行为管理AC

深信服全网行为管理支持全网终端、应用、数据和流量的可视可控,智能感知终端违规接入、上网违规行为、敏感数据泄密等内部风险, 实现终端准入管控、上网管控和数据泄密管控的一体化行为安全管控。
点击可切换产品版本
知道了
不再提醒
行为管理AC13.0.102
{{sendMatomoQuery("行为管理AC","网桥模式")}}

网桥模式

更新时间:2023-09-22

网桥模式是把设备视为一条带过滤功能的网线使用,通常在不改变原有网络拓扑结构的情况下启用。把设备部署在原有网关与内网用户之间,在原网关和内网用户不需做任何配置改变的情况下,即可实现设备功能。网桥模式的主要特点是对用户做到完全透明。

部署场景

场景一:设备单网桥部署。适用于网络一进一出场景。

场景二:设备多网桥部署。适用于用户内网存在VRRPHSRP,或网络中存在双机高可用场景。设备多网桥部署实现访问控制、审计功能的同时,不影响用户原有主备的切换。如图所示的两种运行环境。

注意事项

  1. 设备工作在网桥模式时,内网电脑的网关不需要改变,保留指向原有网关即可(即指向前置设备的内网接口IP)。
  1. 设备工作在网桥模式时,需要注意接口方向,保证WAN区接前置的路由设备,LAN区接内网的交换机。数据从LAN区发送到WAN区才可以进行用户认证、上网权限控制和审计。
  2. 设备的网桥模式是在数据链路层(OSI第二层)上实现的透明,是通过把设备的网口桥接起来实现的。数据链路层及以上各层的数据均可穿透。原有网关启用IP/MAC绑定及DHCP等需要第二层数据穿透的功能可以正常使用。
  3. 在网桥模式下设备无NAT功能,VPN功能不生效。
  4. 如启用上网安全、邮件内容识别等功能或要让设备能够自动升级URL库,应用识别规则库,杀毒引擎等,则需配置网桥IP,默认网关和DNS,并保证设备本身访问外网(可通过升级控制台工具ping测试)。
  5. 如启用WEB认证、准入客户端推送或其他需要重定向到设备上的功能,同时内网有多网段时,须添加到内网非直连网段的路由指向内网路由设备。
  6. 网桥模式时,设备网桥支持VLAN TRUNK穿透,网桥的IP地址支持802.1Q-VLAN的地址,即设备可以透明接在VLAN TRUNK的主干道上。

配置指导

以设备多网桥部署为例,用户的两台FW内网接口运行VRRP协议,FW对应的虚拟IP192.168.1.1,交换机上联两台FW的接口处于同一个VLANVLAN接口IP192.168.1.4,设备双进双出做双网桥部署在交换机和防火墙之间。

C:\Users\Sangfor\Desktop\wq.png

步骤1.通过默认IP登录设备,比如通过LAN口登录设备,LAN口的默认IP10.251.251.251/24,在电脑上配置一个此网段的IP地址,通过https://10.251.251.251登录设备,默认登录用户名/密码是:admin/admin

步骤2.在导航菜单页面中的[系统管理/网络配置/部署模式],进入[部署模式]编辑页面,点击<开始配置>,配置设备模式为网桥模式,点击<下一步>

步骤3.分别选择LAN区网口和WAN区网口,组成两对网桥,如图所示。

[LAN网口选择]用于选择内网接口。

[WAN网口选择]用于选择外网接口。

[网桥列表]用于定义网桥,每对网桥接口之间允许转发数据,非网桥对接口之间的数据不允许转发。

[开启多网桥链路同步]当网桥的一个网口由连接到断开或者是从断开到连接,另外一个网口的状态完成相应的转换,实现同一个网桥的两个网口状态同步,通常用于在冗余网络环境中通知对端设备该链路正发生了故障或已从故障中恢复,建议开启。

步骤4.网桥配置,配置网桥IP地址。

[网桥配置]中配置设备网桥1IP地址,此例中由于两个网桥处在相同网段,只能配置一个IP地址。(如果网桥处于不同的网段,可以按照网络中空闲的IP地址分配两个网桥用做网桥IP

如有VLAN数据穿过设备,并且网桥IP属于某个VLAN,配置网桥IP时需要加上VLAN标签信息(常见场景:1AC设备桥接在2台交换机之间,并且交换机互联接口均为trunk模式;2AC上连路由器,下联交换机,路由器配置单臂路由,交换机接口配置trunk模式)。

此处如果没有多余的空闲地址分配做网桥IP,不会影响内网用户访问互联网,但此时设备没有有效的IP地址和内网、外网进行通讯,某些功能会受到影响,比如:规则库更新、WEB认证、准入客户端推送等,这种情况可以通过管理网口接到内网交换机上,通过管理网口实现设备和内外网的通信。

网桥部署模式下网桥IP可以为空。

多网桥下各组网桥之间的IP不能同网段,而且网桥之间不能有相同的VLAN ID

步骤5.配置管理网口DMZ接口,选择一个设备空闲的网口(非网桥口)作为管理网口。

步骤6.AC设备使用认证中心相关功能时需要配置认证口,给分支AC做认证托管功能使用,常规的旁路部署、网桥部署、路由部署、单臂模式无需设置认证口。

步骤7.网关配置,配置网关地址,DNS地址。

[网关配置]中配置设备默认网关和DNS地址。此例中默认网关指向前置FW的虚拟IP地址,DNS设置网络运营商分配的公网DNS地址。

勾选[自动放通防火墙规则]:用于放通WAN<->LAN方向所有数据的防火墙规则。

步骤8.确认配置信息,确认无误后,点击<提交>

步骤9.设置完毕需要重启设备才能生效,在弹出的提示框中点击<>

步骤10.基本配置完毕后,将设备接入网络中,WAN1口、WAN2口分别接FW1FW2LAN1口、LAN2口接内网交换机。