Sinfors M5x00 AC(上网行为管理设备)的三种工作模式的配置
产品附件:
RJ45网线两条(一条交叉线、一条直连线)、电源一条、软件安装光盘一张、说明书一本、快速安装手册一份、固定板和螺丝配件各一包。
 
指示灯:
POWER:      电源灯(正常启动后常亮)
ALARM:       报警灯(启动时亮一分钟左右,正常工作熄灭)
LAN LINK:    用于显示LAN口袋线路连接情况(正常工作是常亮)
LAN ACT:     对应LAN口袋数据流量情况(有数据流量时会不停闪烁)
DMZ/WAN1/WAN2参考上面LAN口指示灯。详见下图。
 
 
连线方法:
WAN口直接连MODEM用直连线,连路由器用交叉线;LAN口连接交换机用直通线,连接电脑网卡用交叉线。
指示灯正常但不能连接时,检查是否用错连接线。
 
安装:
出厂IP
LAN(10.254.254.254)  DMZ(10.254.253.254) 
WAN1(10.254.252.254) WAN2(169.255.255.23)
配置方法
一般为通过DMZ口或LAN口配置。
将本地电脑与AC配置为同一网段(根据所选端口),网关填AC的IP.掩码为255.255.255.0,然后通过WEBUI或控制台程序登录(光盘里有)。默认用户名/密码为Admin/Admin。初次配置建议用DMZ口直接连电脑来配。

三种工作模式分别为路由模式、网桥模式、旁路模式。
图一
点<开始配置>,出现<路由模式>,<网桥模式>,<旁路模式>的选项,选<路由模式>,点<下一步>.
说明:<路由模式>即是把AC当成一个路由设备来使用,一般部署在内网网关出口处或路由器(防火墙)后面,代理局域网上网.
图二
AC工作在路由模式时,局域网内的电脑的网关是指向AC的LAN口IP或指向三层交换机,三层交换机在指向AC.
AC的WAN,LAN口应设置不同IP段的IP.
LAN口配置VLAN地址后,LAN口可以接支持VLAN的2层交换机的TRUNK口,AC可以在VLAN间转发数据(单臂路由),并可做LAN<->LAN方向的防火墙规则,及可以控制不同VID之间的访问.
具体配置如下图,也可参考 Sinfors M5x00 AC(上网行为管理设备)快速部署
图三
下面来讲网桥模式的配置
网桥模式可以理解成AC是一条带过滤功能的网线,在不方便更原有网络拓扑结构的情况下使用.部署在原有的网关和内网用户之间,原网关和内网用户不需做任何配置改变.AC对原网关和内网用户透明.
图四
配置参考下图,图五
多网桥环境:
通过桥接AC的其他网口来实现多网桥通道,来支持网桥环境的备份和双机的内网环境.
1>交换机连接两条外网线路,在交换机和路由中间插入AC网桥模式.参考下图.
图六
2>内网核心交换机和路由器都采用双机方案,使用VRRP协议的情况下插入AC网桥.
图七,八
多网桥的配置界面如下图.
图九
[网口选择和定义]应用于选择多网口.[LAN区网口列表]中选择的网口接内网,[WAN区网口列表]中选择的网口接出口设备.[桥接方向]用于定义数据的转发方向,可以结婚防火墙的设置允许或拒绝数据通信的方向.

说明:
1.网桥模式时数据链路层及以上各层的数据均可穿透.原有网关启用IP/MAC绑定及DHCP等需要第二层数据穿透的功能能正常使用.
2.网桥模式不要启用NAT.
3.在网桥模式下AC本机的***功能不可用.
4.如启用杀毒,邮件过滤等功能或要让设备能够自动升级URL库,应用识别规则库,病毒库等,则需要配置网桥IP,默认网关和DNS,并保证AC本身访问外网(可通过升级控制台工具PING测试).
5.如启用WEB认证,准入规则或其他需要重定向到AC网关上的功能,同时内网有多网段时,必须添加到内网非直连网段的路由指向内网路由设备.
6.如果二层交换机上的PC有多高网段(非VLAN),网关上也有多个网段的IP.AC如启用杀毒,邮件过滤,准入规则和WEB认证等需要重定向到AC上的功能是要把这几个网段的IP也配置到[网桥模式/多IP绑定]里.
7.网桥模式时,AC网桥支持VLAN TRUNK穿透,网桥的IP地址支持802.1Q-VLAN的地址.即AC网关可以透明接在VLAN TRUNK的主干道上.在[网关运行模式/网桥模式/VLAN配置]可以设置网桥模式支持VLAN TRUNK.配置界面如下图所示:
图十
在这里配置VID,VLAN IP,和掩码.如启用杀毒,邮件过滤,准入规则和WEB认证等需要重定向到AC上的功能是才需要配置这个IP,否则不配置VLAN IP也可以.

旁路模式
旁路模式实现监控的同时,可以不改变用户的网络环境。吧AC连接在交换机的镜像口或者接在HUB上,对整个局域网进行旁路模式的监控与控制。旁路模式只能对TCP连接进行限制.
拓扑图如下:
图十一,图十二
配置界面如下
图十三
这里配置到[IP地址]为管理网口(DMZ)的IP地址配置,要使能用控制台或者升级系统连接AC进行管理,必须正确设置该网口的[IP地址]和[默认网关],并且网线要接在DMZ口上.由于这种方式AC只连接一条线路所以AC并不知道哪些属于内网外网地址,因此在[监控网段列表]里面出现的地址,AC就认为是内网地址进行记录.也可配置[排除地址列表]来将属于[监控网段列表]的地址排除掉.
图十四,图十五
说明:用户必须使用HUB或者交换机具有镜像口的情况.如交换机没有镜像口,可以在交换机前加HUB实现.
 
本文参考Sinfors使用说明而成。