上网行为组网

Posted 2023-01-06 坏坏-5

上网行为管理基本操作

设备外观

• Eth0和Eth2是属于同一组Bypass口，即使AC宕机或断点，属于同一个Bypass组的接口也可以正常进行通信

登录设备的方式

• 首次拿到AC/SG设备，可以通过以下方法登录

方法一

• Sangfor AC/SG设备，各网口默认的出场IP为：
  • Eth0（LAN）：10.251.251.251/24
  • Eth1（DMZ）：10.252.252.252/24
• 使用交叉线连接设备和电脑
  • 根据连接的接口不同，配置与接口同网段的IP地址
  • 打开浏览器输入https://10.251.251.251，登录设备网关控制台
    • 如果连接的是Eth1口，则配置10.252.252.0/24网段的地址，输入https://10.252.252.252登录设备网关控制台
  • 在控制台输入admin账号，登录设备
    • 账号和密码默认都是admin

方法二

• 设备的接口地址被修改，在不知道更改后接口地址的情况下，可以通过以下两种方法登录设备
• Sangfor AC/SG设备的LAN口（默认为Eth0）有保留地址128.127.125.252/29
  • 将电脑的IP地址配置与保留地址相同网段，使用交叉线连接电脑和设备的Eth0接口
  • 通过https://128.127.125.252登录设备网关控制台
• AC/SG设备的DMZ口（默认为Eth1）也有保留地址128.128.125.252/29
  • 将电脑的IP地址配置与保留地址相同网段，使用交叉线连接电脑和设备的Eth1接口
  • 通过https://128.128.125.252登录设备网关控制台

• 保留地址是与接口的角色绑定的，即如果改变了Eth0的接口角色为DMZ口，则Eth0接口的保留地址就是128.128.125.252/29
• 路由模式部署时LAN和DMZ都有保留地址，网桥模式网桥Br0和DMZ有保留地址，旁路模式部署时管理口有保留地址
• 路由模式出厂默认Eth0定义为LAN，Eth1口定义为DMZ，如设备部署模式

方法三

• 通过Sangfor升级系统工具查找设备地址后，通过查找到的地址进行设备控制
  • 安装Sangfor升级系统工具的PC和设备使用交叉线直连
  • 关闭PC的防火墙

恢复设备出场设置

• 恢复出场配置会使设备重启
• 对于可以正常登录的设备可以通过以下两种方法恢复出场配置
  • 通过控制台界面恢复出场设置，在系统管理-配置备份与恢复-恢复出场设置
  • 通过Sangfor升级系统工具恢复出场设置
• 对于无法正常登录的设备，可以使用短接设备两个电口恢复
  • 将设备关机
  • 使用一根交叉线连接设备面板上任意两个非一组的Bypass电口
  • 将设备加电开机，等待设备重启，拔掉短接电口的交叉线
  • 设备开启后，通过出场默认地址和默认控制台账号、密码登录设备

恢复控制台密码

• 忘记管理员的账号密码，导致无法登录设备，需要保留配置，则可以通过以下方法恢复密码
  • 在电脑和设备可以通信的前提下，访问设备地址https://acip/php/rp.php，提示“创建文件成功，请连接交叉线并重启设备！”
  • 使用交叉线，短接任意两个非一组的Bypass电口
  • 手动重启设备，重启过程中，观察交叉线短接的两个电口ACT灯状态，两个电口ACT灯同时闪烁10次，密码恢复完成
    • 拔掉短接线，使用默认账号、密码登录控制台

上网行为管理部署模式

• 不同的部署模式对客户原有网络的影响各有不同，设备在不同模式下支持的功能也各不相同
• 设备支持的部署模式
  • AC设备：路由、网桥、旁路
  • SG设备：路由、网桥、旁路、单臂

路由模式

• AC的工作方式相当于路由器，具备基本的路由转发、NAT功能
• 在客户没有相应的网关设备或用户的网络环境规模较小，需要AC做网关使用时，推荐以路由模式部署
• 在路由模式下，支持AC的所有功能
  • DHCP、NAT、VPN、非TCP控制、过滤规则、静态路由、共享接入管理、移动终端管理、代理工具管理、防Dos、流量管理、SSL内容识别、数据中心
  • DHCP、NAT、VPN只有路由模式支持，其他工作模式不支持这些功能

• **配置步骤 **
  • 选择端口角色
  • 分别配置各个端口的IP地址、网关、DNS
  • 如果AC是互联网出口设备，配置SNAT代理上网
  • 如果内网是三层环境，需要配置到达终端所在网段的回包路由

• AC上配置网关即相当于是默认路由，内网通过默认路由访问公网
• 配置DNS是为了保障AC可以上网，深信服的所有设备都需要可以上网。因为会自动更新应用程序库，所以就需要设备可以上网，以便于同步最新的应用特征识别库
• 注意
  • 路由模式最多支持8条外网线路
  • 网桥模式最多支持8对网桥
  • 旁路模式除了管理口外，其他接口均可作为监听口，可以同时选择多个网口作为监听口

网桥模式

• 使用场景
  • 客户不希望改动现有网络结构，也不希望更换现有网关设备
• 特点
  • 对原有网络改动非常小
  • 不支持VPN/NAT/DHCP功能
  • 可以开启Bypass功能，当设备系统宕机或断电，Bypass口仍然可以传输数据

• 配置步骤
  • 选择成对的网桥端口
  • 配置网桥的IP地址、网关、DNS
    • 因为AC本身需要上网，更新对应用程序库，并且需要对AC进行登录管理
  • 根据情况选择是否需要配置管理口
  • 如果内网是三层环境，需要AC能够对终端发送重定向页面，需要AC配置到达私网的路由

旁路模式

• 旁路模式主要用于实现审计功能，不需要改变客户的网络环境，通过把设备的监听口接在交换机的镜像口，实现对上网数据的监控
• 旁路模式对客户的网络环境无影响，即使宕机也不会对用户的网路造成中断
• 旁路模式主要用于做上网行为的审计，只能对TCP应用做控制，对于基于UDP的应用无法控制，不支持流量管理、NAT、VPN、DHCP功能
  • 客户PC进行TCP数据流量访问时，AC监听到访问目的地址的TCP连接请求，此时会伪造为目的IP地址，向客户端PC回复TCP RST强行断开TCP连接请求

• TCP断开连接有两种方式：正常的四次挥手断开连接和收到TCP RST强行断开连接
• 四次挥手会等待数据发送完成后，再断开连接
• TCP RST无论数据是否发送完，都会强行断开连接

• 使用场景
  • 客户只希望使用AC对网路行为进行监听
• 特点
  • 对原有网络几乎无影响，即使AC断电，都不影响网络连通
  • 需要在AC监听口连接的交换机上配置端口镜像
  • 只能够对基于TCP的流量进行控制
    • 伪造成服务器向客户端发送RST包，强行结束TCP连接
• 配置步骤
  • 配置管理口的IP地址、网关、DNS
  • 配置监听口需要监听的对象

防火墙技术及其应用

防火墙过滤功能

• AC上也可以配置策略（ACL）用于控制内网用户的上网行为
• 可以基于IP和端口进行数据包的转发控制，与传统的四层防火墙相似

防火墙的端口映射及应用

• 需求背景
  • 公司内网有HTTP服务，需要将内网的服务发布到公网，提供公网用户访问
• 端口映射原理
  • 使用目的地址NAT转换，将数据包的目的IP地址进行转换
  • 用来实现公司内网服务器发布到公网或内网用户通过公网地址访问内部服务器的需求

• 如上图所示的网络拓扑结构
  • 在总部配置了NAT和端口映射后，分公司可以通过总部的公网IP地址访问总部的HTTP服务
• 但是总部内网用户在通过出口设备的公网地址访问内网的服务器是时，就会出现无法访问的情况
  • 172.172.4.10通过公网地址202.96.137.99访问内部的HTTP服务，数据包交给出口设备后，被出口设备匹配，进行目的地址转换，将数据包交给AF设备，AF设备再将数据包交给HTTP服务器
  • 服务器收到请求后，进行回包，但是此时服务器发现回包的目的地址是内网地址172.172.4.10，会直接将数据包交给AF设备，AF设备直接发送给172.172.4.10
  • 主机收到数据包后，检查源IP地址，发现并不是自己请求的202.96.137.99回复给自己的，会直接将数据包丢弃，导致无法正常访问内部的HTTP服务器
• LAN－LAN端口映射
  • 在出口设备上配置LAN－LAN的映射，当收到内网的请求时，从内网口发出时，会将源IP地址转换为内网接口的IP地址
  • 内网的HTTP服务器在收到请求后，回包时，会根据源IP地址进行回包，将数据包交给出口设备
  • 出口设备收到数据包后，再进行匹配，将目的地址转换回私网的主机IP地址，再进行回包
• AC上配置时，需要勾选发布服务器，只有当内网的用户需要使用公网地址访问内部服务器时，才勾选

以上内容均属原创，如有不详或错误，敬请指出。

本文作者： 坏坏 本文链接： http://t.csdn.cn/cfnNN 版权声明： 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请联系作者注明出处并附带本文链接！