一般來(lái)說(shuō)，也就一臺(tái)出口網(wǎng)關(guān)，要么路由器，要么防火墻，甚至還有用家用路由器的，但有些單位還是有很充足的預(yù)算的，這不，除了防火墻和路由器，還特地上了一臺(tái)行為管理器。

有的朋友會(huì)說(shuō)，如果說(shuō)行為管理的確有需求，那至少可以節(jié)約一臺(tái)路由器，其實(shí)不然，在某些應(yīng)用場(chǎng)景下，也確實(shí)需要額外部署路由器。

一、設(shè)備清單：

深信服安全智能路由器SDW-R-B1100D；

深信服下一代防火墻AF-1000-B1810；

深信服上網(wǎng)行為管理器AC-1000-B1500；

銳捷核心交換機(jī)RG-S5760C-24SFP；

銳捷無(wú)線(xiàn)AC控制器RG-WS7204-A。

二、配置思路：

考慮到后期可能會(huì)有多處異地互聯(lián)需求，以及設(shè)備授權(quán)情況，將路由器作為出口網(wǎng)關(guān)設(shè)備；

防火墻采用路由模式，效率更高；

考慮到多次路由可能不利于高效轉(zhuǎn)發(fā)數(shù)據(jù)，所以上網(wǎng)行為管理器采用網(wǎng)橋模式，某些品牌也稱(chēng)為透明模式；

核心交換機(jī)上啟用三層接口與上網(wǎng)行為管理器連接，并且承載所有VLAN的DHCP服務(wù)；

無(wú)線(xiàn)控制器旁?huà)煸诤诵慕粨Q機(jī)上，且無(wú)線(xiàn)AP和終端暫時(shí)同在一個(gè)VLAN，后期再調(diào)整。

三、初步配置過(guò)程：

1、路由器的基本配置

配置接口及IP地址

配置為網(wǎng)關(guān)模式，設(shè)置代理上網(wǎng)SNAT

2、防火墻的基本配置

接口配置IP地址，并且設(shè)置相應(yīng)的安全區(qū)域：局域網(wǎng)為L(zhǎng)3-trust-A，互聯(lián)網(wǎng)為L(zhǎng)3-Untrust-A；

配置默認(rèn)路由：0.0.0.0 0.0.0.0 10.1.1.1

配置靜態(tài)路由（局域網(wǎng)的回程路由）：192.168.0.0 255.255.0.0 20.1.1.2

配置地址轉(zhuǎn)換（代理上網(wǎng)）：源L3-trust-A，目的L3-Untrust-A；

配置安全策略（應(yīng)用控制策略）：源L3-trust-A，目的L3-Untrust-A，允許所有服務(wù)；

3、上網(wǎng)行為管理器的基本配置

上網(wǎng)行為管理器配置為網(wǎng)橋模式，默認(rèn)為0口》2口為網(wǎng)橋，1口為管理口；

4、核心交換機(jī)的基本配置

配置幾個(gè)VLAN的IP地址池

ip dhcp pool VLAN11

network 192.168.11.0 255.255.255.0

dns-server 114.114.114.114 211.136.192.6

default-router 192.168.11.1

ip dhcp pool VLAN12

network 192.168.12.0 255.255.255.0

dns-server 114.114.114.114 211.136.192.6

default-router 192.168.12.1

ip dhcp pool VLAN100

network 192.168.100.0 255.255.252.0

dns-server 114.114.114.114 211.136.192.6

default-router 192.168.100.1

ip dhcp pool VLAN200

network 192.168.200.0 255.255.252.0

dns-server 114.114.114.114 211.136.192.6

default-router 192.168.200.1

配置SVI

interface VLAN 10

ip address 10.252.252.2 255.255.255.0

interface VLAN 11

ip address 192.168.11.1 255.255.255.0

interface VLAN 12

ip address 192.168.12.1 255.255.255.0

interface VLAN 100

ip address 192.168.100.1 255.255.252.0

interface VLAN 200

ip address 192.168.200.1 255.255.252.0

interface GigabitEthernet 0/2 //2口為三層口，配置IP，與防火墻在同一網(wǎng)段內(nèi)。

no switchport

ip address 20.1.1.2 255.255.255.0

ip route 0.0.0.0 0.0.0.0 GigabitEthernet 0/2 20.1.1.1 //默認(rèn)路由，下一跳為防火墻IP

5、無(wú)線(xiàn)AC控制器的基本配置

interface VLAN 200

ip address 192.168.200.2 255.255.255.0

interface GigabitEthernet 0/1 //1口連接核心交換機(jī)

switchport access vlan 200

wlan-config 1 XXXXX //wifi信號(hào)名稱(chēng)

ssid-code gbk

tunnel local

ap-group default

interface-mapping 1 200 ap-wlan-id 1

ap-config all //AP和終端同在VLAN200

ap-vlan 200

wlansec 1 //設(shè)置WIFI密碼

security rsn enable

security rsn ciphers aes enable

security rsn akm psk enable

security rsn akm psk set-key ascii xxxxxxxxx

security wpa enable

security wpa ciphers aes enable

security wpa akm psk enable

security wpa akm psk set-key ascii xxxxxxxxx