目錄

• 上網行為管理部署模式
• • 1.路由模式
  • • 1.1路由模式簡介
    • 1.2路由模式需求背景
    • 1.3路由模式配置思路
    • 1.4路由模式排錯思路
  • 2.網橋模式
  • • 2.1網橋模式簡介
    • 2.2網橋模式需求背景
    • 2.3網橋模式配置思路
    • 2.4網橋模式排錯思路
  • 3.旁路模式
  • • 3.1旁路模式簡介
    • 3.2旁路模式需求背景
    • 3.3旁路模式配置思路
    • 注意事項
    • • 三種模式對比
      • • （1.）支持功能
        • （2.）對客戶網路影響
        • （3.）支持線路
  • trunk部署
  • • 1.VLAN
    • • 1.1Access 端口
      • 1.2 VLAN 協議
    • 2.trunk
    • 3.配置
    • • **3.1trunk 環境路由配置**
      • 3.2trunk 環境網橋部署配置

上網行為管理部署模式

部署模式是指設備以什么樣的工作方式部署到客戶網絡中去，不同 的部署模式對客戶原有網絡的影響各有不同；設備在不同模式下支持的 功能也各不一樣，設備以何種方式部署需要綜合用戶具體的網絡環境和 功能需求而定。

根據客戶需求及環境不同：
AC設備支持路由、網橋、旁路部署模式,
SG設備支持路由、網橋、旁路、單臂部署模式

1.路由模式

1.1路由模式簡介

設備以路由模式部署時，AC的工作方式與路由器相當， 具備基本的路由轉發及NAT功能。
一般在客戶還沒有 相應的網關設備或者用戶的網路環境比較小型，需要將AC做網關使用時，建議以路由模式部署。

路由模式下支持AC所有的功能。
如果需要使用NAT、VPN、DHCP等功能時，AC必須 以路由模式部署，其它工作模式沒有這些功能

1.2路由模式需求背景

背景：客戶需要用新的上網行為管理設備來替換舊的出口路由器 ，實現行為審計和管控

1.3路由模式配置思路

內網的電腦如果需要上網，出口設備需要配置些什么？

第一步 網口配置配置各網口地址。如果是固定IP，則填寫運營商給的IP地 址及網關；如果是ADSL撥號上網，則填寫運營商給的撥號帳號和密碼； 確定內網口的IP；

第二步	確定內網是否為多網段網絡環境，如果是的話需要添加相應的回包路 由，將到內網各網段的數據回指給設備下接的三層設備。
第三步	用戶是否需要通過AC設備上網，如果是的話，需要設置NAT規則
第四步	檢查并放通防火墻規則

1.4路由模式排錯思路

（1）檢查PC本身的網口IP，子網掩碼 （2）檢查PC本身的默認網關，首選的DNS服務器 （3）檢查AC上給PC做的SNAT （4）檢查AC上給PC做的回包路由 （5）被PC訪問的設備本身能否上網 ping /telnet /wget （6）網口兼容性 換網線 換網口 中間加交換機 （7）arp防護和免費arp可能存在沖突 （8）通過ifconfig檢查網口錯誤包或者丟包，ethool -S 查看丟包類型

2.網橋模式

2.1網橋模式簡介

1.設備以網橋模式部署時對客戶原有的網絡基本沒有改動。
網橋模式部 署AC時，對客戶來說AC就是個透明的設備。

2.因為AC自身的原因 而導致網絡中斷時可以開啟硬件bypass功能，即可恢復網絡通信。

3.網橋模式部署時AC不支持NAT（代理上網和端口映射）、VPN、 DHCP等功能。

2.2網橋模式需求背景

需求：客戶需要部署一臺上網行為管理 設備，但是又不想對網絡改動太大，設備建議為網橋模式部署

2.3網橋模式配置思路

第一步配置設備網橋地址（地址應與核心交換機與防火墻為一個網段），網關地址，DNS地址。

第二步	確定內網是否為多網段網絡環境，本案例就是三層環境，所以需 要添加相應的回包路由，將到內網各網段的數據回指給設備下接的三 層設備。
第三步	檢查并放通防火墻規則

2.4網橋模式排錯思路

1、AC網線是否反接（在線用戶列表出現大量公網IP） 2、網橋地址是否可用，是否和內網沖突 3、網關是否指向靠近出口方向的設備 4、設備上的DNS是否填寫正確 5、確認前面設備是否有攔截（可能做ACL攔截了AC）， 或者是否對AC做源地址轉換代理上網

3.旁路模式

3.1旁路模式簡介

1.旁路模式主要用于實現審計功能，完全不需要改變用戶的網絡環境， 通過把設備的監聽口接在交換機的鏡像口，實現對上網數據的監控。
2.這種模式對用戶的網絡環境完全沒有影響，即使宕機也不會對用戶的 網絡造成中斷
3.旁路模式部署主要用于做上網行為的審計，且只能對TCP應用做控制， 對基于UDP的應用無法控制。
不支持流量管理、NAT、 VPN、 DHCP等功能

3.2旁路模式需求背景

需求：某客戶想部署上網行為 管理設備來審計內網用戶的上網行為，但是不能改動現有的網絡環境。

3.3旁路模式配置思路

原理：管理設備的上網行為，實現對上網數據的監控
TCP RST包
產生RST包的時候：當監控到設備發出被禁止的請求后，AC設備向請求發出設備發送RST包，斷開連接。

RST作用：標示復位、用來異常的關閉連接。

發送RST包關閉連接時，不必等緩沖區的包都發出去，直接就丟棄緩 沖區中的包。

而接收端收到RST包后，也不必發送ACK包來確認。

1、交換機設置鏡像口，并接到AC監聽口。 2、配置需要審計的內網網段和服務器網段。 3、配置管理口地址，用于管理AC設備

注意事項

三種模式對比

（1.）支持功能

路由模式可以實現設備所有功能;
網橋模式其次;
旁路模式多用于審計，只能對TCP應用控制，控制功能最弱。
功能支持列表

（2.）對客戶網路影響

路由模式對客戶原有網絡改造影響最大；
網橋模式其次；
旁路模式 對客戶原有網絡改造無影響，即使設備宕機也不會影響客戶斷網。

（3.）支持線路

設備路由模式最多支持32條外網線路；
網橋模式最多支持32對網橋；
旁路模式除了管理口外，其它網口均可作為監聽口，可以同時選擇多個網 口作為監聽口。

trunk部署

1.VLAN

**Virtual LAN（虛擬局域網）**是物理設備上連接的不受物理位置限制的 用戶的一個邏輯組。
形象地說，交換機VLAN技術就是將1臺物理交換機劃分為若干臺邏輯上完全獨立的交換機。
為什么引入VLAN？

二層交換機不能阻隔廣播域，網絡規模越大，廣播危害也越嚴重

路由器可以阻隔廣播，但價格比交換機貴，而且中低端路由器是使用軟 件轉發，轉發性能不高，會造成性能瓶頸

大量的未知單播流量和無用組播流量

帶來安全隱患

5.難以管理和維護

1.1Access 端口

Access接口：進該接口打上VLAN標記，出接口剝離VLAN標記

1.2 VLAN 協議

802.1Q – 公有標準
– 默認情況，在802.1Q Trunk上對所有的VLAN打Tag，除了Native VLAN；

– Native VLAN，也稱為本征VLAN，是在trunk上無需打標簽的VLAN，默 認 為vlan1，可手工修改

Tag標記字段詳細信息：
? Tag 標記字段包含一個2 bytes EtherType（以太類型）字段、一個 3bits的PRI字段、1bit的CFI字段、12bits的VLAN ID字段；

2.trunk

不同交換機相同的vlan互訪解決方案

方案一

方案二

1.不同VLAN之間的數據包如何交互？
VLAN間路由
2.路由器與每個VLAN建立一條物理連接，浪費大量的端口

所以產生了新的技術------單臂路由

3.配置

3.1trunk 環境路由配置

1、AC路由模式部署直接替代原有的路由器（或FW），并按照路由 模式部署配置好設備。
2、配置LAN口IP，填寫內網對應VLAN的VLAN網關IP即可。

3.2trunk 環境網橋部署配置

1、網橋模式部署在路由器與交換機之間，按網橋模式部署配置好設備。
2、可以給設備網橋配置其中一個VLAN中的可用IP來進行管理和更新規則庫。
3、或者給設備管理口配置其中一個VLAN中的可用IP（此時不用加vid）來進行 管理和更新規則庫。

總結

以上是生活随笔為你收集整理的上网行为安全之管理部署模式及trunk部署的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。