上网行为管理设备之透明模式Trunk部署(多网桥)
  

大飞 120521人觉得有帮助

{{ttag.title}}
本帖最后由 大飞 于 2017-3-25 09:18 编辑

作者来自社区编辑部

1、网络环境
网络环境为纯内网,核心层交换机(三层交换机)与县局专网互联,汇聚层交换机(三层交换机)连接本地网络,涉及和本次实施的只有核心层以下的设备;通过了解交换机配置:

客户通过核心交换机划分多个VLAN,如下:
1301/10.98.208.30/255.255.255.224    1302/10.98.208.62/255.255.255.224
1303/10.98.208.94/255.255.255.224    1304/10.98.208.126/255.255.255.224
1305/10.98.208.158/255.255.255.224   1306/10.98.208.190/255.255.255.224
1307/10.98.208.206/255.255.255.240   1308/10.98.208.222/255.255.255.240
1309/10.98.208.238/255.255.255.240   
1311/10.98.209.222/255.255.255.224   1312/10.98.209.62/255.255.255.224
1313/10.98.209.94/255.255.255.224    1314/10.98.209.110/255.255.255.240
1315/10.98.209.126/255.255.255.240   1316/10.98.209.142/255.255.255.240
1317/10.98.209.158/255.255.255.240   1318/10.98.209.174/255.255.255.240
1319/10.98.209.30/255.255.255.224   

2、网络拓扑

原.jpg


3、用户需求

         1)在不改变现有网络环境和用户使用习惯的情况下,将上网行为管理设备进行部署;   
         2)需要对办公区域所有笔记本做访问控制,只允许访问电子平台区域的 platform.wsx.com.cn以及FTP服务;

4、实施前项目分析

     在了解客户网络环境以及用户需求后,发现设备上架并不是很难;虽然之前没有遇到这样的网络环境(trunk模式部署:网桥部署),但也看到过之前的针对类似项目的培训PPT介绍;


1)设备上架部署:将上网行为管理设备部署在核心层设备与汇聚层设备之间,采用双网桥模式(客户采购设备为AC1200,只有4个网口);因为与设备连接的交换机接口为Trunk模式,也就是说AC要trunk封装数据的穿透;因此要在调试部署的时候要“启用VLAN”。(PS:将VLANID、各个VLAN空闲IP地址(用于各个VLAN里的计算机管理AC设备)、子网掩码写到配置里;)

  2)访问控制策略的配置:建立两条认证策略并关联相应的用户组;配置“上网权限策略”,做一条禁止访问所网站(DNS全部和FTP服务除外)的策略;在“全局排除地址”选项配置中,将“platform.wsx.com.cn”进行排除即可;

5、设备上架后拓扑

现在.jpg
6、项目总结

1)AC1200设备只有4个网口(含管理口eth0口),在实施中涉及到双网桥,因此设备的管理口地址(eth1—10.252.252.252)是不能用的。

2)  什么时候“启用VLAN”设置:AC设备所在的链路是Trunk链路,VLAN 数据需要穿透AC(或者说是Trunk封装数据的穿透AC设备)。

3) “VLAN地址”配置:在选项框中填写各VLAN 的ID 及IP、子网掩码(固定格式),此IP 是分配给设备的一个VLAN 的空闲IP地址;这样,经过AC设备的数据会根据这里配置的信息重新打上VLAN 的标签,以保证数据正常转发。

4)针对老设备新环境,客户不知道设备原来的IP地址(管理口以及其他地址),通过升级客户端搜索IP地址。

7、相关资料帖子

打赏鼓励作者,期待更多好文!

打赏
10人已打赏

黑夜 发表于 2017-2-23 10:41
  
不错。还有类似的帖子链接。
Sangfor_闪电回_朱丽 发表于 2017-2-23 11:11
  
666,有某公司,有总结,还有资料汇总,楼主为啥那么厉害,因为他来自社区编辑部~
五花肉。 发表于 2017-2-23 11:30
  
赞赞赞
贼贼 发表于 2017-2-23 11:37
  
这样AC受得了吗?表示很有压力!
萌大少 发表于 2017-2-23 13:20
  
资料汇总不错,类似的资料一幕了然了。可以。
韩立春 发表于 2017-2-24 16:16
  
非常不错,收藏了,感谢楼主,给个赏,哈哈
Johnson 发表于 2017-8-16 17:14
  
结合应用环境,配置设备,在应用中学习实践,就喜欢这个方式
光海峰 发表于 2017-11-18 10:55
  
设备选型有什么具体依据吗?
一骑绝尘 发表于 2018-8-6 17:33
  
受教了
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
每周精选
干货满满
技术咨询
信服课堂视频
秒懂零信任
自助服务平台操作指引
新版本体验
标准化排查
产品连连看
安装部署配置
功能体验
GIF动图学习
玩转零信任
2023技术争霸赛专题
技术晨报
安全攻防
每日一记
深信服技术支持平台
天逸直播
华北区交付直播
社区帮助指南
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
通用技术
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版版主

147
108
49

发帖

粉丝

关注

本版达人

新手89785...

本周建议达人

七嘴八舌bar

本周分享达人

新手76619...

本周提问达人