二、上网行为管理部署模式

⼆、上⽹⾏为管理部署模式
部署模式
AC设备⽀持路由、⽹桥、旁路部署模式
SG设备⽀持路由、⽹桥、旁路、单臂部署模式
路由部署模式
AC当路由器使⽤，全功能启⽤模式
具有路由转发，NAT，VPN，DHCP等功能模块
对⽹络影响最⼤，串联于⽹络中。

⽹桥部署模式
对客户来说就是⼀个透明设备，部分功能启⽤。

如果AC出现故障，开启硬件bypass功能相当于⼀对⽹线的转接头
不⽀持NAT（代理上⽹和端⼝映射）、VPN、DHCP等功能。

对⽹络影响其次，串联于⽹络中。

旁路部署模式
旁路模式主要⽤于实现审计，基于TCP应⽤控制，其他功能都没有。

通过把设备的监听⼝接在交换机的镜像⼝，实现对上⽹数据的监控。

宕机也不会对⽤户的⽹络造成中断
除了管理⼝DMZ，其他都可以做监听⼝
对⽹络影响最⼩，并联于⽹络中。

需求背景
路由模式解决⽅案
1）内⽹⽹段需要上⽹，AC上需要做SNAT，源地址转换，也叫代理上⽹
2）内⽹有服务器要发布出去，需要做端⼝映射
3）下⾯是多⽹段，所以需要在AC的下⾏⼝做静态路由，也叫回包路由（即去往172.16.1.0/2.0/3.0的⽹段的下⼀跳路由需要给172.16.0.2）
4）AC上有防⽕墙，为了保证内外⽹畅通需要做策略或者关闭防⽕墙
⽹桥模式解决⽅案
部署位置：
三层设备之上，⽹关设备之下
在⽹桥模式下，AC上⾏跟下⾏⼝都是⼆层⼝不能配IP
上⽹四要素：IP地址，⼦⽹掩码，默认⽹关，DNS
查看默认路由
掩码为30位时，因DMZ是三层⼝，连接到下⾯三层设备上，⽹关为三层设备，即可配置IP地址等
在⽹桥模式上AC配置去往172.16.4.0⽹段到172.16.0.2的静态路由的作⽤：
当4.10去访问外⽹的时候，从三层设备到AC再到⽹关，AC上是默认路由所有都到⽹关。

⽽⽹关上有去往各个内⽹⽹段的静态路由，则回包时AC⽆此静态路由，则去4.10先到AC，AC没有去往4.10的静态路由则⾛默认路由到⽹关172.16.0.254，⽹关查找路由表，发现去往4.10的路由要⾛172.16.0.2，则再从AC到172.16.0.2。

AC在⽹桥模式下，还有⼀个虚拟地址1.1.1.3，也可通过此IP管理AC
AC发包有可能时以1.1.1.3发出来的，做⽹络规划时不能占⽤此⽹段
如果AC的上下⾏⼝接反，会导致策略不⽣效，在线⽤户变为公⽹⽤户
旁路模式解决⽅案
除了DMZ⼝其他⼝都可以做监听⼝，主要⽤于流量审计。

旁路模式可以控制TCP原理：
在三层握⼿之后，伪造服务端发送RST包关闭连接，因AC在内⽹所以RST包⽐服务器响应包要先到达PC端，可以说⾮常有意思。

TRUNK部署解决⽅案
单臂路由，简单不详细写了
10/192.168.10.1 中的10对应vlan10
防⽕墙过滤功能
基于包过滤实现
基于IP，端⼝转发的四层防⽕墙
注意过滤⽅向
端⼝映射
第⼀种⽅法
LAN-LAN端⼝映射，相当于做了DNAT跟SNAT两种转换。

不勾选发布服务器(即只配置DNAT规则)仅允许外⽹IP访问内⽹服务器，因为到AC的源IP不做转换还是为内⽹PC的IP，这样如果内⽹电脑访问OA，OA直接回包不通过AC转发，造成session不匹配，从⽽丢包。

勾选发布服务器，则AC的源IP地址会转换成AC的IP地址⽽不是内⽹PC的IP地址。

2h10m是实验
端⼝映射
第⼆种⽅法
2h19m是实验
先做DNAT转换，在长沙AC上做。

做DNAT的时候要指定⼊端⼝，这点跟发布服务器时配置选的应⽤于所有WAN⼝不⼀样。

去掉发布服务器选项。

再做SNAT转换
⽤户认证与管理
HTTP认证
实验操作2h34m
创建⼀个⽤户
创建⼀个⽤户组
新增认证策略
注意需要把DNS放通
也要把访问HTTPS拦截到认证页⾯，否则不能访问https⽹站，也重定向不了认证页⾯
⾄此第四天视频看完。