1、SANGFOR NGAF 基本網(wǎng)絡(luò)環(huán)境部署培訓(xùn)內(nèi)容培訓(xùn)目標(biāo)NGAF接口和區(qū)域設(shè)置了解物理接口的應(yīng)用場景，掌握物理接口的配置。了解子接口的應(yīng)用場景，掌握子接口的配置。了解VLAN接口的應(yīng)用場景，掌握VLAN接口的配置。了解區(qū)域的用途，掌握二層區(qū)域、三層區(qū)域和虛擬網(wǎng)線區(qū)域的配置。NGAF靜態(tài)路由和策略路由功能了解靜態(tài)路由功能的應(yīng)用場景，掌握靜態(tài)路由功能的配置。 了解策略路由功能的應(yīng)用場景，掌握源地址策略路由和多線路負(fù)載路由的配置。 SANGFOR NGAF 接口和區(qū)域設(shè)置SANGFOR NGAF 基本網(wǎng)絡(luò)環(huán)境部署案例深信服公司簡介SANGFOR NGAF 靜態(tài)路由和策略路由SANGFOR NGAF

2、 策略路由應(yīng)用案例SANGFOR NGAF1.1 物理接口1.2 子接口1.3 VLAN接口1.4 區(qū)域NGAF 接口和區(qū)域設(shè)置1.1 物理接口 物理接口與NGAF設(shè)備面板上的接口一 一對應(yīng)，根據(jù)網(wǎng)口數(shù)據(jù)轉(zhuǎn)發(fā)特性的不同，可選擇路由接口、透明接口和虛擬網(wǎng)線接口三種類型，每種接口又可設(shè)置WAN 或非WAN屬性。物理接口無法刪除或新增，物理接口的數(shù)目由硬件型號決定。1.1.1 路由接口路由接口：如果設(shè)置為路由接口，則需要給該接口配置IP地址，且該接口具有路由轉(zhuǎn)發(fā)功能。部分功能要求出接口是WAN屬性，比如流控、策略路由等。設(shè)置接口的下一跳網(wǎng)關(guān)，用于鏈路故障檢測，并不會自動生成的缺省路由，需手動添加缺省

3、路由。接口的線路帶寬設(shè)置與流量管理無關(guān)，用于策略路由根據(jù)接口帶寬占用比例選路。實(shí)時檢測接口的鏈路狀態(tài)，以及多條外網(wǎng)線路情況下，某條線路故障，流量自動切換到其它線路，均需開啟鏈路故障檢測。WAN屬性的接口必須開啟鏈路故障檢測功能。1.1.1 路由接口管理口：Eth0為固定的管理口，接口類型為路由口，且無法修改。Eth0可增加管理IP地址，默認(rèn)的管理IP 51/24無法刪除。1.1.2 透明接口透明接口：透明接口相當(dāng)于普通的交換網(wǎng)口，不需要配置IP地址，不支持路由轉(zhuǎn)發(fā)，根據(jù)MAC地址表轉(zhuǎn)發(fā)數(shù)據(jù)。部分功能要求接口是WAN屬性，當(dāng)接口設(shè)置成透明WAN口時，注意設(shè)備上架時不要接反了線，導(dǎo)致部分功能失效。

4、1.1.3 虛擬網(wǎng)線接口虛擬網(wǎng)線接口：虛擬網(wǎng)線接口也是普通的交換接口，不需要配置IP地址，不支持路由轉(zhuǎn)發(fā)，轉(zhuǎn)發(fā)數(shù)據(jù)時，無需檢查MAC表，直接從虛擬網(wǎng)線配對的接口轉(zhuǎn)發(fā)。虛擬網(wǎng)線接口的轉(zhuǎn)發(fā)性能高于透明接口，單進(jìn)單出網(wǎng)橋的環(huán)境下，推薦使用虛擬網(wǎng)線接口部署。配置虛擬網(wǎng)線接口后，還需配置虛擬網(wǎng)線，將虛擬網(wǎng)線接口對應(yīng)起來。1.1.3 虛擬網(wǎng)線接口在負(fù)載均衡網(wǎng)絡(luò)中，透明部署NGAF設(shè)備，要求eth1和eth3這對網(wǎng)口，與eth2和eth4這對網(wǎng)口二層隔離，即從eth1口進(jìn)入的數(shù)據(jù)必須從eth3口轉(zhuǎn)發(fā)，eth2口進(jìn)入的數(shù)據(jù)必須從eth4口轉(zhuǎn)發(fā)。我們通過配置虛擬網(wǎng)線接口來滿足部署的需求。1.2 子接口子接口：子

5、接口應(yīng)用于路由接口需要啟用VLAN TRUNK的場景。選擇在哪個路由口下添加子接口。設(shè)置此子接口的VLAN ID設(shè)置子接口的IP地址子接口是邏輯接口，只能在路由口下添加子接口。子接口的下一跳網(wǎng)關(guān)和鏈路故障檢測根據(jù)實(shí)際環(huán)境進(jìn)行配置。1.3 VLAN接口VLAN接口：為VLAN定義IP地址，則會產(chǎn)生VLAN接口。VLAN接口也是邏輯接口。填寫對應(yīng)的VLAN ID。設(shè)置對應(yīng)VLAN網(wǎng)段的IP地址VLAN接口的下一跳網(wǎng)關(guān)和鏈路故障檢測根據(jù)實(shí)際環(huán)境進(jìn)行配置。接口設(shè)置注意事項當(dāng)設(shè)備有多個路由接口時，多個路由接口可設(shè)置同網(wǎng)段的IP地址，通過靜態(tài)路由決定數(shù)據(jù)從哪個網(wǎng)口轉(zhuǎn)發(fā)數(shù)據(jù)。3. 管理口不支持設(shè)置成透明接口

6、或虛擬網(wǎng)線接口，如果要設(shè)置2對或2對以上的虛擬網(wǎng)線接口，則必須要求設(shè)備不少于5個物理接口，預(yù)留一個專門的管理口Eth0。2. 設(shè)備支持配置多個WAN屬性的路由接口連接多條外網(wǎng)線路，但是需要開通多條線路的授權(quán)。4. 一個路由接口下可添加多個子接口，路由接口的IP地址不能與子接口的IP地址在同網(wǎng)段。1.4 區(qū)域區(qū)域：用于定義和歸類接口，以供防火墻、內(nèi)容安全、服務(wù)器保護(hù)、流量管理等模塊調(diào)用。只能選擇所有的透明接口只能選擇所有的三層接口只能選擇所有的虛擬網(wǎng)線接口定義區(qū)域時，需根據(jù)控制的需求來規(guī)劃，可以將一個接口劃分到一個區(qū)域，或?qū)讉€相同需求的接口劃分到同一個區(qū)域。一個接口只能屬于一個區(qū)域。可以在區(qū)域

7、中選擇接口；也可以預(yù)先設(shè)置好區(qū)域名稱，在接口中選擇區(qū)域。基本網(wǎng)絡(luò)環(huán)境部署案例用戶需求：某用戶內(nèi)網(wǎng)有服務(wù)器群，服務(wù)器均配置公網(wǎng)IP地址，提供所有用戶直接通過公網(wǎng)IP地址接入訪問。 內(nèi)網(wǎng)用戶使用私有地址，通過NAT轉(zhuǎn)換上網(wǎng)。希望將NGAF設(shè)備部署在公網(wǎng)出口的位置，保護(hù)服務(wù)器群和內(nèi)網(wǎng)上網(wǎng)數(shù)據(jù)的安全。部署方式推薦：使用混合模式部署，NGAF設(shè)備連接公網(wǎng)和服務(wù)器群的2個接口使用透明access口，連接內(nèi)網(wǎng)網(wǎng)段使用路由接口。基本網(wǎng)絡(luò)環(huán)境部署案例基本網(wǎng)絡(luò)環(huán)境部署案例NGAF部署分析：由于服務(wù)器均有公網(wǎng)IP地址，所以AF設(shè)備連接公網(wǎng)線路的接口eth1與連接服務(wù)器群接口eth2使用透明access接口，并設(shè)置相

8、同的VLAN ID。即可實(shí)現(xiàn)所有用戶通過公網(wǎng)IP直接訪問到服務(wù)器群。新增VLAN1接口，分配一個公網(wǎng)IP地址。AF設(shè)備與內(nèi)網(wǎng)相連的接口eth3使用路由接口，設(shè)置與內(nèi)網(wǎng)交換機(jī)同網(wǎng)段的IP地址，并設(shè)置靜態(tài)路由與內(nèi)網(wǎng)通信。（靜態(tài)路由配置省略）內(nèi)網(wǎng)用戶上網(wǎng)時，轉(zhuǎn)換源IP地址為VLAN1接口的IP地址。（NAT配置省略）根據(jù)需求，劃分為一個二層區(qū)域選擇網(wǎng)口eth1和eth2；劃分兩個三層區(qū)域，其中“外網(wǎng)區(qū)域”選擇VLAN接口vlan1；“內(nèi)網(wǎng)區(qū)域”選擇接口eth3。基本網(wǎng)絡(luò)環(huán)境部署案例配置截圖：1. 設(shè)置物理接口eth1、eth2和eth3：基本網(wǎng)絡(luò)環(huán)境部署案例2. 設(shè)置VLAN接口：基本網(wǎng)絡(luò)環(huán)境部署案

9、例3. 區(qū)域設(shè)置：2.1 靜態(tài)路由2.2 策略路由2.3 策略路由應(yīng)用案例NGAF 靜態(tài)路由和策略路由功能2.1 靜態(tài)路由NGAF的靜態(tài)路由用于手動添加路由條目，可新增單個靜態(tài)路由或新增多個靜態(tài)路由。當(dāng)接口設(shè)置為“自動選擇”時，設(shè)備將根據(jù)下一跳IP地址自動匹配路由出接口。當(dāng)AF設(shè)備有多個路由接口設(shè)置了同網(wǎng)段的IP地址時，通過手動指定接口來匹配路由從哪個接口轉(zhuǎn)發(fā)。按照示例格式填寫，一行對應(yīng)一條靜態(tài)路由，接口和度量值可省略。2.2 策略路由NGAF的策略路由功能主要用于設(shè)備有多個接口和多條外網(wǎng)線路時，根據(jù)源/目的IP、源/目的端口、協(xié)議等條件進(jìn)行出接口和線路選擇，以實(shí)現(xiàn)不同的數(shù)據(jù)走不同的外網(wǎng)線路的

10、自動選路功能。策略路由常用的應(yīng)用場景：1. 源地址策略路由：根據(jù)源IP地址和協(xié)議選擇接口或下一跳，實(shí)現(xiàn)用戶訪問數(shù)據(jù)的分流。可實(shí)現(xiàn)不同網(wǎng)段的內(nèi)網(wǎng)用戶，分別通過不同的線路接口訪問公網(wǎng)。2. 多線路負(fù)載路由：設(shè)備上有多條外網(wǎng)線路，通過策略路由的輪詢，帶寬比例，加權(quán)最小流量，優(yōu)先使用前面的線路的接口策略，動態(tài)的選擇線路，實(shí)現(xiàn)線路帶寬的有效利用、備份和負(fù)載均衡。2.2 策略路由源地址策略路由：根據(jù)源IP地址和協(xié)議選擇接口或下一跳只能選擇WAN屬性的路由接口可直接填寫下一跳，設(shè)備將自動匹配出接口（不限于接口LAN/WAN屬性）。2.2 策略路由多線路負(fù)載路由：選擇WAN屬性的路由口可選擇輪詢、帶寬比例、加

11、權(quán)最小流量、優(yōu)先使用前面線路四種策略。2.3 策略路由應(yīng)用案例用戶環(huán)境：某用戶網(wǎng)絡(luò)環(huán)境如圖所示，公網(wǎng)出口有兩條電信線路，內(nèi)網(wǎng)用戶訪問教育網(wǎng)資源必須通過專線才能訪問到。用戶需求：1. 內(nèi)網(wǎng)所有用戶訪問網(wǎng)上銀行TCP 443端口的數(shù)據(jù)全部走10M電信線路。2. 內(nèi)網(wǎng)用戶訪問公網(wǎng)時按照帶寬比例自動選擇線路。3. 訪問教育網(wǎng)的所有資源均走專線。2.3 策略路由應(yīng)用案例配置思路：1. 接口和區(qū)域設(shè)置：1.1 連接公網(wǎng)電信線路的兩個接口eth1和eth2必須設(shè)置成WAN屬性的路由口，且正確配置下一跳網(wǎng)關(guān)，線路帶寬，開啟鏈路故障檢測。（配置省略）1.2 定義“內(nèi)網(wǎng)區(qū)域”，將eth3接口劃分到“內(nèi)網(wǎng)區(qū)域”。（

12、配置省略）策略路由設(shè)置：2.1 添加源地址策略路由，來自于“內(nèi)網(wǎng)區(qū)域”，目標(biāo)IP選擇全部，目標(biāo)端口為TCP 443的數(shù)據(jù)，選擇接口eth2。2.2 添加源地址策略路由，來自于“內(nèi)網(wǎng)區(qū)域”，目標(biāo)ISP為教育網(wǎng)，填寫下一跳地址為。2.3 添加多線路負(fù)載路由，來自于“內(nèi)網(wǎng)區(qū)域”，目標(biāo)IP選擇全部，選擇接口eth1和eth2，接口選擇策略為帶寬比例。2.3 策略路由應(yīng)用案例靜態(tài)路由設(shè)置3.1 添加靜態(tài)路由/ ,下一跳指向eth2接口的網(wǎng)關(guān) 。 添加靜態(tài)路由是為了防止策略路由失效的情況下，內(nèi)網(wǎng)用戶還可以通過靜態(tài)路由訪問公網(wǎng)。2.3 策略路由應(yīng)用案例策略路由配置步驟： 添加源地址策略路由2.3 策略路由應(yīng)

13、用案例策略路由配置步驟： 添加源地址策略路由2.3 策略路由應(yīng)用案例策略路由配置步驟： 添加多線路負(fù)載路由2.3 策略路由應(yīng)用案例靜態(tài)路由配置：靜態(tài)路由和策略路由功能注意事項策略路由優(yōu)先于靜態(tài)路由。每一條外網(wǎng)線路必須至少有一條策略路由與之對應(yīng)，源地址策略路由或多線路負(fù)載路由均可。源地址策略路由選擇接口時，只能選擇WAN屬性的路由接口。源地址策略路由，通過直接填寫路由的下一跳，可以實(shí)現(xiàn)從設(shè)備非WAN屬性的接口轉(zhuǎn)發(fā)數(shù)據(jù)。多線路負(fù)載路由選擇的接口，必須是WAN屬性的路由接口，必須開啟鏈路故障檢測功能，才能實(shí)現(xiàn)線路故障自動切換。多條策略路由，按照從上往下的順序匹配，一旦匹配到某條策略路由后，不再往下匹配。練練手某客戶原來的網(wǎng)絡(luò)拓?fù)淙缬覉D所示， 公網(wǎng)出口為電信和網(wǎng)通雙線路。現(xiàn)需要部署SANGFOR NGAF設(shè)備用來保護(hù)服務(wù)器和內(nèi)網(wǎng)用戶上網(wǎng)的安全，此外還需要實(shí)現(xiàn)內(nèi)網(wǎng)用戶