上网行为管理AC之部署模式

一、路由模式部署(双向地址转换)

1、路由模式简介

（1）设备以路由模式部署时，AC的工作方式与路由器相当，具备基本的路

由转发及NAT功能。一般在客户还没有相应的网关设备或者用户的网

络环境规模比较小，需要将AC做网关使用时，建议以路由模式部署。

（2）路由模式下支持AC所有的功能。

（3）如果需要使用NAT、VPN、DHCP等功能时，AC必须以路由模式部署，

其它工作模式没有这些功能。

2、路由模式配置思路

（1）网口配置：配置各网口地址。如果是固定IP，则填写运营商给的IP地址及网关；如果是ADSL 拨号上网，则填写运营商给的拨号帐号和密码；确定内网口的IP；

（2）确定内网是否为多网段网络环境，如果是的话需要添加相应的回包路由，将到内网各网段的

数据回指给设备下接的三层设备。

（3）用户是否需要通过AC设备上网，如果是的话，需要设置NAT规则。

（4）检查并放通防火墙规则。

3、路由模式配置方法

（1）设置PC电脑，打开设置中的更改适配器选项

（2）选择以太网，打开属性  

（3）AC/SG设备的lan口(默认eth0定义为lan)有保留IP地址为128.127.125.252/29

      AC/SG设备dmz口(默认eth1定义为dmz)也有保留IP地址128.128.125.252/29

（4）交换机机配置

 vlan batch 30 40
#
 undo http server enable
 undo http secure-server enable
#
aaa
 authentication-scheme default
 authorization-scheme default
 accounting-scheme default
 domain default
 domain default_admin
 local-user admin password cipher %@%@5d~9:M^ipCfL\iB)EQd>3Uwe%@%@
 local-user admin service-type http
#
interface Vlanif30
 ip address 192.168.3.254 255.255.255.0
#
interface Vlanif40
 ip address 192.168.1.254 255.255.255.0
#
interface Ethernet0/0/1                   
#
interface Ethernet0/0/2
 port link-type access
 port default vlan 40
#
interface Ethernet0/0/3
#
interface Ethernet0/0/4
 port link-type access
 port default vlan 30

 ip route-static 0.0.0.0 0.0.0.0 192.168.1.1

（5）设置AC上网行为管理，AC上行接口不用设置默认路由（AC自动默认路由）

标题

（6）设置默认路由（回路）

（7）双向地址转换(telnet)

4、路由模式排错思路

（1）检查PC本身的网口IP，子网掩码

（2）检查PC本身的默认网关，首选的DNS服务器

（3）检查AC上给PC做的SNAT

（4）检查AC上给PC做的回包路由

（5）被PC访问的设备本身能否上网 PING /TELNET /WGET

（6）网口兼容性 换网线 换网口 中间加交换机

（7）arp防护和免费arp可能存在冲突

（8）通过ifconfig检查网口错误包或者丢包，ethtool -S 查看丢包类型

telnet

[R-A-A]telnet server enable //开启Telnet（远程登录）服务

[R-A-A]aaa //进入aaa模式

[R-A-A-aaa]local-user huawei password cipher huawei123 //创建远程登录用户名和密码

[R-A-A-aaa]local-user huawei service-type telnet //设置远程登录用户服务类型

[R-A-A-aaa]local-user huawei privilege level 3 //设置远程登录用户权限

[R-A-A]user-interface vty 0 4 //设置远程登录用户数量 0 4 表示允许5个远程等于用户登录到此设备

[R-A-A-ui-vty0-4]authentication-mode aaa //以aaa（用户名+密码）作为远程登录用户的身份验证方式

二、网桥模式部署

1、网桥模式简介

（1）设备以网桥模式部署时对客户原有的网络基本没有改动。网桥模式部署AC时，对客户来说AC 就是个透明的设备，如果因为AC自身的原因而导致网络中断时可以开启硬件bypass功能，即

可恢复网络通信。

（2）网桥模式部署时AC不支持NAT（代理上网和端口映射）、VPN、DHCP等功能。

2、网桥模式配置思路

（1）配置设备网桥地址，网关地址，DNS地址。

（2）确定内网是否为多网段网络环境，本案例就是三层环境，所以需要添加相应的回包路由，将到 内网各网段的数据回指给设备下接的三层设备。

（3）检查并放通防火墙规则。

3、网桥模式配置方法

单网桥 24掩码

AC（192.168.1.2 ）配置

单网桥 30掩码

网桥模式设备无法上网

（1）AC网线是否反接（在线用户列表出现大量公网IP）

（2）网桥地址是否可用，是否和内网冲突

（3）网关是否指向靠近出口方向的设备

（4）设备上的DNS是否填写正确

（5）确认前面设备是否有拦截（可能做ACL拦截了AC），或者是否对AC做源地址转换代理上网

多网桥

三、旁路模式部署

1、旁路模式简介

（1）旁路模式主要用于实现审计功能，完全不需要改变用户的网络环境，通过把设备的监听口接在交 换机的镜像口，实现对上网数据的监控。这种模式对用户的网络环境完全没有影响，即使宕机也 不会对用户的网络造成中断。

（2）旁路模式部署主要用于做上网行为的审计，且只能对TCP应用做控制，对基于UDP的应用无法控 制。不支持流量管理、NAT、 VPN、 DHCP等功能。

（3）更多场景：全网行为管理推荐的旁路准入+审计场景

2、旁路模式配置思路

（1）交换机设置镜像口，并接到AC监听口。

（2）配置需要审计的内网网段和服务器网段。

（3）配置管理口地址，用于管理AC设备。

3、旁路模式配置方法

旁路模式

交换机配置镜像口

obsserve-port 1 interface G0/0/4(接口)

port-mirroring to observe-port 1 both

both           调用出入方向

inbound     仅调用入方向

outbound   仅调用出方向

查看观察口：dis observe-pore

4、注意事项

（1）路由模式可以实现设备所有功能，网桥模式其次，旁路模式多用于审计，只能对TCP应用控制，控制功能最弱。

（2）路由模式对客户原有网络改造影响最大，网桥模式其次，旁路模式对客户原有网络改造无影响，即使设备宕机也不会影响客户断网。

（3）设备路由模式最多支持8条外网线路。网桥模式最多支持8对网桥，旁路模式除了管理口外，

其它网口均可作为监听口，可以同时选择多个网口作为监听口。

单臂路由

单臂网桥

Trunk环境网桥部署配置

（1）网桥模式部署在路由器与交换机之间，按网桥模式部署配置好设备。

（2）可以给设备网桥配置其中一个VLAN中的可用IP来进行管理和更新规则库。

（3）或者给设备管理口配置其中一个VLAN中的可用IP（此时不用加vid）来进行管理和更新规则库。

四、 防火墙技术及其应用

1、端口映射实现原理

端口映射即DNAT，用来设置对数据包目标IP地址进行转换的规则。

常用来实现客户内网有服务器需要 发布到公网，或者内网用户需要通 过公网地址访问内部服务器的需求。

2、LAN-LAN端口映射需求（PC1与PC2连接AC后互通）

3、端口映射排查思路

（1）检查内网PC到WEB务器的访问是否正常？（判断服务器本身是否OK）

（2）检查AC到WEB服务器的访问是否正常？

（3）检测外网的访问流量是否到达AC的外网口（运营商会封堵没备案的端口，比如说80）？

（4）检查AC设备的端口映射配置？

（5）检查AC设备的防火墙配置？

（6）检查AC-WEB服务器中间设备的ACL策略？

（7）检查WEB服务器本身的防火墙策略？（是否禁止公网IP访问）

4、双向地址转换

（1）应用场景：双向地址转换应用于当内网终端需要通过公网地址访问内网服务器时，需要做双向地址转换；避免来回数据包五元组不对等。

（2）过程：当终端的数据到达行为管理时，会把源IP地址转换为自己LAN口的IP地址，目的IP地址转换为服务器IP地址。

５、用户如何注销

（1）在【在线用户管理】中强制注销在线用户

  （临时用户、Dkey用户、不需要认证的用户无法被强制注销）

（2）在【认证高级选项】-【认证选项】中选择【自动注销无流量的用户】（对所有用户生效）

（3）在【认证高级选项】-【认证选项】中设置【每天强制注销所有在线用户】，并设置注销时间（对所有用户生效）

（4）设置认证页面关闭时自动注销 

（5）设置MAC变动时自动注销