上网行为管理基本操作
登录设备
- SANGFOR AC/SG设备,各网口默认的出厂IP为:
- eth0(LAN):10.251.251.251/24 , eth1(DMZ)10.252.252.252/24
- 使用一根交叉线连接设备和电脑
- 如果电脑连接的是设备的eth0口,需先在电脑上配置一个10.251.251.0/24网段的地 址(10.251.251.251除外),打开浏览器输入https://10.251.251.251 登录设备网关控制台。
- 如果电脑连接的是设备的eth1口,需先在电脑上配置一个10.252.252.0/24网段的地址(10.252.252.252除外),打开浏览器输入https://10.252.252.252 登录设备网关控制台
- 输入控制台admin帐号登录设备。默认的管理员用户名和密码为admin/admin。
注意:
- 路由模式部署时lan和dmz都有保留地址,网桥模式网桥br0和dmz有保留地址,旁路模式部署时管理口有保留地址。
- 路由模式出厂默认eth0定义为lan,eth1口定义为dmz
- 举例:配置被重新定义过网口,如eth2口定义为lan,eth0定义为dmz,此时eth2口有
- lan口保留地址,eth0口有dmz口保留地址;网桥和旁路模式部署网口的保留地址同样遵循此原则。
恢复出厂设置
一:交叉线短接设备两个电口恢复
- 先将设备关机。
- 准备一根交叉线。
- 使用交叉线连接设备面板上任意两个非一组bypass电口(例如eth0和eth2是bypass口,就不能短接这两个口恢复密码)
- 将设备加电开机。一直等待,直到设备重启(说明设备恢复出厂配置成功),此时务必拨掉短接电口的交叉线。
- 等设备运行起来后,即可通过出厂地址,默认控制台帐号和密码登录设备
二:U盘恢复出厂设置
- 新建一个txt文档,将其重命名为reset-cfg.txt,将txt文档拷贝到U盘根目录,U盘格式为FAT 32的
- AC上插入U盘,重启设备
- 当设备的LED红灯熄灭之后,alram灯闪烁,拔出U盘
- 注意事项:U盘恢复出厂配置,需要重启设备
恢复控制台密码
交叉线恢复控制台密码
- 确保电脑和设备可以通信,访问设备地址,https://acip/php/rp.php,如下图,提示“创建文件成功,请连接交叉线并重启设备”。
- 准备交叉线短接设备任意两个非一组bypass电口(例如eth0和eth2是bypass口,就不能短接这两个口恢复密码)
- 手动重启设备,重启过程中,注意观察交叉线短接的两个电口ACT灯状态,两个电口ACT灯同时闪烁10次后,说明密码恢复完成,此时可以拔掉短接的交叉线,通过默认的控制台帐号密码admin/admin登录设备即可。设备重启到密码恢复成功大约3到5分钟左右。
- 如果第3步无法根据网口灯状态判断密码恢复是否成功,你可以一直等待,等待5到10分钟左右,尝试通过默认帐号admin/admin帐号登录设备
U盘回复密码
- 新建一个txt文档,将其重命名为reset-cfg.txt,将txt文档拷贝到U盘根目录,U盘格式为FAT 32的。
- 确保电脑和设备可以通信,访问设备地址 https://ACIP/php/rp.php
- AC上插入U盘,重启设备
- 当设备的LED红灯熄灭之后,alram灯闪烁即恢复密码成功,拔出U盘
- 注意事项:U盘恢复密码,需要设备重启
上网行为管理部署模式
路由部署
- 设备以路由模式部署时,AC的工作方式与路由器相当,具备基本的路由转发及NAT功能。一般在客户还没有相应的网关设备或者用户的网络环境规模比较小,需要将AC做网关使用时,建议以路由模式部署。
- 路由模式下支持AC所有的功能。
- 如果需要使用NAT、VPN、DHCP等功能时,AC必须以路由模式部署,其它工作模式没有这些功能。
客户需要用新的上网行为管理设备来替换旧的出口路由器,实现行为审计和管控。这个时候使用路由部署
配置思路:
- 网口配置:配置各网口地址。如果是固定IP,则填写运营商给的IP地址及网关;如果是ADSL拨号上网,则填写运营商给的拨号帐号和密码;确定内网口的IP;
- 确定内网是否为多网段网络环境,如果是的话需要添加相应的回包路由,将到内网各网段的数据回指给设备下接的三层设备。
- 用户是否需要通过AC设备上网,如果是的话,需要设置NAT规则。
- 检查并放通防火墙规则
排错思路:
- 检查PC本身的网口IP,子网掩码
- 检查PC本身的默认网关,首选的DNS服务器
- 检查AC上给PC做的SNAT
- 检查AC上给PC做的回包路由
- 被PC访问的设备本身能否上网 PING /TELNET /WGET
- 网口兼容性 换网线 换网口 中间加交换机
- arp防护和免费arp可能存在冲突
- 通过ifconfig检查网口错误包或者丢包,ethtool -S 查看丢包类型
网桥部署
- 设备以网桥模式部署时对客户原有的网络基本没有改动。网桥模式部署AC时,对客户来说AC就是个透明的设备,如果因为AC自身的原因而导致网络中断时可以开启硬件bypass功能,即可恢复网络通信。
- 网桥模式部署时AC不支持NAT(代理上网和端口映射)、VPN、DHCP等功能。
- 网桥模式约等于接口对,两个接口都是二层口,没有IP,使用不支持做nat,VPN,DHCP
客户需要部署一台上网行为管理设备,但是又不想对网络改动太大,这个时候使用网桥部署
配置思路:
- 配置设备网桥地址,网关地址,DNS地址。
- 确定内网是否为多网段网络环境,本案例就是三层环境,所以需要添加相应的回包路由,将到内网各网段的数据回指给设备下接的三层设备。
- 检查并放通防火墙规则。
配置无法上网排错:
- AC网线是否反接(在线用户列表出现大量公网IP)
- 网桥地址是否可用,是否和内网冲突
- 网关是否指向靠近出口方向的设备
- 设备上的DNS是否填写正确
- 确认前面设备是否有拦截(可能做ACL拦截了AC),或者是否对AC做源地址转换代理上网
旁路部署
- 旁路模式主要用于实现审计功能,完全不需要改变用户的网络环境,通过把设备的监听口接在交换机的镜像口,实现对上网数据的监控。这种模式对用户的网络环境完全没有影响,即使宕机也不会对用户的网络造成中断。
- 旁路模式部署主要用于做上网行为的审计,且只能对TCP应用做控制,对基于UDP的应用无法控制。不支持流量管理、NAT、 VPN、 DHCP等功能。
- 更多场景:全网行为管理推荐的旁路准入+审计场景
某客户想部署上网行为管理设备来审计内网用户的上网行为,但是不能改动现有的网络环境,这个时候做旁路模式
旁路模式下可以禁止用户访问赌博网站,禁止用户使用qq,但是不能对视频流量进行限速
流量经过镜像口,然后进行监听,如果禁止会从管理口发送RST包,直接关闭连接。
TCP RST
RST作用:标示复位、用来异常的关闭连接。
- 发送RST包关闭连接时,不必等缓冲区的包都发出去,直接就丢弃缓冲区中的包。
- 而接收端收到RST包后,也不必发送ACK包来确认。
配置思路:
- 交换机设置镜像口,并接到AC监听口。
- 配置需要审计的内网网段和服务器网段。
- 配置管理口地址,用于管理AC设备。
注意事项:
- 路由模式可以实现设备所有功能,网桥模式其次,旁路模式多用于审计,只能对TCP应用控制,控制功能最弱。
- 路由模式对客户原有网络改造影响最大,网桥模式其次,旁路模式对客户原有网络改造无影响,即使设备宕机也不会影响客户断网。
- 设备路由模式最多支持8条外网线路。网桥模式最多支持8对网桥,旁路模式除了管理口外,其它网口均可作为监听口,可以同时选择多个网口作为监听口。
路由 | 网桥 | 旁路 | |
DHCP | Y | N | N |
NAT | Y | N | N |
VPN | Y | N | N |
非TCP控制 | Y | Y | N |
过滤规则 | Y | Y | N |
静态路由 | Y | Y | Y |
共享接入管理 | Y | Y | N |
移动终端管理 | Y | Y | N |
代理工具管理 | Y | Y | N |
防dos | Y | Y | N |
流量管理 | Y | Y | N |
SSL内容识别 | Y | Y | Y |
日志中心 | Y | Y | Y |
TRUNK部署
部署上网行为管理设备替换出口路由器实现内网上网行为的审计和控制,使用Trunk部署
Trunk环境路由配置思路:
- AC路由模式部署直接替代原有的路由器(或FW),并按照路由模式部署配置好设备。
- 配置LAN口IP,填写内网对应VLAN的VLAN网关IP即可。
Trunk环境网桥部署配置思路:
- 网桥模式部署在路由器与交换机之间,按网桥模式部署配置好设备。
- 可以给设备网桥配置其中一个VLAN中的可用IP来进行管理和更新规则库。
- 或者给设备管理口配置其中一个VLAN中的可用IP(此时不用加vid)来进行管理和更新规则库。
防火墙技术及其应用
防火墙过滤功能
防火墙规则是控制设备各个网口转发数据的开关。
防火墙端口映射及其应用
端口映射即DNAT,用来设置对数据包目标IP地址进行转换的规则。
常用来实现客户内网有服务器需要发布到公网,或者内网用户需要通过公网地址访问内部服务器的需求
LAN-LAN端口映射配置:
只有当内网用户也需要用公网地址访问内部服务器时,才需要勾选“发布服务器”。 若不勾选,仅允许公网用户通过公网地址访问到内网服务器。
把第二个方框给勾选上
排查思路:
- 检查内网PC到WEB务器的访问是否正常?(判断服务器本身是否OK)
- 检查AC到WEB服务器的访问是否正常?
- 检测外网的访问流量是否到达AC的外网口(运营商会封堵没备案的端口,比如说80)?
- 检查AC设备的端口映射配置?
- 检查AC设备的防火墙配置?
- 检查AC-WEB服务器中间设备的ACL策略?
- 检查WEB服务器本身的防火墙策略?(是否禁止公网IP访问)