本帖最后由 sangfor1009_李露 于 2015-3-11 14:52 编辑
AC网桥ip不可用重定向dmz上网 网络环境: XX客户购买了一台M5100-AC的设备,想要通过AC实现上网控制和审计的功能,为保证客户网络环境不做太大改动以及实现客户需求,决定做网桥模式,但之前客户FW和交换机之间是30位的子网掩码,没有多余的ip给AC使用,但设备需要更新规则库及准入IM监控、web认证等设置,此时可以通过重定向DMZ口上网的方式来解决。 客户原网络环境: 加入AC后网络环境:
通过dmz口重定向AC设备上网,需要配置: 1、在dmz口接线到三层交换机,配置dmz口ip为交换机上的某个网段内的空闲ip,案例中配置为192.168.3.3/24 2、网桥ip处设置网关为255.255.255.255,dns设置为正确的外网可用的dns 3、因dmz口没有网关设置的配置,所以需要在AC上添加系统路由,如dmz口ip是192.168.3.3/24属于交换机上划分的192.168.3.0/24这个网段,此时在AC上配置的系统路由为八个0的路由指向192.168.3.0/24这个网段的网关192.168.3.254(即跟内网192.168.3.0/24这个网段的电脑配置一样的网关) 4、因设备需要上网更新规则库,要保证设备dmz口ip可以上网,需要在AC组织结构中新建一个帐号绑定dmz口ip,用来代替AC设备上网。(设备是否可以上网,可以通过网关升级与备份系统登录设备然后ping公网测试,建议直接在设备上排除dmz口的ip,以免我们设备自己拦截dmz的上网数据) 5、通过dmz口重定向上网如果开了防dos攻击,需要把AC设备的数据做排除或不开防dos攻击 6、如果要做web认证或准入,只要保证dmz口和内网各个网段能够正常通信即可 PS:这样设置类似于把dmz口当作内网的一台电脑来配置 | 
发表于 2015-3-11 14:49
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
