【正文】 式 ， 旁路模式 。點(diǎn)擊 [設(shè)置生效 ]保存配置，然后 AC硬件網(wǎng)關(guān)會(huì)自動(dòng)重啟， 確定 。重啟后， AC硬件網(wǎng)關(guān)的運(yùn)行模式即改變生效。 A． 路由模式 路由模式 是把 AC硬件網(wǎng)關(guān)作為一個(gè)路由設(shè)備使用，一般是把 AC硬件設(shè)備放在內(nèi)網(wǎng)網(wǎng)關(guān)出口的位置，代理局域網(wǎng)上網(wǎng)；或者把 AC硬件設(shè)備放在路由器后面，再代理局域網(wǎng)上網(wǎng)。如下圖所示： 硬件網(wǎng)關(guān)工作在路由模式時(shí)，局域網(wǎng) 內(nèi)電腦的網(wǎng)關(guān)都是指向 AC 硬件網(wǎng)關(guān)的 LAN 口IP或指向三層交換機(jī)，三層交換機(jī)的網(wǎng)關(guān)再指向 AC。 上網(wǎng)數(shù)據(jù)由 AC硬件網(wǎng)關(guān)做 NAT或路由轉(zhuǎn)發(fā)除去 。 2． WAN、 LAN應(yīng) 設(shè)置 不同網(wǎng)段 的 IP。 3．如果 WAN2口沒(méi)有被使用，可以把 WAN2自定義成一個(gè) LAN2 或 DMZ2。 4． LAN口配置 － VLAN地址后， LAN口可以接支持 VLAN的 2層交換機(jī)的 TRUNK口， AC可以在 VLAN間轉(zhuǎn)發(fā)數(shù)據(jù)（單臂路由），并可做 LANLAN方向的防火墻規(guī)則，即可以控制不同 VLAN－ ID之間的訪問(wèn)控制。 B． 透明模式 透明模式是把 AC硬件網(wǎng)關(guān)視為一條帶過(guò)濾功能的網(wǎng)線使用，一般在不方便更改原有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的情況下啟用。把 AC硬件網(wǎng)關(guān)接在原有網(wǎng)關(guān)及內(nèi)網(wǎng)用戶之間，在原網(wǎng)關(guān)及內(nèi)網(wǎng)用戶不需做任何配置改變的情況下，對(duì) AC 硬件進(jìn)行一些配置即可使用。對(duì)原網(wǎng)關(guān)及內(nèi)網(wǎng)用戶而言，亦不知AC硬件網(wǎng)關(guān)的存在，即所謂對(duì)原網(wǎng)關(guān)及內(nèi)網(wǎng)用戶透明。如下圖所示： 模式時(shí)，局域網(wǎng)內(nèi)電腦的網(wǎng)關(guān)都不需要改變，保留指向原有網(wǎng)關(guān)即可 （ 即指向前置設(shè)備的內(nèi)網(wǎng)接口 IP） 。 硬件網(wǎng)關(guān)工作在透明模式時(shí)，必須為 AC硬件網(wǎng)關(guān)的 WAN、 LAN設(shè)置同一網(wǎng)段的 IP， AC 硬件設(shè)備的網(wǎng)關(guān)指向原有網(wǎng)關(guān) （ 即指向前置設(shè)備的內(nèi)網(wǎng)接口 IP） 。 ，必須保證原有網(wǎng)關(guān)及內(nèi)網(wǎng)用戶間只有唯一的物理線路連接，且 AC 硬件網(wǎng)關(guān)正是串接在這條唯一的物理線路連接上。即不能存在內(nèi)網(wǎng)用戶可 繞過(guò) AC 硬件設(shè)備，到達(dá)原有網(wǎng)關(guān)的物理線路。 ， AC硬件網(wǎng)關(guān)的 WAN2和 DMZ口不起作用，亦不能配置。 只有WAN1和 LAN1是可用的。且要保證 WAN1口接前置的路由設(shè)備， LAN口接內(nèi)網(wǎng)的交換機(jī)，不能接反。 透明模式是在網(wǎng)絡(luò)層 (OSI第三層 )上實(shí)現(xiàn)的透明，是通過(guò) ARP欺騙技術(shù)實(shí)現(xiàn)的，可能會(huì)影響內(nèi)網(wǎng)某些基于數(shù)據(jù)鏈路層（ OSI第二層）或基于 MAC地址的應(yīng)用，請(qǐng)慎重啟用 AC硬件網(wǎng)關(guān)的透明模式功能。 例如 原有網(wǎng)關(guān)不能啟用 IP/MAC綁定及 DHCP等需要第二層數(shù)據(jù)穿透的功能。 不要啟用 NAT功能 。 7. 在透明模式下 AC本機(jī)的 IPMAC綁定和 VPN功能可用。 WAN1口和 LAN接到同個(gè)交換機(jī)，這會(huì)在內(nèi)網(wǎng)引起 ARP欺騙，導(dǎo)致通訊異常。 9. 有前置設(shè)備情況下，啟用網(wǎng)關(guān)殺毒、郵件過(guò)濾等功 能，或 AC需要自動(dòng)升級(jí) URL等內(nèi)置庫(kù)時(shí)，需要正確設(shè)置前置設(shè)備規(guī)則（防火墻、路由等），保證 AC設(shè)備可訪問(wèn)外網(wǎng) 。 ，因?yàn)橥该髂Ｊ街荒艽┩?網(wǎng)絡(luò)層 的數(shù)據(jù)，需要穿透 數(shù)據(jù)鏈路層 數(shù)據(jù) 的應(yīng)用在此模式下沒(méi)法正常工作。一般只在需要這種網(wǎng)絡(luò)部署又要用到 VPN功能時(shí)才啟用透明模式，否者強(qiáng)烈建議使用網(wǎng)橋模式。 如需要用 VPN的情況下，建議使用路由模式。 C． 網(wǎng)橋模式 網(wǎng)橋模式和透明模式類似，是把 AC 硬件網(wǎng)關(guān)視為一條帶過(guò)濾功能的網(wǎng)線使用，一般在不方便更改原有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的情況下啟用。把 AC 硬件網(wǎng)關(guān) 接在原有網(wǎng)關(guān)及內(nèi)網(wǎng)用戶之間，在原網(wǎng)關(guān)及內(nèi)網(wǎng)用戶不需做任何配置改變的情況下，對(duì) AC 硬件進(jìn)行一些配置即可使用。對(duì)原網(wǎng)關(guān)及內(nèi)網(wǎng)用戶而言，亦不知 AC 硬件網(wǎng)關(guān)的存在，即所謂對(duì)原網(wǎng)關(guān)及內(nèi)網(wǎng)用戶透明。網(wǎng)橋模式和透明模式的主要區(qū)別是，網(wǎng)橋模式是可以穿透數(shù)據(jù)鏈路層的數(shù)據(jù)， 對(duì)用戶做到完全透明 。一般在這種網(wǎng)絡(luò)拓?fù)湎聫?qiáng)烈建議用網(wǎng)橋模式。 如下圖所示： 配置界面如下圖所示： 網(wǎng)橋 模式時(shí)，局域網(wǎng)內(nèi)電腦的網(wǎng)關(guān)都不需要改變，保留指向原有網(wǎng)關(guān)即可 （ 即指向前置設(shè)備的內(nèi)網(wǎng)接口 IP） 。 硬件網(wǎng)關(guān)工作在 網(wǎng)橋 模式時(shí)， WAN口和 LAN 口橋接起來(lái)了。 WAN 和 LAN 口處于同一個(gè)交換域內(nèi)，相當(dāng)于交換機(jī)的兩個(gè) 接口。 WAN口和 LAN口的 IP不可配置。 網(wǎng)橋 模式 下 內(nèi)外網(wǎng)接口配置在配置界面上 也隱藏起來(lái)了。 設(shè)備可 配置 一個(gè)網(wǎng)橋 IP（此為設(shè)備的一個(gè)虛 IP），用于設(shè)備本身的上網(wǎng)或把設(shè)備的日志同步到數(shù)據(jù)中心 ，要保證有路由到達(dá)公網(wǎng)或數(shù)據(jù)中心的電腦 。 網(wǎng)橋 模式時(shí)，必須保證原有網(wǎng)關(guān)及內(nèi)網(wǎng)用戶間只有唯一的物理線路連接，且 AC硬件網(wǎng)關(guān)正是串接在這條唯一的物理線路連接上。即不能存在內(nèi)網(wǎng)用戶可繞過(guò) AC硬件設(shè)備，到達(dá)原有網(wǎng)關(guān)的 物理線路。 硬件網(wǎng)關(guān)工作在 網(wǎng)橋 模式時(shí)， AC 硬件網(wǎng)關(guān)的 WAN2不起作用，亦不能配置， DMZ 口可配置一個(gè)管理 IP。 穿透數(shù)據(jù)時(shí) 只有 WAN1 和 LAN1 是可用的。且要保證 WAN1 口接前置的路由設(shè)備，LAN口接內(nèi)網(wǎng)的交換機(jī)，不能接反。 網(wǎng)橋 模式是在 數(shù)據(jù)鏈路層 (OSI第二 層 )上實(shí)現(xiàn)的透明，是通過(guò) 把 AC的 WAN1口和 LAN 口 橋接實(shí)現(xiàn)的。 數(shù)據(jù)鏈路層及以上各層的數(shù)據(jù) 均可穿透。原有網(wǎng)關(guān) 啟用 IP/MAC 綁定及DHCP等需要第二層數(shù)據(jù)穿透的功能 能正常使用。 網(wǎng)橋 模式不要啟用 NAT功能。 網(wǎng)橋 模式下 AC本機(jī)的 IPMAC綁定和 VPN功能 不 可用。 WAN1 口和 LAN 接到同個(gè)交換機(jī)，這相當(dāng)于把一根網(wǎng)線接到交換機(jī)的兩個(gè)口 ，會(huì)引起二層上的環(huán)路， 導(dǎo)致通訊異常。 9． 如啟用殺毒、郵件過(guò)濾等功能 或要讓設(shè)備能夠自動(dòng)升級(jí) URL庫(kù)，內(nèi)容檢測(cè)，病毒庫(kù)等 ，則須配置需設(shè)置網(wǎng)橋 IP，默認(rèn)網(wǎng)關(guān)和 DNS，并保證 AC本身訪問(wèn)外網(wǎng)（可通過(guò)升級(jí)控制臺(tái)工具 ping測(cè)試 ）。 WEB認(rèn)證 、準(zhǔn)入規(guī)則 或其他需要重定向到 AC網(wǎng)關(guān)上的功能 ，同時(shí)內(nèi)網(wǎng)有多網(wǎng)段時(shí)，須添加到內(nèi)網(wǎng)非直連網(wǎng)段的路由指向內(nèi)網(wǎng)路由設(shè)備。 PC有多個(gè)網(wǎng)段（非 VLAN） ，網(wǎng)關(guān)上也有多個(gè)網(wǎng)段的 IP。 AC如啟用殺毒，郵件過(guò)濾，準(zhǔn)入規(guī)則和 Web認(rèn)證等需要重定向到 AC上的功能 時(shí)要把這幾個(gè)網(wǎng)段的 IP也配置到[網(wǎng)橋模式 ]多 IP綁定 ]里。 否則可不配置。 ， AC 網(wǎng)橋支持 VLAN TRUNK 穿透 ，網(wǎng)橋的 IP 地址支持 。即AC 網(wǎng)關(guān)可以透明接在 VLAN TRUNK 的主干道上。 點(diǎn)擊 [網(wǎng)關(guān)模式設(shè)置 \VLAN 設(shè) 置 ]可以設(shè)置網(wǎng)橋模式支持 VLAN TRUNK。 彈出如下的 VLAN設(shè)置對(duì)話框： 在 這里可以勾選 [啟用 VLAN]，添加 VLAN ID 與 IP地址之間的對(duì)應(yīng)關(guān)系 。 如啟用殺毒，郵件過(guò)濾，準(zhǔn)入規(guī)則和 Web 認(rèn)證等需要重定向到 AC 上的功能時(shí)才需要配置這個(gè)IP，否則不配置 VLAN IP 也可以。 旁路模式 實(shí)現(xiàn)監(jiān)控控制的功能的同時(shí)，可以完全不需改變用戶的網(wǎng)絡(luò)環(huán)境，并且可以避免 AC對(duì)用戶網(wǎng)絡(luò)造成中斷的風(fēng)險(xiǎn)。 用于把 AC 接在 交 換機(jī)的鏡像口或者接著 HUB上，對(duì)最整個(gè)局域網(wǎng)進(jìn)行旁路模式的監(jiān)控與控制。這種模式對(duì)用戶的網(wǎng)絡(luò)環(huán)境完全沒(méi)有影響，即使 DOWN 機(jī)也不會(huì)對(duì)用戶的網(wǎng)絡(luò)造成中斷。 網(wǎng)絡(luò)拓?fù)?如下圖所示： 在 [網(wǎng)關(guān)運(yùn)行模式 ]里面可以把 AC設(shè)置為旁路模式運(yùn)行 ，如下圖所示： 左邊為管理網(wǎng)口（ DMZ口）的 IP 地址配置，要使能用控制臺(tái)或者 升級(jí)系統(tǒng) 連接 AC 進(jìn)行管理，必須正確設(shè)置該網(wǎng)口的 IP 地址和網(wǎng)關(guān)，并且網(wǎng)線要接著 DMZ 口上。 右邊為要監(jiān)控的網(wǎng)段和排除的網(wǎng)段列表。由于旁路時(shí)只需一根網(wǎng)線 把 AC的 LAN口或 WAN1口 接在 HUB或者交換機(jī)的鏡像口上， AC并不知道哪些屬于內(nèi)網(wǎng)外網(wǎng)的地址，因此在 [監(jiān)控網(wǎng)段列表 ]里面出現(xiàn)的地址， AC就認(rèn)為是內(nèi)網(wǎng)地址進(jìn)行記錄，不在該列表的地址則不記錄 。 [排除地址列表 ]主要是當(dāng)一 個(gè)地址本來(lái)屬于 [監(jiān)控網(wǎng)段列表 ]里面 的地址，但是又想把該地址不記錄 ,此時(shí)就需要該地址輸入到 [排除地址列表 ]里面，即 [排除地址列表 ]里面的地址不做記錄 。這里劃分內(nèi)網(wǎng)外網(wǎng)主要是只有數(shù)據(jù)是內(nèi)網(wǎng)外網(wǎng)之間的交換數(shù)據(jù)時(shí)，才會(huì)進(jìn)行監(jiān)控 記錄 ，而內(nèi)網(wǎng)之間 的數(shù)據(jù)交換不會(huì)記錄。要想 記錄 內(nèi)網(wǎng)自己交換的數(shù)據(jù)，必須勾上復(fù)選框 [監(jiān)控內(nèi)網(wǎng)自己傳輸?shù)臄?shù)據(jù) ]。 1. 用戶必須使用 HUB或者交換機(jī)具有鏡像口的情況。如果交換機(jī)沒(méi)有鏡像口，可以在交換機(jī)前加接 HUB實(shí)現(xiàn)。 ，流量顯示，會(huì)話連接數(shù)功能不起作用。 3．旁路模式下， ipmac認(rèn)證無(wú)效。 4． 旁路模式下，監(jiān)控內(nèi)網(wǎng)之間的數(shù)據(jù)的時(shí)，會(huì)把一個(gè) tcp 連接的數(shù)據(jù)的回包也記錄下來(lái)，比如 a訪問(wèn) b的 80端口，網(wǎng)絡(luò)監(jiān)控日志里不光有 a到 b 80端口 的數(shù)據(jù)，也會(huì)有 b到 a的一個(gè)隨機(jī)端口的數(shù)據(jù)。 5． 旁路模式下，使用代理，要在旁路上綁定和代理網(wǎng)段同一網(wǎng)段的 ip地址（或者有路由能夠到達(dá)此 ip），使其發(fā)送的 reset包能都被 pc 和代理服務(wù)器收到。（發(fā) reset包給代理服務(wù)器） 6． 旁路模式的很多路由模式下的功能沒(méi)有實(shí)現(xiàn) ，比如 VPN、 DHCP和準(zhǔn)入規(guī)則等。 7．旁路模式主要起監(jiān)控的作用， 限制的功 能沒(méi)有路由模式和網(wǎng)橋模式那么全面。只能對(duì) TCP的連接進(jìn)行限制 ， 比如 URL過(guò)濾，關(guān)鍵字過(guò)濾， 郵件過(guò)濾等。對(duì) UDP的沒(méi)法限制，比如 P2P軟件， 的登錄等。 [內(nèi)網(wǎng)接口配置 ]用來(lái)設(shè)定每個(gè)內(nèi)部網(wǎng)絡(luò)接口網(wǎng)卡的 IP 地址，掩碼等基本網(wǎng)絡(luò)屬性。分為L(zhǎng)AN,DMZ兩種接口。 [LAN接口 ]： 這是防火墻要保護(hù)的區(qū)域，包括全部的內(nèi)部網(wǎng)絡(luò)設(shè)備及用戶主機(jī)。這個(gè)區(qū)域是防火墻的可信區(qū)域。 [DMZ（非軍事區(qū)）接口 ]： 它是從企業(yè)內(nèi)部網(wǎng)絡(luò)中劃分的一個(gè)小區(qū)域，在其中就包括內(nèi)部網(wǎng)絡(luò)中用于公眾服務(wù)的外部服務(wù)器，如 Web服務(wù)器、郵件服務(wù)器、 FTP 服務(wù)器、外部 DNS服務(wù)器等，它們都是為互聯(lián)網(wǎng)提供某種信息服務(wù)。防火墻將該區(qū)域的服務(wù)開(kāi)放給 WAN的同時(shí)還提供對(duì)該區(qū)域的攻擊保護(hù)。 設(shè)置界面如下圖 所示 ： 根據(jù)需要，在 [LAN接口 ]及 [DMZ接口 ]設(shè)置 AC 硬件網(wǎng)關(guān) LAN、 DMZ 口所需的 IP 地址及掩碼，再點(diǎn) 設(shè)置生效 保存配置即可。（ DMZ口不使用時(shí)，則可保留原有配置不動(dòng)） 如有需要，可點(diǎn)擊 [多 IP 綁定 ]可為 AC 硬件網(wǎng)關(guān)的 LAN口綁定多個(gè) IP，界面如下： 單擊 增加 出現(xiàn)如下界面： 如內(nèi)網(wǎng)的交換機(jī)跟 AC 直接相連的接 口啟用了 TRUNK，則可在 LAN 配上各個(gè) VLAN 的 IP 還有 VLAN ID。 單擊 VLAN 設(shè)置 按鈕，把各個(gè) VLAN 的 IP 和 VLAN ID 都增加到設(shè)備上，界面如下： 單擊 增加 ，出現(xiàn)下圖： LAN 口配置 － VLAN 地址后， LAN 口可以接支持 VLAN 的 2 層交換機(jī)的 TRUNK口，AC 可以在 VLAN 間轉(zhuǎn)發(fā)數(shù)據(jù)（單臂路由），并可做 LANLAN 方向的防火墻規(guī)則，即可以制不同 VLAN－ ID 之間的訪問(wèn)控制。可用于兼容 VLAN（ ）下的網(wǎng)絡(luò)環(huán)境。 [內(nèi)網(wǎng)接口配置 ]中還需要選定 VPN 所包含的網(wǎng)絡(luò)，即哪部分內(nèi)網(wǎng)需要被 VPN對(duì)端用戶訪問(wèn)。 如果僅需將 LAN 區(qū)加入到 VPN 網(wǎng)絡(luò)，則將 [DLAN 的內(nèi)網(wǎng)接口 ]勾選選為 LAN 接口 ；如果也需要將 DMZ接口加入到 VPN網(wǎng)絡(luò)，則許再勾選 DMZ接口 為 [DLAN的內(nèi)網(wǎng)接口 ]，并設(shè)置相應(yīng)內(nèi)網(wǎng)的 [子網(wǎng)掩碼 ]信息。 [DLAN 的子網(wǎng)掩碼 ]一般要求和內(nèi)網(wǎng)子網(wǎng)掩碼一致，如果 LAN 中還有其他 VLAN 或 DDN網(wǎng)絡(luò)，而又不方便設(shè)置多子網(wǎng)，可以修改 DLAN的子網(wǎng)掩碼，將這些網(wǎng)絡(luò)也包進(jìn)來(lái)。 如果重新設(shè)定了 LAN口或 DMZ口，會(huì)導(dǎo)致網(wǎng)絡(luò)中斷，設(shè)備重啟，請(qǐng)重新登錄。 在 [外網(wǎng)接口配置 ]中設(shè)置外網(wǎng)線路的上網(wǎng)方式，包括 WAN1和 WAN2接口等。如下圖： 先選擇 線路 ，然后設(shè)定 線路類型 ，包括 以太網(wǎng) 、 撥號(hào) (ADSL)兩種方式。 選擇 以太網(wǎng) 方式，則需設(shè)定 IP 地址、掩碼、網(wǎng)關(guān)、 DNS 等信息，根據(jù)實(shí)際情況，或 ISP所提供的 IP地址信息進(jìn)行設(shè)置。 點(diǎn)擊 多 IP綁定 可為 AC 硬件網(wǎng)關(guān)設(shè)備的 WAN口綁定多個(gè)公網(wǎng) IP，如下圖所示： 單擊 增加 出現(xiàn)下圖： 如果是 ADSL 上網(wǎng)， [線路類型 ]選 撥號(hào) ，在設(shè)置界面填寫(xiě)完 [用戶名 ]和 [密碼 ]信息后 ，注意勾上 [自動(dòng)撥號(hào) ]，配置完畢點(diǎn) 確定 保存設(shè)置，設(shè)備會(huì)重啟，重新登錄后點(diǎn)擊 開(kāi)始撥號(hào) ，則以后設(shè)備在斷線后 自動(dòng)重?fù)?了。如下圖： AC 硬件網(wǎng)關(guān)設(shè)備支持多線路時(shí)，則設(shè)置完 [線路 1]后，選擇其它線路繼續(xù)設(shè)置。 點(diǎn)擊 高級(jí)配置 按