收藏
下载资源

深信服上网行为管理部署方式及功能实现配置说明

上传人:ldj****22 文档编号:30589520 上传时间:2018-01-30 格式:DOC 页数:48 大小:1.53MB
返回 下载 相关 举报
深信服上网行为管理部署方式及功能实现配置说明_第1页
第1页 / 共48页
深信服上网行为管理部署方式及功能实现配置说明_第2页
第2页 / 共48页
深信服上网行为管理部署方式及功能实现配置说明_第3页
第3页 / 共48页
深信服上网行为管理部署方式及功能实现配置说明_第4页
第4页 / 共48页
深信服上网行为管理部署方式及功能实现配置说明_第5页
第5页 / 共48页
点击查看更多>>
资源描述

《深信服上网行为管理部署方式及功能实现配置说明》由会员分享,可在线阅读,更多相关《深信服上网行为管理部署方式及功能实现配置说明(48页珍藏版)》请在金锄头文库上搜索。

1、深信服上网行为管理部署方式及功能实现配置说明(标化院)设备出厂的默认 IP 见下表:接口 IP 地址ETH0(LAN) 10.251.251.251/24ETH1(DMZ ) 10.252.252.252/24ETH2(WAN1) 200.200.20.61/24AC 支持安全的 HTTPS 登录,使用的是 HTTPS 协议的标准端口登录。如果初始登录从 LAN 口登录,那么登录的 URL 为:https:/10.251.251.251 ,默认情况下的用户名和密码均为 admin。设备正常工作时 POWER 灯常亮, WAN 口和 LAN 口 LINK 灯长亮,ACT 灯在有数据流量时会不停闪

2、烁。ALARM 红色指示灯只在设备启动时因系统加载会长亮(约一分钟) ,正常工作时熄灭。如果在安装时此红灯长亮,请将设备掉电重启,重启之后若红灯一直长亮不能熄灭,请与我们联系。部署模式用于设置设备的工作模式,可设定为路由模式、网桥模式或旁路模式。选择一个合适的部署模式,是顺利将设备架到网络中并且使其能正常使用的基础。路由模式:设备做为一个路由设备使用,对网络改动最大,但可以实现设备的所有的功能;网桥模式:可以把设备视为一条带过滤功能的网线使用,一般在不方便更改原有网络拓扑结构的情况下启用,平滑架到网络中,可以实现设备的大部分功能;旁路模式:设备连接在内网交换机的镜像口或 HUB 上,镜像内网用

3、户的上网数据,通过镜像的数据实现对内网上网数据的监控和控制,可以完全不需改变用户的网络环境,并且可以避免设备对用户网络造成中断的风险,但这种模式下设备的控制能力较差,部分功能实现不了。选择【导航菜单】中的网络配置部署模式 ,右边进入【部署模式】编辑页面,点击 开始配置 ,会出现路由模式 、 网桥模式 、 旁路模式的选项,选择想要配置的网关模式。路由模式:是把设备作为一个路由设备使用,一般是把设备放在内网网关出口的位置,代理局域网上网;或者把设备放在路由器后面,再代理局域网上网。配置方法:第一步:先配置设备,通过默认 IP 登录设备,比如通过 LAN 口登录设备,LAN 口的默认 IP 是 10

4、.251.251.251/24,在电脑上配置一个此网段的 IP 地址,通过https:/10.251.251.251 登录设备,默认登录用户名/密码是: admin/admin。第二步:在【导航菜单】页面中的网络配置部署模式 ,右边进入【部署模式】编辑页面,点击 开始配置 ,出现以下页面:配置设备模式为路由模式,点击 下一步第三步:定义 LAN 区网口和 WAN 区网口,选择空闲网口,点击 增加 ,将空闲网口移动到对应的网口列表。设备默认的 LAN 口区网口是 eth0,DMZ 口区网口是 eth1,WAN 口区网口是 eth2,这些网口位置建议不要随便修改,和设备面板的图示接口保持一致。其他

5、空闲接口可以自定义其所属的区域。第四步:完成网口定义,点击 下一步 ,配置 LAN 区网口 IP 地址,此例中 LAN 口区的网口是 eth0,此处配置 eth0 的地址是:192.168.1.12/255.255.255.0第五步:配置 WAN 区网口,此例中 WAN 口区的网口是 eth2。WAN 口支持以太网和 ADSL 拨号两种类型,此例中公网线路是光纤接入,固定分配公网 IP 地址的,所以选择以太网 。1、如果线路是 ADSL 拨号,需要将 WAN 口和 modem 相连。勾选自动拨号 作用是在拨号线路异常断开后自动重新拨号,或者是重启设备后自动拨号。分别在账号 和密码中输入拨号的账

6、号和密码。第六步:配置 DMZ 区网口,此例中 DMZ 区的网口是 eth1,配置IP 地址和子网掩码。第七步:NAT 配置,用于设置代理上网规则,当设备做网关,直接接公网线路时,需要在设备上做代理上网设置,以代理内网用户正常上网。设置完成后,会在NAT 代理上网中新增一条代理规则“代理 LAN 口上网” 。 第八步:配置完毕,检查配置无误后,点击 提交设置完毕需要重启设备才可以生效,在弹出的提示框中点击 是 。第九步:此例中由于内网网段跟设备 LAN 口不在同一网段,需要加上设备到内网的系统路由,在【导航菜单】页面中的网络配置静态路由 ,右边进入【静态路由】编辑页面,点击 新增 则可以添加路

7、由。当内网有多个网段时需要相应的添加多条系统路由。第十步:基本配置完毕后,将设备接入网络中,WAN 口接外网线路,LAN 口接内网交换机。并且将内网交换机的上网路由指向 AC 设备的 LAN 口。1设备工作在路由模式时,局域网内电脑的网关都是指向设备的 LAN 口 IP 或指向三层交换机,三层交换机的网关再指向设备。上网数据由设备做 NAT 或路由转发出去。2WAN、LAN、DMZ 网口应设置不同网段的 IP 地址。3如果设置路由模式为有前置设备,请在第五步配置 WAN 口 IP 为与前置设备 LAN口同网段 IP,其他操作一样。网桥模式网桥模式:是把设备视为一条带过滤功能的网线使用,一般在不

8、方便更改原有网络拓扑结构的情况下启用。把设备接在原有网关及内网用户之间,在原网关及内网用户不需做任何配置改变的情况下,对设备进行一些配置即可使用。对原网关及内网用户而言,亦不知设备的存在,即所谓对原网关及内网用户透明。网桥模式的主要特点是:网桥模式对用户做到完全透明。网桥模式分为网桥多网口和多网桥两种模式。网桥多网口网桥多网口是指设备只做一个网桥,但内外网口不是一一对应的,可能内网口需要接多个网口,也可能外网口需要接多个网口,各个网口之间的数据都可以设置转发,设备的ARP 表只维持一份。网桥多网口一般用于以下环境:运行环境 1:交换机连接到外网两条线路 FW1、FW2 上,在交换机和防火墙之间

9、接入设备,设备网桥模式部署,单进双出做网桥多网口模式:运行环境 2:为了加强网络的稳定性,减少单点故障,内网核心交换和路由器都采用双机方案,这种环境下可以加入两台设备做网桥,双进单出做多网桥模式部署,如下图所示: 网桥多网口部署配置案例客户环境和要求:如下是客户需要部署的拓扑,设备做网桥多网口模式,内网接三层交换机,内网网段有 192.168.2.0/255.255.255.0、192.168.3.0/255.255.255.0 两个网段。公网出口的两个防火墙分别承担流量用户的上网流量。配置方法:第一步:先配置设备,通过默认 IP 登录设备,比如通过 LAN 口登录设备,LAN 口的默认 IP

10、 是 10.251.251.251/24,在电脑上配置一个此网段的 IP 地址,通过https:/10.251.251.251 登录设备,默认登录用户名/密码是:admin/admin。第二步:在【导航菜单】页面中的网络配置部署模式 ,右边进入【部署模式】编辑页面,点击 开始配置 ,出现以下页面:配置设备模式为网桥模式,点击 下一步第三步:选择网桥模式:网桥多网口模式第四步:定义网桥接口,以及允许数据转发的方向。LAN 区网口和 WAN 区网口,选择空闲网口,点击 增加 ,将空闲网口移动到对应的网口列表。设备默认的 LAN 口区网口是 eth0,WAN 口区网口是 eth2,这些网口位置建议不

11、要随便修改,和设备面板的图示接口保持一致。定义允许数据转发方向,此处定义 eth0eth2、eth0eth3 之间可以转发数据,即内网口和两个外网口之间可以转发数据。第五步:完成网口定义,点击 下一步 ,配置网桥 IP、网桥网关等,此例中配置网桥 IP为 192.168.1.254,网关指向其中一个 FW。注意:这里只能指定一个网关地址。第六步:启用 VLAN,如果设备做网桥,有 VLAN 数据穿过设备,这里需要设置VLAN 的相关信息。此例中没有 VLAN,所以这里不勾选 启用 VLAN。第七步:配置 DMZ 口以及防火墙规则:选择管理网口选择空闲的网口做为管理网口,用户可以通过此网口连接设

12、备,默认情况下设备的管理网口是 eth1 口。配置IP 地址和子网掩码 ,注意:管理网口和网桥 IP 不能属于同一网段。勾选自动放通防火墙规则:用于放通 WANLAN 方向所有数据的防火墙规则。第八步:配置完毕,查看各个配置项是否正确,如果正确,点击 提交 ,设置完毕需要重启设备才可以生效,在弹出的提示框中点击 是 。第九步:此例中由于内网网段跟设备 LAN 口不在同一网段,需要加上设备到内网的系统路由,在【导航菜单】页面中的网络配置静态路由 ,右边进入【静态路由】编辑页面,点击 新增 则可以添加路由。当内网有多个网段时需要相应的添加多条系统路由。本例中要添加到 192.168.2.0/255

13、.255.255.0、192.168.3.0/255.255.255.0 两个网段的路由,路由下一跳指向内网的三层交换机:第十步:基本配置完毕后,将设备接入网络中,WAN1 口、WAN2 口接 FW,LAN 口接内网交换机。多网桥多网桥是指一台 AC 设备可以做多个网桥,相当于多个交换机,和网桥多网口的区别是:设备的 ARP 表维持多份;内外网口是一一对应的;网口属于同一个网桥才能进行数据转发,不同网桥接口之间的数据不能转发。多网桥一般适用于以下几种情况:运行环境一:设备一进一出做单网桥运行环境二:适用于客户内网有 VRRP 或 HSRP 环境,架上设备做多网桥实现基本审计控制功能的同时,不影

14、响客户原有主备的切换。如图所示的两种运行环境:多网桥部署配置案例客户环境和需求:客户的两个 FW 和交换机之间走 VRRP 协议,FW 对应的虚拟 IP 是192.168.1.1,设备双进双出做双网桥部署在交换机和 FW 之间。配置方法:第一步:先配置设备,通过默认 IP 登录设备。第二步:在【导航菜单】页面中的网络配置部署模式 ,右边进入【部署模式】编辑页面,点击 开始配置 ,出现以下页面:配置设备模式为网桥模式,点击 下一步第三步:选择网桥模式:多网桥模式。第四步:分别选择 LAN 区网口和 WAN 区网口,组成两对网桥,如图所示:LAN 网口选择 用于选择内网接口。WAN 网口选择用于选

15、择外网接口。网桥列表 用于定义网桥,每对网桥接口之间允许转发数据,非一对网桥接口之间的数据是不允许转发的。勾选开启多网桥链路同步,通常用于在冗余网络环境中通知对端设备该链路正发生了故障或已从故障中恢复。建议开启。第五步:分别配置两个网桥的 IP,默认网关,首选 DNS 以及备用 DNS,和是否启用VLAN。在网桥配置中配置设备的两个网桥 IP、默认网关和 DNS 地址。此例中两个网桥是处于同一网段的,网桥 IP 可以设置同一网段的 IP 但是不能设置相同的 IP,按照网络中空闲的 IP 地址分配两个地址用做网桥 IP,默认网关指向前置 FW 的虚拟 IP 地址,DNS 设置网络运营商分配的公网

16、 DNS 地址。启用 VLAN用于设备做网桥,有 VLAN 数据穿过设备,才需要设置 VLAN 的相关信息。此例中没有 VLAN,所以这里不勾选启用 VLAN。1、此处如果没有多余的空闲地址分配做网桥 IP,不会影响内网上网的数据,但此时设备没有有效的 IP 和内网、外网进行通讯,某些功能会受到影响,比如:内置库更新、WEB 认证、准入等)第六步:配置管理网口和防火墙规则管理网口 DMZ 口,选择一个设备空闲的的网口(非网桥口)做为管理网口。勾选自动放通防火墙规则:用于放通 WANLAN 方向所有数据的防火墙规则。第七步:确认配置信息,确认无误后,点击 提交设置完毕需要重启设备才可以生效,在弹出的提示框中点击 是 。

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号