收藏
下载资源

sangfor_ac_v11.0_2016年度渠道高级认证培训01_安装部署概要

上传人:今*** 文档编号:107496300 上传时间:2019-10-19 格式:PPT 页数:44 大小:3.04MB
返回 下载 相关 举报
sangfor_ac_v11.0_2016年度渠道高级认证培训01_安装部署概要_第1页
第1页 / 共44页
sangfor_ac_v11.0_2016年度渠道高级认证培训01_安装部署概要_第2页
第2页 / 共44页
sangfor_ac_v11.0_2016年度渠道高级认证培训01_安装部署概要_第3页
第3页 / 共44页
sangfor_ac_v11.0_2016年度渠道高级认证培训01_安装部署概要_第4页
第4页 / 共44页
sangfor_ac_v11.0_2016年度渠道高级认证培训01_安装部署概要_第5页
第5页 / 共44页
点击查看更多>>
资源描述

《sangfor_ac_v11.0_2016年度渠道高级认证培训01_安装部署概要》由会员分享,可在线阅读,更多相关《sangfor_ac_v11.0_2016年度渠道高级认证培训01_安装部署概要(44页珍藏版)》请在金锄头文库上搜索。

1、安装部署 特殊网络环境部署,高可用性之主主模式部署,高可用性之主备模式部署,内网代理环境部署,SANGFOR AC&SG,协议封装环境部署,主备模式部署,主备模式部署环境,主备模式是指路由模式部署的两台设备通过心跳检测,实现热备份(保持心跳和配置同步)。正常情况下,只有主设备工作,如果主设备故障,则自动切换到备设备,备设备接替主设备工作。从而保证客户的业务不受影响,网络不中断。 主备模式只有一台主设备处于正常工作状态,另一台备设备处于监听状态。 适用环境:对网络稳定性要求较高的客户环境。要求两台设备路由模式部署。,主备模式配置,主机配置:,1.主机配置好路由模式。 2. 控制台【网络配置】【高

2、可用性】选择主备模式,点击开始配置,主备模式配置,3.配置主机设备标识,4.配置检测网口,抢占为主机:指的是当主机切换为备机后,当备机恢复正常后是否会主动切换为主机,开启则会切换。 指定HA口:用来同步配置。可以使用DMZ口或其他未配置区域的网口。 共享密钥:需要主备两台设备设置同一个密钥。 检测网口:被检测的网口只要发生故障就会发生主备切换。 告警选项:手动更改模式也会触发告警。,主备模式配置,备机配置:,1.备机登录后,【高可用性】选择主备模式,配置设备标识,设备角色选择备机。,2.配置主机的IP地址以及密钥。,说明:备机不能配置抢占主机与检测网口以及配置告警信息,这些信息是由主机同步过来

3、,主备模式配置,主机状态:,部署完成后,主机正常工作,可以在高可用性中看到主机状态,可以看到最近切换的时间,以及同步配置的时间,只有主机状态才可以手动切换到备机。,主备模式部署注意事项,1、主备模式部署的两台设备,软件版本要求一致,软件版本一致是指两台AC设备 的版本信息中内容,除SP补丁外,其余信息一致即可。 硬件版本不做要求,但是建议选择负载相近,型号相近的设备。,2、主备部署的两台设备配置自动实时同步,完全一样。 3、只能2台设备部署为主备模式,2台以上不支持部署主备模式。 4、主备部署的两台设备,只有一台在工作,另一台在监听。 5、只有路由模式可以部署主备模式,网桥模式不支持部署主备模

4、式。 6、主备模式的两台设备通过普通网线作为心跳线,通过HA口发送心跳包,主备模式下,可以使用DMZ口或其他未配置区域的网口。 HA灯状态,主机设备亮绿灯,备机状态灯闪。,7、主备模式下,只有主机可以加入集中管理。备机不能加入。如果主机挂了,备机变成主机,此时备机也可以加入SC。,主主模式部署,主主模式部署环境,主主模式部署由多台AC设备通过通信网口同步配置。主主模式部署的设备同时工作,主控设备将配置同步到所有节点,主控与各节点之间相互同步会话信息。当主控故障,将无法更改设备配置。 适用环境: 客户原有网络中有多台交换机,防火墙或路由器主主或主备部署时,AC以网桥串接在中间,建议使用主主模式部

5、署。,主主模式部署配置,主控配置:,1.设备路由模式或网桥模式部署。 2.主控设备控制台选择【网络配置】【高可用性】选择主主模式。,主主模式部署配置,配置设备标识及角色选择主控,配置密钥,主主模式部署配置,节点配置:,【高可用性】选择主主模式,配置设备标识,角色选择“节点”。,配置主机的IP地址及密钥。,主主模式部署配置,主控状态节点状态,主主模式部署注意事项,4、路由模式和网桥模式都支持配置成主主模式部署。,1、主主模式部署的两台设备,软件版本要求一致,软件版本一致是指两台AC设备的版本信息中内容,除SP补丁外,其余信息一致即可。 硬件版本不做要求,但是建议选择负载相近,型号相近的设备。,2

6、、主主模式部署的设备同时工作,没有主备之分。,3、两台或两台以上的设备可以部署主主模式。,5、主主模式下,节点不能修改配置只能由主控同步,界面限制只能只读。,6、主控会显示所有节点状态,名称为“在线节点列表”,显示所有在线的节点。,7、主主模式下,只有主控可以加入集中管理,节点不能加入和下发配置。此时,即使主控挂了,节点临时变成主控,此时该主控也不能接入SC。需要等主控恢复后,才能从SC下发配置。被选举出来的主控,只能同步在线用户,不能同步配置。,内网代理服务器环境部署,内网代理服务器环境部署应用场景,内网通过代理服务器上网,由于用户所有数据是发往代理服务器的,目标IP是代理服务器的IP,真实

7、的上网数据通过代理服务器封装后转发到公网。 在这样的网络环境下,如果要对上网用户采用不同的上网策略,记录真实的访问公网的数据,AC/SG的部署和其他网络环境中的部署就有区别 适用环境:用户通过内网代理服务器上网,并且需要准确识别用户通过代理服务器上网的数据和分权限控制。,常见代理环境中的部署方式,1. 代理服务器双网卡(AC/SG设备路由或网桥模式部署),设备可采取路由模式或网桥模式部署在客户端与代理服务器之间,考虑到内网改动的大小,建议采用网桥模式部署。 必须保证内网发往代理服务器的数据先经过AC/SG设备,也就是代理服务器应该部署于AC/SG设备的WAN口方向。,常见代理环境中的部署方式,

8、2. 代理服务器双网卡(AC/SG设备旁路模式部署),如果主要用于审计,设备可采取旁路模式部署,用于监听内网发往代理服务器的所有数据。,常见代理环境中的部署方式,3. 代理服务器单网卡(AC/SG设备网桥模式部署),如左图所示,代理服务器以单臂模式接在核心交换机上。 内网用户上网数据先通过交换机到达代理服务器,再由代理服务器经核心交换机和防火墙到公网。 针对这种环境,给出以下解决方案,常见代理环境中的部署方式,3. 代理服务器单网卡(AC设备网桥模式部署),此种部署场景下,需要在AC上【用户认证与管理】-【认证高级选项】-【认证选项】中勾选“WAN-LAN方向的连接不认证”。,内网代理环境部署

9、配置,1. 将设备采用以上各拓扑中的部署方式(路由,网桥,旁路)进行配置,然后接入到网络中。 2. 在设备“代理服务器设置”选项中填入代理服务器的IP。,3. 在客户端电脑浏览器配置代理服务器的IP地址,并在“例外情况”填写AC设备的管理地址,如果AC是网桥部署,并且开启了虚拟地址重定向功能,也需要把虚拟IP添加排除,如下图所示:,内网代理环境部署注意事项,1、必须保证客户端发到代理服务器的数据先经过AC/SG设备,也就是代理服务器应该部署在AC/SG设备的WAN口方向。,协议封装环境部署,协议封装环境部署,协议封装环境,是指客户网络环境中有特殊协议如Trunk、QinQ、链路聚合、PPPOE

10、、VLAN+PPPOE、QinQ+PPPOE、WAC、L2tp、GRE等。此种环境中AC支持以网桥模式部署并且穿透协议,其中Trunk环境也支持以单臂路由方式部署。 在Trunk、QinQ、链路聚合、PPPOE、VLAN+PPPOE、QinQ+PPPOE环境中AC网桥部署通过虚拟IP实现重定向和代理功能(SSL内容识别和邮件过滤)。 在WAC、L2TP、GRE等其它特殊协议环境中,AC网桥部署通过DMZ口重定向实现重定向和代理功能(SSL内容识别和邮件过滤)。,协议封装环境部署,虚拟IP重定向:内网PC认证前的HTTP上网数据经过AC时,AC拦截并记录下数据包的源,目的IP,数据包的封装类型,

11、以及数据包进入AC时的接口。 AC回弹portal的重定向认证页面时,会将记录下来的数据包的源,目的IP反转,再从数据包进入的接口直接发出去,其中数据包中的数据字段会替换成AC虚拟IP的重定向URL地址。 DMZ口重定向:内网PC认证前的HTTP上网数据经过AC时,AC拦截数据包,AC通过查找本身DMZ口的路由表,将portal的重定向认证页面从DMZ口发出,其中数据包中的数据字段会替换成AC的DMZ口IP的重定向URL地址。,172.16.1.1/24,DMZ:192.168.32.10/24,192.168.32.11/24,MAC2,MAC3,MAC4,MAC5,eth2,eth3,et

12、h0,eth1,121.14.85.198,重定向页面不查AC路由表直接从数据进来的网口eth0回包给内网,(1)默认使用虚拟地址,虚拟IP重定向原理图,协议封装环境部署,拓扑如左图所示,交换机划分了三个VLAN,VLAN ID分别为10,20,30。路由器内网口配置为trunk口,各vlan间的互访通过路由器路由。 需求:部署AC实现上网行为管理,协议封装环境部署,AC在Trunk环境中直接替代原有的路由器做路由模式部署。,TRUNK环境,协议封装环境部署,1、AC路由模式部署直接替代原有的路由器(或FW),并按照路由模式部署配置好设备。,2、配置LAN口IP,填写内网对应VLAN的VLAN

13、网关IP即可。,Trunk环境下路由模式配置思路:,协议封装环境部署,Trunk环境下路由模式配置方法:,协议封装环境部署,不改变原有拓扑结构,AC网桥模式串接在交换机和防火墙之间(推荐方案) 1.此时可以给设备网桥配置其中一个VLAN中的可用IP来进行管理和上网更新规则库。 2.也可以给设备管理口配置其中一个VLAN中的可用IP来进行管理和上网更新规则库。,Trunk环境,1、网桥模式部署在路由器与交换机之间,按网桥模式部署配置好设备。,2、可以给设备网桥配置其中一个VLAN中的可用IP来进行管理和上网更新规则库。也可以给设备管理口配置其中一个VLAN中的可用IP来进行管理和上网更新规则库。

14、,3、如果内网是三层环境还需要配置内网的路由网关指向AC内网口所连接的设备。,协议封装环境部署,Trunk环境下网桥模式配置思路:,协议封装环境部署,Trunk环境下网桥模式配置方法:,选择网桥列表,默认勾选了“开启网桥链路同步”,可以选择给桥IP配置VLANIP进行管理,也可以此处不配置任何IP,通过管理口进行管理。,如果前面桥IP没有做任何配置,可以在管理口配置一个VLANIP进行管理。,设备通过虚拟IP来实现重定向和代理功能(SSL内容识别和邮件过滤功能)。,1、网桥模式部署在路由器与交换机之间,按网桥模式部署配置好设备。,2、可以给设备管理口配置一个可用IP来进行管理和上网更新规则库。

15、如果没有空闲管理口,也可以给设备网桥配置其中一个可用IP来进行管理和上网更新规则库。 WAC、L2TP、GRE这三种协议封装环境下,必须使用DMZ口。,3、如果内网是三层环境还需要配置内网的路由网关指向AC内网口所连接的设备。,协议封装环境部署,其他协议环境下网桥模式配置思路:,4、 QinQ、PPPOE、VLAN+PPPOE、QinQ+PPPOE 、 WAC、L2TP、GRE环境下,设备上开启对应的协议剥离。 Trunk,链路聚合协议设备无需开启协议剥离就能识别应用。,协议封装环境部署,其他协议环境下网桥模式配置方法:,前三步配置不在赘述,协议剥离配置请在左图页面开启。,协议封装环境部署,重

16、定向和代理功能的实现:,Trunk、QinQ、链路聚合、PPPOE、VLAN+PPPOE、QinQ+PPPOE环境中,通过设备的虚拟IP来实现重定向和代理功能(SSL内容识别和邮件过滤)。,协议封装环境部署,重定向和代理功能的实现:,WAC、L2TP、GRE等其它特殊协议环境中,设备通过DMZ口目的路由实现重定向和代理功能(SSL内容识别和邮件过滤)。此时需要勾选DMZ口重定向和代理功能。,协议封装环境部署,注意事项:,1.如果客户内网划分有不同vlan,但是不同vlan有相同的IP,可以勾选VLANID功能。勾选此功能可以用来区分出来不同用户,不勾选此功能当一个用户识别。,1.请描述主主部署和主备部署的不同点。,问题思考,2.AC网桥模式部署在trunk环境,应该怎样配置?,3.内网有代理服务器时,AC应该部署在代理服务器哪个方向?,Tel:400-630-6430 Email:support,

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号