設備部署深信服上網(wǎng)行為管理AC

1、設備部署深信服上網(wǎng)行為管理AC培訓內容培訓目標AC部署模式介紹掌握AC支持的部署模式掌握AC各種模式的適用環(huán)境和支持的功能。AC/SG部署模式介紹SANGFOR AC部署模式介紹部署模式_簡介 部署模式是指設備以什么樣的工作模式部署到客戶網(wǎng)絡中去，不同的部署模式對客戶原有網(wǎng)絡的影響各有不同；設備在不同模式下支持的功能也各不一樣，設備以何種方式部署需要綜合用戶具體的網(wǎng)絡環(huán)境和功能需求而定。根據(jù)工作方式的不同，AC設備支持路由、網(wǎng)橋、旁路三種部署模式。SANGFOR AC部署模式介紹路由模式_簡介設備以路由模式部署時，AC的工作方式與路由器相當，具備根本的路由轉發(fā)及NAT功能。一般在客戶還沒有相應

2、的網(wǎng)關設備，需要將AC做網(wǎng)關使用時，建議以路由模式部署。 路由模式下支持AC所有的功能。如果需要使用NAT、VPN、DHCP等功能時，AC必須以路由模式部署，其它工作模式不支持實現(xiàn)這些功能。SANGFOR AC部署模式介紹路由模式部署環(huán)境舉例：SANGFOR AC部署模式介紹網(wǎng)橋模式_簡介設備以網(wǎng)橋模式部署時對客戶原有的網(wǎng)絡根本沒有改動。網(wǎng)橋模式部署AC時，對客戶來說AC就是個透明的設備，如果因為AC自身的原因而導致網(wǎng)絡中斷時可以開啟硬件bypass功能，即可恢復網(wǎng)絡通信。網(wǎng)橋模式部署時AC不支持NAT代理上網(wǎng)和端口映射、VPN、DHCP功能，除此之外AC的其它功能如URL過濾、流控等均可實現(xiàn)

3、。網(wǎng)橋模式部署時AC支持硬件bypass功能其它模式部署均沒有硬件bypass)。SANGFOR AC部署模式介紹網(wǎng)橋模式_2種類型1、網(wǎng)橋多網(wǎng)口：網(wǎng)橋多網(wǎng)口是指設備只做一個網(wǎng)橋，但內外網(wǎng)口不是一一對應的，可能內網(wǎng)口需要接多個網(wǎng)口，也可能外網(wǎng)口需要接多個網(wǎng)口，各個網(wǎng)口之間的數(shù)據(jù)都可以設置轉發(fā)，設備的ARP表只維持一份。2、多網(wǎng)橋：多網(wǎng)橋是指一臺設備可以做多個網(wǎng)橋，相當于多個交換機，和網(wǎng)橋多網(wǎng)口的區(qū)別是：內外網(wǎng)口是一一對應的；網(wǎng)口屬于同一個網(wǎng)橋才能進行數(shù)據(jù)轉發(fā)，不同網(wǎng)橋接口之間的數(shù)據(jù)不能轉發(fā)。SANGFOR AC部署模式介紹網(wǎng)橋模式部署環(huán)境-網(wǎng)橋多網(wǎng)口舉例：SANGFOR AC部署模式介紹網(wǎng)橋模

4、式部署環(huán)境-多網(wǎng)橋舉例：SANGFOR AC部署模式介紹旁路模式_簡介旁路模式主要用于實現(xiàn)監(jiān)控功能，完全不需要改變用戶的網(wǎng)絡環(huán)境，通過把設備的監(jiān)聽口接在交換機的鏡像口或者接在HUB上，實現(xiàn)對上網(wǎng)數(shù)據(jù)的監(jiān)控。這種模式對用戶的網(wǎng)絡環(huán)境完全沒有影響，即使宕機也不會對用戶的網(wǎng)絡造成中斷。旁路模式是AC三種工作模式中最簡單但也是功能最弱的一種部署方式，該模式下AC只用于上網(wǎng)行為的審計和基于TCP應用的控制，對基于UDP協(xié)議的應用無法控制。不支持流量管理、準入系統(tǒng)、NAT、 VPN、 DHCP等功能。(AC4.0版本開始旁路模式下支持準入，需要將內網(wǎng)到的流量鏡像給設備SANGFOR AC部署模式介紹旁路模

5、式部署環(huán)境舉例：典型部署模式與配置路由模式旁路模式網(wǎng)橋模式典型部署模式與配置典型部署模式與配置 路由模式_部署指導首選需要了解用戶的實際需求，以下幾種情況 必須使用路由模式部署：1、用戶必須要用到AC的VPN、NAT代理上網(wǎng)和端口映射、DHCP這幾個功能。2、用戶在新規(guī)劃建設的網(wǎng)絡中來部署AC，想把AC當作一臺網(wǎng)關設備部署在網(wǎng)絡出口處。3、用戶網(wǎng)絡中已有防火墻或者路由器了，但出于某方面的原因想用AC替換掉原有的防火墻或者路由器并代理內網(wǎng)用戶上網(wǎng)。典型部署模式與配置 路由模式_根本配置思路1、網(wǎng)口配置：確定設備外網(wǎng)口及地址信息，如果是固定IP，那么填寫運營商給的IP地址及網(wǎng)關；如果是ADSL拔號

6、上網(wǎng)，那么填寫運營商給的拔號賬號和密碼；確定內網(wǎng)口的IP地址信息；2、確定內網(wǎng)是否為多網(wǎng)段網(wǎng)絡環(huán)境，如果是的話需要添加相應的回包路由，將到內網(wǎng)各網(wǎng)段的數(shù)據(jù)回指給設備下接的三層設備。3、用戶是否需要通過AC設備上網(wǎng)，如果是的話，需要設置代理上網(wǎng)規(guī)那么，填寫需要代理上網(wǎng)的內網(wǎng)網(wǎng)段。典型部署模式與配置需求：某用戶網(wǎng)絡環(huán)境如右圖，現(xiàn)將AC部署在網(wǎng)絡出口，實現(xiàn)AC代理內網(wǎng)所有用戶上網(wǎng)。路由模式_應用舉例配置思路： 1.選擇部署模式并配置內/外網(wǎng)口 2.配置代理上網(wǎng)典型部署模式與配置路由模式配置步驟定義網(wǎng)絡接口填寫需要代理上網(wǎng)的網(wǎng)段。此處配置也可以在【防火墻】下的【NAT代理上網(wǎng)】中添加。配置完成，點擊提

7、交典型部署模式與配置 網(wǎng)橋模式_部署指導1、網(wǎng)橋模式部署相比路由模式對客戶的網(wǎng)絡影響較小，當客戶確定不需要使用AC的VPN、NAT、DHCP功能，且內網(wǎng)已有相應的網(wǎng)關設備時，建議使用網(wǎng)橋模式部署。2、根據(jù)客戶的網(wǎng)絡結構決定AC采用多網(wǎng)橋或網(wǎng)橋多網(wǎng)口的方式。 網(wǎng)橋多網(wǎng)口常見應用場景： a.兩條線路分別接FW1和FW2，內網(wǎng)接交換機，設備在交換機和防火墻 之間， 網(wǎng)橋模式部署，單進雙出做網(wǎng)橋多網(wǎng)口。 b.內網(wǎng)核心交換機和路由器都做雙機，參加兩臺設備，雙進單出做網(wǎng)橋多網(wǎng)口。 多網(wǎng)橋常見應用場景: a.設備一進一出做單網(wǎng)橋 b.客戶內網(wǎng)有VRRP或HSRP環(huán)境典型部署模式與配置網(wǎng)橋模式-應用舉例需求：

8、某用戶網(wǎng)絡環(huán)境如右圖，AC部署在防火墻與交換機之間，實現(xiàn)對內網(wǎng)用戶的上網(wǎng)控制。配置思路：1、選擇部署模式并配置接口地址。2、配置用戶上網(wǎng)策略此處略，詳見培訓PPT ?組織結構與上網(wǎng)策略管理?典型部署模式與配置 網(wǎng)橋模式配置步驟配置完成，點擊提交典型部署模式與配置本卷須知：網(wǎng)橋模式部署時，需要考慮AC所串接的防火墻和交換機之間的網(wǎng)段是否存在空閑的主機IP地址，如果有那么分配一個該網(wǎng)段的IP地址給AC作為網(wǎng)橋的IP地址，如果沒有，那么使用管理口管理設備：1、AC的網(wǎng)橋IP可配置一個不屬于內網(wǎng)任意網(wǎng)段的IP地址，默認網(wǎng)關設置成；2、同時將管理口DMZ口接到交換機上并配置管理口地址；3、最后設置缺省路

9、由，下一跳指向交換機的接口地址。配置完畢后，設備上網(wǎng)或者管理員管理設備均通過管理口實現(xiàn)。典型部署模式與配置 網(wǎng)橋模式_配置管理口與DMZ口直連的交換機接口IP典型部署模式與配置 旁路模式_部署指導1、旁路模式是所有部署模式中最簡單的一種，但也是功能實現(xiàn)較弱的一種部署方式。當客戶的需求只是上網(wǎng)審計和基于TCP的應用過濾時，可以考慮此種部署方式，常見于高校、大型國有企業(yè)專門用于AC作審計；2、旁路部署時一般設備是接在核心交換機上，核心交換機通過將鏡像功能將需要審計的流量鏡像過來；3、旁路模式部署時采用管理口DMZ配置的IP地址進行管理，其它所有接口均可作為監(jiān)聽口，可使用一個口或者是多個口同時作為監(jiān)

10、聽口，監(jiān)聽口無需任何配置。典型部署模式與配置 旁路模式部署配置思路1、旁路模式部署時將AC的監(jiān)聽口接在交換機的鏡像口上，交換機需要將上下行流量鏡像到AC。2、旁路模式部署時必須配置管理口IP地址進行管理，監(jiān)聽口可以接除管理口外的任意網(wǎng)口，可以同時接多個監(jiān)聽口。3、需要確認所有要進行審計的內網(wǎng)網(wǎng)段即監(jiān)控網(wǎng)段；需要確認內網(wǎng)是否有效勞器提供訪問時也要進行記錄。4、管理口不僅用于管理，還可用于與外置數(shù)據(jù)中心同步、作TCP控制時發(fā)reset包使用，所以管理口的地址最好不要隨意配置。典型部署模式與配置旁路模式-應用舉例需求：用戶網(wǎng)絡環(huán)境如右圖，AC以旁路模式部署在三層交換機上，用來審計這個網(wǎng)段的用戶上網(wǎng)形

11、為。配置思路：1、選擇部署模式2、配置管理口DMZ地址3、配置監(jiān)聽網(wǎng)段。典型部署模式與配置 旁路模式配置步驟假設設備需要跟外網(wǎng)通訊，需配置好網(wǎng)關和DNS填寫需要審計的內網(wǎng)網(wǎng)段配置完成點擊提交練練手情景1客戶原有網(wǎng)絡如右圖，在出口位置部署了一臺防火墻，下接三層交換機，現(xiàn)在購置了一臺AC，客戶需要實現(xiàn)流控、審計、網(wǎng)頁過濾等功能，請問根據(jù)這樣的需求，在對原有的環(huán)境改動最小的情況 下AC應該如何部署？請根據(jù)左邊拓撲圖手動配置一下，完成設備部署。練練手情景2客戶原有網(wǎng)絡拓撲如右圖所示，由于某方面的原因，客戶想購置一臺AC替換掉原有防火墻，請根據(jù)圖示拓撲信息動手配置一下，完成設備部署。練練手情景3某大型集團公司網(wǎng)絡拓撲如右圖所示，客戶主要需求是對內網(wǎng)上網(wǎng)行為進行審計和內網(wǎng)用戶上網(wǎng)時的URL過濾，并且要求對WEB SERVER的訪問進行記錄，請根據(jù)客戶的實際網(wǎng)絡討論以哪種部署方式最適合該客戶，并動手完成配置部署。練練手情景4某用戶原有網(wǎng)絡拓撲如右圖所示，現(xiàn)購置一臺AC設備，