透明网桥准入介绍
如何部署透明网桥 --- 1,透明网桥说明 2,部署 3,配置 4,逃生 5,注意事项
1,说明
应用场景---用户串联进入现网环境中没相当于一个二层交换机
接口说明 --- 核心交换机G1/0/1 --- 准入信任口 准入控制系统eth1
汇聚层交换机G1/0/1 --- 准入非信任口 准入控制系统eth0
准入控制系统 --- 核心交换机G1/0/2 --- 准入系统与终端系统用户的准入认证交互
2,部署
设备上架 ---
准入接口 准入网卡属性 交换机接口 备注 Eth0 UNtrust 接下联交换机 eth0和eth1口为一组bypass接口,线序不能接反,否则会导致断网 eth1 trust 接上联交换机 eth0和eth1口为一组bypass接口,线序不能接反,否则会导致断网 eth2 manager 按入位置需全网可达 PS:网络拓扑为双链路,但只有一台准入设备情况下,可以做双链路的透明网桥实现全网终端管控。
3,配置
1,接口配置 --- 通电,配置IP,mask,gateway —— 配置UNtrunk,trunk属性网口,需要核心交换机和汇聚交换机
2,选择透明网桥准入技术 --- 开始阶段选择紧急模式
3,设备上架
设备通电上架,接线,确保管理口地址全网可达,确保trust口接核心层,UNtrust接汇聚
4,准入开管控 --- 将终端设置可信或者例外 --- 小范围开管控,将开管控的终端IP范围移除例外终端配置实现范围管控
4,逃生
准入紧急模式 --- 可以配置紧急模式 --- 紧急模式下,准入不做拦截
准入的硬件bypass功能 --- 透明网桥可以做硬件bypass,如果设备故障,对应的bypass接口自动物理串联实现逃生。(面板的接口有BY展示的为一组bypass口,如eth1和eth0为一组bypass口)
5,注意事项
1,版本升级后,bypass对应关系需要矫正 --- 以实物为主
2,非透明网桥准入技术,尽量不适用bypass口 --- 避免出现宕机接口后出环
3,UNtrust和trust千万不能接反
4,默认提供的光模块不支持bypass,光口bypass基于光模块硬件限制,但可以支持
1,发起DNS请求 --- 准入在透明网桥下针对于这个终端发送的DNS报文是不做拦截的。
终端发起ARP包准入也不做拦截。
2,准入判断数据包 —— 源IP--可信设备--目的是否例外服务器--目的是否准入管理口
看源IP设备是不是例外终端,是直接放行
不是看你i是不是可信设备,是则直接放行
不是则看你目的地址是不是例外服务器,是则放行
不是则访问的目的地址是否为准入管理口地址,是则放行
若都不满足,则拦截。只对上行链路进行拦截
三次握手通过UNtrust口https通关管理口manager口,http通过untrust
策略路由
1,策略路由说明
场景 --- 部署在核心节点,用于管理控防经过核心设备的数据流量,常用于三层环境
策略路由的注入方案是 通过在网关交换机上捕获所有的访问业务数据流量
接口使用 --- 核心交换机G1/0/1 to 准入控制系统eth0 G1/0/2 to 准入控制系统eth2
2,策略路由部署
部署1 --- 普通模式
部署2 --- 一进一出模式
3,策略路由配置
通电--管理口--IP mask gateway 策略路由下一跳必须使用IP地址
准入开管控
1,确保终端流量经过准入,可以管控终端tracert路由跟踪,可以准入抓包确定判断
2,将哑终端设置为可信或者例外终端
3,小范围开管控,将开管控的终端IP范围移出终端配置实现范围管控
4,逃生
准入紧急模式 --- 开启紧急模式,不做拦截
准入自动逃生 --- 1,核心交换机监听下一跳接口状态,当准入异常,核心交换机发现准入下一跳不通,则取消流量牵引,实现逃生
2,核心交换机不支持家庭下一跳接口时,需部署盈高监控平台,实时监控准入状态,通过Telnet或ssh控制核心交换机,通过配置好的命令模板将策略路由命令关闭,实现逃生。
5,注意事项