iKuai爱快流控路由

标题: 爱快+旁路由,安装SNMP,终端监控正常,上网行为不正常 [打印本页]
作者: jamesxu8365    时间: 2023-3-30 19:05
标题: 爱快+旁路由,安装SNMP,终端监控正常,上网行为不正常
爱快+旁路由,安装SNMP,终端监控正常,上网行为不正常
爱快主路由 ,加 openwrt 旁路由,正常配置高级应用SNMP,显示正常


以上都正常,但是上网行为管控 ,仍然只显示旁路由的 IP 和MAC地址



作者: Jetzow    时间: 2023-3-30 19:13
你至少还能看到一部分,我这边连流量都看不到。
作者: xuanhf    时间: 2023-3-30 19:37
怎么看行为管理生效没有
作者: jamesxu8365    时间: 2023-3-31 17:20
Jetzow 发表于 2023-3-30 19:13
你至少还能看到一部分,我这边连流量都看不到。

要安装哪个SNMP
作者: xibanya    时间: 2023-4-1 11:04
本帖最后由 xibanya 于 2023-4-1 11:16 编辑

这不是很正常,符合理论的现象吗

设备通过旁路网关去外网,出旁路时候做了一次源nat  ip报头源地址被替换成了旁路网关的地址。爱快不就认为这些流量是你旁路本身产生的。把爱快换成其他的路由也是一样
如果要想看得到,旁路网关需要修改nat策略,指定去哪些目标地址不要做nat。这样去这些目标地址时候,上一级路由就能看到终端流量了。。。


作者: jamesxu8365    时间: 2023-4-3 17:37
xibanya 发表于 2023-4-1 11:04
这不是很正常,符合理论的现象吗

设备通过旁路网关去外网,出旁路时候做了一次源nat  ip报头源地址被替换 ...

就普通路由器来说,我也觉得正常。
爱快行为管理  抓取的策略 如果能旁路由模式,爱快的功能有强大不少
作者: xibanya    时间: 2023-4-3 18:57
jamesxu8365 发表于 2023-4-3 17:37
就普通路由器来说,我也觉得正常。
爱快行为管理  抓取的策略 如果能旁路由模式,爱快的功能有强大不少 ...

过了旁路网关,nat后ip报文的源地址源mac都一样了,你让爱快怎么区分?
作者: jamesxu8365    时间: 2023-4-6 12:51
xibanya 发表于 2023-4-3 18:57
过了旁路网关,nat后ip报文的源地址源mac都一样了,你让爱快怎么区分?

安装了SNMP后,终端监控,可以区分出来的。帖子里面有写,我是菜鸟,不懂 这里面是否 有区别,但是终端监控,能识别出准确的IP  和MAC地址,为啥 行为管理不可以
作者: xibanya    时间: 2023-4-6 13:21
本帖最后由 xibanya 于 2023-4-6 13:26 编辑
jamesxu8365 发表于 2023-4-6 12:51
安装了SNMP后,终端监控,可以区分出来的。帖子里面有写,我是菜鸟,不懂 这里面是否 有区别,但是终端监 ...


不都说了,旁路给你nat了。去公网的源ip不再是终端的ip了。旁路给你替换了源地址了
终端网关指向了旁路网关为何能上外网,这个原理你得搞清楚。snmp只是读取旁路上的ip mac 他又不能让你旁路不要做nat
作者: xibanya    时间: 2023-4-6 15:21
本帖最后由 xibanya 于 2023-4-6 15:23 编辑

PC上网基本流程(以访问TCP 80端口的为例)

1.源IP-PC的IP+源端口X+源mac-PC的mac+目的IP+目的端口80+目的mac-旁路的mac+协议TCP,下一跳是旁路网关的地址

2.旁路网关转发该数据包,数据包出接口时进行了nat-pat,数据包就变成了:

源IP-旁路的IP+源端口Y+源mac-旁路的mac+目的IP+目的端口80+目的mac-爱快lan的mac+协议TCP

3.到了爱快,爱快自然认为这个连接是你旁路发出来的,因为里面的数据包源IP,源MAC都是你旁路的IP和mac地址。
那么这种情况下,爱快识别到的流量在这一个层面看来不就是你旁路产生的?



作者: jamesxu8365    时间: 2023-4-6 17:44
xibanya 发表于 2023-4-6 15:21
PC上网基本流程(以访问TCP 80端口的为例)

1.源IP-PC的IP+源端口X+源mac-PC的mac+目的IP+目的端口80+目的 ...

:handshake谢谢,老兄详细的解释,非常感谢。看来有旁路由的情况下,想实现行为管控,需要另外想办法了。请教下,有什么好的办法吗?
我目前 是 AIKUAI+OPENWRT旁路由,网内大多数 设备,都要经过旁路由
作者: xibanya    时间: 2023-4-6 17:51
jamesxu8365 发表于 2023-4-6 17:44
谢谢,老兄详细的解释,非常感谢。看来有旁路由的情况下,想实现行为管控,需要另外想办法了。 ...

op上想办法咯。流量不是要过op吗
作者: xibanya    时间: 2023-4-6 20:15
jamesxu8365 发表于 2023-4-6 17:44
谢谢,老兄详细的解释,非常感谢。看来有旁路由的情况下,想实现行为管控,需要另外想办法了。 ...

https://bbs.ikuai8.com/thread-136961-1-1.html刚写的 可以参考下

作者: larryzhu    时间: 2023-4-7 09:47
jamesxu8365 发表于 2023-4-6 17:44
谢谢,老兄详细的解释,非常感谢。看来有旁路由的情况下,想实现行为管控,需要另外想办法了。 ...

op主路由+爱快二级路由就可以了
作者: jamesxu8365    时间: 2023-4-7 17:15
xibanya 发表于 2023-4-6 20:15
https://bbs.ikuai8.com/thread-136961-1-1.html刚写的 可以参考下

收到,谢谢。看了,要再OPENWRT 中 添加 转换IP 的规则,我理解下先
作者: 13461116100    时间: 2023-7-20 17:41
我的也是爱快加op旁路由,爱快开了跨三层应用指向旁路由ip,可以显示旁路由下的设备流量,对旁路由下设备行为管控和禁网都不起作用。有解决办法吗?我想流控


消息来自爱快e云




欢迎光临 iKuai爱快流控路由 (https://bbs.ikuai8.com/) Powered by Discuz! X3.3