SANGFOR_AC_v110_2016年度渠道高級認證培訓01_安裝部署

1、安裝部署特殊網(wǎng)絡(luò)環(huán)境部署培訓內(nèi)容培訓目標高可用性之主主模式部署了解主主模式的適用環(huán)境 掌握設(shè)備主主模式部署的配置方法了解主主模式部署下的注意事項高可用性之主備模式部署了解主備模式的適用環(huán)境 掌握設(shè)備主備模式部署的配置方法了解主備模式部署下的注意事項內(nèi)網(wǎng)有代理服務(wù)器環(huán)境部署了解內(nèi)網(wǎng)有代理服務(wù)器時設(shè)備的部署適用環(huán)境掌握常見代理環(huán)境中的部署和配置方法了解內(nèi)網(wǎng)有代理服務(wù)器環(huán)境下部署的注意事項協(xié)議封裝環(huán)境部署了解協(xié)議封裝環(huán)境下部署的適用場景掌握協(xié)議封裝環(huán)境下的網(wǎng)橋部署和配置方法了解協(xié)議封裝環(huán)境下部署的注意事項高可用性之主主模式部署高可用性之主備模式部署內(nèi)網(wǎng)代理環(huán)境部署SANGFOR AC&SG協(xié)

2、議封裝環(huán)境部署主備模式部署主備模式部署環(huán)境 主備模式是指路由模式部署的兩臺設(shè)備通過心跳檢測，實現(xiàn)熱備份（保持心跳和配置同步）。正常情況下，只有主設(shè)備工作，如果主設(shè)備故障，則自動切換到備設(shè)備，備設(shè)備接替主設(shè)備工作。從而保證客戶的業(yè)務(wù)不受影響，網(wǎng)絡(luò)不中斷。 主備模式只有一臺主設(shè)備處于正常工作狀態(tài)，另一臺備設(shè)備處于監(jiān)聽狀態(tài)。 適用環(huán)境：對網(wǎng)絡(luò)穩(wěn)定性要求較高的客戶環(huán)境。要求兩臺設(shè)備路由模式部署。主備模式配置主機配置：1.主機配置好路由模式。2. 控制臺【網(wǎng)絡(luò)配置】【高可用性】選擇主備模式，點擊開始配置主備模式配置3.配置主機設(shè)備標識4.配置檢測網(wǎng)口搶占為主機：指的是當主機切換為備機后，當備機恢復正常后

3、是否會主動切換為主機，開啟則會切換。指定HA口：用來同步配置?？梢允褂肈MZ口或其他未配置區(qū)域的網(wǎng)口。共享密鑰：需要主備兩臺設(shè)備設(shè)置同一個密鑰。檢測網(wǎng)口：被檢測的網(wǎng)口只要發(fā)生故障就會發(fā)生主備切換。告警選項：手動更改模式也會觸發(fā)告警。主備模式配置備機配置：1.備機登錄后，【高可用性】選擇主備模式，配置設(shè)備標識，設(shè)備角色選擇備機。2.配置主機的IP地址以及密鑰。說明：備機不能配置搶占主機與檢測網(wǎng)口以及配置告警信息，這些信息是由主機同步過來主備模式配置主機狀態(tài)：部署完成后，主機正常工作，可以在高可用性中看到主機狀態(tài)，可以看到最近切換的時間，以及同步配置的時間，只有主機狀態(tài)才可以手動切換到備機。主備模

4、式部署注意事項1、主備模式部署的兩臺設(shè)備，軟件版本要求一致，軟件版本一致是指兩臺AC設(shè)備的版本信息中內(nèi)容，除SP補丁外，其余信息一致即可。硬件版本不做要求，但是建議選擇負載相近，型號相近的設(shè)備。2、主備部署的兩臺設(shè)備配置自動實時同步，完全一樣。3、只能2臺設(shè)備部署為主備模式，2臺以上不支持部署主備模式。4、主備部署的兩臺設(shè)備，只有一臺在工作，另一臺在監(jiān)聽。5、只有路由模式可以部署主備模式，網(wǎng)橋模式不支持部署主備模式。6、主備模式的兩臺設(shè)備通過普通網(wǎng)線作為心跳線，通過HA口發(fā)送心跳包，主備模式下，可以使用DMZ口或其他未配置區(qū)域的網(wǎng)口。 HA燈狀態(tài)，主機設(shè)備亮綠燈，備機狀態(tài)燈閃。7、主備模式下，

5、只有主機可以加入集中管理。備機不能加入。如果主機掛了，備機變成主機，此時備機也可以加入SC。主主模式部署主主模式部署環(huán)境 主主模式部署由多臺AC設(shè)備通過通信網(wǎng)口同步配置。主主模式部署的設(shè)備同時工作，主控設(shè)備將配置同步到所有節(jié)點，主控與各節(jié)點之間相互同步會話信息。當主控故障，將無法更改設(shè)備配置。 適用環(huán)境： 客戶原有網(wǎng)絡(luò)中有多臺交換機，防火墻或路由器主主或主備部署時，AC以網(wǎng)橋串接在中間，建議使用主主模式部署。主主模式部署配置主控配置：1.設(shè)備路由模式或網(wǎng)橋模式部署。2.主控設(shè)備控制臺選擇【網(wǎng)絡(luò)配置】【高可用性】選擇主主模式。主主模式部署配置配置設(shè)備標識及角色選擇主控，配置密鑰主主模式部署配置節(jié)

6、點配置：【高可用性】選擇主主模式，配置設(shè)備標識，角色選擇“節(jié)點”。配置主機的IP地址及密鑰。主主模式部署配置主控狀態(tài)節(jié)點狀態(tài)主主模式部署注意事項4、路由模式和網(wǎng)橋模式都支持配置成主主模式部署。1、主主模式部署的兩臺設(shè)備，軟件版本要求一致，軟件版本一致是指兩臺AC設(shè)備的版本信息中內(nèi)容，除SP補丁外，其余信息一致即可。硬件版本不做要求，但是建議選擇負載相近，型號相近的設(shè)備。2、主主模式部署的設(shè)備同時工作，沒有主備之分。3、兩臺或兩臺以上的設(shè)備可以部署主主模式。5、主主模式下，節(jié)點不能修改配置只能由主控同步，界面限制只能只讀。6、主控會顯示所有節(jié)點狀態(tài)，名稱為“在線節(jié)點列表”，顯示所有在線的節(jié)點。7

7、、主主模式下，只有主控可以加入集中管理，節(jié)點不能加入和下發(fā)配置。此時，即使主控掛了，節(jié)點臨時變成主控，此時該主控也不能接入SC。需要等主控恢復后，才能從SC下發(fā)配置。被選舉出來的主控，只能同步在線用戶，不能同步配置。內(nèi)網(wǎng)代理服務(wù)器環(huán)境部署內(nèi)網(wǎng)代理服務(wù)器環(huán)境部署應(yīng)用場景 內(nèi)網(wǎng)通過代理服務(wù)器上網(wǎng)，由于用戶所有數(shù)據(jù)是發(fā)往代理服務(wù)器的，目標IP是代理服務(wù)器的IP，真實的上網(wǎng)數(shù)據(jù)通過代理服務(wù)器封裝后轉(zhuǎn)發(fā)到公網(wǎng)。 在這樣的網(wǎng)絡(luò)環(huán)境下，如果要對上網(wǎng)用戶采用不同的上網(wǎng)策略，記錄真實的訪問公網(wǎng)的數(shù)據(jù)，AC/SG的部署和其他網(wǎng)絡(luò)環(huán)境中的部署就有區(qū)別 適用環(huán)境：用戶通過內(nèi)網(wǎng)代理服務(wù)器上網(wǎng)，并且需要準確識別用戶通過代

8、理服務(wù)器上網(wǎng)的數(shù)據(jù)和分權(quán)限控制。常見代理環(huán)境中的部署方式1. 代理服務(wù)器雙網(wǎng)卡（AC/SG設(shè)備路由或網(wǎng)橋模式部署）設(shè)備可采取路由模式或網(wǎng)橋模式部署在客戶端與代理服務(wù)器之間，考慮到內(nèi)網(wǎng)改動的大小，建議采用網(wǎng)橋模式部署。必須保證內(nèi)網(wǎng)發(fā)往代理服務(wù)器的數(shù)據(jù)先經(jīng)過AC/SG設(shè)備，也就是代理服務(wù)器應(yīng)該部署于AC/SG設(shè)備的WAN口方向。常見代理環(huán)境中的部署方式2. 代理服務(wù)器雙網(wǎng)卡（AC/SG設(shè)備旁路模式部署）如果主要用于審計，設(shè)備可采取旁路模式部署，用于監(jiān)聽內(nèi)網(wǎng)發(fā)往代理服務(wù)器的所有數(shù)據(jù)。常見代理環(huán)境中的部署方式3. 代理服務(wù)器單網(wǎng)卡（AC/SG設(shè)備網(wǎng)橋模式部署）如左圖所示，代理服務(wù)器以單臂模式接在核心交

9、換機上。內(nèi)網(wǎng)用戶上網(wǎng)數(shù)據(jù)先通過交換機到達代理服務(wù)器，再由代理服務(wù)器經(jīng)核心交換機和防火墻到公網(wǎng)。針對這種環(huán)境，給出以下解決方案常見代理環(huán)境中的部署方式3. 代理服務(wù)器單網(wǎng)卡（AC設(shè)備網(wǎng)橋模式部署）此種部署場景下，需要在AC上【用戶認證與管理】-【認證高級選項】-【認證選項】中勾選“WAN-LAN方向的連接不認證”。內(nèi)網(wǎng)代理環(huán)境部署配置1. 將設(shè)備采用以上各拓撲中的部署方式（路由，網(wǎng)橋，旁路）進行配置，然后接入到網(wǎng)絡(luò)中。2. 在設(shè)備“代理服務(wù)器設(shè)置”選項中填入代理服務(wù)器的IP。3. 在客戶端電腦瀏覽器配置代理服務(wù)器的IP地址，并在“例外情況”填寫AC設(shè)備的管理地址，如果AC是網(wǎng)橋部署，并且開啟了虛

10、擬地址重定向功能，也需要把虛擬IP添加排除，如下圖所示：內(nèi)網(wǎng)代理環(huán)境部署注意事項1、必須保證客戶端發(fā)到代理服務(wù)器的數(shù)據(jù)先經(jīng)過AC/SG設(shè)備，也就是代理服務(wù)器應(yīng)該部署在AC/SG設(shè)備的WAN口方向。協(xié)議封裝環(huán)境部署協(xié)議封裝環(huán)境部署 協(xié)議封裝環(huán)境，是指客戶網(wǎng)絡(luò)環(huán)境中有特殊協(xié)議如Trunk、QinQ、鏈路聚合、PPPOE、VLAN+PPPOE、QinQ+PPPOE、WAC、L2tp、GRE等。此種環(huán)境中AC支持以網(wǎng)橋模式部署并且穿透協(xié)議，其中Trunk環(huán)境也支持以單臂路由方式部署。 在Trunk、QinQ、鏈路聚合、PPPOE、VLAN+PPPOE、QinQ+PPPOE環(huán)境中AC網(wǎng)橋部署通過虛擬IP

11、實現(xiàn)重定向和代理功能（SSL內(nèi)容識別和郵件過濾）。 在WAC、L2TP、GRE等其它特殊協(xié)議環(huán)境中，AC網(wǎng)橋部署通過DMZ口重定向?qū)崿F(xiàn)重定向和代理功能（SSL內(nèi)容識別和郵件過濾）。協(xié)議封裝環(huán)境部署 虛擬IP重定向：內(nèi)網(wǎng)PC認證前的HTTP上網(wǎng)數(shù)據(jù)經(jīng)過AC時，AC攔截并記錄下數(shù)據(jù)包的源，目的IP，數(shù)據(jù)包的封裝類型，以及數(shù)據(jù)包進入AC時的接口。 AC回彈portal的重定向認證頁面時，會將記錄下來的數(shù)據(jù)包的源，目的IP反轉(zhuǎn)，再從數(shù)據(jù)包進入的接口直接發(fā)出去，其中數(shù)據(jù)包中的數(shù)據(jù)字段會替換成AC虛擬IP的重定向URL地址。 DMZ口重定向：內(nèi)網(wǎng)PC認證前的HTTP上網(wǎng)數(shù)據(jù)經(jīng)過AC時，AC攔截數(shù)據(jù)包，AC

12、通過查找本身DMZ口的路由表，將portal的重定向認證頁面從DMZ口發(fā)出，其中數(shù)據(jù)包中的數(shù)據(jù)字段會替換成AC的DMZ口IP的重定向URL地址。/24DMZ:0/241/24MAC2MAC3MAC4MAC5http:/eth2eth3eth0 eth1In接Out口SIPDIPeth0eth2outSipDip302dataeth098/ac_portal.98重定向頁面不查AC路由表直接從數(shù)據(jù)進來的網(wǎng)口eth0回包給

13、內(nèi)網(wǎng)(1)默認使用虛擬地址虛擬IP重定向原理圖協(xié)議封裝環(huán)境部署 拓撲如左圖所示，交換機劃分了三個VLAN，VLAN ID分別為10，20，30。路由器內(nèi)網(wǎng)口配置為trunk口，各vlan間的互訪通過路由器路由。 需求：部署AC實現(xiàn)上網(wǎng)行為管理 協(xié)議封裝環(huán)境部署AC在Trunk環(huán)境中直接替代原有的路由器做路由模式部署。TRUNK環(huán)境協(xié)議封裝環(huán)境部署1、AC路由模式部署直接替代原有的路由器（或FW），并按照路由模式部署配置好設(shè)備。2、配置LAN口IP，填寫內(nèi)網(wǎng)對應(yīng)VLAN的VLAN網(wǎng)關(guān)IP即可。Trunk環(huán)境下路由模式配置思路：協(xié)議封裝環(huán)境部署Trunk環(huán)境下路由模式配置方法：協(xié)議封裝環(huán)境部署不改

14、變原有拓撲結(jié)構(gòu)，AC網(wǎng)橋模式串接在交換機和防火墻之間（推薦方案）1.此時可以給設(shè)備網(wǎng)橋配置其中一個VLAN中的可用IP來進行管理和上網(wǎng)更新規(guī)則庫。2.也可以給設(shè)備管理口配置其中一個VLAN中的可用IP來進行管理和上網(wǎng)更新規(guī)則庫。Trunk環(huán)境1、網(wǎng)橋模式部署在路由器與交換機之間，按網(wǎng)橋模式部署配置好設(shè)備。2、可以給設(shè)備網(wǎng)橋配置其中一個VLAN中的可用IP來進行管理和上網(wǎng)更新規(guī)則庫。也可以給設(shè)備管理口配置其中一個VLAN中的可用IP來進行管理和上網(wǎng)更新規(guī)則庫。3、如果內(nèi)網(wǎng)是三層環(huán)境還需要配置內(nèi)網(wǎng)的路由網(wǎng)關(guān)指向AC內(nèi)網(wǎng)口所連接的設(shè)備。協(xié)議封裝環(huán)境部署Trunk環(huán)境下網(wǎng)橋模式配置思路：協(xié)議封裝環(huán)境部

15、署Trunk環(huán)境下網(wǎng)橋模式配置方法：選擇網(wǎng)橋列表，默認勾選了“開啟網(wǎng)橋鏈路同步”可以選擇給橋IP配置VLANIP進行管理，也可以此處不配置任何IP，通過管理口進行管理。如果前面橋IP沒有做任何配置，可以在管理口配置一個VLANIP進行管理。設(shè)備通過虛擬IP來實現(xiàn)重定向和代理功能（SSL內(nèi)容識別和郵件過濾功能）。1、網(wǎng)橋模式部署在路由器與交換機之間，按網(wǎng)橋模式部署配置好設(shè)備。2、可以給設(shè)備管理口配置一個可用IP來進行管理和上網(wǎng)更新規(guī)則庫。如果沒有空閑管理口，也可以給設(shè)備網(wǎng)橋配置其中一個可用IP來進行管理和上網(wǎng)更新規(guī)則庫。 WAC、L2TP、GRE這三種協(xié)議封裝環(huán)境下，必須使用DMZ口。3、如果內(nèi)

16、網(wǎng)是三層環(huán)境還需要配置內(nèi)網(wǎng)的路由網(wǎng)關(guān)指向AC內(nèi)網(wǎng)口所連接的設(shè)備。協(xié)議封裝環(huán)境部署其他協(xié)議環(huán)境下網(wǎng)橋模式配置思路：4、 QinQ、PPPOE、VLAN+PPPOE、QinQ+PPPOE 、 WAC、L2TP、GRE環(huán)境下，設(shè)備上開啟對應(yīng)的協(xié)議剝離。 Trunk，鏈路聚合協(xié)議設(shè)備無需開啟協(xié)議剝離就能識別應(yīng)用。協(xié)議封裝環(huán)境部署其他協(xié)議環(huán)境下網(wǎng)橋模式配置方法：前三步配置不在贅述，協(xié)議剝離配置請在左圖頁面開啟。協(xié)議封裝環(huán)境部署重定向和代理功能的實現(xiàn)：Trunk、QinQ、鏈路聚合、PPPOE、VLAN+PPPOE、QinQ+PPPOE環(huán)境中，通過設(shè)備的虛擬IP來實現(xiàn)重定向和代理功能（SSL內(nèi)容識別和郵件過濾）。協(xié)議封裝環(huán)境部署重定向和代理功能的實現(xiàn)：WAC、L2TP、GRE等其它特