您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 销售管理 > SANGFOR_AC_v11.0_2016年度渠道初级认证培训03_安装部署
安装部署—典型环境部署培训内容培训目标AC/SG典型部署模式介绍了解AC/SG有几种部署模式以及每种部署模式适用场景AC/SG典型部署模式配置能根据客户不同场景选择恰当的部署模式并独立完成部署配置AC/SG典型部署模式总结掌握不同部署模式的区别及注意事项AC/SG典型部署模式介绍SANGFORAC&SGAC/SG典型部署模式配置AC/SG典型部署模式总结AC/SG典型部署模式介绍SANGFORAC/SG部署模式介绍部署模式_简介部署模式是指设备以什么样的工作模式部署到客户网络中去,不同的部署模式对客户原有网络的影响各有不同;设备在不同模式下支持的功能也各不一样,设备以何种方式部署需要综合用户具体的网络环境和功能需求而定。根据客户需求及环境不同,AC/SG设备支持路由、网桥、旁路、单臂四种部署模式。其中SG支持上述四种部署,AC支持前三种部署。路由模式/网关模式_简介设备以路由模式部署时,AC的工作方式与路由器相当,具备基本的路由转发及NAT功能。一般在客户还没有相应的网关设备,需要将AC做网关使用时,建议以路由模式部署。路由模式下支持AC所有的功能。如果需要使用NAT、VPN、DHCP等功能时,AC必须以路由模式部署,其它工作模式没有这些功能。SANGFORAC/SG部署模式介绍路由模式部署环境(举例):SANGFORAC/SG部署模式介绍网桥模式_简介设备以网桥模式部署时对客户原有的网络基本没有改动。网桥模式部署AC时,对客户来说AC就是个透明的设备,如果因为AC自身的原因而导致网络中断时可以开启硬件bypass功能,即可恢复网络通信。网桥模式部署时AC不支持NAT(代理上网和端口映射)、VPN、DHCP等功能。SANGFORAC/SG部署模式介绍网桥模式部署环境-多网桥(举例):单网桥多网桥SANGFORAC/SG部署模式介绍SANGFORAC/SG部署模式介绍旁路模式_简介旁路模式主要用于实现审计功能,完全不需要改变用户的网络环境,通过把设备的监听口接在交换机的镜像口,实现对上网数据的监控。这种模式对用户的网络环境完全没有影响,即使宕机也不会对用户的网络造成中断。旁路模式部署只用于上网行为的审计和基于TCP应用的控制,对基于UDP协议的应用无法控制。不支持流量管理、NAT、VPN、DHCP等功能。监听口管理口监听口管理口SANGFORAC/SG部署模式介绍旁路模式部署环境(举例):SANGFORSG部署模式介绍单臂模式_简介单臂模式部署只适用于SG产品,当客户有代理需求,又不希望影响网络中其它的设备部署或替换原有代理服务器,考虑用单臂部署SANGFORSG部署模式介绍单臂模式部署环境(举例):eth0SANGFORSG部署模式介绍SG单臂模式部署环境(举例):AC/SG典型部署模式配置典型部署模式与配置路由模式_部署指导首选需要了解用户的实际需求,以下几种情况必须使用路由模式部署:1、用户必须要用到AC的VPN、NAT(代理上网和端口映射)、DHCP等功能。2、用户在新规划建设的网络中来部署AC,想把AC当作一台网关设备部署在网络出口处。3、用户网络中已有防火墙或者路由器了,但出于某方面的原因想用AC替换掉原有的防火墙或者路由器并代理内网用户上网。典型部署模式与配置路由模式_配置思路1、网口配置:配置各网口地址。如果是固定IP,则填写运营商给的IP地址及网关;如果是ADSL拔号上网,则填写运营商给的拨号账号和密码;确定内网口的IP。2、确定内网是否为多网段网络环境,如果是的话需要添加相应的回包路由,将到内网各网段的数据回指给设备下接的三层设备。3、用户是否需要通过AC设备上网,如果是的话,需要设置地址转换规则。4、检查并放通防火墙规则。典型部署模式与配置需求:某用户网络环境如右图,现将AC部署在网络出口,实现AC代理内网所有用户上网。路由模式_应用举例配置思路:1.选择部署模式并配置内/外网口2.配置代理上网3.检查lantowan防火墙规则是否放行,默认放行典型部署模式与配置路由模式_应用举例_配置步骤典型部署模式与配置网桥模式_部署指导1、网桥模式部署相比路由模式对客户的网络影响较小,当客户内网已有相应的网关设备时,建议使用网桥模式部署。2、根据客户的网络结构决定AC采用多网桥方式,如双网桥常部署在vrrp环境。典型部署模式与配置网桥模式_配置思路1、配置设备网桥地址,网关地址,DNS地址。2、确定内网是否为多网段网络环境,如果是的话需要添加相应的回包路由,将到内网各网段的数据回指给设备下接的三层设备。3、检察并放通防火墙规则。典型部署模式与配置网桥模式-应用举例需求:某用户网络环境如右图,AC部署在防火墙与交换机之间,实现对内网用户的上网控制。配置思路:1、选择部署模式并配置接口地址2、配置到内网的回指路由3、配置用户上网策略(此处略,详见培训PPT《SANGFOR_AC&SG_v11.0_2016年度渠道初级认证培训09_组织结构与上网策略》)4.检查lantowan防火墙规则是否放行,默认放行典型部署模式与配置网桥模式_应用举例_配置步骤典型部署模式与配置旁路模式_部署指导1、旁路模式对客户网络影响最小,主要用于审计。当客户的需求只是上网审计和基于TCP的应用过滤时,可以考虑此种部署方式。2、旁路部署时设备接在核心交换机上镜像口,设备监听镜像口的流量实现审计。3、旁路模式部署时采用管理口(DMZ)配置的IP地址进行管理,其它所有接口均可作为监听口,可使用一个口或者是多个口同时作为监听口,监听口无需任何配置。典型部署模式与配置旁路模式_配置思路1、交换机设置镜像口,并接到AC监听口。2、配置需要审计的内网网段和服务器网段。3、配置管理口地址,用于登录管理设备。典型部署模式与配置旁路模式-应用举例需求:用户网络环境如右图,AC以旁路模式部署在三层交换机上,用来审计200.200.0.0/16这个网段的用户上网行为。配置思路:1、配置部署模式2、配置管理口(DMZ)地址3、配置监听网段典型部署模式与配置旁路模式_应用举例_配置步骤典型部署模式与配置单臂模式_部署指导单臂模式部署只适用于SG产品,当客户有代理需求,又不希望影响网络中其它的设备部署或替换原有代理服务器,考虑用单臂部署。说明:11.0版本无SG产品,如想使用上网代理和加速功能,请使用SG6.1版本典型部署模式与配置单臂模式_配置思路1、配置设备接口地址,网关地址及DNS地址。2、配置设备代理设置。3、客户端PC配置SG作为代理服务器。典型部署模式与配置单臂模式_应用举例_配置步骤需求:客户原有使用squid代理内网PC上网,现需要使用SG替换Squid代理服务器,代理内网PC上网。配置思路:1、配置设备接口地址,网关地址及DNS地址。2、配置设备代理设置。3、客户端PC配置SG作为代理服务器。10.10.2.106/24eth010.10.2.106/24eth0典型部署模式与配置单臂模式_应用举例_配置步骤SANGFORSG部署模式介绍SG单臂模式部署环境(举例):AC/SG典型部署模式总结AC/SG典型部署模式总结1、路由模式可以实现设备所有功能,网桥模式其次,旁路模式多用于审计,只能对tcp应用控制,控制功能最弱。2、路由模式对客户原有网络改造影响最大,网桥模式其次,旁路模式对客户原有网络改造无影响,即使设备宕机也不会影响客户断网。3、设备路由模式最多支持32条外网线路(需要足够的授权)。网桥模式最多支持32对网桥,旁路模式除了管理口外,其它网口均可作为监听口,可以同时选择多个网口作为监听口。4、千兆口和万兆口不能组成一对网桥;千兆电口和千兆光口可以组成一对网桥。练练手场景1客户原有网络如右图,在出口位置部署了一台防火墙,下接三层交换机,现在购买了一台AC,客户需要实现流控、审计、网页过滤等功能,请问根据这样的需求,在对原有的环境改动最小的情况下AC应该如何部署?请根据右边拓扑图手动配置,完成设备部署。练练手场景2客户原有网络拓扑如右图所示,由于某方面的原因,客户想购买一台AC替换掉原有防火墙,请根据图示拓扑信息动手配置一下,完成设备部署。练练手场景3某大型集团公司网络拓扑如右图所示,客户主要需求是对内网上网行为进行审计和内网用户访问网站过滤,并且要求对WEBSERVER的访问进行记录,请根据客户的实际网络讨论以哪种部署方式最适合该客户,并动手完成配置部署。练练手场景4某用户原有网络拓扑如右图所示,现购买一台AC设备,需要实现对内网用户的审计和P2P管控等功能,请问在对用户原有的网络环境改动最小的情况下,AC设备该如何部署才能够满足客户的需求。请分析后画出部署拓扑并动手配置一下完成部署。1.描述什么场景下需要使用路由,网桥,旁路或单臂部署?2.设备旁路模式部署,客户内网有服务器,现想实现内网和外网访问服务器的数据都需要审计,请问如何实现?问题思考Tel:400-630-6430Email:support@sangfor.com.cn
本文标题:SANGFOR_AC_v11.0_2016年度渠道初级认证培训03_安装部署
链接地址:https://www.777doc.com/doc-3517609 .html