记一次AC网桥部署DMZ重定向实施

分享的太好了，辛苦啦

一、客户背景                                                                     

客户是某大学，学校最近带宽滥用现象比较严重，导致正常办公和教学均受影响。学生上机时上网操作记录需要进行审计，曾经学校出现过，学生上机时帮陌生人挂Q，结果该陌生人系一外逃犯，最后公安人员根据登Q地址找到学校，幸好每次上机都有学生填写记录，根据记录找到了事件根源。虽然问题解决但是这跟学校带来了不好的影响，所以上架审计设备迫在眉睫。

二、客户网络拓扑                                            

该学校的网络拓扑为最常见，出口是一台路由器，下面是其核心交换机，再往下就是各段的二层交换机。但是客户处负责人更换，现在人员对路由器和核心交换间的地址不清楚，路由器的登陆密码也全然不知。客户想实现流控和审计但是又不想对网络有太大改动。

三、设备部署                                                                    

1、确认设备的部署模式

根据客户处的需求和不想对网络有太大改动，此处我们建议使用网桥部署模式来进行实施。但是客户处对网络中路由器和核心交换机之间的连接IP等信息不是很清楚，为了便于管理设备和保持设备的规则库可正常更新，我们采用DMZ重定向的方式来实施管理和更新。网络拓扑及地址见下：

DMZ重定向：主要是针对于某公司公司可用桥地址的网桥模式部署（单网桥或多网桥），需要考虑AC所串接的防火墙和交换机之间的网段是否存在某公司闲的IP地址，如果有则分配一个该网段的IP地址给AC作为网桥的IP地址；如果没有，AC的网桥IP可任意配置，同时将管理口（DMZ口）接到交换机上并配置管理口地址，用于设备管理和设备与外网通信。

2、设备部署配置

①设备拆箱

②配置设备

1.首先配置本地IP为10.252.252.252同网段地址，例如配置成10.252.252.25，点击确定。打开IE浏览器，在地址栏中输入https://10.252.252.252，提示证书错误，点击继续浏览即可

2.输入某公司公司名密码

3.登陆成功后，打开网络配置==部署模式==选择网桥模式，点击开始配置

4.选择网桥对应网口，默认选择eth0和eth2口，完成后点击下一步

5.配置网桥IP地址及网关信息，由于我们本次管理使用的是DMZ重定向，所以此处网桥IP地址可任意添加，但不可与内网相同网段，网关填写255.255.255.255，如图所示

6.点击下一步之后，接下来是配置管理口，即平时登录设备所用，本案例中设置为192.168.0.249，完成后点击下一步继续

7.点击下一步会显示本次配置的信息，确认某公司公司误后点击提交，设备会提示需重启，点击确认重启设备，重启完成设备的网络配置完成。

8.启动完成后，添加静态路由，下一跳指向内网网关。

③设备上架

设备配置完毕后，上架到客户网络环境中，注意插线及对应接口。

DMZ重定向注意事项                                                                                                                  

1. 设备工作在网桥模式时，穿透数据时要保证WAN 区接前置的路由设备,LAN 区接内网的交换机，不能接反。数据从LAN 区发到WAN 区才能进行上网行为的监控和控制。

2. 设备网桥IP 对应的默认网关，建议设置成255.255.255.255，如果默认网关设置与网桥IP 同网段的地址，可能造成默认路由冲突的问题。

3. 内网电脑需要登录AC/SG 设备的控制台，可以通过DMZ 口设置的IP 地址登录。