本帖最后由 大飞 于 2017-3-25 09:18 编辑
作者来自社区编辑部
1、网络环境 网络环境为纯内网,核心层交换机(三层交换机)与县局专网互联,汇聚层交换机(三层交换机)连接本地网络,涉及和本次实施的只有核心层以下的设备;通过了解交换机配置:
客户通过核心交换机划分多个VLAN,如下: 1301/10.98.208.30/255.255.255.224 1302/10.98.208.62/255.255.255.224 1303/10.98.208.94/255.255.255.224 1304/10.98.208.126/255.255.255.224 1305/10.98.208.158/255.255.255.224 1306/10.98.208.190/255.255.255.224 1307/10.98.208.206/255.255.255.240 1308/10.98.208.222/255.255.255.240 1309/10.98.208.238/255.255.255.240 1311/10.98.209.222/255.255.255.224 1312/10.98.209.62/255.255.255.224 1313/10.98.209.94/255.255.255.224 1314/10.98.209.110/255.255.255.240 1315/10.98.209.126/255.255.255.240 1316/10.98.209.142/255.255.255.240 1317/10.98.209.158/255.255.255.240 1318/10.98.209.174/255.255.255.240 1319/10.98.209.30/255.255.255.224
2、网络拓扑
3、用户需求
1)在不改变现有网络环境和用户使用习惯的情况下,将上网行为管理设备进行部署; 2)需要对办公区域所有笔记本做访问控制,只允许访问电子平台区域的 platform.wsx.com.cn以及FTP服务;
4、实施前项目分析
在了解客户网络环境以及用户需求后,发现设备上架并不是很难;虽然之前没有遇到这样的网络环境(trunk模式部署:网桥部署),但也看到过之前的针对类似项目的培训PPT介绍;
1)设备上架部署:将上网行为管理设备部署在核心层设备与汇聚层设备之间,采用双网桥模式(客户采购设备为AC1200,只有4个网口);因为与设备连接的交换机接口为Trunk模式,也就是说AC要trunk封装数据的穿透;因此要在调试部署的时候要“启用VLAN”。(PS:将VLANID、各个VLAN空闲IP地址(用于各个VLAN里的计算机管理AC设备)、子网掩码写到配置里;)
2)访问控制策略的配置:建立两条认证策略并关联相应的用户组;配置“上网权限策略”,做一条禁止访问所网站(DNS全部和FTP服务除外)的策略;在“全局排除地址”选项配置中,将“platform.wsx.com.cn”进行排除即可;
5、设备上架后拓扑
6、项目总结
1)AC1200设备只有4个网口(含管理口eth0口),在实施中涉及到双网桥,因此设备的管理口地址(eth1—10.252.252.252)是不能用的。
2) 什么时候“启用VLAN”设置:AC设备所在的链路是Trunk链路,VLAN 数据需要穿透AC(或者说是Trunk封装数据的穿透AC设备)。
3) “VLAN地址”配置:在选项框中填写各VLAN 的ID 及IP、子网掩码(固定格式),此IP 是分配给设备的一个VLAN 的空闲IP地址;这样,经过AC设备的数据会根据这里配置的信息重新打上VLAN 的标签,以保证数据正常转发。
4)针对老设备新环境,客户不知道设备原来的IP地址(管理口以及其他地址),通过升级客户端搜索IP地址。
7、相关资料帖子
| 
发表于 2017-2-23 09:36
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2017-2-23 11:11
