SANGFOR-NGAF-v7.1-2017年度渠道初級(jí)認(rèn)證培訓(xùn)02-基本網(wǎng)絡(luò)配置介紹

Jan,2017SANGFORNGAF根本網(wǎng)絡(luò)配置介紹123SANGFORNGAF接口和區(qū)域設(shè)置SANGFORNGAF靜態(tài)路由和策略路由SANGFORNGAF策略路由應(yīng)用案例Contents1.1物理接口1.2子接口1.3VLAN接口1.4區(qū)域NGAF接口和區(qū)域設(shè)置1.1物理接口物理接口與NGAF設(shè)備面板上的接口一一對(duì)應(yīng)〔eth0為manage口〕，根據(jù)網(wǎng)口數(shù)據(jù)轉(zhuǎn)發(fā)特性的不同，可選擇路由、透明、虛擬網(wǎng)線和旁路鏡像4種類型，前三種接口又可設(shè)置WAN或非WAN屬性。物理接口無(wú)法刪除或新增，物理接口的數(shù)目由硬件型號(hào)決定。1.1.1路由接口路由接口：如果設(shè)置為路由接口，那么需要給該接口配置IP地址，且該接口具有路由轉(zhuǎn)發(fā)功能。部分功能要求出接口是WAN屬性，比如流控、VPN、策略路由等。設(shè)置接口的下一跳網(wǎng)關(guān)，用于鏈路故障檢測(cè)，并不會(huì)自動(dòng)生成0.0.0.0的缺省路由，需手動(dòng)添加缺省路由。接口的線路帶寬設(shè)置與流量管理無(wú)關(guān)，用于策略路由根據(jù)接口帶寬占用比例選路。實(shí)時(shí)檢測(cè)接口的鏈路狀態(tài)，以及多條外網(wǎng)線路情況下，某條線路故障，流量自動(dòng)切換到其它線路，均需開啟鏈路故障檢測(cè)。WAN屬性的接口必須開啟鏈路故障檢測(cè)功能。1.1.1路由接口ADSL撥號(hào)：如果設(shè)置為路由接口，并且是ADSL撥號(hào)，需要選上添加默認(rèn)路由選項(xiàng)，默認(rèn)勾選。1.1.1路由接口管理口：Eth0為固定的管理口，接口類型為路由口，且無(wú)法修改。Eth0可增加管理IP地址，默認(rèn)的管理無(wú)法刪除。1.1.2透明接口透明接口：透明接口相當(dāng)于普通的交換網(wǎng)口，不需要配置IP地址，不支持路由轉(zhuǎn)發(fā)，根據(jù)MAC地址表轉(zhuǎn)發(fā)數(shù)據(jù)。部分功能要求接口是WAN屬性，當(dāng)接口設(shè)置成透明WAN口時(shí)，注意設(shè)備上架時(shí)接線方向，內(nèi)外網(wǎng)口接反會(huì)導(dǎo)致部分功能失效。1.1.3虛擬網(wǎng)線接口在負(fù)載均衡網(wǎng)絡(luò)中，透明部署NGAF設(shè)備，要求eth1和eth3這對(duì)網(wǎng)口，與eth2和eth4這對(duì)網(wǎng)口二層隔離，即從eth1口進(jìn)入的數(shù)據(jù)必須從eth3口轉(zhuǎn)發(fā)，eth2口進(jìn)入的數(shù)據(jù)必須從eth4口轉(zhuǎn)發(fā)。我們通過(guò)配置虛擬網(wǎng)線接口來(lái)滿足部署的需求。1.1.3虛擬網(wǎng)線接口虛擬網(wǎng)線接口：虛擬網(wǎng)線接口也是普通的交換接口，不需要配置IP地址，不支持路由轉(zhuǎn)發(fā)，轉(zhuǎn)發(fā)數(shù)據(jù)時(shí)，無(wú)需檢查MAC表，直接從虛擬網(wǎng)線配對(duì)的接口轉(zhuǎn)發(fā)。虛擬網(wǎng)線接口的轉(zhuǎn)發(fā)性能高于透明接口，單進(jìn)單出網(wǎng)橋的環(huán)境下，推薦使用虛擬網(wǎng)線接口部署。1.1.4聚合接口聚合接口：將多個(gè)以太網(wǎng)接口捆綁在一起所形成的邏輯接口，創(chuàng)立的聚合接口成為一個(gè)邏輯接口，而不是底層的物理接口。最多支持4個(gè)聚合接口不支持旁路鏡像負(fù)載均衡--hash:按數(shù)據(jù)包源目的IP/MAC的hash值均分負(fù)載均衡--RR:直接按數(shù)據(jù)包輪轉(zhuǎn)均分到每個(gè)接口主備模式--取eth最大號(hào)為主接口收發(fā)包，其余為備接口1.2子接口子接口：子接口應(yīng)用于路由接口需要啟用VLAN或TRUNK的場(chǎng)景。選擇在哪個(gè)路由口下添加子接口。設(shè)置此子接口的VLANID設(shè)置子接口的IP地址子接口是邏輯接口，只能在路由口下添加子接口。子接口的下一跳網(wǎng)關(guān)和鏈路故障檢測(cè)根據(jù)實(shí)際環(huán)境進(jìn)行配置。1.3VLAN接口VLAN接口：為VLAN定義IP地址，那么會(huì)產(chǎn)生VLAN接口。VLAN接口也是邏輯接口。填寫對(duì)應(yīng)的VLANID。設(shè)置對(duì)應(yīng)VLAN網(wǎng)段的IP地址VLAN接口的下一跳網(wǎng)關(guān)和鏈路故障檢測(cè)根據(jù)實(shí)際環(huán)境進(jìn)行配置。接口設(shè)置本卷須知2.管理口不支持設(shè)置成透明接口或虛擬網(wǎng)線接口，如果要設(shè)置2對(duì)或2對(duì)以上的虛擬網(wǎng)線接口，那么必須要求設(shè)備不少于5個(gè)物理接口，預(yù)留一個(gè)專門的管理口Eth0。1.設(shè)備支持配置多個(gè)WAN屬性的路由接口連接多條外網(wǎng)線路，但是需要開通多條線路的授權(quán)。3.一個(gè)路由接口下可添加多個(gè)子接口，路由接口的IP地址不能與子接口的IP地址在同網(wǎng)段。1.4區(qū)域區(qū)域：用于定義和歸類接口，以供防火墻、內(nèi)容平安、效勞器保護(hù)等模塊調(diào)用。只能選擇所有的透明接口只能選擇所有的三層接口只能選擇所有的虛擬網(wǎng)線接口定義區(qū)域時(shí)，需根據(jù)控制的需求來(lái)規(guī)劃，可以將一個(gè)接口劃分到一個(gè)區(qū)域，或?qū)讉€(gè)相同需求的接口劃分到同一個(gè)區(qū)域。一個(gè)接口只能屬于一個(gè)區(qū)域。可以在區(qū)域中選擇接口；也可以預(yù)先設(shè)置好區(qū)域名稱，在接口中選擇區(qū)域。2.1靜態(tài)路由2.2策略路由2.3策略路由應(yīng)用案例NGAF靜態(tài)路由和策略路由功能2.1靜態(tài)路由NGAF的靜態(tài)路由用于手動(dòng)添加路由條目，可新增單個(gè)靜態(tài)路由或新增多個(gè)靜態(tài)路由。當(dāng)接口設(shè)置為“自動(dòng)選擇”時(shí)，設(shè)備將根據(jù)下一跳IP地址自動(dòng)匹配路由出接口。當(dāng)AF設(shè)備有多個(gè)路由接口不支持配置同網(wǎng)段的IP地址。按照例如格式填寫，一行對(duì)應(yīng)一條靜態(tài)路由，接口和度量值可省略。2.2策略路由NGAF的策略路由功能主要用于設(shè)備有多個(gè)接口和多條外網(wǎng)線路時(shí)，根據(jù)源/目的IP、源/目的端口、協(xié)議以及應(yīng)用等條件進(jìn)行出接口和線路選擇，以實(shí)現(xiàn)不同的數(shù)據(jù)走不同的外網(wǎng)線路的自動(dòng)選路功能。策略路由常用的應(yīng)用場(chǎng)景：1.源地址策略路由：根據(jù)源IP地址和協(xié)議選擇接口或下一跳，實(shí)現(xiàn)用戶訪問(wèn)數(shù)據(jù)的分流?？蓪?shí)現(xiàn)不同網(wǎng)段的內(nèi)網(wǎng)用戶，分別通過(guò)不同的線路接口訪問(wèn)公網(wǎng)。2.多線路負(fù)載路由：設(shè)備上有多條外網(wǎng)線路，通過(guò)策略路由的輪詢，帶寬比例，加權(quán)最小流量，優(yōu)先使用前面的線路的接口策略，動(dòng)態(tài)的選擇線路，實(shí)現(xiàn)線路帶寬的有效利用、備份和負(fù)載均衡。2.2策略路由源地址策略路由：根據(jù)源IP地址和協(xié)議選擇接口或下一跳可直接填寫下一跳，設(shè)備將自動(dòng)匹配出接口（不限于接口LAN/WAN屬性）。基于應(yīng)用選擇2.2策略路由多線路負(fù)載路由：選擇路由口可選擇輪詢、帶寬比例、加權(quán)最小流量、優(yōu)先使用前面線路四種策略。2.2策略路由 特別強(qiáng)調(diào)：源地址策略路由和多線路負(fù)載路由都要設(shè)置鏈路故障檢測(cè)，否那么鏈路故障時(shí)無(wú)法實(shí)現(xiàn)鏈路切換，源地址策略路由是單獨(dú)設(shè)置，而多線路負(fù)載路由是調(diào)用接口的鏈路檢測(cè)源地址策略路由設(shè)置鏈路檢測(cè)2.3策略路由應(yīng)用案例用戶環(huán)境：某用戶網(wǎng)絡(luò)環(huán)境如下圖，公網(wǎng)出口有一條電信線路，內(nèi)網(wǎng)用戶訪問(wèn)教育網(wǎng)資源必須通過(guò)專線才能訪問(wèn)到。用戶需求：內(nèi)網(wǎng)所有用戶訪問(wèn)網(wǎng)上銀行TCP443端口的數(shù)據(jù)全部走10M電信線路。內(nèi)網(wǎng)所有P2P應(yīng)用走10M電信線路。3.內(nèi)網(wǎng)用戶訪問(wèn)公網(wǎng)時(shí)按照帶寬比例自動(dòng)選擇線路。4.訪問(wèn)教育網(wǎng)的所有資源均走專線。2.3策略路由應(yīng)用案例配置思路：1.接口和區(qū)域設(shè)置：1.1連接公網(wǎng)電信線路的兩個(gè)接口eth0和eth2正確配置下一跳網(wǎng)關(guān)，線路帶寬，開啟鏈路故障檢測(cè)。〔配置省略〕1.2定義“內(nèi)網(wǎng)區(qū)域”，將eth3接口劃分到“內(nèi)網(wǎng)區(qū)域”?！才渲檬÷浴巢呗月酚稍O(shè)置：2.1添加源地址策略路由，來(lái)自于“內(nèi)網(wǎng)區(qū)域”，目標(biāo)ISP為教育網(wǎng)，目標(biāo)端口為TCP443的數(shù)據(jù)，填寫下一跳地址為192.168.1.2。2.2添加源地址策略路由，來(lái)自于“內(nèi)網(wǎng)區(qū)域”，目標(biāo)IP選擇全部，目標(biāo)端口為TCP443的數(shù)據(jù)，選擇接口eth2。2.3添加源地址策略路由，來(lái)自于“內(nèi)網(wǎng)區(qū)域”，目標(biāo)ISP為教育網(wǎng)，填寫下一跳地址為。2.4添加源地址策略路由，來(lái)自于“內(nèi)網(wǎng)區(qū)域”，屬于P2P應(yīng)用的選擇接口eth2。2.5添加多線路負(fù)載路由，來(lái)自于“內(nèi)網(wǎng)區(qū)域”，目標(biāo)IP選擇全部，選擇接口eth1和eth2，接口選擇策略為帶寬比例。2.3策略路由應(yīng)用案例靜態(tài)路由設(shè)置3.1添加靜態(tài)路由〔默認(rèn)路由〕,下一跳指向eth2接口的網(wǎng)關(guān)。添加此默認(rèn)路由是為了確保策略路由失效的情況下，內(nèi)網(wǎng)用戶還可以通過(guò)默認(rèn)的靜態(tài)路由訪問(wèn)公網(wǎng)。2.3策略路由應(yīng)用案例策略路由配置步驟：添加源地址策略路由2.3策略路由應(yīng)用案例策略路由配置步驟：添加源地址策略路由2.3策略路由應(yīng)用案例策略路由配置步驟：添加源地址策略路由2.3策略路由應(yīng)用案例策略路由配置步驟：添加源地址策略路由2.3策略路由應(yīng)用案例策略路由配置步驟：需要配置源地址策略路由中的鏈路故障檢測(cè)2.3策略路由應(yīng)用案例策略路由配置步驟：添加多線路負(fù)載路由鏈路檢測(cè)一定要配置2.3策略路由應(yīng)用案例靜態(tài)路由配置：靜態(tài)路由和策略路由功能

本卷須知路由優(yōu)先級(jí)：VPN路由>靜態(tài)路由>策略路由>默認(rèn)路由。每一條外網(wǎng)線路必須有一條策略路由與之對(duì)應(yīng)，源地址策略路由或多線路負(fù)載路由均可。源地址策略路由選擇接口時(shí)，只能選擇WAN屬性的路由接口。源地址策略路由，通過(guò)直接填寫路由的下一跳，可以實(shí)現(xiàn)從設(shè)備非WAN屬性的接口轉(zhuǎn)發(fā)數(shù)據(jù)。多線路負(fù)載路由選擇的接口，必須是WAN屬性的路由接口，必須開啟鏈路故障檢測(cè)功能，才能實(shí)現(xiàn)線路故障自動(dòng)切換。多條策略路由，按照從上往下的順序匹配，一旦匹配到某條策略路由后，不再往下匹配。練練手某客戶原來(lái)的網(wǎng)絡(luò)拓?fù)淙缬覉D所示，公網(wǎng)出口為電信和網(wǎng)通雙線路?，F(xiàn)需要部署SANGFORNGAF設(shè)備用來(lái)保護(hù)效勞器和內(nèi)網(wǎng)用戶上網(wǎng)的平安，此外還需要實(shí)現(xiàn)內(nèi)網(wǎng)用戶上網(wǎng)，訪問(wèn)電信效勞器走電信線路，訪問(wèn)網(wǎng)通效勞器走網(wǎng)通線路，如果任意線路故障，能實(shí)現(xiàn)自動(dòng)切換。如何部署和配置來(lái)實(shí)現(xiàn)客戶的需求？問(wèn)題思考透明接口與虛擬網(wǎng)線接口有何共同點(diǎn)？這兩種接口在哪些