行为管理AC

深信服全网行为管理支持全网终端、应用、数据和流量的可视可控,智能感知终端违规接入、上网违规行为、敏感数据泄密等内部风险, 实现终端准入管控、上网管控和数据泄密管控的一体化行为安全管控。
点击可切换产品版本
知道了
不再提醒
全网AC13.0.7
{{sendMatomoQuery("行为管理AC","路由模式")}}

路由模式

更新时间:2022-01-19

路由模式:是把设备作为一个路由设备使用,一般是把设备放在内网网关出口的位置,代理局域网上网;或者把设备放在路由器后面,再代理局域网上网,常见部署如下图所示:

配置实例:用户网络是跨三层的环境,购买设备作为网关使用,代理内网用户上网,公网线路是光纤接入固定分配IP的。

第一步:先配置设备,通过默认IP登录设备,比如通过LAN口登录设备,LAN口的默认IP是10.251.251.251/24,在电脑上配置一个此网段的IP地址,通过https://10.251.251.251登录设备,默认登录用户名/密码是:admin/admin。

第二步:在【导航菜单】页面中的『系统管理』→『网络配置』→『部署模式』,右边进入【部署模式】编辑页面,点击开始配置,出现以下页面:配置设备模式为路由模式,点击下一步

第三步:定义LAN区网口和WAN区网口,选择空闲网口,点击增加,将空闲网口移动到对应的网口列表。

LAN网口列表:添加到LAN网口列表中的网口,是作为内网口使用的,即需要将LAN区网口接到内网方向。

WAN网口列表:添加到WAN网口列表中的网口,是作为外网口使用的,即需要将WAN区网口接到外网方向。当需要使用多个WAN口时,需要申请多线路授权。

DMZ网口列表:添加到DMZ网口列表中的网口,是作为内网口使用的。和LAN口区一样,DMZ区也是属于内网口的,客户可以在DMZ区接一些内网重要的服务器,通过设备的防火墙设置控制LAN口区内网用户的访问权限,保证服务器的安全。(防火墙设置请参见章节3.12.1)

设备默认的LAN口区网口是eth0,DMZ口区网口是eth1,WAN口区网口是eth2,这些网口位置建议不要随便修改,和设备面板的图示接口保持一致。

其他空闲接口可以自定义其所属的区域。

第四步:完成网口定义,点击下一步,配置LAN区网口IP地址。

此例中LAN口区的网口是eth0,此处配置eth0的地址是:192.168.1.12/255.255.255.0。

注意:
1.当前AC版本为支持IPV6版本,设备网口IP地址,网关,DNS等都支持配置IPV6地址,以下配置以IPV4配置为例。
2.如果交换机上划分了VLAN,且接设备lan口为trunk口则需要启用vlan(本例中接的是三层交换机,不需要启用VLAN)
3.在『IP地址』中分别填写各个VLAN的ID及IP,此IP是分配给设备的一个VLAN的空闲IP,如局域网中有VLAN2,且VLAN2的网段为10.10.0.0/255.255.0.0,假设10.10.0.1这个IP在内网没有被使用,则可以在IP地址列表中填写2/10.10.0.1/255.255.0.0。其他的VLAN信息也按照这种方法,一行一个添加进去。

第五步:配置WAN区网口,此例中WAN口区的网口是eth2。

WAN口支持自动获取、手动配置和PPPOE拨号三种类型,此例中公网线路是光纤接入,固定分配公网IP地址的,所以选择[手动配置]。

如果公网IP是通过DHCP自动获取的,那么请勾选自动获取,此例中公网IP已经固定分配了,在[IP地址]中填入公网IP地址,另外分别配置好公网分配的网关地址、DNS。

注意:如果线路是PPPOE拨号,需要将WAN口和modem相连。勾选[自动拨号]作用是在拨号线路异常断开后自动重新拨号,或者是重启设备后自动拨号。分别在[账号]和[密码]中输入拨号的账号和密码。

第六步:配置DMZ区网口,此例中DMZ区的网口是eth1,在[IP地址]中配置IP地址和子网掩码。

第七步:NAT配置,用于设置代理上网规则,当设备做网关,直接公网线路时,需要在设备上做代理上网设置,以代理内网用户正常上网。设置要代理的[代理网段]并制定[外网接口],[外网接口]可以设置为wan区的其中一个网口或者全部网口。

设置完成后,会在『系统管理』→『防火墙』→『NAT代理上网』中新增一条代理规则“代理LAN口上网”,此处不能修改名称和转换的源地址,如果需要配置请在『NAT代理上网』中进行配置。如果内网还有其他网段的用户需要被代理,也需要在『NAT代理上网』中另外添加规则(详细配置参见章节3.9.4.2)

第八步:配置完毕,检查配置无误后,点击提交

设置完毕需要重启设备才可以生效,在弹出的提示框中点击是。

第九步:此例中由于内网网段跟设备LAN口不在同一网段,需要加上设备到内网的系统路由,在【导航菜单】页面中的『网络配置』→『静态路由』,右边进入【静态路由】编辑页面,点击新增则可以添加路由(具体设置方法参加3.9.2.7)。当内网有多个网段时需要相应的添加多条系统路由。

第十步:配置新增『组/用户』或者是在『认证策略』中添加新用户认证策略,避免内网用户没有有效的身份验证,无法通过设备上网。

第十一步:基本配置完毕后,将设备接入网络中,WAN口接外网线路,LAN口接内网交换机。并且将内网交换机的路由重新指向设备的LAN口。

注意:
1.设备工作在路由模式时,局域网内电脑的网关都是指向设备的LAN口IP或指向三层交换机,三层交换机的网关再指向设备。上网数据由设备做NAT或路由转发出去。2.WAN、LAN、DMZ网口应设置不同网段的IP地址。
3.LAN口配置802.1Q-VLAN地址后,LAN口可以直接支持VLAN的2层交换机的TRUNK口,设备可以在VLAN间转发数据(单臂路由),并可做LAN<->LAN方向的防火墙规则,即可以控制不同VLANID之间的访问控制。
4.如果设置路由模式为ADSL拨号上网,请在第五步配置WAN口IP时选择PPPOE拨号,然后填入拨号账号以及密码,其他操作一样。
5.如果设置路由模式为有前置设备,请在第五步配置WAN口IP为与前置设备LAN口同网段IP,其他操作一样。如果前置设备设置了DHCP,WAN口可以设置成自动获取IP,并确保WAN口和DHCP服务器的正常通信。