上网行为管理：部署模式+端口映射

叶旭ベ

已于 2024-08-14 21:15:02 修改

阅读量766

点赞数 27

分类专栏：网络设备文章标签：安全架构 web安全网络安全

于 2024-08-14 21:14:27 首次发布

本文链接：https://blog.csdn.net/qq_62199249/article/details/141200449

版权

网络设备专栏收录该内容

4 篇文章 0 订阅

订阅专栏

上网行为管理：部署模式+端口映射

AC部署模式有三种：路由模式、网桥模式、旁路模式。

路由模式：

路由模式下支持AC所有功能。

如果需要使用NAT、DHCP、VPN功能时，AC必须以路由模式部署，其他工作模式没有这些功能。
网桥模式：

对客户原有的网络功能基本没有改动，部署网桥模式，AC就当透明设备使用。

网桥模式部署时AC不支持NAT、代理上网和端口映射、VPN、DHCP等功能。
旁路模式：

旁路模式主要实现审计功能，完全不需要改变客户的网络环境，及时AC设备宕机也不会造成网络中断。

旁路模式只用于上网行为的审计和基于TCP应用的控制，对于UDP协议的应用控制是无法控制的，

不支持流量管理，NAT、VPN、DHCP等功能。

路由模式配置

配置背景

背景：客户需要用新的上网行为管理设备来替换旧的出口路由器，实现行为审计和管控。

在这里插入图片描述

1、网口配置：配置各网口地址。如果是固定IP，则填写运营商给的IP地址及网关；如果是ADSL拨号上网，则填写运营商给的拨号帐号和密码；确定内网口的IP；

2、确定内网是否为多网段网络环境，如果是的话需要添加相应的回包路由，将到内网各网段的数据回指给设备下接的三层设备。

3、用户是否需要通过AC设备上网，如果是的话，需要设置NAT规则。

4、检查并放通防火墙规则。

在这里插入图片描述

排错思路

（1）检查PC本身的网口IP，子网掩码

（2）检查PC本身的默认网关，首选的DNS服务器

（3）检查AC上给PC做的SNAT

（4）检查AC上给PC做的回包路由

（5）被PC访问的设备本身能否上网 PING /TELNET /WGET

（6）网口兼容性换网线换网口中间加交换机

（7）arp防护和免费arp可能存在冲突

（8）通过ifconfig检查网口错误包或者丢包，ethtool -S 查看丢包类型

网桥模式部署

配置背景

需求：客户需要部署一台上网行为管理设备，但是又不想对网络改动太大。

在这里插入图片描述

1、配置设备网桥地址，网关地址，DNS地址。

2、确定内网是否为多网段网络环境，本案例就是三层环境，所以需要添加相应的回包路由，将到内网各网段的数据回指给设备下接的三层设备。

3、检查并放通防火墙规则。

在这里插入图片描述

网桥模式设备无法上网排错思路

1、AC网线是否反接（在线用户列表出现大量公网IP）

2、网桥地址是否可用，是否和内网冲突

3、网关是否指向靠近出口方向的设备

4、设备上的DNS是否填写正确

5、确认前面设备是否有拦截（可能做ACL拦截了AC），或者是否对AC做源地址转换代理上网

旁路模式部署

配置背景

需求：某客户想部署上网行为管理设备来审计内网用户的上网行为，但是不能改动现有的网络环境。

在这里插入图片描述

1、交换机设置镜像口，并接到AC监听口。

2、配置需要审计的内网网段和服务器网段。

3、配置管理口地址，用于管理AC设备。

在这里插入图片描述

注意事项

1、路由模式可以实现设备所有功能，网桥模式其次，旁路模式多用于审计，只能对TCP应用控制，控制功能最弱。

2、路由模式对客户原有网络改造影响最大，网桥模式其次，旁路模式对客户原有网络改造无影响，即使设备宕机也不会影响客户断网。

3、设备路由模式最多支持8条外网线路。网桥模式最多支持8对网桥，旁路模式除了管理口外，其它网口均可作为监听口，可以同时选择多个网口作为监听口。

	路由	网桥	旁路
DHCP	Y	N	N
NAT	Y	N	N
VPN	Y	N	N
非TCP控制	Y	Y	N
过滤规则	Y	Y	N
静态路由	Y	Y	Y
共享接入管理	Y	Y	N
移动终端管理	Y	Y	N
代理工具管理	Y	Y	N
防dos	Y	Y	N
流量管理	Y	Y	N
SSL内容识别	Y	Y	Y
日志中心	Y	Y	Y

Trunk模式部署

部署背景

拓扑如右图所示，交换机划分了三个VLAN，VLAN ID分别为10，20，30。路由器内网口配置为Trunk口，各Vlan间的互访通过路由器实现。

在这里插入图片描述

Trunk环境路由配置：

1、AC路由模式部署直接替代原有的路由器（或FW），并按照路由模式部署配置好设备。

2、配置LAN口IP，填写内网对应VLAN的VLAN网关IP即可。

在这里插入图片描述

Trunk环境网桥配置：

1、网桥模式部署在路由器与交换机之间，按网桥模式部署配置好设备。

2、可以给设备网桥配置其中一个VLAN中的可用IP来进行管理和更新规则库。

3、或者给设备管理口配置其中一个VLAN中的可用IP（此时不用加vid）来进行管理和更新规则库。

端口映射

需求背景

该客户已经通过配置实现了AC代理内网用户和服务器上公网。

内网有一台OA服务器，地址是192.200.2.250，使用的服务端口是TCP 80。

客户希望将此OA服务器发布到公网，外网用户通过http://202.96.137.75:8000的方式访问到服务器。

在这里插入图片描述

端口映射实现原理

端口映射即DNAT，用来设置对数据包目标IP地址进行转换的规则。常用来实现客户内网有服务器需要发布到公网，或者内网用户需要通过公网地址访问内部服务器的需求。

在这里插入图片描述

LAN-LAN端口映射配置

只有当内网用户也需要用公网地址访问内部服务器时，才需要勾选“发布服务器”。若不勾选，仅允许公网用户通过公网地址访问到内网服务器。

在这里插入图片描述

端口映射排查思路

1.检查内网PC到WEB务器的访问是否正常？（判断服务器本身是否OK）

2.检查AC到WEB服务器的访问是否正常？

3.检测外网的访问流量是否到达AC的外网口（运营商会封堵没备案的端口，比如说80）？

4.检查AC设备的端口映射配置？

5.检查AC设备的防火墙配置？

6.检查AC-WEB服务器中间设备的ACL策略？

7.检查WEB服务器本身的防火墙策略？（是否禁止公网IP访问）

叶旭ベ

关注

27
点赞
踩
20

收藏

觉得还不错? 一键收藏
0
评论
上网行为管理：部署模式+端口映射

3、设备路由模式最多支持8条外网线路。2、确定内网是否为多网段网络环境，本案例就是三层环境，所以需要添加相应的回包路由，将到内网各网段的数据回指给设备下接的三层设备。2、路由模式对客户原有网络改造影响最大，网桥模式其次，旁路模式对客户原有网络改造无影响，即使设备宕机也不会影响客户断网。2、确定内网是否为多网段网络环境，如果是的话需要添加相应的回包路由，将到内网各网段的数据回指给设备下接的三层设备。1、路由模式可以实现设备所有功能，网桥模式其次，旁路模式多用于审计，只能对TCP应用控制，控制功能最弱。
复制链接

扫一扫