发布时间 : 星期五 文章深信服上网行为管理部署方式及功能实现配置说明更新完毕开始阅读e1bbc637d0d233d4b14e69eb
第八步:基本配置完毕后,将设备接入网络中,WAN1口、WAN2口分别接FW1、FW2,LAN1口、LAN2口接内网交换机。
旁路模式
旁路模式:实现监控控制的功能的同时,可以完全不需改变用户的网络环境,并且可以避免设备对用户网络造成中断的风险。用于把设备接在交换机的镜像口或者接在HUB上,保证内网用户上网的数据经过此交换机或者HUB,并且设置镜像口的时候需要同时镜像上下行的数据,从而实现对上网数据的监控与控制。这种模式对用户的网络环境完全没有影响,即使宕机也不会对用户的网络造成中断。常见的应用环境有以下两种:
旁路模式部署配置案例
客户环境和需求:客户网络环境如下图所示,客户需要监控内网各个网段的上网数据,需要设备可以自动更新内置规则库,内网用户使用WEB认证,并且能够在内网随时登录设备控制台进行管理,希望通过旁路模式部署配置实现。
综合客户的需求和特殊的网络拓扑,采用如下部署方式:
因为需要设备可以上外网,同时和内网通信正常,AC设备旁路模式下,通过镜像口是不能上网的,解决办法是将设备的管理网口(DMZ口)连接到内网的交换机上,并且分配一个可以使用的IP地址,设备通过此地址完成和公网和内网的通信。同时将DMZ接到内网的交换机上。
配置方法:
第一步:先配置设备,通过默认IP登录设备。
第二步:在【导航菜单】页面中的『网络配置』→『部署模式』,右边进入【部署模式】编辑页面,点击开始配置,出现以下页面:配置设备模式为旁路模式,点击下一步
第二步:配置管理网口地址:旁路模式下,管理网口默认是eth1口,并且不可修改。
[IP地址]填写分配给设备管理口(DMZ接口)的IP地址,此例中需要将DMZ口接到内网交换机上,所以填写一个可以和交换机以及内网通信的IP地址。
[默认网关]指的是设备的网关,此例中填写和DMZ口连接的交换机的网口地址。 在[首选DNS]和[备用DNS]中填写公网可以使用的DNS地址。
第三步:配置监控网段和监控服务器列表:
『监控网段与排除IP地址列表』中填写需要监控的网段,以及需要排除监控的地址。此处填写内网网段192.168.1.0/255.255.255.0,则此时这个网段访问其他网段的数据都会被监控,这个网段之间的访问不会被监控。排除网段用“-192.168.1.1-192.168.1.10”表示,填入后表示192.168.1.1-192.168.1.10这个范围内的IP访问其他网段(外网)的数据不会被监控。
『高级配置』中用于设置[监控服务器列表],填入列表中的地址,在被监控网段中的IP访问时,数据也会被监控。例如内网有一台web服务器,用户想要记录内网用户访问这台服务器的数据,因为同一网段的访问是不会被监控的,此时,将web服务器的IP地址填写到[监控服务器列表]中即可。
以上说的是监控的设置,因为旁路模式下可以实现部分TCP控制功能,控制功能是在