一般来说,也就一台出口网关,要么路由器,要么防火墙,甚至还有用家用路由器的,但有些单位还是有很充足的预算的,这不,除了防火墙和路由器,还特地上了一台行为管理器。
有的朋友会说,如果说行为管理的确有需求,那至少可以节约一台路由器,其实不然,在某些应用场景下,也确实需要额外部署路由器。
一、设备清单:
- 深信服安全智能路由器SDW-R-B1100D;
- 深信服下一代防火墙AF-1000-B1810;
- 深信服上网行为管理器AC-1000-B1500;
- 锐捷核心交换机RG-S5760C-24SFP;
- 锐捷无线AC控制器RG-WS7204-A。
二、配置思路:
- 考虑到后期可能会有多处异地互联需求,以及设备授权情况,将路由器作为出口网关设备;
- 防火墙采用路由模式,效率更高;
- 考虑到多次路由可能不利于高效转发数据,所以上网行为管理器采用网桥模式,某些品牌也称为透明模式;
- 核心交换机上启用三层接口与上网行为管理器连接,并且承载所有VLAN的DHCP服务;
- 无线控制器旁挂在核心交换机上,且无线AP和终端暂时同在一个VLAN,后期再调整。
三、初步配置过程:
1、路由器的基本配置
配置接口及IP地址
配置为网关模式,设置代理上网SNAT
2、防火墙的基本配置
接口配置IP地址,并且设置相应的安全区域:局域网为L3-trust-A,互联网为L3-Untrust-A;
配置默认路由:0.0.0.0 0.0.0.0 10.1.1.1
配置静态路由(局域网的回程路由):192.168.0.0 255.255.0.0 20.1.1.2
配置地址转换(代理上网):源L3-trust-A,目的L3-Untrust-A;
配置安全策略(应用控制策略):源L3-trust-A,目的L3-Untrust-A,允许所有服务;
3、上网行为管理器的基本配置
上网行为管理器配置为网桥模式,默认为0口》2口为网桥,1口为管理口;
4、核心交换机的基本配置
配置几个VLAN的IP地址池
ip dhcp pool VLAN11
network 192.168.11.0 255.255.255.0
dns-server 114.114.114.114 211.136.192.6
default-router 192.168.11.1
ip dhcp pool VLAN12
network 192.168.12.0 255.255.255.0
dns-server 114.114.114.114 211.136.192.6
default-router 192.168.12.1
ip dhcp pool VLAN100
network 192.168.100.0 255.255.252.0
dns-server 114.114.114.114 211.136.192.6
default-router 192.168.100.1
ip dhcp pool VLAN200
network 192.168.200.0 255.255.252.0
dns-server 114.114.114.114 211.136.192.6
default-router 192.168.200.1
配置SVI
interface VLAN 10
ip address 10.252.252.2 255.255.255.0
interface VLAN 11
ip address 192.168.11.1 255.255.255.0
interface VLAN 12
ip address 192.168.12.1 255.255.255.0
interface VLAN 100
ip address 192.168.100.1 255.255.252.0
interface VLAN 200
ip address 192.168.200.1 255.255.252.0
interface GigabitEthernet 0/2 //2口为三层口,配置IP,与防火墙在同一网段内。
no switchport
ip address 20.1.1.2 255.255.255.0
ip route 0.0.0.0 0.0.0.0 GigabitEthernet 0/2 20.1.1.1 //默认路由,下一跳为防火墙IP
5、无线AC控制器的基本配置
interface VLAN 200
ip address 192.168.200.2 255.255.255.0
interface GigabitEthernet 0/1 //1口连接核心交换机
switchport access vlan 200
wlan-config 1 XXXXX //wifi信号名称
ssid-code gbk
tunnel local
ap-group default
interface-mapping 1 200 ap-wlan-id 1
ap-config all //AP和终端同在VLAN200
ap-vlan 200
wlansec 1 //设置WIFI密码
security rsn enable
security rsn ciphers aes enable
security rsn akm psk enable
security rsn akm psk set-key ascii xxxxxxxxx
security wpa enable
security wpa ciphers aes enable
security wpa akm psk enable
security wpa akm psk set-key ascii xxxxxxxxx