SANGFOR 2013年度渠道初級(jí)認(rèn)證培訓(xùn) 設(shè)備部署

1、SANGFOR AC設(shè)備部署,AC/SG部署模式介紹,SANGFOR AC部署模式介紹,部署模式_簡介 部署模式是指設(shè)備以什么樣的工作模式部署到客戶網(wǎng)絡(luò)中去，不同的部署模式對客戶原有網(wǎng)絡(luò)的影響各有不同；設(shè)備在不同模式下支持的功能也各不一樣，設(shè)備以何種方式部署需要綜合用戶具體的網(wǎng)絡(luò)環(huán)境和功能需求而定。 根據(jù)工作方式的不同，AC設(shè)備支持路由、網(wǎng)橋、旁路三種部署模式。,SANGFOR AC部署模式介紹,路由模式_簡介 設(shè)備以路由模式部署時(shí)，AC的工作方式與路由器相當(dāng)，具備基本的路由轉(zhuǎn)發(fā)及NAT功能。一般在客戶還沒有相應(yīng)的網(wǎng)關(guān)設(shè)備，需要將AC做網(wǎng)關(guān)使用時(shí)，建議以路由模式部署。 路由模式下支持AC所有的

2、功能。 如果需要使用NAT、VPN、DHCP等功能時(shí)，AC必須以路由模式部署，其它工作模式不支持實(shí)現(xiàn)這些功能。,SANGFOR AC部署模式介紹,路由模式部署環(huán)境（舉例）：,SANGFOR AC部署模式介紹,網(wǎng)橋模式_簡介 設(shè)備以網(wǎng)橋模式部署時(shí)對客戶原有的網(wǎng)絡(luò)基本沒有改動(dòng)。網(wǎng)橋模式部署AC時(shí)，對客戶來說AC就是個(gè)透明的設(shè)備，如果因?yàn)锳C自身的原因而導(dǎo)致網(wǎng)絡(luò)中斷時(shí)可以開啟硬件bypass功能，即可恢復(fù)網(wǎng)絡(luò)通信。 網(wǎng)橋模式部署時(shí)AC不支持NAT（代理上網(wǎng)和端口映射）、VPN、DHCP功能，除此之外AC的其它功能如URL過濾、流控等均可實(shí)現(xiàn)。 網(wǎng)橋模式部署時(shí)AC支持硬件bypass功能（其它模式部署

3、均沒有硬件bypass)。,SANGFOR AC部署模式介紹,網(wǎng)橋模式_2種類型 1、網(wǎng)橋多網(wǎng)口：網(wǎng)橋多網(wǎng)口是指設(shè)備只做一個(gè)網(wǎng)橋，但內(nèi)外網(wǎng)口不是一一對應(yīng)的，可能內(nèi)網(wǎng)口需要接多個(gè)網(wǎng)口，也可能外網(wǎng)口需要接多個(gè)網(wǎng)口，各個(gè)網(wǎng)口之間的數(shù)據(jù)都可以設(shè)置轉(zhuǎn)發(fā)，設(shè)備的ARP表只維持一份。 2、多網(wǎng)橋：多網(wǎng)橋是指一臺(tái)設(shè)備可以做多個(gè)網(wǎng)橋，相當(dāng)于多個(gè)交換機(jī)，和網(wǎng)橋多網(wǎng)口的區(qū)別是：內(nèi)外網(wǎng)口是一一對應(yīng)的；網(wǎng)口屬于同一個(gè)網(wǎng)橋才能進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)，不同網(wǎng)橋接口之間的數(shù)據(jù)不能轉(zhuǎn)發(fā)。,SANGFOR AC部署模式介紹,網(wǎng)橋模式部署環(huán)境-網(wǎng)橋多網(wǎng)口（舉例）：,SANGFOR AC部署模式介紹,網(wǎng)橋模式部署環(huán)境-多網(wǎng)橋（舉例）：,SAN

4、GFOR AC部署模式介紹,旁路模式_簡介 旁路模式主要用于實(shí)現(xiàn)監(jiān)控功能，完全不需要改變用戶的網(wǎng)絡(luò)環(huán)境，通過把設(shè)備的監(jiān)聽口接在交換機(jī)的鏡像口或者接在HUB上，實(shí)現(xiàn)對上網(wǎng)數(shù)據(jù)的監(jiān)控。這種模式對用戶的網(wǎng)絡(luò)環(huán)境完全沒有影響，即使宕機(jī)也不會(huì)對用戶的網(wǎng)絡(luò)造成中斷。 旁路模式是AC三種工作模式中最簡單但也是功能最弱的一種部署方式，該模式下AC只用于上網(wǎng)行為的審計(jì)和基于TCP應(yīng)用的控制，對基于UDP協(xié)議的應(yīng)用無法控制。不支持流量管理、準(zhǔn)入系統(tǒng)、NAT、 VPN、 DHCP等功能。(AC4.0版本開始旁路模式下支持準(zhǔn)入，需要將內(nèi)網(wǎng)到1.2.3.4的流量鏡像給設(shè)備）,SANGFOR AC部署模式介紹,旁路模式部

5、署環(huán)境（舉例）：,典型部署模式與配置,路由 模式,旁路模式,網(wǎng)橋模式,典型部署模式與配置,典型部署模式與配置,路由模式_部署指導(dǎo) 首選需要了解用戶的實(shí)際需求，以下幾種情況 必須使用路由模式部署： 1、用戶必須要用到AC的VPN、NAT（代理上網(wǎng)和端口映射）、DHCP這幾個(gè)功能。 2、用戶在新規(guī)劃建設(shè)的網(wǎng)絡(luò)中來部署AC，想把AC當(dāng)作一臺(tái)網(wǎng)關(guān)設(shè)備部署在網(wǎng)絡(luò)出口處。 3、用戶網(wǎng)絡(luò)中已有防火墻或者路由器了，但出于某方面的原因想用AC替換掉原有的防火墻或者路由器并代理內(nèi)網(wǎng)用戶上網(wǎng)。,典型部署模式與配置,路由模式_基本配置思路 1、網(wǎng)口配置：確定設(shè)備外網(wǎng)口及地址信息，如果是固定IP，則填寫運(yùn)營商給的IP地

6、址及網(wǎng)關(guān)；如果是ADSL拔號(hào)上網(wǎng)，則填寫運(yùn)營商給的拔號(hào)賬號(hào)和密碼；確定內(nèi)網(wǎng)口的IP地址信息； 2、確定內(nèi)網(wǎng)是否為多網(wǎng)段網(wǎng)絡(luò)環(huán)境，如果是的話需要添加相應(yīng)的回包路由，將到內(nèi)網(wǎng)各網(wǎng)段的數(shù)據(jù)回指給設(shè)備下接的三層設(shè)備。 3、用戶是否需要通過AC設(shè)備上網(wǎng)，如果是的話，需要設(shè)置代理上網(wǎng)規(guī)則，填寫需要代理上網(wǎng)的內(nèi)網(wǎng)網(wǎng)段。,典型部署模式與配置,需求：某用戶網(wǎng)絡(luò)環(huán)境如右圖，現(xiàn)將AC部署在網(wǎng)絡(luò)出口，實(shí)現(xiàn)AC代理內(nèi)網(wǎng)所有用戶上網(wǎng)。,路由模式_應(yīng)用舉例,配置思路： 1.選擇部署模式并配置內(nèi)/外網(wǎng)口 2.配置代理上網(wǎng),典型部署模式與配置,路由模式配置步驟,定義網(wǎng)絡(luò)接口,填寫需要代理上網(wǎng)的網(wǎng)段。此處配置也可以在【防火墻】下

7、的【NAT代理上網(wǎng)】中添加。,配置完成，點(diǎn)擊提交,典型部署模式與配置,網(wǎng)橋模式_部署指導(dǎo) 1、網(wǎng)橋模式部署相比路由模式對客戶的網(wǎng)絡(luò)影響較小，當(dāng)客戶確定不需要使用AC的VPN、NAT、DHCP功能，且內(nèi)網(wǎng)已有相應(yīng)的網(wǎng)關(guān)設(shè)備時(shí)，建議使用網(wǎng)橋模式部署。 2、根據(jù)客戶的網(wǎng)絡(luò)結(jié)構(gòu)決定AC采用多網(wǎng)橋或網(wǎng)橋多網(wǎng)口的方式。 網(wǎng)橋多網(wǎng)口常見應(yīng)用場景： a.兩條線路分別接FW1和FW2，內(nèi)網(wǎng)接交換機(jī)，設(shè)備在交換機(jī)和防火墻 之間， 網(wǎng)橋模式部署，單進(jìn)雙出做網(wǎng)橋多網(wǎng)口。 b.內(nèi)網(wǎng)核心交換機(jī)和路由器都做雙機(jī)，加入兩臺(tái)設(shè)備，雙進(jìn)單出做網(wǎng)橋多網(wǎng)口。 多網(wǎng)橋常見應(yīng)用場景: a.設(shè)備一進(jìn)一出做單網(wǎng)橋 b.客戶內(nèi)網(wǎng)有VRRP或H

8、SRP環(huán)境,典型部署模式與配置,網(wǎng)橋模式-應(yīng)用舉例 需求：某用戶網(wǎng)絡(luò)環(huán)境如右圖，AC部署在防火墻與交換機(jī)之間，實(shí)現(xiàn)對內(nèi)網(wǎng)用戶的上網(wǎng)控制。 配置思路： 1、選擇部署模式并配置接口地址。 2、配置用戶上網(wǎng)策略（此處略，詳見培訓(xùn)PPT 組織結(jié)構(gòu)與上網(wǎng)策略管理）,典型部署模式與配置,網(wǎng)橋模式配置步驟,配置完成，點(diǎn)擊提交,典型部署模式與配置,注意事項(xiàng)： 網(wǎng)橋模式部署時(shí)，需要考慮AC所串接的防火墻和交換機(jī)之間的網(wǎng)段是否存在空閑的主機(jī)IP地址，如果有則分配一個(gè)該網(wǎng)段的IP地址給AC作為網(wǎng)橋的IP地址，如果沒有，則使用管理口管理設(shè)備： 1、AC的網(wǎng)橋IP可配置一個(gè)不屬于內(nèi)網(wǎng)任意網(wǎng)段的IP地址，默認(rèn)網(wǎng)關(guān)設(shè)置成2

9、55.255.255.255； 2、同時(shí)將管理口（DMZ口）接到交換機(jī)上并配置管理口地址； 3、最后設(shè)置缺省路由，下一跳指向交換機(jī)的接口地址。 配置完畢后，設(shè)備上網(wǎng)或者管理員管理設(shè)備均通過管理口實(shí)現(xiàn)。,典型部署模式與配置,網(wǎng)橋模式_配置管理口,與DMZ口直連的交換機(jī)接口IP,典型部署模式與配置,旁路模式_部署指導(dǎo) 1、旁路模式是所有部署模式中最簡單的一種，但也是功能實(shí)現(xiàn)較弱的一種部署方式。當(dāng)客戶的需求只是上網(wǎng)審計(jì)和基于TCP的應(yīng)用過濾時(shí)，可以考慮此種部署方式，常見于高校、大型國有企業(yè)專門用于AC作審計(jì)； 2、旁路部署時(shí)一般設(shè)備是接在核心交換機(jī)上，核心交換機(jī)通過將鏡像功能將需要審計(jì)的流量鏡像過來

10、； 3、旁路模式部署時(shí)采用管理口（DMZ）配置的IP地址進(jìn)行管理，其它所有接口均可作為監(jiān)聽口，可使用一個(gè)口或者是多個(gè)口同時(shí)作為監(jiān)聽口，監(jiān)聽口無需任何配置。,典型部署模式與配置,旁路模式部署配置思路 1、旁路模式部署時(shí)將AC的監(jiān)聽口接在交換機(jī)的鏡像口上，交換機(jī)需要將上下行流量鏡像到AC。 2、旁路模式部署時(shí)必須配置管理口IP地址進(jìn)行管理，監(jiān)聽口可以接除管理口外的任意網(wǎng)口，可以同時(shí)接多個(gè)監(jiān)聽口。 3、需要確認(rèn)所有要進(jìn)行審計(jì)的內(nèi)網(wǎng)網(wǎng)段（即監(jiān)控網(wǎng)段）；需要確認(rèn)內(nèi)網(wǎng)是否有服務(wù)器提供訪問時(shí)也要進(jìn)行記錄。 4、管理口不僅用于管理，還可用于與外置數(shù)據(jù)中心同步、作TCP控制時(shí)發(fā)reset包使用，所以管理口的地址

11、最好不要隨意配置。,典型部署模式與配置,旁路模式-應(yīng)用舉例 需求：用戶網(wǎng)絡(luò)環(huán)境如右圖，AC以旁路模式部署在三層交換機(jī)上，用來審計(jì)200.200.0.0/16這個(gè)網(wǎng)段的用戶上網(wǎng)形為。 配置思路： 1、選擇部署模式 2、配置管理口（DMZ）地址 3、配置監(jiān)聽網(wǎng)段。,典型部署模式與配置,旁路模式配置步驟,若設(shè)備需要跟外網(wǎng)通訊，需配置好網(wǎng)關(guān)和DNS,填寫需要審計(jì)的內(nèi)網(wǎng)網(wǎng)段,配置完成點(diǎn)擊提交,練練手,情景1 客戶原有網(wǎng)絡(luò)如右圖，在出口位置部署了一臺(tái)防火墻，下接三層交換機(jī)，現(xiàn)在購買了一臺(tái)AC，客戶需要實(shí)現(xiàn)流控、審計(jì)、網(wǎng)頁過濾等功能，請問根據(jù)這樣的需求，在對原有的環(huán)境改動(dòng)最小的情況 下AC應(yīng)該如何部署？ 請根據(jù)左邊拓?fù)鋱D手動(dòng)配置一下，完成設(shè)備部署。,練練手,情景2 客戶原有網(wǎng)絡(luò)拓?fù)淙缬覉D所示，由于某方面的原因，客戶想購買一臺(tái)AC替換掉原有防火墻，請根據(jù)圖示拓?fù)湫畔?dòng)手配置一下，完成設(shè)備部署。,練練手,情景3 某大型集團(tuán)公司網(wǎng)絡(luò)拓?fù)淙缬覉D所示，客戶主要需求是對內(nèi)網(wǎng)上網(wǎng)行為進(jìn)行審計(jì)和內(nèi)網(wǎng)用戶上網(wǎng)時(shí)的URL過濾，并且要求對WEB SERVER的訪問進(jìn)行記錄，請根據(jù)客戶的實(shí)際網(wǎng)絡(luò)討論以哪種部署方式最適合該客戶，并動(dòng)手完成配置部署。,練練手,情景4 某用戶原有網(wǎng)絡(luò)拓?fù)淙缬覉D所示，現(xiàn)購買一臺(tái)AC設(shè)備