物联网接入安全网关SIG

深信服物联网接入安全网关SIG,是专门针对物联网场景研发的IoT终端安全一体化产品,以“精准识别、有效保护”为价值主张,集“IoT资产管理”、“IoT风险发现”、“IoT准入控制”和“IoT安全防护”四大核心能力于一体,为用户提供一站式、自闭环的IoT终端安全管控方案。
点击可切换产品版本
知道了
不再提醒
SIG 6.0.7
{{sendMatomoQuery("物联网接入安全网关SIG","网桥模式")}}

网桥模式

更新时间:2023-10-09

网桥模式是把设备视为一条带过滤功能的网线使用,一般在不方便更改原有网络拓扑结构的情况下启用。把设备接在原有网关及内网用户之间,在原网关及内网用户不需做任何配置改变的情况下,对设备进行一些配置即可使用。对原网关及内网用户而言,亦不知设备的存在,即所谓对原网关及内网用户透明。网桥模式的主要特点是:网桥模式对用户做到完全透明。

注意事项

  1. 设备工作在网桥模式时,局域网内电脑的网关都不需要改变,保留指向原有网关即可(即指向前置设备的内网接口IP)。
  1. 设备工作在网桥模式时,穿透数据时要保证WAN区接前置的路由设备,LAN区接内网的交换机,不能接反。数据从LAN区发到WAN区能进行上网行为的监控和控制。
  2. 设备的网桥模式是在数据链路层(OSI第二层)上实现的透明,是通过把设备的几个网口桥接起来实现的。数据链路层及以上各层的数据均可穿透。原有网关启用IP/MSIG绑定及DHCP等需要第二层数据穿透的功能可以正常使用。
  3. 在网桥模式下设备无NAT功能,VPN功能不生效。
  4. 如启用上网安全、邮件内容识别等功能或要让设备能够自动升级URL库,应用识别规则库,杀毒引擎等,则需配置网桥IP,默认网关和DNS,并保证设备本身访问外网(可通过升级控制台工具ping测试)。
  5. 如启用WEB认证、准入客户端推送或其他需要重定向到设备上的功能,同时内网有多网段时,须添加到内网非直连网段的路由指向内网路由设备。
  6. 网桥模式时,设备网桥支持VLAN TRUNK穿透,网桥的IP地址支持802.1Q-VLAN的地址,即设备可以透明接在VLAN TRUNK的主干道上。

运行环境

设备一进一出做单网桥。

操作步骤

步骤1.配置设备,通过默认IP登录设备,比如通过LAN口登录设备,LAN口的默认IP10.251.251.251/24,在电脑上配置一个此网段的IP地址,通过https:/10.251.251.251登录设备,默认登录用户名/密码是:admin/admin

步骤2.在导航菜单页面中的[系统管理/网络配置/部署模式],进入[部署模式]编辑页面,点击<开始配置>,出现以下页面,配置设备模式为网桥模式,点击<下一步>

步骤3.分别选择LAN区网口和WAN区网口,组成两对网桥,如图所示。

[LAN网口选择]用于选择内网接口。

[WAN网口选择]用于选择外网接口。

[网桥列表]用于定义网桥,每对网桥接口之间允许转发数据,非一对网桥接口之间的数据是不允许转发的。

勾选开启多网桥链路同步,当网桥的一个网口由连接到断开或者是从断开到连接,另外一个网口的状态完成相应的转换,实现同一个网桥的两个网口状态同步,通常用于在冗余网络环境中通知对端设备该链路正发生了故障或已从故障中恢复,建议开启。

步骤4.网桥配置,配置网桥IP地址。

[网桥配置]中配置设备的两个网桥IP,此例中两个网桥是处在不同网段上的,按照网络中空闲的IP地址分配两个地址用做网桥IP

VLAN数据穿过设备,这里需要设置VLAN的相关信息,包括VLAN IDVLAN IP(内网每个VLAN均分配一个空闲IP给设备)、VLAN的掩码。

此处如果没有多余的空闲地址分配做网桥IP,不会影响内网上网的数据,但此时设备没有有效的IP和内网、外网进行通讯,某些功能会受到影响,比如:规则库更新、WEB认证、准入客户端推送等,这种情况可以通过管理网口接到内网交换机上,通过管理网口实现设备和内外网的通信。

网桥部署模式下网桥IP可以为空。

多网桥下各组网桥之间的IP不能同网段,而且网桥之间不能有相同的VLAN ID

步骤5.配置管理网口,管理网口DMZ口,选择一个设备空闲的网口(非网桥口)作为管理网口。

步骤6.网关配置,配置网关地址,DNS地址。

[网关配置]中配置设备默认网关和DNS地址。此例中两个网桥按照网络中空闲的IP地址分配两个地址用做网桥IP,默认网关指向前置FW的虚拟IP地址,DNS设置网络运营商分配的公网DNS地址。

勾选[自动放通防火墙规则]:用于放通WAN<->LAN方向所有数据的防火墙规则。

步骤7.确认配置信息,确认无误后,点击<提交>

步骤8.设置完毕需要重启设备才能生效,在弹出的提示框中点击<>

步骤9.配置新增[/用户]或者是在[认证策略]中添加新用户认证策略,避免内网用户没有有效的身份验证,无法通过设备上网。

步骤10.基本配置完毕后,将设备接入网络中,WAN1口、WAN2口分别接FW1FW2LAN1口、LAN2口接内网交换机。