【全网行为管理】01-AC的路由模式部署

装备实验

开始实验01:00:00

拓扑

实验手册

实验报告

声明：本实验手册仅供学习交流使用，请勿用于非法用途，违者一律自行承担所有风险！PS：本窗口支持左右拉伸

AC的路由模式部署

实验目标

理解深信服上网行为管理设备（下面简称AC），作为公司网关部署的过程与原理

实验原理

AC作为网关部署在公司互联网出口，其原理与传统路由器一致。主要作用完成用户的SNAT上网工作，以及从外向内访问服务器的DNAT工作。本实验，我们主要讲述SNAT的部署过程。

实验场景

某大型集团公司，其集团总部为了管理公司内部PC上网，计划使用AC来代替传统路由器，解决用户上网认证、网速管理、日志审计等问题。本实验是部署AC的第一步场景。

实验拓扑

实验设备

1、总部AC ，作总部出口网关使用
2、微软域控，作为总部的服务器，本实验中主要作用为WEB服务器,理解为集团公司网站。
3、PC1，普通办公PC，员工办公使用，需要连接互联网
4、Internet-WEB Server，互联网上的WEB服务器，理解为类似sina，baidu等站点。

环境预配

环境预配，是指已经实验场景化的配置边界。
实验环境中，非深信服设备，不需要学员配置。如交换机、路由器、PC、服务器。

实验环境中，深信服设备，需要学员按实验拓扑说明进行配置。

实验环境中，配置基本遵循上述两条原则，少数实验例外。例外过程，在实验步骤中说明

实验步骤

一、配置总部AC的网络（操作对象：总部AC）

登录设备过程略

1.1 开始配置网络

1.2 选择路由模式

1.3 根据拓扑图，配置网卡，如下图

其中
eth1为LAN口，即办公区
eth2为DMZ口，即服务器区
eth3为WAN口，即互联网区

1.4 配置eth1

eth1接办公区，IP地址参照拓扑图配置

1.5 配置eth3

eth3接互联网区，IP地址参照拓扑图配置

1.6 配置eth2

eth2接DMZ区，即服务器区，IP地址参照拓扑图配置

1.7 配置代理上网

这里配置代理办公网段上网。办公网网段为192.168.1.0/24

1.8 检查无误后提交

二、检查PC1上网是否正常（操作对象：PC1）

打开PC1 桌面上的浏览器，访问Internet-WEB,即124.126.200.2

访问正常

三、查看微软域控能否访问互联网（操作对象：微软域控）

打开桌面上浏览器，访问Internet-WEB,即124.126.200.2

发现无法访问，因为在AC中仅做了办公网段的代理上网，而没有做服务器网段代理上网。

四、查看PC1能否访问域控制器上的WEB页面（操作对象：PC1）

打开PC1 桌面上的浏览器，访问微软域控的WEB,即172.16.0.100

可以访问。因为PC1与微软域控，同在内网，路由直接可达。

实验总结

通过本实验，理解AC的网关部署原理，和传统路由器作网关原理一致。AC所谓的“代理上网”理解为SNAT，即源地址转换。