深信服部署模式
深信服AD设备典型网络的部署
问题思考
1.请说出AD有哪几种部署模式?几种部署模式之间有什么区别?
路由模式部署案例与配置
配置截图:
1.配置LAN口地址
智能路由下一个PPT 讲解此处不要求掌握
2.配置WAN口接口地址和网关(配置链路带宽,健康检查机制等)
3.配置静态路由(保证AD能够和用户网段通信)4.配置代理上网 6.智能路由
旁路模式部署案例与配置
旁路模式部署案例
用户需求: 不希望改变原来的网络拓扑结构,内 网多台服务器要做服务器负载。此需 求可以选择旁路部署。
AD部署模式介绍
3.旁路模式介绍
旁路部署不需要改动原有网络结构。旁路环 境下AD设备可实现服务器负载和入站链路负 载,不支持出站链路负载。 AD设备旁路部署时,必须连接WAN口到交 换机。WAN口可以和服务器在同一网段,如 果不在同网段,则需要保证AD和服务器路由 可达。 若服务需要发布到公网,需要在边界出口设 备上做的端口映射给AD设备(全映射或者服 务器相关应用端口)
深信服AD设备典型网络的部署
培训内容
AD部署模式介绍 AD典型部署及配置
培训目标
了解AD各种部署模式的应用场景 了解AD各种部署模式的配置方法
深信服 AD
AD部署模式介绍 AD典型部署及配置
AD部署模式介绍
1.什么是部署模式 2.路由模式介绍 3.旁路模式介绍
AD部署模式介绍
ห้องสมุดไป่ตู้1.什么叫部署模式
启用后内网用户才可以从WAN口管理到AD设备。 4. 配置默认路由。 5. 前置防火墙上做端口映射(映射内网服务器的服务端口或者全映射到AD
WAN口IP地址)
旁路模式部署案例与配置
旁路模式部署案例配置截图:
设备部署深信服上网行为管理AC
其它工作模式不支持实现这些功能。
设备部署深信服上网行为管理AC
SANGFOR AC部署模式介绍
➢路由模式部署环境(举例):
设备部署深信服上网行为管理AC
SANGFOR AC部署模式介绍
• 网桥模式_简介
➢ 设备以网桥模式部署时对客户原有的网络基本没有改动。网桥模式部 署AC时,对客户来说AC就是个透明的设备,如果因为AC自身的原因 而导致网络中断时可以开启硬件bypass功能,即可恢复网络通信。
设备部署深信服上网行为管理AC
练练手
情景2
客户原有网络拓扑如右图所示,由于 某方面的原因,客户想购买一台AC替 换掉原有防火墙,请根据图示拓扑信 息动手配置一下,完成设备部署。
设备部署深信服上网行为管理AC
练练手
情景3
某大型集团公司网络拓扑如右图所示, 客户主要需求是对内网上网行为进行 审计和内网用户上网时的URL过滤, 并且要求对WEB SERVER的访问进行 记录,请根据客户的实际网络讨论以 哪种部署方式最适合该客户,并动手 完成配置部署。
设备部署深信服上网行为管理AC
典型部署模式与配置
➢ 网桥模式_配置管理口
•与DMZ口直连 的交换机接口IP
设备部署深信服上网行为管理AC
典型部署模式与配置
➢ 旁路模式_部署指导
1、旁路模式是所有部署模式中最简单的一种,但也是功能实现较弱的一种部署 方式。当客户的需求只是上网审计和基于TCP的应用过滤时,可以考虑此种 部署方式,常见于高校、大型国有企业专门用于AC作审计;
SANGFOR_AD部署指导(路由模式)
电信 NAT
注: 转换源 IP 地址建议只填一个 IP 地址,这样会话保持会比较稳定;1.6 以后版本出接口不能 选“应用于所有接口”
1.3 系统路由(回包路由)
1.4 策略路由 电信走电信,网通走网通,其他的走电信或者网通
网通策略路由
电信的策略路由
其他的策略路由
上面这条“其他的策略路由”在这个例子中就是当目标IP既不是电信也不是网通时,这些数 据走电信或者网通,那么它的选路策略是加权轮询,权值由链路的带宽决定。轮询是根据用 户的,也就是源IP,例如当两条线路的带宽比例是1:1时,源IP为IP1的数据到达AD设备, AD设备会从wan1口转发,当IP2的数据到达AD设备之后,数据会从wan2口转发,由此类推。 并且当AD设备为某个源IP的数据选择了一条线路,那么以这个IP为源的数据也将一直走这 条线路。也就是说对于这些数据设备是有一个根据源IP的会话保持,并且没有超时时间,要 去除这个会话保持只有重启设备。 注意:策略路由对设备自身发起的数据生效
一、实施前准备工作
详细了解客户的需求: 1、链路负载:
链路个数; 带宽大小,是否需做带宽控制; 主要业务需用到的链路; 是否使用 DNS,如果使用请按照《AD 产品域名申请说明.docx》进行申请,并了解详 细需求; 链路类型:电信、网通、教育网等; 出站策略需求: 2、服务器负载:
服务器数量及处理能力:方便制定节点选择算法; 应用类型:方便以后的配置 实际业务需求:是否需做 4、7 层处理; 3、AD 部署位置确认 AD 前面是否存在路由器和防火墙,如存在,前置网关需做端口映射、透明代理、直 通、SNAT: 比如:DNS 策略需开放 tcp、udp53 端口,映射目的 IP 为 AD 设备 DSN 服务器开放 的 IP 地址;
深信服上网行为管理部署方式及功能实现配置说明.
深信服上网行为管理部署方式及功能实现配置说明(标化院)设备出厂的默认IP见下表:AC支持安全的HTTPS登录,使用的是HTTPS协议的标准端口登录。
如果初始登录从LAN口登录,那么登录的URL为:https://10.251.251.251,默认情况下的用户名和密码均为admin。
设备正常工作时POWER灯常亮,W AN口和LAN口LINK灯长亮,ACT灯在有数据流量时会不停闪烁。
ALARM红色指示灯只在设备启动时因系统加载会长亮(约一分钟),正常工作时熄灭。
如果在安装时此红灯长亮,请将设备掉电重启,重启之后若红灯一直长亮不能熄灭,请与我们联系。
『部署模式』用于设置设备的工作模式,可设定为路由模式、网桥模式或旁路模式。
选择一个合适的部署模式,是顺利将设备架到网络中并且使其能正常使用的基础。
路由模式:设备做为一个路由设备使用,对网络改动最大,但可以实现设备的所有的功能;网桥模式:可以把设备视为一条带过滤功能的网线使用,一般在不方便更改原有网络拓扑结构的情况下启用,平滑架到网络中,可以实现设备的大部分功能;旁路模式:设备连接在内网交换机的镜像口或HUB上,镜像内网用户的上网数据,通过镜像的数据实现对内网上网数据的监控和控制,可以完全不需改变用户的网络环境,并且可以避免设备对用户网络造成中断的风险,但这种模式下设备的控制能力较差,部分功能实现不了。
选择【导航菜单】中的『网络配置』→『部署模式』,右边进入【部署模式】编辑页面,点击开始配置,会出现『路由模式』、『网桥模式』、『旁路模式』的选项,选择想要配置的网关模式。
路由模式:是把设备作为一个路由设备使用,一般是把设备放在内网网关出口的位置,代理局域网上网;或者把设备放在路由器后面,再代理局域网上网。
配置方法:第一步:先配置设备,通过默认IP登录设备,比如通过LAN口登录设备,LAN口的默认IP是10.251.251.251/24,在电脑上配置一个此网段的IP地址,通过https://10.251.251.251登录设备,默认登录用户名/密码是:admin/admin。
深信服部署模式
一、AC\SG部署模式:1.1部署模式拓扑图:1.1.1路由部署1.1.2网桥部署:1.1.3旁路部署:1.2部署指导1.2.1 路由模式_部署指导首选需要了解用户的实际需求,以下几种情况必须使用路由模式部署:1、用户必须要用到AC的VPN、NAT(代理上网和端口映射)、DHCP这几个功能。
2、用户在新规划建设的网络中来部署AC,想把AC当作一台网关设备部署在网络出口处。
3、用户网络中已有防火墙或者路由器了,但出于某方面的原因想用AC替换掉原有的防火墙或者路由器并代理内网用户上网。
1.2.2 网桥模式_部署指导1、网桥模式部署相比路由模式对客户的网络影响较小,当客户确定不需要使用AC的VPN、NAT、DHCP功能,且内网已有相应的网关设备时,建议使用网桥模式部署。
2、根据客户的网络结构决定AC采用多网桥或网桥多网口的方式。
网桥多网口常见应用场景:a.两条线路分别接FW1和FW2,内网接交换机,设备在交换机和防火墙之间,网桥模式部署,单进双出做网桥多网口。
b.内网核心交换机和路由器都做双机,加入两台设备,双进单出做网桥多网口。
多网桥常见应用场景:a.设备一进一出做单网桥b.客户内网有VRRP或HSRP环境1.2.3 旁路模式_部署指导1、旁路模式是所有部署模式中最简单的一种,但也是功能实现较弱的一种部署方式。
当客户的需求只是上网审计和基于TCP的应用过滤时,可以考虑此种部署方式,常见于高校、大型国有企业专门用于AC作审计;2、旁路部署时一般设备是接在核心交换机上,核心交换机通过将镜像功能将需要审计的流量镜像过来;3、旁路模式部署时采用管理口(DMZ)配置的IP地址进行管理,其它所有接口均可作为监听口,可使用一个口或者是多个口同时作为监听口,监听口无需任何配置。
二、AF部署模式:2.1 部署模式拓扑图:2.1.1 路由模式:2.1.2 透明模式2.1.3 虚拟网线2.1.4旁路模式:2.1.5混合模式三、SSL VPN部署模式:3.1 部署模式拓扑图3.1.1 网关部署:3.1.2 单臂部署:3.2部署指导3.2.1 网关单线路配置思路1、网关模式配置:确定设备外网口(WAN1口)是固定IP或者是ADSL拨号方式,取得相应运营商给的IP地址信息或者是拨号的帐号密码;确定内网口(LAN口)的IP地址信息;2、上网配置:代理上网(NAT),确定内网是否多网段网络环境,如果是的话需要添加相应的回包路由回指给设备下接的核心交换机。
深信服培训讲义
配置步骤一(IP/MAC认证的用户)
1、首先为办公区的用户建一个用户组
办公区用户
配置步骤一(IP/MAC认证的用户)
2、配置认证策略 新增一个认证策略,选择认证方式,。需求是同时绋定IP/MAC,因 此选择IP/MAC绋定,且绋定方式为用户和地址双向绋定。 开启新用户选项,自劢添加新用户到办公区用户组。
典型部署模式不配置
路由器(FW)
IP:192.168.1.1/24
路由器(FW)
路由器(FW)
AC
网桥IP:192.168.1.3/24 IP:192.168.1.2/24
AC
三层交换机
三层交换机
192.168.2.0/24
192.168.3.0/24
172.16.1.0/24
192.168.2.0/24 192.168.3.0/24 172.16.1.0/24
上网策略典型应用场景及配置某公司网络中充斥着各种流量上班时间p2p下载导致致使办公应用很慢员工上班时间炒股qqmsn聊天玩游戏使得办公效率丌公司决策层希望实现上班时间能封堵所有员工的p2p和迅雷等多线程下载玩游戏和炒股其余部门的人员丌准上班时间使用qq和msn只有技术支持和销售部门才能使用qq和msn聊天但是要审计聊天内容下班时间所有的应用都能允许使用另外所有人的上网行为需要被审计
高。
公司决策层希望实现上班时间能封堵所有员工
的P2P和迅雷等多线程下载,玩游戏和炒股,
其余部门的人员丌准上班时间使用QQ和MSN ,只有技术支持和销售部门才能使用QQ和 MSN聊天,但是要审计聊天内容,下班时间 所有的应用都能允许使用,另外所有人的上网 行为需要被审计。
上网策略典型应用场景及配置
我们先来分析下客户的需求: 1. 技术支持和销售部门上班时间丌允许P2P和迅雷等多线程下载工具 下载,玩游戏和炒股,所有上网行为需要被审计,包拪QQ和MSN 的聊天内容。 其他公司人员上班时间丌允许P2P和迅雷等多线程下载工具下载, 玩游戏和炒股,QQ/MSN聊天,所有上网行为需要被审计
深信服-AC-部署模式
Page7
1.2 网桥模式(续)
功能特点:
(1)AC做网桥部署,相当于网线,平滑架到网络中,不改变客户网络 结构。 (2)单网桥模式下,只有lan口和wan1口可用,dmz口为管理口;多网 桥部署时,设备所有接口均可做网桥接口。 (3)需设置网桥IP,如启用杀毒、邮件过滤等功能,则须配置默认网关 和DNS,并保证 AC本身访问外网(可通过升级控制台工具“ping”测 试 )。 (4)如 启用WEB认证 、准入规则 、URL过滤 ,同时 内网有多网段时, 须添加 到内网非直连网段的路由指向内网路由设备。 (5)网桥模式下不能实现NAT(代理上网和端口映射),vpn、dhcp功 能不可用,不能自定义网口。 (6)设备做多网桥时部署在网关设备与交换机之间,不改动内网环境, 相当于多网口二层交换机。可以实现对内网VRRP环境和双机热备环境的 支持 。 (7)支持802.1Q vlan协议。
Page4
1.1 路由模式(续)
功能特点:
(1)可以实现AC所有功能,对客户网络结构改变较大。 (2)内外网口不能在同一网段,可以自定义网口。 (3)有前置设备情况下,启用网关杀毒、邮件过滤等 功能,或AC需要自动升级URL等内置库时,需要正确设 置前置设备规则(防火墙、路由等),保证AC设备可访 问外网 (所有部署模式下均需注意) (4)客户需要使用nat、vpn和dhcp功能时使用路由模 式。 (5)支持802.1Q vlan协议。
Page23
3.2、内网多网段(极特殊)
路由器(FW) LAN IP: 192.168.1.254 192.168.2.254 192.168.3.254
二层交换机
IP:192.168.1.2/24 GW:192.168.1.254
SANGFOR WANO 部署模式介绍_ZXW
在分支分布较广的情况下,可以采用总部双线路接入,实现电信分支从 总部电信线路接入为主,电信分支与总部网通线路接入为备;网通分支 从总部网通线路接入为主,网通分支与总部电信线路接入为备;既能避 免跨运营导致慢,又可以实现线路冗余。
四、部署注意事项
专线环境推荐用网桥部署;VPN+WANO环境推荐总部用 单臂,分支视具体环境采用单臂或者网关部署。此部署方 式对网络改劢和影响较小。
I
4、单臂纯加速模式
专线
INTE RNET
ET IN TE RN
应用场景: SANGFOR WANO做单臂部署在核心交换机中,通过PBR或者WCCPv2把要加速的 流量引到加速设备上来进行加速。丌但削减了重复流量,而且优化业务的访问速 度。
**此部署模式需要控制好数据流向,避免环路。 **此部署模式可以使用PBR+CDP或者WCCP实现设备故障时自劢恢复原有网络。
2、网桥纯加速模式
RN INTE ET
专线
RN IN TE ET
应用场景: SANGFOR WANO网桥部署在专线路由器和核心交换机中,在丌改劢原有网络结构 的同时,既能对专线上的应用配置丌同优先级的流量策略,又削减了总部分支间 大量的重复流量。丌但保障了重要业务的流量优先,而且优化了总部分支的访问 体验,使有限的带宽发挥更大的价值。
配置VPN连接,具体见用户手册。
网桥纯加速模式配置思路
1、服务模式:只启用加速 部署模式:网桥模式
网桥纯加速模式
A、配置本地子网 2、加速配置 B、配置回包路由 C、加速连接配置(具体见手册)
网桥纯加速模式配置
添加本地加速网段,类似VPN的本地子网功能。
如果启用 了MAC跟踪,网桥 模式下可以不配置回包路由。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1、网桥模式部署相比路由模式对客户的网络影响较小,当客户确定不需要使用AC的VPN、NAT、DHCP功能,且内网已有相应的网关设备时,建议使用网桥模式部署。
2、根据客户的网络结构决定AC采用多网桥或网桥多网口的方式。
网桥多网口常见应用场景:
a.两条线路分别接FW1和FW2,内网接交换机,设备在交换机和防火墙之间,网桥模式部署,单进双出做网桥多网口。
深信服部署模式
————————————————————————————————作者:
————————————————————————————————日期:
一、AC\SG部署模式:
1.1部署模式拓扑图:
1.1.1路由部署
1.1.2网桥部署:
1.1.3旁路部署:
1.2部署指导
1.2.1路由模式_部署指导
2、上网配置:
代理上网(NAT),确定内网是否多网段网络环境,如果是的话需要添加相应的回包路由回指给设备下接的核心交换机。
3.2.2网关多线路配置思路
1、线路确定:跟客户确认有几条公网线路接入,并申请多线路授权
2、网关模式配置:确定设备外网口是固定IP或者是ADSL拨号方式,取得相应运营商给的IP地址信息或者是拨号的帐号密码,给每条外网线路做配置;确定内网口(LAN口)的IP地址信息;
4.2.2单臂模式配置思路:
1.总部配置
1).选择部署模式并配置内网接口信息
2).在前置防火墙添加路由,目标IP为分支所在的网段(10.0.1.0/24),网关指向VPN设备(192.200.1.252),具体配置不再详细说明。
3.在前置防火墙配置端口映射(具体配置不再详细说明)
2.分支配置(参考网关模式部署配置)
2、旁路部署时一般设备是接在核心交换机上,核心交换机通过将镜像功能将需要审计的流量镜像过来;
3、旁路模式部署时采用管理口(DMZ)配置的IP地址进行管理,其它所有接口均可作为监听口,可使用一个口或者是多个口同时作为监听口,监听口无需任何配置。
二、AF部署模式:
2.1部署模式拓扑图:
2.1.1路由模式:
首选需要了解用户的实际需求,以下几种情况必须使用路由模式部署:
1、用户必须要用到AC的VPN、NAT(代理上网和端口映射)、DHCP这几个功能。
2、用户在新规划建设的网络中来部署AC,想把AC当作一台网关设备部署在网络出口处。
3、用户网络中已有防火墙或者路由器了,但出于某方面的原因想用AC替换掉原有的防火墙或者路由器并代理内网用户上网。
2.1.2透明模式
2.1.3虚拟网线
2.1.4旁路模式:
2.1.5混合模式
三、SSL VPN部署模式:
3.1部署模式拓扑图
3.1.1网关部署:
3.1.2单臂部署:
3.2部署指导
3.2.1网关单线路配置思路
1、网关模式配置:
确定设备外网口(WAN1口)是固定IP或者是ADSL拨号方式,取得相应运营商给的IP地址信息或者是拨号的帐号密码;确定内网口(LAN口)的IP地址信息;
b.内网核心交换机和路由器都做双机,加入两台设备,双进单出做网桥多网口。
多网桥常见应用场景:
a.设备一进一出做单网桥
b.客户内网有VRRP或HSRP环境
1.2.3旁路模式_部署指导
1、旁路模式是所有部署模式中最简单的一种,但也是功能实现较弱的一种部署方式。当客户的需求只是上网审计和基于TCP的应用过滤时,可以考虑此种部署方式,常见于高校、大型国有企业专门用于AC作审计;
3、配置SSL VPN多线路
四、IPsecVPN部署模式:
4.1部署模式拓扑图:
4.1.1网关模式部署
4.1.2单臂模式部署:
4.2配置思路
4.2.1网关模式部署配置思路:
1.选择部署模式并配置内,外网接口信息
2.配置代理上网同时放通防火墙规则
3.本案例内网有三层环境,还需配置回包路由
4.若设备还提供SANGFOR VPN服务,VPN连进来后需要访问内网所有的网段,还需要添加本地子网(VPN的具体配置请参考《DLAN互联基础配置》。
2、前置网关做TCP 443和80端口映射(如果用到IPSEC VPN还需要映射TCP / UDP 4009端口)
3.2.4单臂Biblioteka 线路部署配置思路:1、单臂模式配置:给设备LAN口分配一个可以上网的IP地址、填写正确的网关IP、DNS;
2、前置网关分别做两条线路的TCP 443和80端口映射(如果用到IPSEC VPN还需要映射TCP / UDP 4009端口)
3、上网配置:代理上网(NAT),确定内网是否多网段网络环境,如果是的话需要添加相应的回包路由回指给设备下接的核心交换机。
4、多线路配置:可根据客户需求设置IPSEC VPN多线路,SSL VPN多线路传输,上网数据的多线路选路策略。
3.2.3单臂单线路部署配置思路
1、单臂模式配置:给设备LAN口分配一个可以上网的IP地址,填写正确的网关IP、DNS;