一般來說，也就一臺出口網關，要么路由器，要么防火墻，甚至還有用家用路由器的，但有些單位還是有很充足的預算的，這不，除了防火墻和路由器，還特地上了一臺行為管理器。

有的朋友會說，如果說行為管理的確有需求，那至少可以節約一臺路由器，其實不然，在某些應用場景下，也確實需要額外部署路由器。

一、設備清單：

深信服安全智能路由器SDW-R-B1100D；

深信服下一代防火墻AF-1000-B1810；

深信服上網行為管理器AC-1000-B1500；

銳捷核心交換機RG-S5760C-24SFP；

銳捷無線AC控制器RG-WS7204-A。

二、配置思路：

考慮到后期可能會有多處異地互聯需求，以及設備授權情況，將路由器作為出口網關設備；

防火墻采用路由模式，效率更高；

考慮到多次路由可能不利于高效轉發數據，所以上網行為管理器采用網橋模式，某些品牌也稱為透明模式；

核心交換機上啟用三層接口與上網行為管理器連接，并且承載所有VLAN的DHCP服務；

無線控制器旁掛在核心交換機上，且無線AP和終端暫時同在一個VLAN，后期再調整。

三、初步配置過程：

1、路由器的基本配置

配置接口及IP地址

配置為網關模式，設置代理上網SNAT

2、防火墻的基本配置

接口配置IP地址，并且設置相應的安全區域：局域網為L3-trust-A，互聯網為L3-Untrust-A；

配置默認路由：0.0.0.0 0.0.0.0 10.1.1.1

配置靜態路由（局域網的回程路由）：192.168.0.0 255.255.0.0 20.1.1.2

配置地址轉換（代理上網）：源L3-trust-A，目的L3-Untrust-A；

配置安全策略（應用控制策略）：源L3-trust-A，目的L3-Untrust-A，允許所有服務；

3、上網行為管理器的基本配置

上網行為管理器配置為網橋模式，默認為0口》2口為網橋，1口為管理口；

4、核心交換機的基本配置

配置幾個VLAN的IP地址池

ip dhcp pool VLAN11

network 192.168.11.0 255.255.255.0

dns-server 114.114.114.114 211.136.192.6

default-router 192.168.11.1

ip dhcp pool VLAN12

network 192.168.12.0 255.255.255.0

dns-server 114.114.114.114 211.136.192.6

default-router 192.168.12.1

ip dhcp pool VLAN100

network 192.168.100.0 255.255.252.0

dns-server 114.114.114.114 211.136.192.6

default-router 192.168.100.1

ip dhcp pool VLAN200

network 192.168.200.0 255.255.252.0

dns-server 114.114.114.114 211.136.192.6

default-router 192.168.200.1

配置SVI

interface VLAN 10

ip address 10.252.252.2 255.255.255.0

interface VLAN 11

ip address 192.168.11.1 255.255.255.0

interface VLAN 12

ip address 192.168.12.1 255.255.255.0

interface VLAN 100

ip address 192.168.100.1 255.255.252.0

interface VLAN 200

ip address 192.168.200.1 255.255.252.0

interface GigabitEthernet 0/2 //2口為三層口，配置IP，與防火墻在同一網段內。

no switchport

ip address 20.1.1.2 255.255.255.0

ip route 0.0.0.0 0.0.0.0 GigabitEthernet 0/2 20.1.1.1 //默認路由，下一跳為防火墻IP

5、無線AC控制器的基本配置

interface VLAN 200

ip address 192.168.200.2 255.255.255.0

interface GigabitEthernet 0/1 //1口連接核心交換機

switchport access vlan 200

wlan-config 1 XXXXX //wifi信號名稱

ssid-code gbk

tunnel local

ap-group default

interface-mapping 1 200 ap-wlan-id 1

ap-config all //AP和終端同在VLAN200

ap-vlan 200

wlansec 1 //設置WIFI密碼

security rsn enable

security rsn ciphers aes enable

security rsn akm psk enable

security rsn akm psk set-key ascii xxxxxxxxx

security wpa enable

security wpa ciphers aes enable

security wpa akm psk enable

security wpa akm psk set-key ascii xxxxxxxxx