记一次AC网桥部署DMZ重定向实施
  

大蒜头 10268

{{ttag.title}}
、客户背景                                                                     
客户是某大学,学校最近带宽滥用现象比较严重,导致正常办公和教学均受影响。学生上机时上网操作记录需要进行审计,曾经学校出现过,学生上机时帮陌生人挂Q,结果该陌生人系一外逃犯,最后公安人员根据登Q地址找到学校,幸好每次上机都有学生填写记录,根据记录找到了事件根源。虽然问题解决但是这跟学校带来了不好的影响,所以上架审计设备迫在眉睫。
二、客户网络拓扑                                            
拓扑钱.jpg
该学校的网络拓扑为最常见,出口是一台路由器,下面是其核心交换机,再往下就是各段的二层交换机。但是客户处负责人更换,现在人员对路由器和核心交换间的地址不清楚,路由器的登陆密码也全然不知。客户想实现流控和审计但是又不想对网络有太大改动。
三、设备部署                                                                    
1、确认设备的部署模式
根据客户处的需求和不想对网络有太大改动,此处我们建议使用网桥部署模式来进行实施。但是客户处对网络中路由器和核心交换机之间的连接IP等信息不是很清楚,为了便于管理设备和保持设备的规则库可正常更新,我们采用DMZ重定向的方式来实施管理和更新。网络拓扑及地址见下:

部署后.jpg

DMZ重定向:主要是针对于某公司公司可用桥地址的网桥模式部署(单网桥或多网桥),需要考虑AC所串接的防火墙和交换机之间的网段是否存在某公司闲的IP地址,如果有则分配一个该网段的IP地址给AC作为网桥的IP地址;如果没有,AC的网桥IP可任意配置,同时将管理口(DMZ口)接到交换机上并配置管理口地址,用于设备管理和设备与外网通信。

2、设备部署配置
①设备拆箱
拆箱.jpg

②配置设备
1.首先配置本地IP10.252.252.252同网段地址,例如配置成10.252.252.25,点击确定。打开IE浏览器,在地址栏中输入https://10.252.252.252,提示证书错误,点击继续浏览即可
ip.jpg



2.输入某公司公司名密码
初等设备.jpg


3.登陆成功后,打开网络配置==部署模式==选择网桥模式,点击开始配置
部署模式选择.jpg


4.选择网桥对应网口,默认选择eth0和eth2口,完成后点击下一步
选择网桥口.jpg


5.配置网桥IP地址及网关信息,由于我们本次管理使用的是DMZ重定向,所以此处网桥IP地址可任意添加,但不可与内网相同网段,网关填写255.255.255.255,如图所示
网桥IP配置.jpg


6.点击下一步之后,接下来是配置管理口,即平时登录设备所用,本案例中设置为192.168.0.249,完成后点击下一步继续
配置管理口.jpg


7.点击下一步会显示本次配置的信息,确认某公司公司误后点击提交,设备会提示需重启,点击确认重启设备,重启完成设备的网络配置完成。
确认信息并提交.jpg


8.启动完成后,添加静态路由,下一跳指向内网网关。
添加静态路由.jpg


③设备上架
设备配置完毕后,上架到客户网络环境中,注意插线及对应接口。
上架.jpg


DMZ重定向注意事项                                                                                                                  
1. 设备工作在网桥模式时,穿透数据时要保证WAN 区接前置的路由设备,LAN 区接内网的交换机,不能接反。数据从LAN 区发到WAN 区才能进行上网行为的监控和控制。
2. 设备网桥IP 对应的默认网关,建议设置成255.255.255.255,如果默认网关设置与网桥IP 同网段的地址,可能造成默认路由冲突的问题。
3. 内网电脑需要登录AC/SG 设备的控制台,可以通过DMZ 口设置的IP 地址登录。

打赏鼓励作者,期待更多好文!

打赏
5人已打赏

Sangfor_闪电回_小云 发表于 2015-12-14 09:46
  
图文并茂,描述清晰,好帖顶起!
Sangfor_Vecen 发表于 2015-12-14 23:20
  
分享的很及时
摇曳的影子 发表于 2015-12-15 10:12
  
很好很精彩。希望继续分享
Demo 发表于 2015-12-22 15:00
  
好贴~赞一个~不过现在11.0 的版本是可以做到,不用网桥IP了,可以直接省去这一步。直接配置DMZ口IP就可以了
Sangfor_闪电回_小狒 发表于 2015-12-22 19:11
  
小狒来晚啦~~搂着棒棒哒!楼主居然写的这么好!!!看来以后要多找楼主分享啦~
果断盖章走起~
Mr·陈 发表于 2015-12-24 15:29
  
新手学习了
吐刺不吃鱼 发表于 2016-4-5 15:29
  
对工作有很大帮助,十分感谢。
市委书记 发表于 2016-4-5 15:38
  
学习下
新手753686 发表于 2016-4-6 17:05
  
新人报道
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
每周精选
技术笔记
干货满满
技术咨询
新版本体验
信服课堂视频
标准化排查
产品连连看
安装部署配置
功能体验
自助服务平台操作指引
秒懂零信任
GIF动图学习
2023技术争霸赛专题
通用技术
社区帮助指南
技术晨报
安全攻防
每日一记
玩转零信任
天逸直播
华北区交付直播
深信服技术支持平台
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版版主

147
108
49

发帖

粉丝

关注

本版达人

新手89785...

本周建议达人

七嘴八舌bar

本周分享达人

新手76619...

本周提问达人