行为管理AC

深信服全网行为管理支持全网终端、应用、数据和流量的可视可控,智能感知终端违规接入、上网违规行为、敏感数据泄密等内部风险, 实现终端准入管控、上网管控和数据泄密管控的一体化行为安全管控。
点击可切换产品版本
知道了
不再提醒
全网AC13.0.47
{{sendMatomoQuery("行为管理AC","路由模式")}}

路由模式

更新时间:2023-12-13

部署拓扑

将全网行为管理AC设备作为一个路由设备使用,一般是把设备放在内网网关出口的位置,代理局域网上网;或者把设备放在路由器后面,再代理局域网上网,常见部署如下图所示。

注意事项

1. 设备工作在路由模式时,局域网内电脑的网关都是指向设备的LAN口IP或指向三层交换机,三层交换机的网关再指向设备。上网数据由设备做NAT或路由转发出去。

2. WAN、LAN、DMZ网口应设置不同网段的IP地址。

3. LAN口配置802.1Q-VLAN地址后,LAN口可以接支持VLAN的2层交换机的TRUNK口,设备可以在VLAN间转发数据(单臂路由),并可做LAN<->LAN方向的防火墙规则,即可以控制不同VLAN ID之间的访问控制。

4. 如果设置路由模式为ADSL拨号上网,请在配置WAN口IP时选择PPPOE拨号,然后填入拨号账号以及密码,其他操作一样。

5. 如果设置路由模式为有前置设备,请在配置WAN口IP为与前置设备LAN口同网段IP,其他操作一样。

6. 如果前置设备设置了DHCP,WAN口可以设置成自动获取IP,并确保WAN口和DHCP服务器的正常通信。

配置指导

用户网络是跨三层的环境,购买设备作为网关使用,代理内网用户上网,公网线路是光纤接入固定分配IP的。

1. 先配置设备,通过默认IP登录设备,比如通过LAN口登录设备,LAN口的默认IP是10.251.251.251/24,在电脑上配置一个此网段的IP地址,通过https://10.251.251.251登录设备,默认登录用户名/密码是:admin/admin。

2. 在导航菜单页面中的[系统管理/网络配置/部署模式],右边进入[部署模式]编辑页面,点击<开始配置>,出现以下页面,配置设备模式为路由模式,点击<下一步>。

3. 定义LAN区网口和WAN区网口,选择空闲网口,点击<增加>,将空闲网口移动到对应的网口列表。

  • LAN网口列表:添加到LAN网口列表中的网口,是作为内网口使用的,即需要将LAN区网口接到内网方向。

  • WAN网口列表:添加到WAN网口列表中的网口,是作为外网口使用的,即需要将WAN区网口接到外网方向。当需要使用多个WAN口时,需要申请多线路授权。

  • DMZ网口列表:添加到DMZ网口列表中的网口,是作为内网口使用的。和LAN口区一样,DMZ区也是属于内网口的,用户可以在DMZ区接一些内网重要的服务器,通过设备的防火墙设置控制LAN口区内网用户的访问权限,保证服务器的安全。参考防火墙设置。

4. 设备默认的LAN口区网口是ETH0,DMZ口区网口是eth1,WAN口区网口是RTH2,这些网口位置建议不要随便修改,和设备面板的图示接口保持一致。

5. 其他空闲接口可以自定义其所属的区域。

6. 完成网口定义,点击<下一步>,配置LAN区网口IP地址。此例中LAN口区的网口是ETH0,此处配置ETH0的地址是:192.168.1.12/255.255.255.0。

  • 全网行为管控AC版本支持IPV6版本,设备网口IP地址、网关、DNS等都支持配置IPV6地址,以下配置以IPV4配置为例。

  • 如果交换机上划分了VLAN,且接设备LAN口为trunk口则需要启用VLAN(本例中接的是三层交换机,不需要启用VLAN)。

  • 在IP地址中分别填写各个VLAN的ID及IP,此IP是分配给设备的一个VLAN的空闲IP,如局域网中有VLAN 2,且VLAN 2的网段为10.10.0.0/255.255.0.0,假设10.10.0.1这个IP在内网没有被使用,则可以在IP地址列表中填写10.10.0.1/255.255.0.0。其他的VLAN信息也按照这种方法,一行一个添加进去。

7. 配置WAN区网口,此例中WAN口区的网口是ETH2。

  • WAN口支持自动获取、手动配置和PPPOE拨号三种类型,此例中公网线路是光纤接入,固定分配公网IP地址的,所以选择[手动配置]。

  • 如果公网IP是通过DHCP自动获取的,那么请勾选自动获取,此例中公网IP已经固定分配了,在[IP地址]中填入公网IP地址,另外分别配置好公网分配的网关地址、DNS。

8. 如果线路是PPPOE拨号,需要将WAN口和modem相连。勾选自动拨号作用是在拨号线路异常断开后自动重新拨号,或者是重启设备后自动拨号。输入拨号的账号和密码。

9. 配置DMZ区网口,此例中DMZ区的网口是ETH1,在IP地址中配置IP地址和子网掩码。

10. NAT配置,用于设置代理上网规则,当设备做网关,接到公网线路时,需要在设备上做代理上网设置,以代理内网用户正常上网。设置要代理的[代理网段]并指定[外网接口],[外网接口]可以设置为WAN区的其中一个网口或者全部网口。

设置完成后,在[系统管理/防火墙/NAT代理上网]中新增一条代理规则“代理LAN口上网”,此处不能修改名称和转换的源地址,如果需要配置请在[NAT代理上网]中进行配置。如果内网还有其他网段的用户需要被代理,也需要在[NAT代理上网]中另外添加规则参考NAT代理上网。

11.检查配置无误后,点击<提交>。

12. 设置完毕需要重启设备才可以生效,在弹出的提示框中点击<是>。

13. 此例中由于内网的网段与设备LAN口不在同一网段,需要加上设备到内网的系统路由,在导航菜单页面中的[网络配置/静态路由],右边进入静态路由编辑页面,点击<新增>则可以添加路由(具体设置方法参考路由章节)。当内网有多个网段时需要相应的添加多条静态路由。

14. 配置新增[组/用户] 或者是在[认证策略]中添加新用户认证策略,避免内网用户没有有效的身份验证,无法通过设备上网。

15. 基本配置完毕后,将设备接入网络中,WAN口接外网线路,LAN口接内网交换机,并且将内网交换机的路由重新指向设备的LAN口。