将全网行为管理AC作为一个网关设备,通常把设备部署在互联网出口位置,代理局域网上网;或者把设备部署在出口网关后面。
部署场景
注意事项
配置指导
用户网络是跨三层的环境,购买设备作为互联网出口网关使用,代理内网用户上网,公网线路是光纤接入固定分配IP。
步骤1.通过默认IP登录设备,比如通过LAN口登录设备,LAN口的默认IP是10.251.251.251/24,在电脑上配置一个此网段的IP地址,通过https://10.251.251.251登录设备,默认登录用户名/密码是:admin/admin。
步骤2.在导航菜单页面中的[系统管理/网络配置/部署模式],右边进入[部署模式]编辑页面,点击<开始配置>,配置设备部署模式为路由模式,点击<下一步>。
步骤3.定义LAN网口和WAN网口,选择空闲网口,点击<增加>,将空闲网口移动到对应的网口列表(设备默认的LAN为ETH0,DMZ为eth1,WAN为ETH2,默认网口位置建议不调整,和设备面板的图示接口保持一致,其他空闲接口可以自定义其所属的区域)。
• LAN网口列表:添加到LAN网口列表中的网口,作为内网口使用,即需要将LAN区网口接到内网方向。
• WAN网口列表:添加到WAN网口列表中的网口,作为外网口使用,即需要将WAN区网口接到外网方向。当需要使用多个WAN口时,需要申请多线路授权。
• DMZ网口列表:添加到DMZ网口列表中的网口,作为内网口使用。通常在DMZ区接入对外发布的内网服务器,同时也可通过设备的防火墙设置控制LAN口区内网用户的访问权限,保证服务器的安全。参考防火墙设置。
步骤4.完成网口定义,点击<下一步>,配置LAN区网口IP地址。此例中LAN口区的网口是ETH0,此处配置ETH0的地址是:192.168.1.12/255.255.255.0。
• 全网行为管理AC版本支持IPV6版本,设备网口IP地址、网关、DNS等均支持配置IPV6地址,以下配置以IPV4配置为例。
• 如果交换机上划分了VLAN,且接设备LAN口为trunk口则需要启用VLAN(本例中接的是三层交换机,不需要启用VLAN)。
• 在IP地址中分别填写各个VLAN的ID及IP,此IP是分配给设备的一个VLAN的空闲IP,如局域网中有VLAN 2,且VLAN 2的网段为10.10.0.0/255.255.0.0,假设10.10.0.1这个IP在内网没有被使用,则可以在IP地址列表中填写10.10.0.1/255.255.0.0。其他的VLAN信息也按照这种方法,一行一个添加进去。
步骤5.配置WAN区网口,此例中WAN口区的网口是ETH2。
• 配置WAN区网口,此例中WAN口区的网口是ETH2。
• WAN口支持自动获取、手动配置和PPPOE拨号三种类型,此例中公网线路是光纤接入,固定分配公网IP地址的,所以选择[手动配置]。
• 如果公网IP是通过DHCP自动获取的,那么请勾选自动获取,此例中公网IP已经固定分配了,在[IP地址]中填入公网IP地址,另外分别配置好公网分配的网关地址、DNS。
步骤6.如果线路是PPPOE拨号,需要将WAN口和modem相连。勾选自动拨号作用是在拨号线路异常断开后自动重新拨号,或者是重启设备后自动拨号。输入拨号的账号和密码。
步骤7.配置DMZ区网口,此例中DMZ区网口是ETH1,在IP地址栏配置IP地址和子网掩码。
步骤8.AC设备使用认证中心相关功能时需要配置认证口,给分支AC做认证托管功能使用,常规的旁路部署、网桥部署、路由部署无需设置认证口。
步骤9.NAT配置,用于设置代理上网规则,当设备做网关,接到公网线路时,需要在设备上做代理上网设置,以代理内网用户正常上网。设置要代理的[代理网段]并指定[外网接口],[外网接口]可以设置为WAN区的其中一个网口或者全部网口。
完成部署模式向导后,在[系统管理/防火墙/NAT代理上网]中会新增一条代理规则“代理LAN口上网”,此处不能修改名称和转换的源地址,如果需要配置请在[NAT代理上网]中进行配置。如果内网还有其他网段的用户需要被代理,也需要在[NAT代理上网]中另外添加规则参考NAT代理上网。
步骤10.检查配置无误后,点击<提交>。
步骤11.设置完毕需要重启设备才可以生效,在弹出的提示框中点击<是>。
步骤12.此例中由于内网的网段与设备LAN口不在同一网段,需要在设备上添加到内网的路由条目,在导航菜单页面中的[网络配置/静态路由],右边进入静态路由编辑页面,点击<新增>则可以添加路由(具体设置方法参考路由章节)。当内网有多个网段时需要相应的添加多条静态路由。
步骤13.基本配置完毕后,将设备接入网络中,WAN口接外网线路,LAN口接内网交换机,并且将内网交换机的路由重新指向设备的LAN口。
建议使用Chrome浏览器访问!
