⼆、上⽹⾏为管理部署模式
部署模式
AC设备⽀持路由、⽹桥、旁路部署模式怎么把照片缩小到200k
SG设备⽀持路由、⽹桥、旁路、单臂部署模式
路由部署模式
AC当路由器使⽤,全功能启⽤模式
具有路由转发,NAT,VPN,DHCP等功能模块
对⽹络影响最⼤,串联于⽹络中。
⽹桥部署模式
对客户来说就是⼀个透明设备,部分功能启⽤。
如果AC出现故障,开启硬件bypass功能相当于⼀对⽹线的转接头
不⽀持NAT(代理上⽹和端⼝映射)、VPN、DHCP等功能。
对⽹络影响其次,串联于⽹络中。
旁路部署模式
旁路模式主要⽤于实现审计,基于TCP应⽤控制,其他功能都没有。
通过把设备的监听⼝接在交换机的镜像⼝,实现对上⽹数据的监控。
宕机也不会对⽤户的⽹络造成中断
除了管理⼝DMZ,其他都可以做监听⼝
对⽹络影响最⼩,并联于⽹络中。
需求背景
路由模式解决⽅案
考上大学的祝福语怎么写1)内⽹⽹段需要上⽹,AC上需要做SNAT,源地址转换,也叫代理上⽹
2)内⽹有服务器要发布出去,需要做端⼝映射
3)下⾯是多⽹段,所以需要在AC的下⾏⼝做静态路由,也叫回包路由(即去往172.16.1.0/2.0/3.0的⽹段的下⼀跳路由需要给172.16.0.2)
4)AC上有防⽕墙,为了保证内外⽹畅通需要做策略或者关闭防⽕墙
⽹桥模式解决⽅案
苹果6 plus部署位置:
怎么拍拍别人三层设备之上,⽹关设备之下
在⽹桥模式下,AC上⾏跟下⾏⼝都是⼆层⼝不能配IP
上⽹四要素:IP地址,⼦⽹掩码,默认⽹关,DNS
查看默认路由
掩码为30位时,因DMZ是三层⼝,连接到下⾯三层设备上,⽹关为三层设备,即可配置IP地址等
在⽹桥模式上AC配置去往172.16.4.0⽹段到172.16.0.2的静态路由的作⽤:
当4.10去访问外⽹的时候,从三层设备到AC再到⽹关,AC上是默认路由所有都到⽹关。⽽⽹关上有去往各个内⽹⽹段的静态路由,则回包时AC⽆此静态路由,则去4.10先到AC,AC没有去往4.10的静态路由则⾛默认路由到⽹关172.16.0.254,⽹关查路由表,发现去往4.10的路由要⾛172.16.0.2,则再从AC到172.16.0.2。
AC在⽹桥模式下,还有⼀个虚拟地址1.1.1.3,也可通过此IP管理AC
AC发包有可能时以1.1.1.3发出来的,做⽹络规划时不能占⽤此⽹段
如果AC的上下⾏⼝接反,会导致策略不⽣效,在线⽤户变为公⽹⽤户
旁路模式解决⽅案
除了DMZ⼝其他⼝都可以做监听⼝,主要⽤于流量审计。
旁路模式可以控制TCP原理:
在三层握⼿之后,伪造服务端发送RST包关闭连接,因AC在内⽹所以RST包⽐服务器响应包要先到达PC端,可以说⾮常有意思。
TRUNK部署解决⽅案shuma
单臂路由,简单不详细写了
10/192.168.10.1 中的10对应vlan10
防⽕墙过滤功能
基于包过滤实现
基于IP,端⼝转发的四层防⽕墙
注意过滤⽅向
端⼝映射
第⼀种⽅法
LAN-LAN端⼝映射,相当于做了DNAT跟SNAT两种转换。
不勾选发布服务器(即只配置DNAT规则)仅允许外⽹IP访问内⽹服务器,因为到AC的源IP不做转换还是为内⽹PC的IP,这样如果内⽹电脑访问OA,OA直接回包不通过AC转发,造成session不匹配,从⽽丢包。
勾选发布服务器,则AC的源IP地址会转换成AC的IP地址⽽不是内⽹PC的IP地址。
2h10m是实验
端⼝映射
第⼆种⽅法
种子的传播方式2h19m是实验
先做DNAT转换,在长沙AC上做。
做DNAT的时候要指定⼊端⼝,这点跟发布服务器时配置选的应⽤于所有WAN⼝不⼀样。
去掉发布服务器选项。
再做SNAT转换
⽤户认证与管理
HTTP认证
实验操作2h34m
创建⼀个⽤户
创建⼀个⽤户组
新增认证策略
注意需要把DNS放通
也要把访问HTTPS拦截到认证页⾯,否则不能访问https⽹站,也重定向不了认证页⾯
⾄此第四天视频看完
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论