更新时间:2022-01-19
网桥模式:是把设备视为一条带过滤功能的网线使用,一般在不方便更改原有网络拓扑结构的情况下启用。把设备接在原有网关及内网用户之间,在原网关及内网用户不需做任何配置改变的情况下,对设备进行一些配置即可使用。对原网关及内网用户而言,亦不知设备的存在,即所谓对原网关及内网用户透明。网桥模式的主要特点是:网桥模式对用户做到完全透明。
运行环境一:设备一进一出做单网桥
运行环境二:适用于客户内网有VRRP或HSRP环境,架上设备做多网桥实现基本审计控制功能的同时,不影响客户原有主备的切换。如图所示的两种运行环境:
配置举例:客户的两个FW和交换机之间走VRRP协议,FW对应的虚拟IP是192.168.1.1,设备双进双出做双网桥部署在交换机和FW之间。
配置方法如下:
第一步:先配置设备,通过默认IP登录设备,比如通过LAN口登录设备,LAN口的默认IP是10.251.251.251/24,在电脑上配置一个此网段的IP地址,通过https://10.251.251.251登录设备,默认登录用户名/密码是:admin/admin。
第二步:在【导航菜单】页面中的『系统管理』→『网络配置』→『部署模式』,右边点击下一步
第三步:分别选择LAN区网口和WAN区网口,组成两对网桥,如图所示:
[LAN网口选择]用于选择内网接口。
[WAN网口选择]用于选择外网接口。
[网桥列表]用于定义网桥,每对网桥接口之间允许转发数据,非一对网桥接口之间的数据是不允许转发的。
勾选[开启多网桥链路同步],当网桥的一个网口由连接到断开或者是从断开到连接,另外一个网口的状态完成相应的转换,实现同一个网桥的两个网口状态同步,通常用于在冗余网络环境中通知对端设备该链路正发生了故障或已从故障中恢复。建议开启。
第四步:网桥配置,配置网桥IP地址。
在『网桥配置』中配置设备的两个网桥IP,此例中两个网桥是处在不同网段上的,按照网络中空闲的IP地址分配两个地址用作网桥IP。
有VLAN数据穿过设备,这里需要设置VLAN的相关信息,包括VLANID、VLANIP(内网每个VLAN均分配一个空闲IP给设备)、VLAN的掩码。
注意:
1.此处如果没有多余的空闲地址分配做网桥IP,不会影响内网上网的数据,但此时设备没有有效的IP和内网、外网进行通讯,某些功能会受到影响,比如:内置库更新、WEB认证、准入等,这种情况可以通过管理网口接到内网交换机上,通过管理网口实现设备和内外网的通信,详细设置请参见本节后面的特殊案例)
2.网桥部署模式下网桥IP可以为空
3.多网桥下各组网桥之间的IP不能同网段,而且网桥之间不能有相同的VLANID
第五步:配置管理网口
管理网口DMZ口,选择一个设备空闲的网口(非网桥口)作为管理网口。第六步:网关配置,配置网关地址,DNS地址。
在『网关配置』中配置设备默认网关和DNS地址。此例中两个网桥按照网络中空闲的IP地址分配两个地址用作网桥IP,默认网关指向前置FW的虚拟IP地址,DNS设置网络运营商分配的公网DNS地址。
勾选[自动放通防火墙规则]:用于放通WAN<->LAN方向所有数据的防火墙规则。
第七步:确认配置信息,确认无误后,点击提交
设置完毕需要重启设备才可以生效,在弹出的提示框中点击是。
第八步:配置新增『组/用户』或者是在『认证策略』中添加新用户认证策略,避免内网用户没有有效的身份验证,无法通过设备上网。
第九步:基本配置完毕后,将设备接入网络中,WAN1口、WAN2口分别接FW1、FW2,LAN1口、LAN2口接内网交换机。
注意:
1.设备工作在网桥模式时,局域网内电脑的网关都不需要改变,保留指向原有网关即可(即指向前置设备的内网接口IP)。
2.设备工作在网桥模式时,穿透数据时要保证WAN区接前置的路由设备,LAN区接内网的交换机,不能接反。数据从LAN区发到WAN区的能进行上网行为的监控和控制。
3.设备的网桥模式是在数据链路层(OSI第二层)上实现的透明,是通过把设备的几个网口桥接起来实现的。数据链路层及以上各层的数据均可穿透。原有网关启用IP/MAC绑定及DHCP等需要第二层数据穿透的功能能正常使用。
4.网桥模式下设备无NAT功能。
5.在网桥模式下设备本机的VPN功能不可用。
6.如启用杀毒、邮件过滤等功能或要让设备能够自动升级URL库,应用识别规则库,病毒库等,则需配置网桥IP,默认网关和DNS,并保证设备本身访问外网(可通过升级控制台工具ping测试)。
7.如启用WEB认证、准入规则或其他需要重定向到设备上的功能,同时内网有多网段时,须添加到内网非直连网段的路由指向内网络由设备。
8.网桥模式时,设备网桥支持VLANTRUNK穿透,网桥的IP地址支持802.1Q-VLAN的地址。即设备可以透明接在VLANTRUNK的主干道上。