AC设备支持路由、网桥、旁路部署模式
SG设备支持路由、网桥、旁路、单臂部署模式
路由部署模式
AC当路由器使用,全功能启用模式
具有路由转发,NAT,VPN,DHCP等功能模块
对网络影响最大,串联于网络中。
网桥部署模式
对客户来说就是一个透明设备,部分功能启用。
如果AC出现故障,开启硬件bypass功能相当于一对网线的转接头
不支持NAT(代理上网和端口映射)、VPN、DHCP等功能。
对网络影响其次,串联于网络中。
旁路部署模式
旁路模式主要用于实现审计,基于TCP应用控制,其他功能都没有。
通过把设备的监听口接在交换机的镜像口,实现对上网数据的监控。
宕机也不会对用户的网络造成中断
除了管理口DMZ,其他都可以做监听口
对网络影响最小,并联于网络中。
路由模式解决方案
1)内网网段需要上网,AC上需要做SNAT,源地址转换,也叫代理上网
2)内网有服务器要发布出去,需要做端口映射
3)下面是多网段,所以需要在AC的下行口做静态路由,也叫回包路由(即去往172.16.1.0/2.0/3.0的网段的下一跳路由需要给172.16.0.2)
4)AC上有防火墙,为了保证内外网畅通需要做策略或者关闭防火墙
网桥模式解决方案
部署位置:
三层设备之上,网关设备之下
在网桥模式下,AC上行跟下行口都是二层口不能配IP
上网四要素:IP地址,子网掩码,默认网关,DNS
查看默认路由
掩码为30位时,因DMZ是三层口,连接到下面三层设备上,网关为三层设备,即可配置IP地址等
在网桥模式上AC配置去往172.16.4.0网段到172.16.0.2的静态路由的作用:
当4.10去访问外网的时候,从三层设备到AC再到网关,AC上是默认路由所有都到网关。而网关上有去往各个内网网段的静态路由,则回包时AC无此静态路由,则去4.10先到AC,AC没有去往4.10的静态路由则走默认路由到网关172.16.0.254,网关查找路由表,发现去往4.10的路由要走172.16.0.2,则再从AC到172.16.0.2。
AC在网桥模式下,还有一个虚拟地址1.1.1.3,也可通过此IP管理AC
AC发包有可能时以1.1.1.3发出来的,做网络规划时不能占用此网段
如果AC的上下行口接反,会导致策略不生效,在线用户变为公网用户
旁路模式解决方案
除了DMZ口其他口都可以做监听口,主要用于流量审计。
旁路模式可以控制TCP原理:
在三层握手之后,伪造服务端发送RST包关闭连接,因AC在内网所以RST包比服务器响应包要先到达PC端,可以说非常有意思。
TRUNK部署解决方案
单臂路由,简单不详细写了
10/192.168.10.1 中的10对应vlan10
基于包过滤实现
基于IP,端口转发的四层防火墙
注意过滤方向
LAN-LAN端口映射,相当于做了DNAT跟SNAT两种转换。
不勾选发布服务器(即只配置DNAT规则)仅允许外网IP访问内网服务器,因为到AC的源IP不做转换还是为内网PC的IP,这样如果内网电脑访问OA,OA直接回包不通过AC转发,造成session不匹配,从而丢包。
勾选发布服务器,则AC的源IP地址会转换成AC的IP地址而不是内网PC的IP地址。
2h10m是实验
端口映射
2h19m是实验
先做DNAT转换,在长沙AC上做。
做DNAT的时候要指定入端口,这点跟发布服务器时配置选的应用于所有WAN口不一样。
去掉发布服务器选项。
再做SNAT转换
HTTP认证
实验操作2h34m
创建一个用户
创建一个用户组
新增认证策略
注意需要把DNS放通
也要把访问HTTPS拦截到认证页面,否则不能访问https网站,也重定向不了认证页面
至此第四天视频看完
原文链接:https://www.cnblogs.com/tz90/p/12347286.html