SANGFOR 2013年度渠道初級(jí)認(rèn)證培訓(xùn) 設(shè)備部署_第1頁
SANGFOR 2013年度渠道初級(jí)認(rèn)證培訓(xùn) 設(shè)備部署_第2頁
SANGFOR 2013年度渠道初級(jí)認(rèn)證培訓(xùn) 設(shè)備部署_第3頁
SANGFOR 2013年度渠道初級(jí)認(rèn)證培訓(xùn) 設(shè)備部署_第4頁
SANGFOR 2013年度渠道初級(jí)認(rèn)證培訓(xùn) 設(shè)備部署_第5頁
已閱讀5頁,還剩28頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、SANGFOR AC設(shè)備部署,AC/SG部署模式介紹,SANGFOR AC部署模式介紹,部署模式_簡介 部署模式是指設(shè)備以什么樣的工作模式部署到客戶網(wǎng)絡(luò)中去,不同的部署模式對客戶原有網(wǎng)絡(luò)的影響各有不同;設(shè)備在不同模式下支持的功能也各不一樣,設(shè)備以何種方式部署需要綜合用戶具體的網(wǎng)絡(luò)環(huán)境和功能需求而定。 根據(jù)工作方式的不同,AC設(shè)備支持路由、網(wǎng)橋、旁路三種部署模式。,SANGFOR AC部署模式介紹,路由模式_簡介 設(shè)備以路由模式部署時(shí),AC的工作方式與路由器相當(dāng),具備基本的路由轉(zhuǎn)發(fā)及NAT功能。一般在客戶還沒有相應(yīng)的網(wǎng)關(guān)設(shè)備,需要將AC做網(wǎng)關(guān)使用時(shí),建議以路由模式部署。 路由模式下支持AC所有的

2、功能。 如果需要使用NAT、VPN、DHCP等功能時(shí),AC必須以路由模式部署,其它工作模式不支持實(shí)現(xiàn)這些功能。,SANGFOR AC部署模式介紹,路由模式部署環(huán)境(舉例):,SANGFOR AC部署模式介紹,網(wǎng)橋模式_簡介 設(shè)備以網(wǎng)橋模式部署時(shí)對客戶原有的網(wǎng)絡(luò)基本沒有改動(dòng)。網(wǎng)橋模式部署AC時(shí),對客戶來說AC就是個(gè)透明的設(shè)備,如果因?yàn)锳C自身的原因而導(dǎo)致網(wǎng)絡(luò)中斷時(shí)可以開啟硬件bypass功能,即可恢復(fù)網(wǎng)絡(luò)通信。 網(wǎng)橋模式部署時(shí)AC不支持NAT(代理上網(wǎng)和端口映射)、VPN、DHCP功能,除此之外AC的其它功能如URL過濾、流控等均可實(shí)現(xiàn)。 網(wǎng)橋模式部署時(shí)AC支持硬件bypass功能(其它模式部署

3、均沒有硬件bypass)。,SANGFOR AC部署模式介紹,網(wǎng)橋模式_2種類型 1、網(wǎng)橋多網(wǎng)口:網(wǎng)橋多網(wǎng)口是指設(shè)備只做一個(gè)網(wǎng)橋,但內(nèi)外網(wǎng)口不是一一對應(yīng)的,可能內(nèi)網(wǎng)口需要接多個(gè)網(wǎng)口,也可能外網(wǎng)口需要接多個(gè)網(wǎng)口,各個(gè)網(wǎng)口之間的數(shù)據(jù)都可以設(shè)置轉(zhuǎn)發(fā),設(shè)備的ARP表只維持一份。 2、多網(wǎng)橋:多網(wǎng)橋是指一臺(tái)設(shè)備可以做多個(gè)網(wǎng)橋,相當(dāng)于多個(gè)交換機(jī),和網(wǎng)橋多網(wǎng)口的區(qū)別是:內(nèi)外網(wǎng)口是一一對應(yīng)的;網(wǎng)口屬于同一個(gè)網(wǎng)橋才能進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā),不同網(wǎng)橋接口之間的數(shù)據(jù)不能轉(zhuǎn)發(fā)。,SANGFOR AC部署模式介紹,網(wǎng)橋模式部署環(huán)境-網(wǎng)橋多網(wǎng)口(舉例):,SANGFOR AC部署模式介紹,網(wǎng)橋模式部署環(huán)境-多網(wǎng)橋(舉例):,SAN

4、GFOR AC部署模式介紹,旁路模式_簡介 旁路模式主要用于實(shí)現(xiàn)監(jiān)控功能,完全不需要改變用戶的網(wǎng)絡(luò)環(huán)境,通過把設(shè)備的監(jiān)聽口接在交換機(jī)的鏡像口或者接在HUB上,實(shí)現(xiàn)對上網(wǎng)數(shù)據(jù)的監(jiān)控。這種模式對用戶的網(wǎng)絡(luò)環(huán)境完全沒有影響,即使宕機(jī)也不會(huì)對用戶的網(wǎng)絡(luò)造成中斷。 旁路模式是AC三種工作模式中最簡單但也是功能最弱的一種部署方式,該模式下AC只用于上網(wǎng)行為的審計(jì)和基于TCP應(yīng)用的控制,對基于UDP協(xié)議的應(yīng)用無法控制。不支持流量管理、準(zhǔn)入系統(tǒng)、NAT、 VPN、 DHCP等功能。(AC4.0版本開始旁路模式下支持準(zhǔn)入,需要將內(nèi)網(wǎng)到1.2.3.4的流量鏡像給設(shè)備),SANGFOR AC部署模式介紹,旁路模式部

5、署環(huán)境(舉例):,典型部署模式與配置,路由 模式,旁路模式,網(wǎng)橋模式,典型部署模式與配置,典型部署模式與配置,路由模式_部署指導(dǎo) 首選需要了解用戶的實(shí)際需求,以下幾種情況 必須使用路由模式部署: 1、用戶必須要用到AC的VPN、NAT(代理上網(wǎng)和端口映射)、DHCP這幾個(gè)功能。 2、用戶在新規(guī)劃建設(shè)的網(wǎng)絡(luò)中來部署AC,想把AC當(dāng)作一臺(tái)網(wǎng)關(guān)設(shè)備部署在網(wǎng)絡(luò)出口處。 3、用戶網(wǎng)絡(luò)中已有防火墻或者路由器了,但出于某方面的原因想用AC替換掉原有的防火墻或者路由器并代理內(nèi)網(wǎng)用戶上網(wǎng)。,典型部署模式與配置,路由模式_基本配置思路 1、網(wǎng)口配置:確定設(shè)備外網(wǎng)口及地址信息,如果是固定IP,則填寫運(yùn)營商給的IP地

6、址及網(wǎng)關(guān);如果是ADSL拔號(hào)上網(wǎng),則填寫運(yùn)營商給的拔號(hào)賬號(hào)和密碼;確定內(nèi)網(wǎng)口的IP地址信息; 2、確定內(nèi)網(wǎng)是否為多網(wǎng)段網(wǎng)絡(luò)環(huán)境,如果是的話需要添加相應(yīng)的回包路由,將到內(nèi)網(wǎng)各網(wǎng)段的數(shù)據(jù)回指給設(shè)備下接的三層設(shè)備。 3、用戶是否需要通過AC設(shè)備上網(wǎng),如果是的話,需要設(shè)置代理上網(wǎng)規(guī)則,填寫需要代理上網(wǎng)的內(nèi)網(wǎng)網(wǎng)段。,典型部署模式與配置,需求:某用戶網(wǎng)絡(luò)環(huán)境如右圖,現(xiàn)將AC部署在網(wǎng)絡(luò)出口,實(shí)現(xiàn)AC代理內(nèi)網(wǎng)所有用戶上網(wǎng)。,路由模式_應(yīng)用舉例,配置思路: 1.選擇部署模式并配置內(nèi)/外網(wǎng)口 2.配置代理上網(wǎng),典型部署模式與配置,路由模式配置步驟,定義網(wǎng)絡(luò)接口,填寫需要代理上網(wǎng)的網(wǎng)段。此處配置也可以在【防火墻】下

7、的【NAT代理上網(wǎng)】中添加。,配置完成,點(diǎn)擊提交,典型部署模式與配置,網(wǎng)橋模式_部署指導(dǎo) 1、網(wǎng)橋模式部署相比路由模式對客戶的網(wǎng)絡(luò)影響較小,當(dāng)客戶確定不需要使用AC的VPN、NAT、DHCP功能,且內(nèi)網(wǎng)已有相應(yīng)的網(wǎng)關(guān)設(shè)備時(shí),建議使用網(wǎng)橋模式部署。 2、根據(jù)客戶的網(wǎng)絡(luò)結(jié)構(gòu)決定AC采用多網(wǎng)橋或網(wǎng)橋多網(wǎng)口的方式。 網(wǎng)橋多網(wǎng)口常見應(yīng)用場景: a.兩條線路分別接FW1和FW2,內(nèi)網(wǎng)接交換機(jī),設(shè)備在交換機(jī)和防火墻 之間, 網(wǎng)橋模式部署,單進(jìn)雙出做網(wǎng)橋多網(wǎng)口。 b.內(nèi)網(wǎng)核心交換機(jī)和路由器都做雙機(jī),加入兩臺(tái)設(shè)備,雙進(jìn)單出做網(wǎng)橋多網(wǎng)口。 多網(wǎng)橋常見應(yīng)用場景: a.設(shè)備一進(jìn)一出做單網(wǎng)橋 b.客戶內(nèi)網(wǎng)有VRRP或H

8、SRP環(huán)境,典型部署模式與配置,網(wǎng)橋模式-應(yīng)用舉例 需求:某用戶網(wǎng)絡(luò)環(huán)境如右圖,AC部署在防火墻與交換機(jī)之間,實(shí)現(xiàn)對內(nèi)網(wǎng)用戶的上網(wǎng)控制。 配置思路: 1、選擇部署模式并配置接口地址。 2、配置用戶上網(wǎng)策略(此處略,詳見培訓(xùn)PPT 組織結(jié)構(gòu)與上網(wǎng)策略管理),典型部署模式與配置,網(wǎng)橋模式配置步驟,配置完成,點(diǎn)擊提交,典型部署模式與配置,注意事項(xiàng): 網(wǎng)橋模式部署時(shí),需要考慮AC所串接的防火墻和交換機(jī)之間的網(wǎng)段是否存在空閑的主機(jī)IP地址,如果有則分配一個(gè)該網(wǎng)段的IP地址給AC作為網(wǎng)橋的IP地址,如果沒有,則使用管理口管理設(shè)備: 1、AC的網(wǎng)橋IP可配置一個(gè)不屬于內(nèi)網(wǎng)任意網(wǎng)段的IP地址,默認(rèn)網(wǎng)關(guān)設(shè)置成2

9、55.255.255.255; 2、同時(shí)將管理口(DMZ口)接到交換機(jī)上并配置管理口地址; 3、最后設(shè)置缺省路由,下一跳指向交換機(jī)的接口地址。 配置完畢后,設(shè)備上網(wǎng)或者管理員管理設(shè)備均通過管理口實(shí)現(xiàn)。,典型部署模式與配置,網(wǎng)橋模式_配置管理口,與DMZ口直連的交換機(jī)接口IP,典型部署模式與配置,旁路模式_部署指導(dǎo) 1、旁路模式是所有部署模式中最簡單的一種,但也是功能實(shí)現(xiàn)較弱的一種部署方式。當(dāng)客戶的需求只是上網(wǎng)審計(jì)和基于TCP的應(yīng)用過濾時(shí),可以考慮此種部署方式,常見于高校、大型國有企業(yè)專門用于AC作審計(jì); 2、旁路部署時(shí)一般設(shè)備是接在核心交換機(jī)上,核心交換機(jī)通過將鏡像功能將需要審計(jì)的流量鏡像過來

10、; 3、旁路模式部署時(shí)采用管理口(DMZ)配置的IP地址進(jìn)行管理,其它所有接口均可作為監(jiān)聽口,可使用一個(gè)口或者是多個(gè)口同時(shí)作為監(jiān)聽口,監(jiān)聽口無需任何配置。,典型部署模式與配置,旁路模式部署配置思路 1、旁路模式部署時(shí)將AC的監(jiān)聽口接在交換機(jī)的鏡像口上,交換機(jī)需要將上下行流量鏡像到AC。 2、旁路模式部署時(shí)必須配置管理口IP地址進(jìn)行管理,監(jiān)聽口可以接除管理口外的任意網(wǎng)口,可以同時(shí)接多個(gè)監(jiān)聽口。 3、需要確認(rèn)所有要進(jìn)行審計(jì)的內(nèi)網(wǎng)網(wǎng)段(即監(jiān)控網(wǎng)段);需要確認(rèn)內(nèi)網(wǎng)是否有服務(wù)器提供訪問時(shí)也要進(jìn)行記錄。 4、管理口不僅用于管理,還可用于與外置數(shù)據(jù)中心同步、作TCP控制時(shí)發(fā)reset包使用,所以管理口的地址

11、最好不要隨意配置。,典型部署模式與配置,旁路模式-應(yīng)用舉例 需求:用戶網(wǎng)絡(luò)環(huán)境如右圖,AC以旁路模式部署在三層交換機(jī)上,用來審計(jì)200.200.0.0/16這個(gè)網(wǎng)段的用戶上網(wǎng)形為。 配置思路: 1、選擇部署模式 2、配置管理口(DMZ)地址 3、配置監(jiān)聽網(wǎng)段。,典型部署模式與配置,旁路模式配置步驟,若設(shè)備需要跟外網(wǎng)通訊,需配置好網(wǎng)關(guān)和DNS,填寫需要審計(jì)的內(nèi)網(wǎng)網(wǎng)段,配置完成點(diǎn)擊提交,練練手,情景1 客戶原有網(wǎng)絡(luò)如右圖,在出口位置部署了一臺(tái)防火墻,下接三層交換機(jī),現(xiàn)在購買了一臺(tái)AC,客戶需要實(shí)現(xiàn)流控、審計(jì)、網(wǎng)頁過濾等功能,請問根據(jù)這樣的需求,在對原有的環(huán)境改動(dòng)最小的情況 下AC應(yīng)該如何部署? 請根據(jù)左邊拓?fù)鋱D手動(dòng)配置一下,完成設(shè)備部署。,練練手,情景2 客戶原有網(wǎng)絡(luò)拓?fù)淙缬覉D所示,由于某方面的原因,客戶想購買一臺(tái)AC替換掉原有防火墻,請根據(jù)圖示拓?fù)湫畔?dòng)手配置一下,完成設(shè)備部署。,練練手,情景3 某大型集團(tuán)公司網(wǎng)絡(luò)拓?fù)淙缬覉D所示,客戶主要需求是對內(nèi)網(wǎng)上網(wǎng)行為進(jìn)行審計(jì)和內(nèi)網(wǎng)用戶上網(wǎng)時(shí)的URL過濾,并且要求對WEB SERVER的訪問進(jìn)行記錄,請根據(jù)客戶的實(shí)際網(wǎng)絡(luò)討論以哪種部署方式最適合該客戶,并動(dòng)手完成配置部署。,練練手,情景4 某用戶原有網(wǎng)絡(luò)拓?fù)淙缬覉D所示,現(xiàn)購買一臺(tái)AC設(shè)備

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論