SANGFOR 2013年度渠道初級認證培訓 設(shè)備部署

1、SANGFOR AC設(shè)備部署,AC/SG部署模式介紹,SANGFOR AC部署模式介紹,部署模式_簡介 部署模式是指設(shè)備以什么樣的工作模式部署到客戶網(wǎng)絡(luò)中去，不同的部署模式對客戶原有網(wǎng)絡(luò)的影響各有不同；設(shè)備在不同模式下支持的功能也各不一樣，設(shè)備以何種方式部署需要綜合用戶具體的網(wǎng)絡(luò)環(huán)境和功能需求而定。 根據(jù)工作方式的不同，AC設(shè)備支持路由、網(wǎng)橋、旁路三種部署模式。,SANGFOR AC部署模式介紹,路由模式_簡介 設(shè)備以路由模式部署時，AC的工作方式與路由器相當，具備基本的路由轉(zhuǎn)發(fā)及NAT功能。一般在客戶還沒有相應的網(wǎng)關(guān)設(shè)備，需要將AC做網(wǎng)關(guān)使用時，建議以路由模式部署。 路由模式下支持AC所有的

2、功能。 如果需要使用NAT、VPN、DHCP等功能時，AC必須以路由模式部署，其它工作模式不支持實現(xiàn)這些功能。,SANGFOR AC部署模式介紹,路由模式部署環(huán)境（舉例）：,SANGFOR AC部署模式介紹,網(wǎng)橋模式_簡介 設(shè)備以網(wǎng)橋模式部署時對客戶原有的網(wǎng)絡(luò)基本沒有改動。網(wǎng)橋模式部署AC時，對客戶來說AC就是個透明的設(shè)備，如果因為AC自身的原因而導致網(wǎng)絡(luò)中斷時可以開啟硬件bypass功能，即可恢復網(wǎng)絡(luò)通信。 網(wǎng)橋模式部署時AC不支持NAT（代理上網(wǎng)和端口映射）、VPN、DHCP功能，除此之外AC的其它功能如URL過濾、流控等均可實現(xiàn)。 網(wǎng)橋模式部署時AC支持硬件bypass功能（其它模式部署

3、均沒有硬件bypass)。,SANGFOR AC部署模式介紹,網(wǎng)橋模式_2種類型 1、網(wǎng)橋多網(wǎng)口：網(wǎng)橋多網(wǎng)口是指設(shè)備只做一個網(wǎng)橋，但內(nèi)外網(wǎng)口不是一一對應的，可能內(nèi)網(wǎng)口需要接多個網(wǎng)口，也可能外網(wǎng)口需要接多個網(wǎng)口，各個網(wǎng)口之間的數(shù)據(jù)都可以設(shè)置轉(zhuǎn)發(fā)，設(shè)備的ARP表只維持一份。 2、多網(wǎng)橋：多網(wǎng)橋是指一臺設(shè)備可以做多個網(wǎng)橋，相當于多個交換機，和網(wǎng)橋多網(wǎng)口的區(qū)別是：內(nèi)外網(wǎng)口是一一對應的；網(wǎng)口屬于同一個網(wǎng)橋才能進行數(shù)據(jù)轉(zhuǎn)發(fā)，不同網(wǎng)橋接口之間的數(shù)據(jù)不能轉(zhuǎn)發(fā)。,SANGFOR AC部署模式介紹,網(wǎng)橋模式部署環(huán)境-網(wǎng)橋多網(wǎng)口（舉例）：,SANGFOR AC部署模式介紹,網(wǎng)橋模式部署環(huán)境-多網(wǎng)橋（舉例）：,SAN

4、GFOR AC部署模式介紹,旁路模式_簡介 旁路模式主要用于實現(xiàn)監(jiān)控功能，完全不需要改變用戶的網(wǎng)絡(luò)環(huán)境，通過把設(shè)備的監(jiān)聽口接在交換機的鏡像口或者接在HUB上，實現(xiàn)對上網(wǎng)數(shù)據(jù)的監(jiān)控。這種模式對用戶的網(wǎng)絡(luò)環(huán)境完全沒有影響，即使宕機也不會對用戶的網(wǎng)絡(luò)造成中斷。 旁路模式是AC三種工作模式中最簡單但也是功能最弱的一種部署方式，該模式下AC只用于上網(wǎng)行為的審計和基于TCP應用的控制，對基于UDP協(xié)議的應用無法控制。不支持流量管理、準入系統(tǒng)、NAT、 VPN、 DHCP等功能。(AC4.0版本開始旁路模式下支持準入，需要將內(nèi)網(wǎng)到1.2.3.4的流量鏡像給設(shè)備）,SANGFOR AC部署模式介紹,旁路模式部

5、署環(huán)境（舉例）：,典型部署模式與配置,路由 模式,旁路模式,網(wǎng)橋模式,典型部署模式與配置,典型部署模式與配置,路由模式_部署指導 首選需要了解用戶的實際需求，以下幾種情況 必須使用路由模式部署： 1、用戶必須要用到AC的VPN、NAT（代理上網(wǎng)和端口映射）、DHCP這幾個功能。 2、用戶在新規(guī)劃建設(shè)的網(wǎng)絡(luò)中來部署AC，想把AC當作一臺網(wǎng)關(guān)設(shè)備部署在網(wǎng)絡(luò)出口處。 3、用戶網(wǎng)絡(luò)中已有防火墻或者路由器了，但出于某方面的原因想用AC替換掉原有的防火墻或者路由器并代理內(nèi)網(wǎng)用戶上網(wǎng)。,典型部署模式與配置,路由模式_基本配置思路 1、網(wǎng)口配置：確定設(shè)備外網(wǎng)口及地址信息，如果是固定IP，則填寫運營商給的IP地

6、址及網(wǎng)關(guān)；如果是ADSL拔號上網(wǎng)，則填寫運營商給的拔號賬號和密碼；確定內(nèi)網(wǎng)口的IP地址信息； 2、確定內(nèi)網(wǎng)是否為多網(wǎng)段網(wǎng)絡(luò)環(huán)境，如果是的話需要添加相應的回包路由，將到內(nèi)網(wǎng)各網(wǎng)段的數(shù)據(jù)回指給設(shè)備下接的三層設(shè)備。 3、用戶是否需要通過AC設(shè)備上網(wǎng)，如果是的話，需要設(shè)置代理上網(wǎng)規(guī)則，填寫需要代理上網(wǎng)的內(nèi)網(wǎng)網(wǎng)段。,典型部署模式與配置,需求：某用戶網(wǎng)絡(luò)環(huán)境如右圖，現(xiàn)將AC部署在網(wǎng)絡(luò)出口，實現(xiàn)AC代理內(nèi)網(wǎng)所有用戶上網(wǎng)。,路由模式_應用舉例,配置思路： 1.選擇部署模式并配置內(nèi)/外網(wǎng)口 2.配置代理上網(wǎng),典型部署模式與配置,路由模式配置步驟,定義網(wǎng)絡(luò)接口,填寫需要代理上網(wǎng)的網(wǎng)段。此處配置也可以在【防火墻】下

7、的【NAT代理上網(wǎng)】中添加。,配置完成，點擊提交,典型部署模式與配置,網(wǎng)橋模式_部署指導 1、網(wǎng)橋模式部署相比路由模式對客戶的網(wǎng)絡(luò)影響較小，當客戶確定不需要使用AC的VPN、NAT、DHCP功能，且內(nèi)網(wǎng)已有相應的網(wǎng)關(guān)設(shè)備時，建議使用網(wǎng)橋模式部署。 2、根據(jù)客戶的網(wǎng)絡(luò)結(jié)構(gòu)決定AC采用多網(wǎng)橋或網(wǎng)橋多網(wǎng)口的方式。 網(wǎng)橋多網(wǎng)口常見應用場景： a.兩條線路分別接FW1和FW2，內(nèi)網(wǎng)接交換機，設(shè)備在交換機和防火墻 之間， 網(wǎng)橋模式部署，單進雙出做網(wǎng)橋多網(wǎng)口。 b.內(nèi)網(wǎng)核心交換機和路由器都做雙機，加入兩臺設(shè)備，雙進單出做網(wǎng)橋多網(wǎng)口。 多網(wǎng)橋常見應用場景: a.設(shè)備一進一出做單網(wǎng)橋 b.客戶內(nèi)網(wǎng)有VRRP或H

8、SRP環(huán)境,典型部署模式與配置,網(wǎng)橋模式-應用舉例 需求：某用戶網(wǎng)絡(luò)環(huán)境如右圖，AC部署在防火墻與交換機之間，實現(xiàn)對內(nèi)網(wǎng)用戶的上網(wǎng)控制。 配置思路： 1、選擇部署模式并配置接口地址。 2、配置用戶上網(wǎng)策略（此處略，詳見培訓PPT 組織結(jié)構(gòu)與上網(wǎng)策略管理）,典型部署模式與配置,網(wǎng)橋模式配置步驟,配置完成，點擊提交,典型部署模式與配置,注意事項： 網(wǎng)橋模式部署時，需要考慮AC所串接的防火墻和交換機之間的網(wǎng)段是否存在空閑的主機IP地址，如果有則分配一個該網(wǎng)段的IP地址給AC作為網(wǎng)橋的IP地址，如果沒有，則使用管理口管理設(shè)備： 1、AC的網(wǎng)橋IP可配置一個不屬于內(nèi)網(wǎng)任意網(wǎng)段的IP地址，默認網(wǎng)關(guān)設(shè)置成2

9、55.255.255.255； 2、同時將管理口（DMZ口）接到交換機上并配置管理口地址； 3、最后設(shè)置缺省路由，下一跳指向交換機的接口地址。 配置完畢后，設(shè)備上網(wǎng)或者管理員管理設(shè)備均通過管理口實現(xiàn)。,典型部署模式與配置,網(wǎng)橋模式_配置管理口,與DMZ口直連的交換機接口IP,典型部署模式與配置,旁路模式_部署指導 1、旁路模式是所有部署模式中最簡單的一種，但也是功能實現(xiàn)較弱的一種部署方式。當客戶的需求只是上網(wǎng)審計和基于TCP的應用過濾時，可以考慮此種部署方式，常見于高校、大型國有企業(yè)專門用于AC作審計； 2、旁路部署時一般設(shè)備是接在核心交換機上，核心交換機通過將鏡像功能將需要審計的流量鏡像過來

10、； 3、旁路模式部署時采用管理口（DMZ）配置的IP地址進行管理，其它所有接口均可作為監(jiān)聽口，可使用一個口或者是多個口同時作為監(jiān)聽口，監(jiān)聽口無需任何配置。,典型部署模式與配置,旁路模式部署配置思路 1、旁路模式部署時將AC的監(jiān)聽口接在交換機的鏡像口上，交換機需要將上下行流量鏡像到AC。 2、旁路模式部署時必須配置管理口IP地址進行管理，監(jiān)聽口可以接除管理口外的任意網(wǎng)口，可以同時接多個監(jiān)聽口。 3、需要確認所有要進行審計的內(nèi)網(wǎng)網(wǎng)段（即監(jiān)控網(wǎng)段）；需要確認內(nèi)網(wǎng)是否有服務(wù)器提供訪問時也要進行記錄。 4、管理口不僅用于管理，還可用于與外置數(shù)據(jù)中心同步、作TCP控制時發(fā)reset包使用，所以管理口的地址

11、最好不要隨意配置。,典型部署模式與配置,旁路模式-應用舉例 需求：用戶網(wǎng)絡(luò)環(huán)境如右圖，AC以旁路模式部署在三層交換機上，用來審計200.200.0.0/16這個網(wǎng)段的用戶上網(wǎng)形為。 配置思路： 1、選擇部署模式 2、配置管理口（DMZ）地址 3、配置監(jiān)聽網(wǎng)段。,典型部署模式與配置,旁路模式配置步驟,若設(shè)備需要跟外網(wǎng)通訊，需配置好網(wǎng)關(guān)和DNS,填寫需要審計的內(nèi)網(wǎng)網(wǎng)段,配置完成點擊提交,練練手,情景1 客戶原有網(wǎng)絡(luò)如右圖，在出口位置部署了一臺防火墻，下接三層交換機，現(xiàn)在購買了一臺AC，客戶需要實現(xiàn)流控、審計、網(wǎng)頁過濾等功能，請問根據(jù)這樣的需求，在對原有的環(huán)境改動最小的情況 下AC應該如何部署？ 請根據(jù)左邊拓撲圖手動配置一下，完成設(shè)備部署。,練練手,情景2 客戶原有網(wǎng)絡(luò)拓撲如右圖所示，由于某方面的原因，客戶想購買一臺AC替換掉原有防火墻，請根據(jù)圖示拓撲信息動手配置一下，完成設(shè)備部署。,練練手,情景3 某大型集團公司網(wǎng)絡(luò)拓撲如右圖所示，客戶主要需求是對內(nèi)網(wǎng)上網(wǎng)行為進行審計和內(nèi)網(wǎng)用戶上網(wǎng)時的URL過濾，并且要求對WEB SERVER的訪問進行記錄，請根據(jù)客戶的實際網(wǎng)絡(luò)討論以哪種部署方式最適合該客戶，并動手完成配置部署。,練練手,情景4 某用戶原有網(wǎng)絡(luò)拓撲如右圖所示，現(xiàn)購買一臺AC設(shè)備