1、深信服上網行為管理安裝部署指南特殊網絡環境部署培訓內容培訓目標雙機部署了解雙機的適用環境 掌握設備各種部署模式下的雙機部署和配置方法了解雙機部署下的注意事項多機部署了解多機的適用環境掌握常見網絡中的多機部署及配置方法了解多機部署的注意事項內網有代理服務器環境部署了解內網有代理服務器時設備的部署適用環境掌握常見代理環境中的部署和配置方法了解內網有代理服務器環境下部署的注意事項TRUNK環境部署了解TRUNK環境下部署的適用場景掌握TRUNK環境下的部署和配置方法了解TRUNK環境下部署的注意事項網橋無可用橋地址環境掌握此環境下設備的配置雙機部署多機部署內網代理環境部署SANGFOR AC&SG網

2、橋無可用橋地址環境部署TRUNK環境部署雙機部署雙機部署環境 雙機維護指兩臺設備通過心跳線連接，實現熱備份（保持心跳和配置同步）。正常情況下，只有主設備工作，如果主設備故障，則自動切換到備設備，備設備接替換主設備工作。從而保證客戶的業務不受影響，網絡不中斷。 雙機維護環境只有一臺主設備處于正常工作狀態，另一臺備設備處于監聽狀態。 適用環境：對網絡穩定性要求較高的客戶環境。兩臺設備路由、網橋或旁路部署時，都 支持雙機，但通常情況雙機的兩臺設備多為路由模式。常見網絡環境中的雙機部署方式路由模式下的雙機部署（常見方式）：連接方式：兩臺SANGFOR AC/SG設備的CONSOLE口通過雙機心跳線相連

3、，設備的內外網口各自連接到內外網的二層交換機或三層交換機的同一個VLAN。常見網絡環境中的雙機部署方式網橋模式下的雙機部署連接方式：兩臺AC/SG設備的CONSOLE口之間通過雙機心跳線連接，橋接方式與單臺設備網橋模式類似。常見網絡環境中的雙機部署方式旁路模式下的雙機部署：連接方式：兩臺AC/SG設備的CONSOLE口之間通過雙機心跳線連接。交換機上需要設置兩個相同的鏡像口用于連接到兩臺設備的監聽口，另外兩臺設備的管理口連接到交換機同一個VLAN的接口上。雙機維護配置1、將一臺設備配置好部署模式（路由，網橋或旁路）。2、在同一臺設備啟用雙機服務，并設置雙機的相關選項用于顯示雙機通信是否正常用于

4、設置當前設備名稱，可以自定義方便區分的兩臺設備的名稱設置雙機自動切換的超時時間，默認為10s監測所選擇的網口的連接狀態，如果斷開連接則自動發生主備切換，保證網絡正常。 注意：設備暫時沒有用到的接口請不要勾選，因為接口沒有用卻檢測接口狀態會導致雙機異常。啟用串口故障檢測后，當串口發生故障，可以通過此處選擇的網口發送網絡數據包來檢測對端設備的存在，維護主備關系（如果串口線掉了，很有可能會導致兩臺設備同時切換為主機，為避免IP沖突，會自動將一臺設備切換為備機，恢復成只有一臺設備正常工作的情況）。需要注意的是此處選擇的網口必須接在同一交換機上，否則無效。選擇啟用的目的是在對設備進行升級時，關閉主備機切

5、換功能，避免升級過程中發生主備切換，導致升級失敗。點擊啟用后主備機不能自動切換，請慎用此功能，建議只在對主備機器進行升級維護的時候才開啟此模式，升級完成請后務必關閉升級模式。用于手動切換到主機或備機，并且顯示最后一次主備機切換的時間。用于手動點擊按鈕同步配置。雙機維護配置 3.用同樣的方法配置另外一臺設備 雙機維護配置 4. 將主備機按照物理拓撲連接好，用雙機心跳線（全反線）將兩臺設備的CONSOLE口連接起來。 5. 選擇一臺設備做主機先加電開機，主機啟動后，備機再加電，正常工作后，主機的配置會通過雙機心跳線自動同步到備機，只需要配置主設備即可。雙機維護注意事項1、雙機部署的兩臺設備，軟件版

6、本和硬件型號要一致。2、雙機部署的兩臺設備配置自動實時同步，完全一樣。3、只能2臺設備部署為雙機，2臺以上不支持部署雙機。4、雙機部署的兩臺設備，只有一臺在工作，另一臺在監聽。5、雙機通過console口維護心跳及同步配置。當console出現故障時，可以通過網口維護主備關系6、主備機版本升級，為確保對客戶網絡影響最小，建議下架升級，按照下面的順序進行。備機先下架升級-備機升級完成后上架并切換至主機-觀察工作是否正常-原先的主機下架升級-原先的主機升級完成后上架并切換成主機-觀察工作是否正常。多機部署多機應用環境 多機部署由多臺AC/SG設備通過通信網口同步配置。多機部署的設備同時工作，沒有主

7、備之分。如右圖所示，當兩臺交換機或兩臺路由器主備或主主部署時，AC以多機部署串接在中間。 適用環境： 客戶原有網絡中有多臺交換機，防火墻或路由器主主或主備部署時，AC以網橋串接在中間，建議使用多機部署。部署為多機的設備之間通過通信網口（即空閑的網口）使用組播同步配置。設備的通信網口需要接在同一個網段。多機部署配置1、將需要部署為多機的所有設備均配置為網橋模式。2.、啟用多機同步，并設置多機的相關選項。用于進行設備配置信息同步的網絡接口，此例中使用空閑網口DMZ口做通信網口，所以此處選擇DMZ口。用于給通信網口定義一個IP地址，兩臺設備通信網口的IP地址最好設置同一網段，注意不要跟現有接口的IP

8、地址網段沖突。用于配置設備進行多機同步的組播地址，因為多機同步配置是通過組播實現的，所以通信接口需要屬于同一廣播域，并且此處的的組播地址需要多臺設備設置完全相同。顯示同步設備的IP地址。多機部署配置 3. 按圖如下拓撲接線上架4.配置完成后，點擊向其它設備同步配置，配置會同步至另一臺設備。多機部署注意事項4、多機配置無法實時同步，需要人為點擊同步按鈕1、多機部署的設備，要求軟件版本一致，硬件平臺無要求。2、多機部署的設備同時工作，沒有主備之分3、兩臺或兩臺以上的設備可以部署多機5、多機部署的設備通過網口同步配置內網代理服務器環境部署內網代理服務器環境部署應用場景 內網通過代理服務器上網，由于用

9、戶所有數據是發往代理服務器的，目標IP是代理服務器的IP，真實的上網數據通過代理服務器封裝后轉發到公網。 在這樣的網絡環境下，如果要對上網用戶采用不同的上網策略，記錄真實的訪問公網的數據，AC/SG的部署和其他網絡環境中的部署就有區別 適用環境：用戶通過內網代理服務器上網，并且需要準確識別用戶通過代理服務器上網的數據和分權限控制。常見代理環境中的部署方式1. 代理服務器雙網卡（AC/SG設備路由或網橋模式部署）設備可采取路由模式或網橋模式部署在客戶端與代理服務器之間，考慮到內網改動的大小，建議采用網橋模式部署。必須保證內網發往代理服務器的數據先經過AC/SG設備，也就是代理服務器應該部署于AC

10、/SG設備的WAN口方向。常見代理環境中的部署方式2. 代理服務器雙網卡（AC/SG設備旁路模式部署）如果主要用于審計，設備可采取旁路模式部署，用于監聽內網發往代理服務器的所有數據。常見代理環境中的部署方式3. 代理服務器單網卡（AC/SG設備網橋模式部署）如左圖所示，代理服務器以單臂模式接在核心交換機上。內網用戶上網數據先通過交換機到達代理服務器，再由代理服務器經核心交換機和防火墻到公網。針對這種環境，給出以下解決方案常見代理環境中的部署方式3. 代理服務器單網卡（AC設備網橋模式部署）這種部署默認不支持，需要提前在后臺修改配置。如遇此場景，請聯系廠家技術支持處理。內網代理環境部署配置1.

11、將設備采用以上各拓撲中的部署方式（路由，網橋，旁路）進行配置，然后接入到網絡中。2. 在設備“代理服務器設置”選項中填入代理服務器的IP。在方框里面填上代理服務器IP地址或者IP地址范圍。點擊提交保存配置生效3. 在設備“代理服務器設置”選項中填入代理服務器的IP。內網代理環境部署注意事項1、必須保證客戶端發到代理服務器的數據先經過AC/SG設備，也就是代理服務器應該部署在AC/SG設備的WAN口方向。TRUNK環境部署TRUNK環境部署 Trunk是一種封裝技術，它是一條點到點的鏈路，鏈路的兩端可以都是交換機，也可以是交換機和路由器，還可以是主機和交換機或路由器。VLAN Trunk(虛擬局

12、域網中繼技術)的作用是讓連接在不同交換機或路由器上的相同VLAN中的主機互通。 SANGFOR AC/SG在路由模式下LAN口支持配置為trunk口，網橋模式（包括多網橋）支持穿透trunk封裝的數據。TRUNK環境部署 拓撲如左圖所示，交換機劃分了三個VLAN，VLAN ID分別為10，20，30。路由器內網口配置為trunk口，各vlan間的互訪通過路由器路由。 需求：部署AC實現上網行為管理 TRUNK環境部署：路由模式直接替代原有的路由器做路由模式部署TRUNK環境部署：路由模式_配置思路3、若要實現各VLAN之間的數據互訪，需要將AC設備的LANLAN防火墻規則放通。1、AC路由模式

13、部署直接替代原有的路由器（或FW），并按照路由模式部署配置好設備。2、配置LAN口為trunk口。LAN口IP不能屬于任何VLAN，可隨意配置。啟用vlan接口，分別填寫各個VLAN的ID及IP，此IP即原來路由器（或FW）上各VLAN的網關IP。LAN口（eth0）填寫任一個不存在的IP啟用VLAN并據實填寫VLAN地址信息配置完成后可看到配置匯總信息TRUNK環境部署：路由模式_配置步驟TRUNK環境部署：路由模式_配置步驟TRUNK環境部署：網橋模式不改變原有拓撲結構，AC網橋模式串接在交換機和防火墻之間（推薦方案）1、網橋模式部署在路由器與交換機之間，按網橋模式部署配置好設備。2、網橋

14、IP配置為不屬于任何VLAN的IP，網橋的網關指向任意一個VLAN的網關。配置啟用VLAN，并按格式填寫每個VLAN可用的IP。TRUNK環境部署：網橋模式_配置思路填寫任一個不存在的網橋IP據實填寫其中一個能與互聯網通信的VLAN的網關IP和準確的DNS信息啟用VLAN并填寫VLAN信息配置完成后可看到匯總信息TRUNK環境部署：網橋模式_配置步驟注意AC網橋模式部署在trunk環境中，設備也可以不啟用vlan配置，此時為了管理設備，可以將dmz口接到內網交換機的一個vlan，通過dmz口管理設備。網橋無可用橋地址環境部署網橋無可用橋地址環境部署網橋模式部署（單網橋或多網橋），需要考慮AC所串接的防火墻和交換機之間的網段是否存在空閑的IP地址，如果有則分配一個該網段的IP地址給AC作為網橋的IP地址；如果沒有（如左圖），AC的網橋IP可任意配置，同時將管理口（DMZ口）接到交換機上并配置管理口地址，用于設備管理和設備與外網通信。管理口（DMZ）IP：10.10.10.1/30IP：10.10.10.2/30IP：192.16