AC常规部署模式:路由、网桥、旁路模式部署在网络中;
路由模式: 环境条件:客户网络环境为新建环境、替代出口路由器或防火墙 独有功能:VPN、DHCP、NAT AC支持接口Trunk,在模式部署接口配置时,添加具体的VLANID
配置步骤:基本接口地址配置、默认生成静态路由(若内网为三层环境,需要添加回包路由,用来方便内网用户管理到设备)、检查防火墙规则、NAT ----------以上操作可以保证设备正常上架之后,客户网络环境正常;
策略配置: 用户认证:根据客户实际需求,配置具体的认证模式(不细说,认证模式较多) 策略:应用控制策略、审计策略、用户限额策略、准入策略、流控策略,以上策略为用户常用策略;
策略注意事项: 应用控制策略:新设备上架时,建议应用控制策略将常规应用和URL进行封堵即可;客户如果提出具体的需求,需要进行某些应用封堵,可具体设置;其余细节设置,建议告诉客户设置方式,客户后期再进行设置;注意关联相对应的用户/组;
审计策略:审计策略一般不建议勾选“通过网页上传的文本内容”“未识别的网络应用(包括访问某个地址、某个端口等,如果动作选择为审计,则会产生大量的日志)”,会产生大量日志,影响设备性能;
用户限额策略,可和流控惩罚通道策略配套设置;
准入策略:主要用来审计IM聊天内容,策略生效之后,客户端需要安装控件;使用IE浏览器打开或者带IE内核的浏览器打开,进行控件下载安装;
流控策略:注意需要设置保障或者限额策略,一级通道和子通道之间的关系,以及子通道流控大小最终是依据父通道流量大小设置;
网桥模式:串接在网络环境中,对客户现场网络环境改动较小;设备自带bypass功能,当设备出现自身硬件故障时,使用bypass桥口把设备架设在网络中,不影响客户内网网络的正常,只是设备自身的策略失效;
网桥模式下,设备不必备VPN、DHCP和NAT功能;
基本配置:6.0之前(包括6.0),设备必须配置网桥IP地址(可为内网不冲突或者不存在地址);11.0之后版本,桥地址可以不配置;在实际实施时,建议客户配置带外管理(根据设备是否有多余网口)、内网三层环境时,配置回包路由; 以上可保障设备桥模式部署在网络中,网络正常;用户上网策略,和路由模式策略基本相同;
旁路模式:主要用于审计用户行为和基于tcp应用的控制;该模式下不具备VPN、DHCP和NAT功能
基本配置:设备常规部署连接在交换机上,将内网用户上网数据镜像给交换机某一个接口,设备配置镜像口和交换机连接;另外配置管理口(基本网络信息配置),确认是否需要添加回包路由。 | 
发表于 2018-8-7 12:56
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术员3级 
