10.12 ——透明网桥,路由策略,准入技术

透明网桥准入介绍

        如何部署透明网桥 --- 1,透明网桥说明  2,部署  3,配置  4,逃生   5,注意事项

1,说明

        应用场景---用户串联进入现网环境中没相当于一个二层交换机 

        接口说明 --- 核心交换机G1/0/1 --- 准入信任口   准入控制系统eth1

                            汇聚层交换机G1/0/1 --- 准入非信任口   准入控制系统eth0

                            准入控制系统 --- 核心交换机G1/0/2 --- 准入系统与终端系统用户的准入认证交互

2,部署

        设备上架 --- 

准入接口 准入网卡属性 交换机接口 备注
Eth0 UNtrust 接下联交换机 eth0和eth1口为一组bypass接口,线序不能接反,否则会导致断网
eth1 trust 接上联交换机 eth0和eth1口为一组bypass接口,线序不能接反,否则会导致断网
eth2 manager 按入位置需全网可达

        PS:网络拓扑为双链路,但只有一台准入设备情况下,可以做双链路的透明网桥实现全网终端管控。

3,配置

        1,接口配置 --- 通电,配置IP,mask,gateway  —— 配置UNtrunk,trunk属性网口,需要核心交换机和汇聚交换机

        2,选择透明网桥准入技术 --- 开始阶段选择紧急模式

        3,设备上架

                 设备通电上架,接线,确保管理口地址全网可达,确保trust口接核心层,UNtrust接汇聚

        4,准入开管控 --- 将终端设置可信或者例外 --- 小范围开管控,将开管控的终端IP范围移除例外终端配置实现范围管控

4,逃生

        准入紧急模式 --- 可以配置紧急模式 --- 紧急模式下,准入不做拦截

        准入的硬件bypass功能 --- 透明网桥可以做硬件bypass,如果设备故障,对应的bypass接口自动物理串联实现逃生。(面板的接口有BY展示的为一组bypass口,如eth1和eth0为一组bypass口)

5,注意事项

        1,版本升级后,bypass对应关系需要矫正 --- 以实物为主

        2,非透明网桥准入技术,尽量不适用bypass口 --- 避免出现宕机接口后出环

        3,UNtrust和trust千万不能接反

        4,默认提供的光模块不支持bypass,光口bypass基于光模块硬件限制,但可以支持

1,发起DNS请求 --- 准入在透明网桥下针对于这个终端发送的DNS报文是不做拦截的。

        终端发起ARP包准入也不做拦截。

2,准入判断数据包   —— 源IP--可信设备--目的是否例外服务器--目的是否准入管理口          

                                                     看源IP设备是不是例外终端,是直接放行

                                                     不是看你i是不是可信设备,是则直接放行

                                                     不是则看你目的地址是不是例外服务器,是则放行

                                                     不是则访问的目的地址是否为准入管理口地址,是则放行

                                若都不满足,则拦截。只对上行链路进行拦截

                                 三次握手通过UNtrust口https通关管理口manager口,http通过untrust

策略路由

1,策略路由说明

        场景 --- 部署在核心节点,用于管理控防经过核心设备的数据流量,常用于三层环境

                策略路由的注入方案是 通过在网关交换机上捕获所有的访问业务数据流量

        接口使用 --- 核心交换机G1/0/1 to 准入控制系统eth0   G1/0/2 to 准入控制系统eth2

2,策略路由部署

        部署1 --- 普通模式

10.12 ——透明网桥,路由策略,准入技术_第1张图片

        部署2 --- 一进一出模式

 10.12 ——透明网桥,路由策略,准入技术_第2张图片

 3,策略路由配置

        通电--管理口--IP mask gateway 策略路由下一跳必须使用IP地址

准入开管控

        1,确保终端流量经过准入,可以管控终端tracert路由跟踪,可以准入抓包确定判断

        2,将哑终端设置为可信或者例外终端

        3,小范围开管控,将开管控的终端IP范围移出终端配置实现范围管控

4,逃生

        准入紧急模式 --- 开启紧急模式,不做拦截

        准入自动逃生 --- 1,核心交换机监听下一跳接口状态,当准入异常,核心交换机发现准入下一跳不通,则取消流量牵引,实现逃生

                                    2,核心交换机不支持家庭下一跳接口时,需部署盈高监控平台,实时监控准入状态,通过Telnet或ssh控制核心交换机,通过配置好的命令模板将策略路由命令关闭,实现逃生。

5,注意事项

10.12 ——透明网桥,路由策略,准入技术_第3张图片

你可能感兴趣的:(交换机,网络,准入,网络,服务器)