02. 路由模式连接 ❀ 深信服上网行为管理
【简介】深信服AC支持三种部署模式,路由模式、网桥模式、旁路模式。其中路由模式用得最多,也是最能发挥功能的布署模式。
网络拓扑
这里列出最常用的网络拓扑。
路由模式适用场景:
① 需要使用AC的NAT、DHCP、v*n功能时,必须使用路由模式部署。
② 网络出口需要一个网关设备的网络环境。
路由模式设置
首先我们需要确定深信服内外网接口的IP地址,假设核心交换的IP地址是172.20.1.254,深信服内网IP地址定为172.20.1.1,防火墙内网接口地址为172.22.1.1,深信服外网IP地址定为172.22.1.254。
① 选择菜单【网络配置】-【部署模式】,点击【开始配置】。
② 高端设备一共有四种模式,默认是路由模式,直接点击【下一步】。
③ 默认情况下0口为内网口,2口为外网口,1口为DMZ口,高端设备还可以设置多条内外网口。这里保持默认,直接点击【下一步】。
④ 首先是设置内网接口IP,我们的环境是内网口接核心交换机,所以这个IP地址与核心交换机的IP地址是同网段,核心交换机IP是172.20.1.254,内网口的IP设置为172.20.1.1,点击【下一步】。
⑤ 外网接口是与防火墙的内网接口相连,所以外网接口与防火墙内网接口IP地址是同网段,防火墙内网IP是172.22.1.1,因此深信服的外网口IP地址设为172.22.1.254,下一跳网关是防火墙内网地址172.22.1.1,DNS设为本地常用DNS地址,点击【下一步】。
⑥ DMZ口的作用是用来连接服务器,将服务器映射到外网,使服务器与内网隔离开,起到保护内网的作用,也可以用来登录管理深信服上网管理设备,设置一个IP地址,点击【下一步】。
⑦ 代理上网这里将代理网段设置为上网电脑的网段,划一个大网段就可以了,点击【下一步】。
⑧ 所有配置完成,点击【提交】。
⑨ 提示提交后会重启设备,点击【是】。
回程路由
由于上网电脑是接在三层交换机下面,与深信服上网行为管理设备的内网接口不是同一个IP地址段,所以还需要在设备上配置回程路由,三层交换下的电脑才能通过设备上网。
① 选择菜单【网络配置】-【静态路由】,点击【新增】。
② 三层下面电脑的网段是172.16.0.0,三层交换机的IP地址是172.20.1.254,这里设置为网关地址,点击【提交】。
③ 静态路由就建好了,立即生效,设备不会重启。
验证
按拓扑图将深信服务上网行为设备连接到防火墙与三层交换机中间,防火墙网线接深信服ETH2口,三层交换机网线接深信服ETH0口。
① 三层交换机下的17216.2.0网段的电脑可以上网了。
② 通过DMZ口连接深信服上网行为管理设备,在状态里可以看到外网口有实时流量,也可以看到当前哪些应用有流量。