|
[网关运行模式配置]用于设定ac 硬件网关的工作模式,可把ac 硬件网关设定为,路由模式,透明模式,网桥模式和旁路模式。设置界面如下:
选择[路由模式],[透明模式],[网桥模式],[旁路模式]。点击[设置生效]保存配置,然后ac硬件网关会自动重启,[确定]。重启后,ac 硬件网关的运行模式即改变生效。 a.路由模式 [路由模式]是把ac 硬件网关作为一个路由设备使用,一般是把ac 硬件设备放在内网网关出口的位置,代理局域网上网;或者把ac 硬件设备放在路由器后面,再代理局域网上网。如下图所示:
1.ac 硬件网关工作在路由模式时,局域网内电脑的网关都是指向ac 硬件网关的lan 口ip 或指向三层交换机,三层交换机的网关再指向ac。上网数据由ac 硬件网关做nat 或路由转发除去。 2.wan、lan 应设置不同网段的ip。 3.如果wan2 口没有被使用,可以把wan2 自定义成一个lan2 或dmz2。 4.lan 口配置802.1q-vlan 地址后,lan 口可以接支持vlan 的2 层交换机的trunk 口,ac 可以在vlan 间转发数据(单臂路由),并可做lan[-]lan 方向的防火墙规则,即可以控制不同vlan-id 之间的访问控制。 b.透明模式 透明模式是把ac 硬件网关视为一条带过滤功能的网线使用,一般在不方便更改原有网络拓扑结构的情况下启用。把ac 硬件网关接在原有网关及内网用户之间,在原网关及内网用户不需做任何配置改变的情况下,对ac 硬件进行一些配置即可使用。对原网关及内网用户而言,亦不知ac 硬件网关的存在,即所谓对原网关及内网用户透明。如下图所示:
1.ac 硬件网关工作在透明模式时,局域网内电脑的网关都不需要改变,保留指向原有网关即可(即指向前置设备的内网接口ip)。 2.ac 硬件网关工作在透明模式时,必须为ac 硬件网关的wan、lan 设置同一网段的ip,ac 硬件设备的网关指向原有网关(即指向前置设备的内网接口ip)。 3.ac 硬件网关工作在透明模式时,必须保证原有网关及内网用户间只有唯一的物理线路连接,且ac 硬件网关正是串接在这条唯一的物理线路连接上。即不能存在内网用户可[绕过]ac 硬件设备,到达原有网关的物理线路。 4.ac 硬件网关工作在透明模式时,ac 硬件网关的wan2 和dmz 口不起作用,亦不能配置。只有wan1 和lan1 是可用的。且要保证wan1 口接前置的路由设备,lan 口接内网的交换机,不能接反。 5.ac 硬件网关的透明模式是在网络层(osi 第三层)上实现的透明,是通过arp 欺骗技术实现的,可能会影响内网某些基于数据链路层(osi 第二层)或基于mac 地址的应用,请慎重启用ac 硬件网关的透明模式功能。例如原有网关不能启用ip/mac 绑定及dhcp 等需要第二层数据穿透的功能。 6.在透明模式不要启用nat 功能。 7. 在透明模式下ac 本机的ip-mac 绑定和vpn 功能可用。 8.不要把设备的wan1 口和lan 接到同个交换机,这会在内网引起arp 欺骗,导致通讯异常。 9. 有前置设备情况下,启用网关杀毒、邮件过滤等功能,或ac 需要自动升级url 等内置库时,需要正确设置前置设备规则(防火墙、路由等),保证ac 设备可访问外网。 10.一般不建议把设备切换到透明模式,因为透明模式只能穿透网络层的数据,需要穿透数据链路层数据的应用在此模式下没法正常工作。一般只在需要这种网络部署又要用到vpn 功能时才启用透明模式,否者强烈建议使用网桥模式。如需要用vpn 的情况下,建议使用路由模式。 c.网桥模式 网桥模式和透明模式类似,是把ac 硬件网关视为一条带过滤功能的网线使用,一般在不方便更改原有网络拓扑结构的情况下启用。把ac 硬件网关接在原有网关及内网用户之间,在原网关及内网用户不需做任何配置改变的情况下,对ac 硬件进行一些配置即可使用。对原网关及内网用户而言,亦不知ac 硬件网关的存在,即所谓对原网关及内网用户透明。网桥模式和透明模式的主要区别是,网桥模式是可以穿透数据链路层的数据,对用户做到完全透明。一般在这种网络拓扑下强烈建议用网桥模式。如下图所示:
配置界面如下图所示:
1.ac 硬件网关工作在网桥模式时,局域网内电脑的网关都不需要改变,保留指向原有网关即可(即指向前置设备的内网接口ip)。 2.ac 硬件网关工作在网桥模式时,wan 口和lan 口桥接起来了。wan 和lan 口处于同一个交换域内,相当于交换机的两个接口。wan 口和lan 口的ip 不可配置。网桥模式下内外网接口配置在配置界面上也隐藏起来了。设备可配置一个网桥ip(此为设备的一个虚ip),用于设备本身的上网或把设备的日志同步到数据中心,要保证有路由到达公网或数据中心的电脑。 3.ac 硬件网关工作在网桥模式时,必须保证原有网关及内网用户间只有唯一的物理线路连接,且ac 硬件网关正是串接在这条唯一的物理线路连接上。即不能存在内网用户可绕过ac 硬件设备,到达原有网关的物理线路。 4.ac 硬件网关工作在网桥模式时,ac 硬件网关的wan2 不起作用,亦不能配置,dmz 口可配置一个管理ip。穿透数据时只有wan1 和lan1 是可用的。且要保证wan1 口接前置的路由设备,lan 口接内网的交换机,不能接反。 5.ac 硬件网关的网桥模式是在数据链路层(osi 第二层)上实现的透明,是通过把ac 的wan1 口和lan 口桥接实现的。数据链路层及以上各层的数据均可穿透。原有网关启用ip/mac 绑定及dhcp 等需要第二层数据穿透的功能能正常使用。 6.在网桥模式不要启用nat 功能。 7.在网桥模式下ac 本机的ip-mac 绑定和vpn 功能不可用。 8.不要把设备的wan1 口和lan 接到同个交换机,这相当于把一根网线接到交换机的两个口,会引起二层上的环路,导致通讯异常。 9.如启用杀毒、邮件过滤等功能或要让设备能够自动升级url库,内容检测,病毒库等,则须配置需设置网桥ip,默认网关和dns,并保证ac本身访问外网(可通过升级控制台工具ping测试)。 10.如启用web认证、准入规则或其他需要重定向到ac网关上的功能,同时内网有多网段时,须添加到内网非直连网段的路由指向内网路由设备。 11.如果二层交换机上的pc 有多个网段(非vlan),网关上也有多个网段的ip。ac 如启用杀毒,邮件过滤,准入规则和web 认证等需要重定向到ac 上的功能时要把这几个网段的ip 也配置到[网桥模式]多ip 绑定]里。否则可不配置。 12.网桥模式时,ac 网桥支持vlan trunk 穿透,网桥的ip 地址支持802.1q-vlan 的地址。即ac 网关可以透明接在vlan trunk 的主干道上。点击[网关模式设置\vlan 设置]可以设置网桥模式支持vlan trunk。 弹出如下的vlan 设置对话框:
在这里可以勾选[启用vlan],添加vlan id 与ip 地址之间的对应关系。 如启用杀毒,邮件过滤,准入规则和web 认证等需要重定向到ac 上的功能时才需要配置这个ip,否则不配置vlan ip 也可以。 d.旁路模式 旁路模式实现监控控制的功能的同时,可以完全不需改变用户的网络环境,并且可以避免ac对用户网络造成中断的风险。用于把ac 接在交换机的镜像口或者接着hub 上,对最整个局域网进行旁路模式的监控与控制。这种模式对用户的网络环境完全没有影响,即使down 机也不会对用户的网络造成中断。网络拓扑如下图所示:
在[网关运行模式]里面可以把ac设置为旁路模式运行,如下图所示:
左边为管理网口(dmz 口)的ip 地址配置,要使能用控制台或者升级系统连接ac 进行管理,必须正确设置该网口的ip 地址和网关,并且网线要接着dmz 口上。 右边为要监控的网段和排除的网段列表。由于旁路时只需一根网线把ac的lan口或wan1口接在hub或者交换机的镜像口上,ac并不知道哪些属于内网外网的地址,因此在[监控网段列表]里面出现的地址,ac就认为是内网地址进行记录,不在该列表的地址则不记录。[排除地址列表]主要是当一个地址本来属于[监控网段列表]里面的地址,但是又想把该地址不记录,此时就需要该地址输入到[排除地址列表]里面,即[排除地址列表]里面的地址不做记录。这里划分内网外网主要是只有数据是内网外网之间的交换数据时,才会进行监控记录,而内网之间的数据交换不会记录。要想记录内网自己交换的数据,必须勾上复选框[监控内网自己传输的数据]。 1. 用户必须使用hub 或者交换机具有镜像口的情况。如果交换机没有镜像口,可以在交换机前加接hub 实现。 2.旁路模式下,流量显示,会话连接数功能不起作用。 3.旁路模式下,ipmac 认证无效。 4.旁路模式下,监控内网之间的数据的时,会把一个tcp 连接的数据的回包也记录下来,比如a 访问b 的80 端口,网络监控日志里不光有a 到b 80 端口的数据,也会有b 到a 的一个随机端口的数据。 5.旁路模式下,使用代理,要在旁路上绑定和代理网段同一网段的ip 地址(或者有路由能够到达此ip),使其发送的reset 包能都被pc 和代理服务器收到。(发reset 包给代理服务器) 6.旁路模式的很多路由模式下的功能没有实现,比如vpn、dhcp 和准入规则等。 7.旁路模式主要起监控的作用,限制的功能没有路由模式和网桥模式那么全面。只能对tcp 的连接进行限制,比如url 过滤,关键字过滤,邮件过滤等。对udp 的没法限制,比如p2p 软件,qq 的登录等。
(责任编辑:admin) |
