口需要接多个网口,各个网口之间的数据都可以设置转发,设备的ARP 表只维持一份。
网桥多网口一般用于以下环境:运行环境1:交换机连接到外网两条线路FW1、FW2上,在交换机和防火墙之间接入设备,设备网桥模式部署,单进双出做网桥多网口模式:运行环境2:为了加强网络的稳定性,减少单点故障,内网核心交换和路由器都采用双机方案,这种环境下可以加入两台设备做网桥,双进单出做多网桥模式部署,如下图所示:网桥多网口部署配置案例客户环境和要求:如下是客户需要部署的拓扑,设备做网桥多网口模式,内网接三层交换机,内网网段有192.168.2.0/255.255.255.0、192.168.3.0/255.255.255.0两个网段。
公网出口的两个防火墙分别承担流量用户的上网流量。
配置方法:第一步:先配置设备,通过默认IP登录设备,比如通过LAN口登录设备,LAN口的默认IP是10.251.251.251/24,在电脑上配置一个此网段的IP地址,通过https://10.251.251.251登录设备,默认登录用户名/密码是:admin/admin。
第二步:在【导航菜单】页面中的『网络配置』→『部署模式』,右边进入【部署模式】编辑页面,点击开始配置,出现以下页面:配置设备模式为网桥模式,点击下一步第三步:选择网桥模式:网桥多网口模式第四步:定义网桥接口,以及允许数据转发的方向。
LAN区网口和WAN区网口,选择空闲网口,点击增加,将空闲网口移动到对应的网口列表。
设备默认的LAN口区网口是eth0,W AN口区网口是eth2,这些网口位置建议不要随便修改,和设备面板的图示接口保持一致。
定义[允许数据转发方向],此处定义eth0<->eth2、eth0<->eth3之间可以转发数据,即内网口和两个外网口之间可以转发数据。
第五步:完成网口定义,点击下一步,配置网桥IP、网桥网关等,此例中配置网桥IP 为192.168.1.254,网关指向其中一个FW。
注意:这里只能指定一个网关地址。
第六步:[启用VLAN],如果设备做网桥,有VLAN数据穿过设备,这里需要设置VLAN 的相关信息。
此例中没有VLAN,所以这里不勾选[启用VLAN]。
第七步:配置DMZ口以及防火墙规则:[选择管理网口]选择空闲的网口做为管理网口,用户可以通过此网口连接设备,默认情况下设备的管理网口是eth1口。
配置[IP地址]和[子网掩码],注意:管理网口和网桥IP不能属于同一网段。
勾选[自动放通防火墙规则]:用于放通W AN<->LAN方向所有数据的防火墙规则。
第八步:配置完毕,查看各个配置项是否正确,如果正确,点击提交,设置完毕需要重启设备才可以生效,在弹出的提示框中点击是。
第九步:此例中由于内网网段跟设备LAN口不在同一网段,需要加上设备到内网的系统路由,在【导航菜单】页面中的『网络配置』→『静态路由』,右边进入【静态路由】编辑页面,点击新增则可以添加路由。
当内网有多个网段时需要相应的添加多条系统路由。
本例中要添加到192.168.2.0/255.255.255.0、192.168.3.0/255.255.255.0两个网段的路由,路由下一跳指向内网的三层交换机:第十步:基本配置完毕后,将设备接入网络中,W AN1口、WAN2口接FW,LAN口接内网交换机。
多网桥多网桥是指一台AC设备可以做多个网桥,相当于多个交换机,和网桥多网口的区别是:设备的ARP表维持多份;内外网口是一一对应的;网口属于同一个网桥才能进行数据转发,不同网桥接口之间的数据不能转发。
多网桥一般适用于以下几种情况:运行环境一:设备一进一出做单网桥运行环境二:适用于客户内网有VRRP或HSRP环境,架上设备做多网桥实现基本审计控制功能的同时,不影响客户原有主备的切换。
如图所示的两种运行环境:多网桥部署配置案例客户环境和需求:客户的两个FW和交换机之间走VRRP协议,FW对应的虚拟IP是192.168.1.1,设备双进双出做双网桥部署在交换机和FW之间。
配置方法:第一步:先配置设备,通过默认IP登录设备。
第二步:在【导航菜单】页面中的『网络配置』→『部署模式』,右边进入【部署模式】编辑页面,点击开始配置,出现以下页面:配置设备模式为网桥模式,点击下一步第三步:选择网桥模式:多网桥模式。
第四步:分别选择LAN区网口和W AN区网口,组成两对网桥,如图所示:[LAN网口选择]用于选择内网接口。
[WAN网口选择]用于选择外网接口。
[网桥列表]用于定义网桥,每对网桥接口之间允许转发数据,非一对网桥接口之间的数据是不允许转发的。
勾选[开启多网桥链路同步],通常用于在冗余网络环境中通知对端设备该链路正发生了故障或已从故障中恢复。
建议开启。
第五步:分别配置两个网桥的IP,默认网关,首选DNS以及备用DNS,和是否启用VLAN。
在『网桥配置』中配置设备的两个网桥IP、默认网关和DNS地址。
此例中两个网桥是处于同一网段的,网桥IP可以设置同一网段的IP但是不能设置相同的IP,按照网络中空闲的IP地址分配两个地址用做网桥IP,默认网关指向前置FW的虚拟IP地址,DNS设置网络运营商分配的公网DNS地址。
[启用VLAN]用于设备做网桥,有VLAN数据穿过设备,才需要设置VLAN的相关信息。
此例中没有VLAN,所以这里不勾选[启用VLAN]。
1、此处如果没有多余的空闲地址分配做网桥IP,不会影响内网上网的数据,但此时设备没有有效的IP和内网、外网进行通讯,某些功能会受到影响,比如:内置库更新、WEB 认证、准入等)第六步:配置管理网口和防火墙规则管理网口DMZ口,选择一个设备空闲的的网口(非网桥口)做为管理网口。