1、深信服上網(wǎng)行為管理安裝部署典型環(huán)境部署培訓(xùn)內(nèi)容培訓(xùn)目標(biāo)AC/SG典型部署模式介紹了解AC/SG有幾種部署模式以及每處部署模式適用場(chǎng)景AC/SG典型部署模式配置能根據(jù)客戶不同場(chǎng)景選擇恰當(dāng)?shù)牟渴鹉Ｊ讲ⅹ?dú)立完成部署配置AC/SG典型部署模式總結(jié)掌握不同部署模式的區(qū)分別及注意事項(xiàng)AC/SG典型部署模式介紹SANGFOR AC&SGAC/SG典型部署模式配置AC/SG典型部署模式總結(jié)AC/SG典型部署模式介紹SANGFOR AC/SG部署模式介紹部署模式_簡(jiǎn)介部署模式是指設(shè)備以什么樣的工作模式部署到客戶網(wǎng)絡(luò)中去，不同的部署模式對(duì)客戶原有網(wǎng)絡(luò)的影響各有不同；設(shè)備在不同模式下支持的功能也各不一樣，設(shè)備以何種

2、方式部署需要綜合用戶具體的網(wǎng)絡(luò)環(huán)境和功能需求而定。根據(jù)客戶需求及環(huán)境不同，AC/SG設(shè)備支持路由、網(wǎng)橋、旁路、單臂四種部署模式。其中SG支持上述四種部署，AC支持前三種部署。SANGFOR AC/SG部署模式介紹路由模式/網(wǎng)關(guān)模式_簡(jiǎn)介設(shè)備以路由模式部署時(shí)，AC的工作方式與路由器相當(dāng)，具備基本的路由轉(zhuǎn)發(fā)及NAT功能。一般在客戶還沒有相應(yīng)的網(wǎng)關(guān)設(shè)備，需要將AC做網(wǎng)關(guān)使用時(shí)，建議以路由模式部署。 路由模式下支持AC所有的功能。如果需要使用NAT、VPN、DHCP等功能時(shí)，AC必須以路由模式部署，其它工作模式?jīng)]有這些功能。SANGFOR AC/SG部署模式介紹路由模式部署環(huán)境（舉例）：SANGFOR

3、 AC/SG部署模式介紹網(wǎng)橋模式_簡(jiǎn)介設(shè)備以網(wǎng)橋模式部署時(shí)對(duì)客戶原有的網(wǎng)絡(luò)基本沒有改動(dòng)。網(wǎng)橋模式部署AC時(shí)，對(duì)客戶來說AC就是個(gè)透明的設(shè)備，如果因?yàn)锳C自身的原因而導(dǎo)致網(wǎng)絡(luò)中斷時(shí)可以開啟硬件bypass功能，即可恢復(fù)網(wǎng)絡(luò)通信。網(wǎng)橋模式部署時(shí)AC不支持NAT（代理上網(wǎng)和端口映射）、VPN、DHCP等功能。SANGFOR AC/SG部署模式介紹網(wǎng)橋模式部署環(huán)境-多網(wǎng)橋（舉例）：?jiǎn)尉W(wǎng)橋多網(wǎng)橋SANGFOR AC/SG部署模式介紹旁路模式_簡(jiǎn)介旁路模式主要用于實(shí)現(xiàn)審計(jì)功能，完全不需要改變用戶的網(wǎng)絡(luò)環(huán)境，通過把設(shè)備的監(jiān)聽口接在交換機(jī)的鏡像口，實(shí)現(xiàn)對(duì)上網(wǎng)數(shù)據(jù)的監(jiān)控。這種模式對(duì)用戶的網(wǎng)絡(luò)環(huán)境完全沒有影響，即

4、使宕機(jī)也不會(huì)對(duì)用戶的網(wǎng)絡(luò)造成中斷。旁路模式部署只用于上網(wǎng)行為的審計(jì)和基于TCP應(yīng)用的控制，對(duì)基于UDP協(xié)議的應(yīng)用無法控制。不支持流量管理、NAT、 VPN、 DHCP等功能。監(jiān)聽口管理口監(jiān)聽口管理口SANGFOR AC/SG部署模式介紹旁路模式部署環(huán)境（舉例）：SANGFOR SG部署模式介紹單臂模式_簡(jiǎn)介單臂模式部署只適用于SG產(chǎn)品，當(dāng)客戶有代理需求，又不希望影響網(wǎng)絡(luò)中其它的設(shè)備部署或替換原有代理服務(wù)器，考慮用單臂部署SANGFOR SG部署模式介紹單臂模式部署環(huán)境（舉例）：eth0SANGFOR SG部署模式介紹SG單臂模式部署環(huán)境（舉例）：AC/SG典型部署模式配置典型部署模式與配置 路

5、由模式_部署指導(dǎo)首選需要了解用戶的實(shí)際需求，以下幾種情況 必須使用路由模式部署：1、用戶必須要用到AC的VPN、NAT（代理上網(wǎng)和端口映射）、DHCP等功能。2、用戶在新規(guī)劃建設(shè)的網(wǎng)絡(luò)中來部署AC，想把AC當(dāng)作一臺(tái)網(wǎng)關(guān)設(shè)備部署在網(wǎng)絡(luò)出口處。3、用戶網(wǎng)絡(luò)中已有防火墻或者路由器了，但出于某方面的原因想用AC替換掉原有的防火墻或者路由器并代理內(nèi)網(wǎng)用戶上網(wǎng)。典型部署模式與配置 路由模式_配置思路1、網(wǎng)口配置：配置各網(wǎng)口地址。如果是固定IP，則填寫運(yùn)營商給的IP地址及網(wǎng)關(guān)；如果是ADSL拔號(hào)上網(wǎng)，則填寫運(yùn)營商給的拔號(hào)賬號(hào)和密碼；確定內(nèi)網(wǎng)口的IP地址信息；2、確定內(nèi)網(wǎng)是否為多網(wǎng)段網(wǎng)絡(luò)環(huán)境，如果是的話需要添

6、加相應(yīng)的回包路由，將到內(nèi)網(wǎng)各網(wǎng)段的數(shù)據(jù)回指給設(shè)備下接的三層設(shè)備。3、用戶是否需要通過AC設(shè)備上網(wǎng)，如果是的話，需要設(shè)置地址轉(zhuǎn)換規(guī)則。4、檢察并放通防火墻規(guī)則。典型部署模式與配置需求：某用戶網(wǎng)絡(luò)環(huán)境如右圖，現(xiàn)將AC部署在網(wǎng)絡(luò)出口，實(shí)現(xiàn)AC代理內(nèi)網(wǎng)所有用戶上網(wǎng)。路由模式_應(yīng)用舉例配置思路： 1.選擇部署模式并配置內(nèi)/外網(wǎng)口 2.配置代理上網(wǎng)3.檢查lan to wan防火墻規(guī)則是否放行，默認(rèn)放行典型部署模式與配置路由模式_應(yīng)用舉例_配置步驟定義網(wǎng)絡(luò)接口配置外網(wǎng)接口地址，可以自動(dòng)獲取，手動(dòng)配置或adsl撥號(hào)填寫需要代理上網(wǎng)的網(wǎng)段。此處配置也可以在【防火墻】下的【NAT代理上網(wǎng)】中添加。配置完成，點(diǎn)擊

7、提交，設(shè)備重啟典型部署模式與配置 網(wǎng)橋模式_部署指導(dǎo)1、網(wǎng)橋模式部署相比路由模式對(duì)客戶的網(wǎng)絡(luò)影響較小，當(dāng)客戶內(nèi)網(wǎng)已有相應(yīng)的網(wǎng)關(guān)設(shè)備時(shí)，建議使用網(wǎng)橋模式部署。2、根據(jù)客戶的網(wǎng)絡(luò)結(jié)構(gòu)決定AC采用多網(wǎng)橋方式，如雙網(wǎng)橋橋常部署在vrrp環(huán)境。典型部署模式與配置 網(wǎng)橋模式_配置思路1、配置設(shè)備網(wǎng)橋地址，網(wǎng)關(guān)地址，DNS地址。2、確定內(nèi)網(wǎng)是否為多網(wǎng)段網(wǎng)絡(luò)環(huán)境，如果是的話需要添加相應(yīng)的回包路由，將到內(nèi)網(wǎng)各網(wǎng)段的數(shù)據(jù)回指給設(shè)備下接的三層設(shè)備。3、檢察并放通防火墻規(guī)則。典型部署模式與配置網(wǎng)橋模式-應(yīng)用舉例需求：某用戶網(wǎng)絡(luò)環(huán)境如右圖，AC部署在防火墻與交換機(jī)之間，實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)用戶的上網(wǎng)控制。配置思路：1、選擇部署模

8、式并配置接口地址。2、配置到內(nèi)網(wǎng)的回指路由3、配置用戶上網(wǎng)策略（此處略，詳見培訓(xùn)PPT SANGFOR_AC&SG_v6.0_2015年度渠道初級(jí)認(rèn)證培訓(xùn)09_組織結(jié)構(gòu)與上網(wǎng)策略）4.檢查lan to wan防火墻規(guī)則是否放行，默認(rèn)放行典型部署模式與配置 網(wǎng)橋模式_應(yīng)用舉例_配置步驟定義網(wǎng)橋列表配置網(wǎng)橋地址，網(wǎng)關(guān)和DNS。橋地址應(yīng)該是FW和交換機(jī)所在網(wǎng)段可用的一個(gè)地址，設(shè)備網(wǎng)關(guān)配置前置FW的地址，DNS配置可用DNS配置管理口地址，并啟用“自動(dòng)放通防火墻規(guī)則”。除了橋地址管理設(shè)備，dmz口也可以管理設(shè)備。配置完成，點(diǎn)擊提交，設(shè)備自動(dòng)重啟典型部署模式與配置 旁路模式_部署指導(dǎo)1、旁路模式對(duì)客戶網(wǎng)

9、絡(luò)影響最小，主要用于審計(jì)。當(dāng)客戶的需求只是上網(wǎng)審計(jì)和基于TCP的應(yīng)用過濾時(shí)，可以考慮此種部署方式。2、旁路部署時(shí)設(shè)備接在核心交換機(jī)上鏡像口，設(shè)備監(jiān)聽鏡像口的流量實(shí)現(xiàn)審計(jì)。3、旁路模式部署時(shí)采用管理口（DMZ）配置的IP地址進(jìn)行管理，其它所有接口均可作為監(jiān)聽口，可使用一個(gè)口或者是多個(gè)口同時(shí)作為監(jiān)聽口，監(jiān)聽口無需任何配置。典型部署模式與配置 旁路模式_配置思路1、交換機(jī)設(shè)置鏡像口，并接到監(jiān)聽口。2、配置需要審計(jì)的內(nèi)網(wǎng)網(wǎng)段和服務(wù)器網(wǎng)段。3、配置管理口地址，用于登錄管理設(shè)備。典型部署模式與配置旁路模式-應(yīng)用舉例需求：用戶網(wǎng)絡(luò)環(huán)境如右圖，AC以旁路模式部署在三層交換機(jī)上，用來審計(jì)200.200.0.0/

10、16這個(gè)網(wǎng)段的用戶上網(wǎng)行為。配置思路：1、配置部署模式2、配置管理口（DMZ）地址3、配置監(jiān)聽網(wǎng)段。典型部署模式與配置 旁路模式_應(yīng)用舉例_配置步驟若設(shè)備需要跟外網(wǎng)通訊，需配置好網(wǎng)關(guān)和DNS填寫需要審計(jì)的內(nèi)網(wǎng)網(wǎng)段配置完成點(diǎn)擊提交典型部署模式與配置 單臂模式_部署指導(dǎo)單臂模式部署只適用于SG產(chǎn)品，當(dāng)客戶有代理需求，又不希望影響網(wǎng)絡(luò)中其它的設(shè)備部署或替換原有代理服務(wù)器，考慮用單臂部署。典型部署模式與配置 單臂模式_配置思路1、配置設(shè)備接口地址，網(wǎng)關(guān)地址及DNS地址。2、配置設(shè)備代理設(shè)置。3、客戶端PC配置SG作為代理服務(wù)器。典型部署模式與配置 單臂模式_應(yīng)用舉例_配置步驟需求：客戶原有使用squi

11、d代理內(nèi)網(wǎng)PC上網(wǎng) ，現(xiàn)需要使用SG替換Squid代理服務(wù)器，代理內(nèi)網(wǎng)PC上網(wǎng)。配置思路：1、配置設(shè)備接口地址，網(wǎng)關(guān)地址及DNS地址。2、配置設(shè)備代理設(shè)置。3、客戶端PC配置SG作為代理服務(wù)器。10.10.2.106/24eth010.10.2.106/24eth0典型部署模式與配置 單臂模式_應(yīng)用舉例_配置步驟SANGFOR SG部署模式介紹SG單臂模式部署環(huán)境（舉例）：AC/SG典型部署模式總結(jié)AC/SG典型部署模式總結(jié)1、路由模式可以實(shí)現(xiàn)設(shè)備所有功能，網(wǎng)橋模式其次，旁路模式多用于審計(jì)，只能對(duì)tcp應(yīng)用控制，控制功能最弱。2、路由模式對(duì)客戶原有網(wǎng)絡(luò)改造影響最大，網(wǎng)橋模式其次，旁路模式對(duì)客戶

12、原有網(wǎng)絡(luò)改造無影響，即使設(shè)備宕機(jī)也不會(huì)影響客戶斷網(wǎng)。3、設(shè)備路由模式最多支持4條外網(wǎng)線路（需要足夠的授權(quán)），默認(rèn)最多使用eth0到eth7共8個(gè)接口。網(wǎng)橋模式最多支持4對(duì)網(wǎng)橋，默認(rèn)最多使用eth0到eth7共8個(gè)接口。旁路模式除了管理口外，其它網(wǎng)口均可作為監(jiān)聽口。4、若設(shè)備面板有10個(gè)網(wǎng)口，eth0到eth7為電口，eth8和eth9為光口，現(xiàn)需要部署為四網(wǎng)橋，前三對(duì)網(wǎng)橋?yàn)殡娍冢谒膶?duì)網(wǎng)橋?yàn)楣饪?。則需要先通過SANGFOR設(shè)備升級(jí)系統(tǒng)將eth8和eth9兩個(gè)光口與eth0到eth7之間的兩個(gè)電口交換才能滿足需求練練手場(chǎng)景1客戶原有網(wǎng)絡(luò)如右圖，在出口位置部署了一臺(tái)防火墻，下接三層交換機(jī)，現(xiàn)在購買

13、了一臺(tái)AC，客戶需要實(shí)現(xiàn)流控、審計(jì)、網(wǎng)頁過濾等功能，請(qǐng)問根據(jù)這樣的需求，在對(duì)原有的環(huán)境改動(dòng)最小的情況 下AC應(yīng)該如何部署？請(qǐng)根據(jù)左邊拓?fù)鋱D手動(dòng)配置一下，完成設(shè)備部署。練練手場(chǎng)景2客戶原有網(wǎng)絡(luò)拓?fù)淙缬覉D所示，由于某方面的原因，客戶想購買一臺(tái)AC替換掉原有防火墻，請(qǐng)根據(jù)圖示拓?fù)湫畔?dòng)手配置一下，完成設(shè)備部署。練練手場(chǎng)景3某大型集團(tuán)公司網(wǎng)絡(luò)拓?fù)淙缬覉D所示，客戶主要需求是對(duì)內(nèi)網(wǎng)上網(wǎng)行為進(jìn)行審計(jì)和內(nèi)網(wǎng)用戶訪問網(wǎng)站過濾，并且要求對(duì)WEB SERVER的訪問進(jìn)行記錄，請(qǐng)根據(jù)客戶的實(shí)際網(wǎng)絡(luò)討論以哪種部署方式最適合該客戶，并動(dòng)手完成配置部署。練練手場(chǎng)景4某用戶原有網(wǎng)絡(luò)拓?fù)淙缬覉D所示，現(xiàn)購買一臺(tái)AC設(shè)備，需要實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)