记一次AC网桥部署DMZ重定向实施
  

大蒜头 发表于 2015-12-11 16:57

本帖最后由 大蒜头 于 2015-12-11 16:56 编辑

、客户背景                                                                     
客户是某大学,学校最近带宽滥用现象比较严重,导致正常办公和教学均受影响。学生上机时上网操作记录需要进行审计,曾经学校出现过,学生上机时帮陌生人挂Q,结果该陌生人系一外逃犯,最后公安人员根据登Q地址找到学校,幸好每次上机都有学生填写记录,根据记录找到了事件根源。虽然问题解决但是这跟学校带来了不好的影响,所以上架审计设备迫在眉睫。
二、客户网络拓扑                                                                 
拓扑钱.jpg
该学校的网络拓扑为最常见,出口是一台路由器,下面是其核心交换机,再往下就是各段的二层交换机。但是客户处负责人更换,现在人员对路由器和核心交换间的地址不清楚,路由器的登陆密码也全然不知。客户想实现流控和审计但是又不想对网络有太大改动。
三、设备部署                                                                    
1、确认设备的部署模式
根据客户处的需求和不想对网络有太大改动,此处我们建议使用网桥部署模式来进行实施。但是客户处对网络中路由器和核心交换机之间的连接IP等信息不是很清楚,为了便于管理设备和保持设备的规则库可正常更新,我们采用DMZ重定向的方式来实施管理和更新。网络拓扑及地址见下:

部署后.jpg

DMZ重定向:主要是针对于无可用桥地址的网桥模式部署(单网桥或多网桥),需要考虑AC所串接的防火墙和交换机之间的网段是否存在空闲的IP地址,如果有则分配一个该网段的IP地址给AC作为网桥的IP地址;如果没有,AC的网桥IP可任意配置,同时将管理口(DMZ口)接到交换机上并配置管理口地址,用于设备管理和设备与外网通信。

2、设备部署配置
①设备拆箱
拆箱.jpg

②配置设备
1.首先配置本地IP10.252.252.252同网段地址,例如配置成10.252.252.25,点击确定。打开IE浏览器,在地址栏中输入https://10.252.252.252,提示证书错误,点击继续浏览即可
ip.jpg



2.输入用户名密码,默认是admin/admin
初等设备.jpg


3.登陆成功后,打开网络配置==部署模式==选择网桥模式,点击开始配置
部署模式选择.jpg


4.选择网桥对应网口,默认选择eth0和eth2口,完成后点击下一步
选择网桥口.jpg


5.配置网桥IP地址及网关信息,由于我们本次管理使用的是DMZ重定向,所以此处网桥IP地址可任意添加,但不可与内网相同网段,网关填写255.255.255.255,如图所示
网桥IP配置.jpg


6.点击下一步之后,接下来是配置管理口,即平时登录设备所用,本案例中设置为192.168.0.249,完成后点击下一步继续
配置管理口.jpg


7.点击下一步会显示本次配置的信息,确认无误后点击提交,设备会提示需重启,点击确认重启设备,重启完成设备的网络配置完成。
确认信息并提交.jpg


8.启动完成后,添加静态路由,下一跳指向内网网关。
添加静态路由.jpg


③设备上架
设备配置完毕后,上架到客户网络环境中,注意插线及对应接口。
上架.jpg


DMZ重定向注意事项                                                                                                                  
1. 设备工作在网桥模式时,穿透数据时要保证WAN 区接前置的路由设备,LAN 区接内网的交换机,不能接反。数据从LAN 区发到WAN 区才能进行上网行为的监控和控制。
2. 设备网桥IP 对应的默认网关,建议设置成255.255.255.255,如果默认网关设置与网桥IP 同网段的地址,可能造成默认路由冲突的问题。
3. 内网电脑需要登录AC/SG 设备的控制台,可以通过DMZ 口设置的IP 地址登录。

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

×
有话想说?点这里!
可评论、可发帖

本版热帖

本版达人

新手84471...

本周建议达人

新手41456...

本周分享达人

新手26810...

本周提问达人