规划部署方案
使用天关作为本地防御节点时,推荐二层透明直路方式接入网络,部署在出口路由器与内网交换机之间,不影响原网络拓扑。如果用户有NAT(网络地址转换)设备,天关需要部署在NAT设备下面,以保证能识别到用户内网的真实IP地址。
同时设备需要一个IP地址,用于和云端通信,以获取配置、上报威胁信息。根据设备上网接口(云端管理口)的不同存在如下两种方案。
VLAN接口上网
- 适用场景:适用于客户网络已有出口路由器(出口网关)。业务链路所在网段有充足的IP地址,并且该网段能访问互联网,建议复用业务链路,使用VLAN口上网。
- 方案特点:设备接口默认工作在二层模式。云端管理口和业务上行口共用一个物理接口。
单独物理网口上网(推荐)
- 适用场景:客户网络已有出口路由器(出口网关)。业务链路所在网段没有可分配的IP地址,或者该网段不能访问互联网,需要单独物理口接入可访问互联网网段。
- 方案特点:需要额外连一根网线上网,并配置该物理接口的“工作模式”为“路由”模式。云端管理口和业务上行口不共用一个物理接口。
更多其他部署场景,比如天关旁挂,或者您的企业内部存在NAT转换/DNS服务器,请参见《典型配置案例》完成天关部署和上线配置。