安全智能路由器(最安全路由器

一般来说,也就一台出口网关,要么路由器,要么防火墙,甚至还有用家用路由器的,但有些单位还是有很充足的预算的,这不,除了防火墙和路由器,还特地上了一台行为管理器。

有的朋友会说,如果说行为管理的确有需求,那至少可以节约一台路由器,其实不然,在某些应用场景下,也确实需要额外部署路由器。

一、设备清单:

  1. 深信服安全智能路由器SDW-R-B1100D;
  2. 深信服下一代防火墙AF-1000-B1810;
  3. 深信服上网行为管理器AC-1000-B1500;
  4. 锐捷核心交换机RG-S5760C-24SFP;
  5. 锐捷无线AC控制器RG-WS7204-A。

二、配置思路:

  1. 考虑到后期可能会有多处异地互联需求,以及设备授权情况,将路由器作为出口网关设备;
  2. 防火墙采用路由模式,效率更高;
  3. 考虑到多次路由可能不利于高效转发数据,所以上网行为管理器采用网桥模式,某些品牌也称为透明模式;
  4. 核心交换机上启用三层接口与上网行为管理器连接,并且承载所有VLAN的DHCP服务;
  5. 无线控制器旁挂在核心交换机上,且无线AP和终端暂时同在一个VLAN,后期再调整。

三、初步配置过程:

1、路由器的基本配置

配置接口及IP地址

配置为网关模式,设置代理上网SNAT

2、防火墙的基本配置

接口配置IP地址,并且设置相应的安全区域:局域网为L3-trust-A,互联网为L3-Untrust-A;

配置默认路由:0.0.0.0 0.0.0.0 10.1.1.1

配置静态路由(局域网的回程路由):192.168.0.0 255.255.0.0 20.1.1.2

配置地址转换(代理上网):源L3-trust-A,目的L3-Untrust-A;

配置安全策略(应用控制策略):源L3-trust-A,目的L3-Untrust-A,允许所有服务;

3、上网行为管理器的基本配置

上网行为管理器配置为网桥模式,默认为0口》2口为网桥,1口为管理口;

4、核心交换机的基本配置

配置几个VLAN的IP地址池

ip dhcp pool VLAN11

network 192.168.11.0 255.255.255.0

dns-server 114.114.114.114 211.136.192.6

default-router 192.168.11.1

ip dhcp pool VLAN12

network 192.168.12.0 255.255.255.0

dns-server 114.114.114.114 211.136.192.6

default-router 192.168.12.1

ip dhcp pool VLAN100

network 192.168.100.0 255.255.252.0

dns-server 114.114.114.114 211.136.192.6

default-router 192.168.100.1

ip dhcp pool VLAN200

network 192.168.200.0 255.255.252.0

dns-server 114.114.114.114 211.136.192.6

default-router 192.168.200.1

配置SVI

interface VLAN 10

ip address 10.252.252.2 255.255.255.0

interface VLAN 11

ip address 192.168.11.1 255.255.255.0

interface VLAN 12

ip address 192.168.12.1 255.255.255.0

interface VLAN 100

ip address 192.168.100.1 255.255.252.0

interface VLAN 200

ip address 192.168.200.1 255.255.252.0

interface GigabitEthernet 0/2 //2口为三层口,配置IP,与防火墙在同一网段内。

no switchport

ip address 20.1.1.2 255.255.255.0

ip route 0.0.0.0 0.0.0.0 GigabitEthernet 0/2 20.1.1.1 //默认路由,下一跳为防火墙IP

5、无线AC控制器的基本配置

interface VLAN 200

ip address 192.168.200.2 255.255.255.0

interface GigabitEthernet 0/1 //1口连接核心交换机

switchport access vlan 200

wlan-config 1 XXXXX //wifi信号名称

ssid-code gbk

tunnel local

ap-group default

interface-mapping 1 200 ap-wlan-id 1

ap-config all //AP和终端同在VLAN200

ap-vlan 200

wlansec 1 //设置WIFI密码

security rsn enable

security rsn ciphers aes enable

security rsn akm psk enable

security rsn akm psk set-key ascii xxxxxxxxx

security wpa enable

security wpa ciphers aes enable

security wpa akm psk enable

security wpa akm psk set-key ascii xxxxxxxxx

Published by

风君子

独自遨游何稽首 揭天掀地慰生平

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注