10.12 ——透明网桥，路由策略，准入技术

透明网桥准入介绍

        如何部署透明网桥 --- 1，透明网桥说明  2，部署  3，配置  4，逃生   5，注意事项

1，说明

        应用场景---用户串联进入现网环境中没相当于一个二层交换机 

        接口说明 --- 核心交换机G1/0/1 --- 准入信任口   准入控制系统eth1

                            汇聚层交换机G1/0/1 --- 准入非信任口   准入控制系统eth0

                            准入控制系统 --- 核心交换机G1/0/2 --- 准入系统与终端系统用户的准入认证交互

2，部署

        设备上架 --- 

准入接口	准入网卡属性	交换机接口	备注
Eth0	UNtrust	接下联交换机	eth0和eth1口为一组bypass接口，线序不能接反，否则会导致断网
eth1	trust	接上联交换机	eth0和eth1口为一组bypass接口，线序不能接反，否则会导致断网
eth2	manager		按入位置需全网可达

        PS：网络拓扑为双链路，但只有一台准入设备情况下，可以做双链路的透明网桥实现全网终端管控。

3，配置

        1，接口配置 --- 通电，配置IP，mask，gateway  —— 配置UNtrunk，trunk属性网口，需要核心交换机和汇聚交换机

        2，选择透明网桥准入技术 --- 开始阶段选择紧急模式

        3，设备上架

                 设备通电上架，接线，确保管理口地址全网可达，确保trust口接核心层，UNtrust接汇聚

        4，准入开管控 --- 将终端设置可信或者例外 --- 小范围开管控，将开管控的终端IP范围移除例外终端配置实现范围管控

4，逃生

        准入紧急模式 --- 可以配置紧急模式 --- 紧急模式下，准入不做拦截

        准入的硬件bypass功能 --- 透明网桥可以做硬件bypass，如果设备故障，对应的bypass接口自动物理串联实现逃生。（面板的接口有BY展示的为一组bypass口，如eth1和eth0为一组bypass口）

5，注意事项

        1，版本升级后，bypass对应关系需要矫正 --- 以实物为主

        2，非透明网桥准入技术，尽量不适用bypass口 --- 避免出现宕机接口后出环

        3，UNtrust和trust千万不能接反

        4，默认提供的光模块不支持bypass，光口bypass基于光模块硬件限制，但可以支持

1，发起DNS请求 --- 准入在透明网桥下针对于这个终端发送的DNS报文是不做拦截的。

        终端发起ARP包准入也不做拦截。

2，准入判断数据包   —— 源IP--可信设备--目的是否例外服务器--目的是否准入管理口          

                                                     看源IP设备是不是例外终端，是直接放行

                                                     不是看你i是不是可信设备，是则直接放行

                                                     不是则看你目的地址是不是例外服务器，是则放行

                                                     不是则访问的目的地址是否为准入管理口地址，是则放行

                                若都不满足，则拦截。只对上行链路进行拦截

                                 三次握手通过UNtrust口https通关管理口manager口，http通过untrust

策略路由

1，策略路由说明

        场景 --- 部署在核心节点，用于管理控防经过核心设备的数据流量，常用于三层环境

                策略路由的注入方案是 通过在网关交换机上捕获所有的访问业务数据流量

        接口使用 --- 核心交换机G1/0/1 to 准入控制系统eth0   G1/0/2 to 准入控制系统eth2

2，策略路由部署

        部署1 --- 普通模式

        部署2 --- 一进一出模式

 

 3，策略路由配置

        通电--管理口--IP mask gateway 策略路由下一跳必须使用IP地址

准入开管控

        1，确保终端流量经过准入，可以管控终端tracert路由跟踪，可以准入抓包确定判断

        2，将哑终端设置为可信或者例外终端

        3，小范围开管控，将开管控的终端IP范围移出终端配置实现范围管控

4，逃生

        准入紧急模式 --- 开启紧急模式，不做拦截

        准入自动逃生 --- 1，核心交换机监听下一跳接口状态，当准入异常，核心交换机发现准入下一跳不通，则取消流量牵引，实现逃生

                                    2，核心交换机不支持家庭下一跳接口时，需部署盈高监控平台，实时监控准入状态，通过Telnet或ssh控制核心交换机，通过配置好的命令模板将策略路由命令关闭，实现逃生。

5，注意事项