上网行为管理设备之透明模式Trunk部署(多网桥)
  

大飞 发表于 2017-2-23 09:36

本帖最后由 大飞 于 2017-3-25 09:18 编辑

作者来自社区编辑部

1、网络环境
网络环境为纯内网,核心层交换机(三层交换机)与县局专网互联,汇聚层交换机(三层交换机)连接本地网络,涉及和本次实施的只有核心层以下的设备;通过了解交换机配置:

客户通过核心交换机划分多个VLAN,如下:
1301/10.98.208.30/255.255.255.224    1302/10.98.208.62/255.255.255.224
1303/10.98.208.94/255.255.255.224    1304/10.98.208.126/255.255.255.224
1305/10.98.208.158/255.255.255.224   1306/10.98.208.190/255.255.255.224
1307/10.98.208.206/255.255.255.240   1308/10.98.208.222/255.255.255.240
1309/10.98.208.238/255.255.255.240   
1311/10.98.209.222/255.255.255.224   1312/10.98.209.62/255.255.255.224
1313/10.98.209.94/255.255.255.224    1314/10.98.209.110/255.255.255.240
1315/10.98.209.126/255.255.255.240   1316/10.98.209.142/255.255.255.240
1317/10.98.209.158/255.255.255.240   1318/10.98.209.174/255.255.255.240
1319/10.98.209.30/255.255.255.224   

2、网络拓扑

原.jpg


3、用户需求

         1)在不改变现有网络环境和用户使用习惯的情况下,将上网行为管理设备进行部署;   
         2)需要对办公区域所有笔记本做访问控制,只允许访问电子平台区域的 platform.wsx.com.cn以及FTP服务;

4、实施前项目分析

     在了解客户网络环境以及用户需求后,发现设备上架并不是很难;虽然之前没有遇到这样的网络环境(trunk模式部署:网桥部署),但也看到过之前的针对类似项目的培训PPT介绍;


1)设备上架部署:将上网行为管理设备部署在核心层设备与汇聚层设备之间,采用双网桥模式(客户采购设备为AC1200,只有4个网口);因为与设备连接的交换机接口为Trunk模式,也就是说AC要trunk封装数据的穿透;因此要在调试部署的时候要“启用VLAN”。(PS:将VLANID、各个VLAN空闲IP地址(用于各个VLAN里的计算机管理AC设备)、子网掩码写到配置里;)

  2)访问控制策略的配置:建立两条认证策略并关联相应的用户组;配置“上网权限策略”,做一条禁止访问所网站(DNS全部和FTP服务除外)的策略;在“全局排除地址”选项配置中,将“platform.wsx.com.cn”进行排除即可;

5、设备上架后拓扑

现在.jpg
6、项目总结

1)AC1200设备只有4个网口(含管理口eth0口),在实施中涉及到双网桥,因此设备的管理口地址(eth1—10.252.252.252)是不能用的。

2)  什么时候“启用VLAN”设置:AC设备所在的链路是Trunk链路,VLAN 数据需要穿透AC(或者说是Trunk封装数据的穿透AC设备)。

3) “VLAN地址”配置:在选项框中填写各VLAN 的ID 及IP、子网掩码(固定格式),此IP 是分配给设备的一个VLAN 的空闲IP地址;这样,经过AC设备的数据会根据这里配置的信息重新打上VLAN 的标签,以保证数据正常转发。

4)针对老设备新环境,客户不知道设备原来的IP地址(管理口以及其他地址),通过升级客户端搜索IP地址。

7、相关资料帖子

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

×
有话想说?点这里!
可评论、可发帖

本版热帖

本版达人

新手24268...

本周建议达人

玖零网络

本周分享达人

新手60293...

本周提问达人