全网行为管理系统-基础简介

全网行为管理部署模式：

·路由部署解决方案
·网桥部署解决方案
·旁路部署解决方案
·TRUNK部署解决方案

 

AC设备支持路由、网桥、旁路部署模式,
SG设备支持路由、网桥、旁路、单臂部署模式
12.0版本之后支持认证部署模式，13.0版本之后认证模式功能以认证口的形式融入到普通模式中。

 

路由模式：

设备以路由模式部署时，AC的工作方式与路由器相当，具备基本的路由转发及NAT功能。一般在客户还没有相应的网关设备或者用户的网络环境规模比较小，需要将AC做网关使用时，建议以路由模式部署。

路由模式下支持AC所有的功能。

如果需要使用NAT、VPN、DHCP等功能时，AC必须以路由模式部署，其它工作模式没有这些功能。

 

网桥部署解决方案：
设备以网桥模式部署时对客户原有的网络基本没有改动。网桥模式部署AC时，对客户来说AC就是个透明的设备，如果因为AC自身的原因而导致网络中断时可以开启硬件bypass功能，即可恢复网络通信。

网桥模式部署时AC不支持NAT（代理上网和端口映射）、VPN、DHCP等功能。

 

旁路部署解决方案：
旁路模式主要用于实现行为审计功能，不需要改变用户的网络环境，通过把设备的监听口接在交换机的镜像口上同时镜像交换机上下行的数据，从而实现对上网数据的监控与控制。这种模式对用户的网络环境没有影响，即使设备本身宕机也不会对用户的网络造成中断。

旁路模式部署还可用于旁路重定向认证，在不改变网络原有架构的情况下对入网用户进行认证。

更多场景：旁路portal重定向认证+审计场景、旁路802.1X认证+基线核查+审计场景。

注意：旁路部署模式只能对TCP应用做控制，对基于UDP的应用无法控制。不支持流量管理、NAT、 VPN、 DHCP等功能。

 TRUNK部署解决方案：

1、网桥模式部署在路由器与交换机之间，按网桥模式部署配置好设备。
2、可以给设备网桥配置其中一个VLAN中的可用IP来进行管理和更新规则库。
3、或者给设备管理口配置其中一个VLAN中的可用IP（此时不用加vid）来进行管理和更新规则库。