上网行为安全之管理部署模式及trunk部署
目录
- 上网行为管理部署模式
-
- 1.路由模式
-
- 1.1路由模式简介
- 1.2路由模式需求背景
- 1.3路由模式配置思路
- 1.4路由模式排错思路
- 2.网桥模式
-
- 2.1网桥模式简介
- 2.2网桥模式需求背景
- 2.3网桥模式配置思路
- 2.4网桥模式排错思路
- 3.旁路模式
-
- 3.1旁路模式简介
- 3.2旁路模式需求背景
- 3.3旁路模式配置思路
- 注意事项
-
- 三种模式对比
-
- (1.)支持功能
- (2.)对客户网路影响
- (3.)支持线路
- trunk部署
-
- 1.VLAN
-
- 1.1Access 端口
- 1.2 VLAN 协议
- 2.trunk
- 3.配置
-
- **3.1trunk 环境路由配置**
- 3.2trunk 环境网桥部署配置
上网行为管理部署模式
部署模式是指设备以什么样的工作方式部署到客户网络中去,不同 的部署模式对客户原有网络的影响各有不同;设备在不同模式下支持的 功能也各不一样,设备以何种方式部署需要综合用户具体的网络环境和 功能需求而定。
根据客户需求及环境不同:
AC设备支持路由、网桥、旁路部署模式,
SG设备支持路由、网桥、旁路、单臂部署模式
1.路由模式
1.1路由模式简介
设备以路由模式部署时,AC的工作方式与路由器相当, 具备基本的路由转发及NAT功能。
一般在客户还没有 相应的网关设备或者用户的网路环境比较小型,需要将AC做网关使用时,建议以路由模式部署。
路由模式下支持AC所有的功能。
如果需要使用NAT、VPN、DHCP等功能时,AC必须 以路由模式部署,其它工作模式没有这些功能
1.2路由模式需求背景
背景:客户需要用新的上网行为管理设备来替换旧的出口路由器 ,实现行为审计和管控
1.3路由模式配置思路
内网的电脑如果需要上网,出口设备需要配置些什么?
| 第一步 网口配置 | 配置各网口地址。如果是固定IP,则填写运营商给的IP地 址及网关;如果是ADSL拨号上网,则填写运营商给的拨号帐号和密码; 确定内网口的IP; |
|---|---|
| 第二步 | 确定内网是否为多网段网络环境,如果是的话需要添加相应的回包路 由,将到内网各网段的数据回指给设备下接的三层设备。 |
| 第三步 | 用户是否需要通过AC设备上网,如果是的话,需要设置NAT规则 |
| 第四步 | 检查并放通防火墙规则 |
1.4路由模式排错思路
(1)检查PC本身的网口IP,子网掩码
(2)检查PC本身的默认网关,首选的DNS服务器
(3)检查AC上给PC做的SNAT
(4)检查AC上给PC做的回包路由
(5)被PC访问的设备本身能否上网 ping /telnet /wget
(6)网口兼容性 换网线 换网口 中间加交换机
(7)arp防护和免费arp可能存在冲突
(8)通过ifconfig检查网口错误包或者丢包,ethool -S 查看丢包类型
2.网桥模式
2.1网桥模式简介
1.设备以网桥模式部署时对客户原有的网络基本没有改动。
网桥模式部 署AC时,对客户来说AC就是个透明的设备。
2.因为AC自身的原因 而导致网络中断时可以开启硬件bypass功能,即可恢复网络通信。
3.网桥模式部署时AC不支持NAT(代理上网和端口映射)、VPN、 DHCP等功能。
2.2网桥模式需求背景
需求:客户需要部署一台上网行为管理 设备,但是又不想对网络改动太大,设备建议为网桥模式部署
2.3网桥模式配置思路
| 第一步 | 配置设备网桥地址(地址应与核心交换机与防火墙为一个网段),网关地址,DNS地址。 |
|---|---|
| 第二步 | 确定内网是否为多网段网络环境,本案例就是三层环境,所以需 要添加相应的回包路由,将到内网各网段的数据回指给设备下接的三 层设备。 |
| 第三步 | 检查并放通防火墙规则 |
2.4网桥模式排错思路
1、AC网线是否反接(在线用户列表出现大量公网IP)
2、网桥地址是否可用,是否和内网冲突
3、网关是否指向靠近出口方向的设备
4、设备上的DNS是否填写正确
5、确认前面设备是否有拦截(可能做ACL拦截了AC), 或者是否对AC做源地址转换代理上网
3.旁路模式
3.1旁路模式简介
1.旁路模式主要用于实现审计功能,完全不需要改变用户的网络环境, 通过把设备的监听口接在交换机的镜像口,实现对上网数据的监控。
2.这种模式对用户的网络环境完全没有影响,即使宕机也不会对用户的 网络造成中断
3.旁路模式部署主要用于做上网行为的审计,且只能对TCP应用做控制, 对基于UDP的应用无法控制。
不支持流量管理、NAT、 VPN、 DHCP等功能
3.2旁路模式需求背景
需求:某客户想部署上网行为 管理设备来审计内网用户的上网行为,但是不能改动现有的网络环境。
3.3旁路模式配置思路
原理:管理设备的上网行为,实现对上网数据的监控
TCP RST包
产生RST包的时候:当监控到设备发出被禁止的请求后,AC设备向请求发出设备发送RST包,断开连接。
RST作用:标示复位、用来异常的关闭连接。
- 发送RST包关闭连接时,不必等缓冲区的包都发出去,直接就丢弃缓 冲区中的包。
- 而接收端收到RST包后,也不必发送ACK包来确认。
1、交换机设置镜像口,并接到AC监听口。
2、配置需要审计的内网网段和服务器网段。
3、配置管理口地址,用于管理AC设备
注意事项
三种模式对比
(1.)支持功能
路由模式可以实现设备所有功能;
网桥模式其次;
旁路模式多用于审计,只能对TCP应用控制,控制功能最弱。
功能支持列表
(2.)对客户网路影响
路由模式对客户原有网络改造影响最大;
网桥模式其次;
旁路模式 对客户原有网络改造无影响,即使设备宕机也不会影响客户断网。
(3.)支持线路
设备路由模式最多支持32条外网线路;
网桥模式最多支持32对网桥;
旁路模式除了管理口外,其它网口均可作为监听口,可以同时选择多个网 口作为监听口。
trunk部署
1.VLAN
**Virtual LAN(虚拟局域网)**是物理设备上连接的不受物理位置限制的 用户的一个逻辑组。
形象地说,交换机VLAN技术就是将1台物理交换机划分为若干台逻辑上完全独立的交换机。
为什么引入VLAN?
- 二层交换机不能阻隔广播域,网络规模越大,广播危害也越严重
- 路由器可以阻隔广播,但价格比交换机贵,而且中低端路由器是使用软 件转发,转发性能不高,会造成性能瓶颈
- 大量的未知单播流量和无用组播流量
- 带来安全隐患
5.难以管理和维护
1.1Access 端口
Access接口:进该接口打上VLAN标记,出接口剥离VLAN标记
1.2 VLAN 协议
802.1Q – 公有标准
– 默认情况,在802.1Q Trunk上对所有的VLAN打Tag,除了Native VLAN;
– Native VLAN,也称为本征VLAN,是在trunk上无需打标签的VLAN,默 认 为vlan1,可手工修改
Tag标记字段详细信息:
• Tag 标记字段包含一个2 bytes EtherType(以太类型)字段、一个 3bits的PRI字段、1bit的CFI字段、12bits的VLAN ID字段;
2.trunk
不同交换机相同的vlan互访解决方案
方案一
方案二
1.不同VLAN之间的数据包如何交互?
VLAN间路由
2.路由器与每个VLAN建立一条物理连接,浪费大量的端口
所以产生了新的技术------单臂路由
3.配置
3.1trunk 环境路由配置
1、AC路由模式部署直接替代原有的路由器(或FW),并按照路由 模式部署配置好设备。
2、配置LAN口IP,填写内网对应VLAN的VLAN网关IP即可。
3.2trunk 环境网桥部署配置
1、网桥模式部署在路由器与交换机之间,按网桥模式部署配置好设备。
2、可以给设备网桥配置其中一个VLAN中的可用IP来进行管理和更新规则库。
3、或者给设备管理口配置其中一个VLAN中的可用IP(此时不用加vid)来进行 管理和更新规则库。