深信服上网行为管理器配置为网桥模式,并且禁止某个网段上网
还是这个拓扑图,前面已经写过路由器和防火墙的配置了,本文来讲一下上网行为管理器网桥模式的配置。
简单来说,网桥模式就是把设备看作一条带过滤功能的网线使用,一般在不方便更改原有网络拓扑结构的情况下启用;对原网关设备及内网用户而言,不必知道网桥设备的存在,即所谓对原网关及内网用户透明,所以也称为透明模式。
1、配置网桥模式
这台上网行为管理器的默认和管理口为EHT1,IP地址为10.252.252.252/24,电脑设置为同一网段任意IP,然后网线接入ETH1口,就能https登录设备了;
依次点击“导航菜单”页面中的“系统管理”→“网络配置”→“部署模式”,然后选择“网桥模式”。
然后就是选择接口,一个是上连防火墙的接口eth2,一个是下连核心交换机的接口eth0;紧接着,再设置网桥的IP地址,防火墙内网接口IP是20.1.1.1/24,核心交换机三层口IP地址是20.1.1.2/24,所以将网桥IP设置为20.1.1.3/24,后期可以通过这个IP地址来管理设备。
注意,网桥模式配置成功后,ETH0和ETH2两个接口的IP地址是同一个地址,这没什么好奇怪的。
2、添加静态路由
去互联网的默认路由,自动生成了;但是去局域网的静态路由,需要手动配置一下。
3、确认上网监控功能是否正常
要实现上网行为管理,首先要能正确监控到上网行为,所以先打开“实时状态”菜单,点击“上网行为监控”,能看到就表示基础配置没问题了。
4、流量管控
刚把网络配通没多长时间,用户就报上网非常卡顿,赶紧看一下流量,好家伙,因为暂时只接入了一条20兆的专线,有台电脑正在下载,直接把宽带占满了,这还得了。
设置默认宽带是300兆的,赶紧按照实际情况调整一下;
启用流量管理,保障时延敏感应用的宽带和优先级
5、上网策略
禁止VLAN11和12两个网段上网,需要创建一个“上网权限策略”,“应用控制”中,勾选“所有已知应用”,动作当然是“拒绝”;
源IP即VLAN11和12,输入192.168.11.0/24和192.168.12.0/24,结果自动显示为192.168.11.0-192.168.12.255;
6、备份配置
按照客户要求,初步配置完成,导出配置文件。
本文只是上网行为管理器的基础配置,更多细化功能等客户提出具体要求的时候,再写文章记录。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2023-7-20 10:04
发表于 2023-7-20 15:22
