《SANGFOR_AC&SG_v11.8_2017年度渠道初级认证培训03_安装部署》由会员分享,可在线阅读,更多相关《SANGFOR_AC&SG_v11.8_2017年度渠道初级认证培训03_安装部署(38页珍藏版)》请在金锄头文库上搜索。
1、Jan 2017 SANGFORAC安装部署 典型环境部署 123 AC SG典型部署模式介绍 AC SG典型部署模式配置 AC SG典型部署模式总结 Contents SANGFORAC SG部署模式介绍 部署模式 简介部署模式是指设备以什么样的工作模式部署到客户网络中去 不同的部署模式对客户原有网络的影响各有不同 设备在不同模式下支持的功能也各不一样 设备以何种方式部署需要综合用户具体的网络环境和功能需求而定 根据客户需求及环境不同 AC SG设备支持路由 网桥 旁路 单臂四种部署模式 其中SG支持上述四种部署 AC支持前三种部署 路由模式 网关模式 简介设备以路由模式部署时 AC的工作方
2、式与路由器相当 具备基本的路由转发及NAT功能 一般在客户还没有相应的网关设备 需要将AC做网关使用时 建议以路由模式部署 路由模式下支持AC所有的功能 如果需要使用NAT VPN DHCP等功能时 AC必须以路由模式部署 其它工作模式没有这些功能 SANGFORAC SG部署模式介绍 路由模式部署环境 举例 SANGFORAC SG部署模式介绍 网桥模式 简介设备以网桥模式部署时对客户原有的网络基本没有改动 网桥模式部署AC时 对客户来说AC就是个透明的设备 如果因为AC自身的原因而导致网络中断时可以开启硬件bypass功能 即可恢复网络通信 网桥模式部署时AC不支持NAT 代理上网和端口映
3、射 VPN DHCP等功能 SANGFORAC SG部署模式介绍 网桥模式部署环境 多网桥 举例 单网桥 多网桥 SANGFORAC SG部署模式介绍 SANGFORAC SG部署模式介绍 旁路模式 简介旁路模式主要用于实现审计功能 完全不需要改变用户的网络环境 通过把设备的监听口接在交换机的镜像口 实现对上网数据的监控 这种模式对用户的网络环境完全没有影响 即使宕机也不会对用户的网络造成中断 旁路模式部署只用于上网行为的审计和基于TCP应用的控制 对基于UDP协议的应用无法控制 不支持流量管理 NAT VPN DHCP等功能 SANGFORAC SG部署模式介绍 旁路模式部署环境 举例 SA
4、NGFORSG部署模式介绍 单臂模式 简介单臂模式部署只适用于SG产品 当客户有代理需求 又不希望影响网络中其它的设备部署或替换原有代理服务器 考虑用单臂部署 SANGFORSG部署模式介绍 单臂模式部署环境 举例 123 AC SG典型部署模式介绍 AC SG典型部署模式配置 AC SG典型部署模式总结 Contents 典型部署模式与配置 路由模式 部署指导首先需要了解用户的实际需求 以下几种情况必须使用路由模式部署 1 用户必须要用到AC的VPN NAT 代理上网和端口映射 DHCP等功能 2 用户在新规划建设的网络中来部署AC 想把AC当作一台网关设备部署在网络出口处 3 用户网络中已
5、有防火墙或者路由器了 但出于某方面的原因想用AC替换掉原有的防火墙或者路由器并代理内网用户上网 典型部署模式与配置 路由模式 配置思路1 网口配置 配置各网口地址 如果是固定IP 则填写运营商给的IP地址及网关 如果是ADSL拨号上网 则填写运营商给的拨号帐号和密码 确定内网口的IP 2 确定内网是否为多网段网络环境 如果是的话需要添加相应的回包路由 将到内网各网段的数据回指给设备下接的三层设备 3 用户是否需要通过AC设备上网 如果是的话 需要设置地址转换规则 4 检查并放通防火墙规则 典型部署模式与配置 需求 某用户网络环境如右图 现将AC部署在网络出口 实现AC代理内网所有用户上网 路由
6、模式 应用举例 配置思路 1 选择部署模式并配置内 外网口2 配置代理上网3 检查lantowan防火墙规则是否放行 默认放行 典型部署模式与配置 路由模式 应用举例 配置步骤 典型部署模式与配置 网桥模式 部署指导1 网桥模式部署相比路由模式对客户的网络影响较小 当客户内网已有相应的网关设备时 建议使用网桥模式部署 2 根据客户的网络结构决定AC采用多网桥方式 如双网桥常部署在vrrp环境 典型部署模式与配置 网桥模式 配置思路1 配置设备网桥地址 网关地址 DNS地址 2 确定内网是否为多网段网络环境 如果是的话需要添加相应的回包路由 将到内网各网段的数据回指给设备下接的三层设备 3 检查
7、并放通防火墙规则 典型部署模式与配置 网桥模式 应用举例需求 某用户网络环境如右图 AC部署在防火墙与交换机之间 实现对内网用户的上网控制 配置思路 1 选择部署模式并配置接口地址 2 配置到内网的回指路由3 配置用户上网策略 此处略 详见培训PPT SANGFOR AC SG v11 8 2017年度渠道初级认证培训07 组织结构与上网策略 4 检查lantowan防火墙规则是否放行 默认放行 典型部署模式与配置 网桥模式 应用举例 配置步骤 典型部署模式与配置 旁路模式 部署指导1 旁路模式对客户网络影响最小 主要用于审计 当客户的需求只是上网审计和基于TCP的应用过滤时 可以考虑此种部署
8、方式 2 旁路部署时设备接在核心交换机上镜像口 设备监听镜像口的流量实现审计 3 旁路模式部署时采用管理口 DMZ 配置的IP地址进行管理 其它所有接口均可作为监听口 可使用一个口或者是多个口同时作为监听口 监听口无需任何配置 典型部署模式与配置 旁路模式 配置思路1 交换机设置镜像口 并接到 监听口 2 配置需要审计的内网网段和服务器网段 3 配置管理口地址 用于登录管理设备 典型部署模式与配置 旁路模式 应用举例需求 用户网络环境如右图 AC以旁路模式部署在三层交换机上 用来审计200 200 0 0 16这个网段的用户上网行为 配置思路 1 配置部署模式2 配置管理口 DMZ 地址3 配
9、置监听网段 典型部署模式与配置 旁路模式 应用举例 配置步骤 典型部署模式与配置 单臂模式 部署指导 单臂模式部署只适用于SG产品 当客户有代理需求 又不希望影响网络中其它的设备部署或替换原有代理服务器 考虑用单臂部署 典型部署模式与配置 单臂模式 配置思路1 配置设备接口地址 网关地址及DNS地址 2 配置设备代理设置 3 客户端PC配置SG作为代理服务器 典型部署模式与配置 单臂模式 应用举例 配置步骤 需求 客户原有使用squid代理内网PC上网 现需要使用SG替换Squid代理服务器 代理内网PC上网 配置思路 1 配置设备接口地址 网关地址及DNS地址 2 配置设备代理设置 3 客户
10、端PC配置SG作为代理服务器 典型部署模式与配置 单臂模式 应用举例 配置步骤 123 AC SG典型部署模式介绍 AC SG典型部署模式配置 AC SG典型部署模式总结 Contents AC SG典型部署模式总结 1 路由模式可以实现设备所有功能 网桥模式其次 旁路模式多用于审计 只能对tcp应用控制 控制功能最弱 2 路由模式对客户原有网络改造影响最大 网桥模式其次 旁路模式对客户原有网络改造无影响 即使设备宕机也不会影响客户断网 3 设备路由模式最多支持32条外网线路 需要足够的授权 网桥模式最多支持32对网桥 旁路模式除了管理口外 其它网口均可作为监听口 可以同时选择多个网口作为监听
11、口 4 千兆口和万兆口不能组成一对网桥 千兆电口和千兆光口可以组成一对网桥 练练手 场景1客户原有网络如右图 在出口位置部署了一台防火墙 下接三层交换机 现在购买了一台AC 客户需要实现流控 审计 网页过滤等功能 请问根据这样的需求 在对原有的环境改动最小的情况下AC应该如何部署 请根据右边拓扑图手动配置 完成设备部署 练练手 场景2客户原有网络拓扑如右图所示 由于某方面的原因 客户想购买一台AC替换掉原有防火墙 请根据图示拓扑信息动手配置一下 完成设备部署 练练手 场景3某大型集团公司网络拓扑如右图所示 客户主要需求是对内网上网行为进行审计和内网用户访问网站过滤 并且要求对WEBSERVER
12、的访问进行记录 请根据客户的实际网络讨论以哪种部署方式最适合该客户 并动手完成配置部署 练练手 场景4某用户原有网络拓扑如右图所示 现购买一台AC设备 需要实现对内网用户的审计和P2P管控等功能 请问在对用户原有的网络环境改动最小的情况下 AC设备该如何部署才能够满足客户的需求 请分析后画出部署拓扑并动手配置一下完成部署 1 描述什么场景下需要使用路由 网桥 旁路或单臂部署 2 设备旁路模式部署 客户内网有服务器 现想实现内网和外网访问服务器的数据都需要审计 请问如何实现 问题思考 深信服社区资料库 社区资料库旨在为用户提供最新 最全的产品资料 访问方式 资料分类 深圳市南山区学苑大道1001号南山智园A1栋 market
