目 AF路由模式（WAN口直接撥號或接固定InternetIP線路 AF路由模式（支持VLAN環境 AF路由模式（內網通過服務器上網 AF網橋部署（啟用Bypass功能 網絡環境確客戶網絡環境確認□ □小區寬 □光 □AC不需部署在網□固定 □動態獲 □公網 □私網 □不使用□10M電 □100M電 □1000M電 □多模光 □單模光□ □ □ □ □ □不使用Trunk中是否使用了VLANID為1的VLAN：□ □□ □ □不使用ADSL撥□ □ □非網橋部分配給AC的網橋IP是否能公網□ □ □非網橋部測試/實施前準備工測試/實施前AF1820（含）以上高端設備，需走高端設備AF1720（含）以下設備，先走下面的自檢流硬件檢軟件檢10 獲取用戶的詳細資包括:企業名稱、通訊地址、聯系人、獲取用戶的網絡環在測試或實施之前，至少提前兩天確定好客戶環境以及部署方案。對沒有把握的配置或部署方式，請在進試或實施的前兩天咨詢總部相應產品的產品專家。如果產品專家確認沒有這類成功案例，請產品專家至少提前一天通知研發相關接口人準備。準備期間需要補充獲取的信息，請駐外同事積極協助。例如：客戶的網絡環境，并完成《網絡環境確認表》。確保客戶網絡環境具備安裝條件再安排上門實施。如客戶網絡不具備安裝條件，跟客戶協商網絡整改時間。待整改獲取用戶的軟硬件例如：客戶的網絡環境、是否有域服務器、是否使用服務器等信息、客戶的關鍵業務數據流是怎樣走的等，完成《網絡環境確認表》。確保客戶網絡環境具備安裝條件再安排上門實施。如客戶網絡不具備安裝條件，跟客戶協商網絡整改時間。待整改建議獲取其他廠商在用戶環境中的測試情在測試前，建議了解一下客戶有沒有測試過相同類型的產品，了解一下測試其他同類產品時所遇到的問題，并根據客戶需要測試的產品的功能，分析一下sangfor設備去實施方案確定及項目驗收應注意的問向客戶出具實施方案前，需先跟客戶溝通，確保實施方案的內容和形式符合客戶項目驗收前需跟客戶就驗收文檔的內容和形式達成一致，按照客戶的期望提交驗約定上門的時同客戶確認上門時間，以保證客戶方有對公司內部網絡情況較為熟悉的人員配合實施。整理安裝實施所需要的資整理安裝實施過程中需要攜帶的設備和資料，例如：筆記本電腦，交叉線，常用的軟件，上門反饋表，工牌等。測試前需要給設備打上補丁設備上架規設備上架準110—遠離強功率無線電發射臺、發（螺絲刀、水晶頭壓線鉗等上架保障措再上架，當確認設備工作正常后再加入這些。網絡的IP地址。設備備及電纜的重量，設備四周留出10cm1：電源線：內容為電纜對端位置2：信號線：兩面內容分別標3：粘貼之前先在整版紙上填設備安裝檢應該可以聽到風扇旋轉，網絡設Webagent實施規如客戶中心端有固定IP的情況，技術交流、測試（實施）時優先選擇并引導客戶使用固定IP。如客戶有自己的Web服務器（該服務器必須單獨部署于IDC機房或者與設備使用不同的網絡出口）的情況，技術交流、測試（實施）時優先選擇并引導客戶將Webagent服務部署在自己的服務器上。在上述條件都的情況下，可以為客戶提供免費的Webagent服務，同時，請在實施（測試）時與客戶進行事前溝通，讓客戶了解會盡可能為客戶提供穩定的Webagent服務，但無法保證Webagent服務不因Internet網絡故障、IDC機房故 所有支持bypass的設備，在做透明模式和虛擬網線模式部署的時候，必須在實施時檢測設備的bypass功能是否生效，以避免因為硬件故障引起客戶的業務中斷。建議檢測方法如下：不同型號設備的bypass口位置不同，會在設備面板上標出，請根據實際型號調整接線網口，部署好設備之后，關閉電源，從bypass口所接的電腦上前置設備的接口或者公網IP，如果可以通，表示bypass功能生效注意事項：目前所有AF設備型號均支持開機bypass功能，故請注意在實施時不能把一對bypass口接在同一交換機上，避免形成環路。內網有承載重要業務的設備時AF部署注sangfor設備M5X00、M5X00-S、M5X00-QAF需要在出口做網橋或者路由模式部署，請在架上AF前，將內網這些設備的IP填入排除IP地址列表，請提前設置這些設備的權限全部放通，并根據業務數據所使用的協議在內容安全策略中放通。以此避免架上AF后影響客戶正常業務的風險。網絡中有ISA服務器時的配置注意AF在結合ISA服務器環境，并且使用ISA客戶端的時候，無特殊要求盡量把Skype的智能識別規則禁用，因為環境下識別Skype有問題，有可能會把ISA數據識別成Skype，如果做了Skype的配置，可能會導致ISA客戶端無法正常檢查光口兼容如果有使用到AF的光口和其他設備連接，請在連接完成后，嘗試將AF的光口的網線拔掉再插上，觀察一下光口的狀態，看光口在插拔一次后能不能正常使用，如果插各種網絡環境下的基本配置目通過基本配置，能保證SANGFOR設備上架后客戶網絡的正常運轉，AF的各種策略可 IP線路）網絡拓或者路由模式部署，ETH2IP地址，ETH1口連接局域網交換機。接線規基本配置規Manage：51/24，默認用戶名2、配ETH2、ETH1為路由口,ETH2接口WAN屬性，正確配置AFIP地址和外網IP地址，合理配置區域信息，要求接口、內網接口應屬于不同的區域。5、AF路由模式，單線路時，應添加全0的默認路由；當是多條線路時，應配置策6、根據內網的網段來配置源地址轉換規則，如果有內網服務器發布到，應配置目的地址轉換規則，根據需要配置雙向NAT規則或DNSmap。8ARPARP（AF）ARP9、設備上架以后，建議通過升級客戶端登陸設備，地址，盡可能的驗證每個服務器和每個私有網段的連通性，包括tcp、udp和icmp協議，看是否有丟包現象；查看網兼容性問題；查看設備路由表，arp表是否正確。注意事設備、DNAT到內網等場景，應給每條線路配置策略路由。4、做NAT池時，最好把運營商分配的用作NAT的地址都配置在接口上（也有遇到過不配置服務器看到的源IP地址都為設備LANIP地址或者DNS-MAp。AF出接口IP。生效；在某些不恰當的接線方式下，開啟ARP會導致網絡中斷,請注意這一點。管理IPmanage口只做管理用，不要配置在雙機的網口列表中。 路由模式（通過前置網關設備上網網絡拓置網關的內網接口，ETH1口連接內部局域網的交換機。接線規基本配置規Manage：51/24，默認用戶名2ETH2、ETH1接口為路由口,ETH2接口啟用WAN屬性，正確配AFIP地址和外網IP地址，合理配置區域信息，要求接口、內網接口應屬于不同的區域。 網關設備WAN口的地址，并放通前置網關上的規則。5、AF路由模式，單線路時，應添加全0的默認路由；當是多線路時，應配置策略6、根據內網的網段來配置源地址轉換規則，如果有內網服務器發布到，應配置目的地址轉換規則，根據需要配置雙向NAT規則或DNSmap。8ARPARP（AF）ARP10、設備上架以后，建議通過升級客戶端登陸設備，地址，盡可能的驗證每個服務器和每個私有網段的連通性，包括tcp、udpicmp協議，看是否有丟包現象；查看網兼容性問題；查看設備路由表，arp表是否正確。注意事設備、DNAT到內網等場景，應給每條線路配置策略路由。4、做NAT池時，最好把運營商分配的用作NAT的地址都配置在接口上（也有遇到過不配置服務器看到的源IP地址都為設備LANIP地址或者DNS-MAp。AF出接口IP。生效；在某些不恰當的接線方式下，開啟ARP會導致網絡中斷。管理IP不能刪除。應將manage口只做管理用 網關設備WAN口的地址，并放通前置網關上的規則。AF路由模式（VLAN環境網絡拓網交換機的TRUNK口。接線規基本配置規Manage：51/24，默認用戶名5、AF路由模式，單線路時，應添加全0的默認路由；當是多線路時，應配置策略6、根據內網的網段來配置源地址轉換規則，如果內網有服務器發布到應配置目的地址轉換規則，根據需要配置雙向NAT規則或DNSmap。8ARPARP（AF）ARP9、設備上架以后，建議通過升級客戶端登陸設備，地址，盡可能的驗證每個服務器和每個私有網段的連通性，包括tcp、udp和icmp協議，看是否有丟包現象；查看網兼容性問題；查看設備路由表，arp表是否正確。注意事設備、DNAT到內網等場景，應給每條線路配置策略路由。4、做NAT池時，最好把運營商分配的用作NAT的地址都配置在接口上（也有遇到過不配置服務器看到的源IP地址都為設備LANIP地址或者DNS-MAp。AF出接口IP。生效；在某些不恰當的接線方式下，開啟ARP會導致網絡中斷。管理IP不能刪除。應將manage口只做管理用 路由模式（內網通過服務器上網網絡拓接線規基本配置規2、配ETH2、ETH1為路由口,ETH2接口WAN屬性，正確配置AFIP地址和外網IP地址，合理配置區域信息，要求接口、內網接口應屬于不同的區域。4AF路由模式，單線路時（單個ISA），應添加全0的默認路由；當是多線路時（多個ISA），應配置策略路由，具體策略路由的配置根據客戶需求合理配置，下面有多個網段時，要在AF中添加各個網段的回程路由。換規則，根據需要配置雙向NAT規則或DNSmap。7ARPARP（AF）ARP8、設備上架以后，建議通過升級客戶端登陸設備，地址，盡可能的驗證每個服務器和每個私有網段的連通性，包括tcp、udp和icmp協議，看是否有丟包現象；查看網兼容性問題；查看設備路由表，arp表是否正確。13、內網PC在IE瀏覽器-INTERNET選項-連接-局域網設置-服務器設置將AF的IP排除，詳細設置請參照《SINFOR_AC_案例分析(2009年度技術培訓)_ 注意事設備、DNAT到內網等場景，應給每條線路配置策略路由。4、做NAT池時，最好把運營商分配的用作NAT的地址都配置在接口上（也有遇到過不配置5、內網有服務器，內網需要根據方式來的，要注意做雙向地址轉換保證服務器看到的源IP地址都為設備LANIP地址或者DNS-MAp。AF出接口IP。生效；在某些不恰當的接線方式下，開啟ARP會導致網絡中斷。管理IP不能刪除。應將manage口只做管理用。 路由模式（雙機熱備-主備網絡拓接線規ETH1AFETH1基本配置規MANAGE:51/24，默認用戶名Admin/sangfor3、配置AF設備的ETH1、ETH2、ETH3口為路由口，ETH3口啟WAN屬性；其中ETH1口作為高可用性口配置HA屬性地址，正確配置AF內網IP地址和IP地址，合理配置區域信息，要求接口、內網接口應屬于不同的區域。Modem（106、AF路由模式，單線路時，應添加全0的默認路由；當是多線路時，應配置策略7、根據內網的網段來配置源地址轉換規則，如果有內網服務器發布到應配置目的地址轉換規則，根據需要配置雙向NAT規則或DNSmap。9ARPARP（AF）ARP10、設備上架以后，建議通過升級客戶端登陸設備，地址，盡可能的驗證每個服務器和每個私有網段的連通性，包括tcp、udpicmp協議，看是否有丟包現象；查看網兼容性問題；查看設備路由表，arp表是否正確。MANAGE:51/24，默認用戶名Admin/sangfor由組，虛擬組ID應與主機設備相同；啟用配置同步，并選擇同步信息。注意事設備、DNAT到內網等場景，應給每條線路配置策略路由。5、做NAT池時，最好把運營商分配的用作NAT的地址都配置在接口上（也有遇到過不配置服務器看到的源IP地址都為設備LANIP地址或者DNS-MAp。AF出接口IP。會生效；在某些不恰當的接線方式下，開啟ARP會導致網絡中斷。管理IP不能刪除。應將manage口只做管理用 路由模式（雙機熱備-主主網絡拓環境描述：兩臺同時工作，正常情況下內網用戶A通過路由器A上網；內網用戶B內網用戶B可以走路由器A上網；當A掛了，內網用戶都走B上網；當B掛了，內網用戶都走A上網接線規口連接三層交換A，兩AFETH4口連接三層交B，AFETH5口使用交叉線對接另一臺AF設備ETH5口MANAGE:51/24，默認用戶名3、配AFETH1、ETH2、ETH3、ETH4、ETH5口為路由口，ETH1、ETH2WAN性；其中ETH5口作為高可用性口配置HA屬性地址，正確配置AF內網IP地址和IP地址，合理配置區域信息，要求接口、內網接口應屬于不同的區域。7、AF路由模式，單線路時，應添加全0的默認路由；當是多線路時，應配置策略8、根據內網的網段來配置源地址轉換規則，如果有內網服務器發布到，應配置目的地址轉換規則，根據需要配置雙向NAT規則或DNSmap。10、開ARP能和ARP能，以讓前置設備（如AF的網關設備）能更新到AF的11、設備上架以后，建議通過升級客戶端登陸設備，地址，盡可能的驗證每個服務器和每個私有網段的連通性，包括tcp、udp和icmp協議，看是否有丟包現象；查看在兼容性問題；查看設備路由表，arp表是否正確。13、開放內網服務器和網絡設備的全部上網權限，開放主動內網服務器的相關權MANAGE:51/24，默認用戶名Admin/sangfor18、配置AFB設備的高可用性，選擇本機地址，對端地址；啟機熱備，并設置HA注意事1、雙機配置中，eth0口設置在虛擬路由組的“網口列表”中，否則可能會導致無2、路由模式下，相鄰交換機的IP必須在不同網段，因為AF兩個互為備份的接口不能配置在同一網段，否則回包路由不明確，上圖中即路由器A和路由器B在不同網段，交換機A和交換機B在不同網段。設備、DNAT到內網等場景，應給每條線路配置策略路由。7、做NAT池時，最好把運營商分配的用作NAT的地址都配置在接口上（也有遇到過不配置服務器看到的源IP地址都為設備LANIP地址或者DNS-MAp。AF出接口IP。會生效；在某些不恰當的接線方式下，開啟ARP會導致網絡中斷。管理IP不能刪除。應將manage口只做管理用。 基本網橋模式配置網絡拓環境描述：ETH2口連接互聯網，ETH1口連接局域網交換機，將設備部署在部署設備前后對接線規基本配置規ARP6、設備上架以后，建議通過升級客戶端登陸設備，地址，盡可能的驗證每個服務器和每個私有網段的連通性，包括tcp、udp和icmp協議，看是否有丟包現象；查看網兼容性問題；查看設備路由表，arp表是否正確。注意事生效；在某些不恰當的接線方式下，開啟ARP會導致網絡中斷。認管理IP不能刪除。應將manage口只做管理用 網橋模式（支持鏈路聚合網絡拓環境描述：局域網交換機與出口路由相連的接口啟用了鏈路聚合（hash802.ad，不支持輪詢。將設備部署在出口和局域網交換機之間，設備ETH1、ETH2口連接內網接口，設備ETH3、ETH4口連接局域網交換機。部署設備前后對接線規基本配置規Manage：51/24，默認用戶名2、配ETH1、ETH2、ETH3、ETH4接口為透明口，并選擇連接類access，ETH1ETH3的accessID設置1，ETH2ETH4accessID設置2,ETH1、ETH2口啟用WAN屬性，合理配置區域信息，要求接口、內網接口應屬于不同的區域。3、設備上架前放通相應的應用控制策略并確認放通所有2層協議。AF默認策略是全部5ARPARP（AF）ARP6、設備上架以后，建議通過升級客戶端登陸設備，地址，盡可能的驗證每個服務器和每個私有網段的連通性，包括tcp、udp和icmp協議，看是否有丟包現象；查看網兼容性問題；查看設備路由表，arp表是否正確。注意事生效；在某些不恰當的接線方式下，開啟ARP會導致網絡中斷。認管理IP不能刪除。應將manage口只做管理用。AF網橋模式（支持VLAN網絡拓環境描述：局域網交換機與相連的接口啟用了TRUNK。將設備部署在和局域網交換機之間，設備ETH2口連接內網接口，設備ETH1口連接局域網交換 部署設備前后對接線規基本配置規1、通過管理IP登錄設備，設備管理口默認的IP地址為：2、ETH2、ETH1接口為透明口，并選擇連接類trunk，NativeVlan根據客戶設備而IPETH2ARP6、設備上架以后，建議通過升級客戶端登陸設備，地址，盡可能的驗證每個服務器和每個私有網段的連通性，包括tcp、udp和icmp協議，看是否有丟包現象；查看網兼容性問題；查看設備路由表，arp表是否正確。注意事生效；在某些不恰當的接線方式下，開啟ARP會導致網絡中斷。認管理IP不能刪除。應將manage口只做管理用。 網橋模式（內網通過服務器上網環境一網絡拓環境1描述：服務器路由模式部署在局域網交換機與之間。將設備部署在服務器和局域網交換機之間，設備ETH2口連接服務器內網接口，設備ETH1部署設備前后對比設備WAN口與服務器方向的交換機相連，設備LAN口連接局域網交換機。部署設備前后對比接線規基本配置規1、通過管理IP登錄設備，設備管理口默認的IP地址為：2、配置ETH2、ETH1接口為透明口，并選擇正確的連接類型，當需要進行vlan時選擇trunk，當無需vlan時，選擇access并配置同一ID，ETH2口啟用WAN屬性，合理配置區域信息，要求接口、內網接口應屬于不同的區域。ARP7、設備上架以后，建議通過升級客戶端登陸設備，地址，盡可能的驗證每個服務器和每個私有網段的連通性，包括tcp、udp和icmp協議，看是否有丟包現象；查看網兼容性問題；查看設備路由表，arp表是否正確。注意事生效；在某些不恰當的接線方式下，開啟ARP會導致網絡中斷。 網橋模式（內網通過服務器上網環境二網絡拓環境描述：服務器單臂模式部署在局域網交換機與之間。將設備部署在服務器和局域網交換機之間，設備ETH2口連接服務器內網接口，設備ETH1口部署設備前后對接線規基本配置規ARP7、設備上架以后，建議通過升級客戶端登陸設備，地址，盡可能的驗證每個服務器和每個私有網段的連通性，包括tcp、udp和icmp協議，看是否有丟包現象；查看網兼容性問題；查看設備路由表，arp表是否正確。注意事生效；在某些不恰當的接線方式下，開啟ARP會導致網絡中斷。認管理IP不能刪除。應將manage口只做管理用。 網橋模式（VRRP、雙機熱備環境網絡拓環境描述：前置設備啟用VRRP協議或雙機熱備，將設備以網橋多網口的方式部署在前置設備和局域網交換AFETH1口連接路A，兩AFETH2口連接路由器B,AFETH3口連接三層交換機AAFETH4口連接三層交換機B，AF設備ETH5口使用交叉線對接另一臺AF設備ETH5口部署設備前后對接線規口連接三層交換A，兩AFETH4口連接三層交B，AFETH5口使用交叉線對接另一臺AF設備ETH5口基本配置規MANAGE:51/24，默認用戶名trunkETH2-ETH4為同一IDaccess口或相vlan范圍trunk口，啟用接要求接口、內網接口應屬于不同的區域。5VRRPIP112。AF默認策略是全部的，應放通內網的相關應用，如果內網有服務器發布到公7、設備上架以后，建議通過升級客戶端登陸設備，地址，盡可能的驗證每個服務器和每個私有網段的連通性，包括tcp、udp和icmp協議，看是否有丟包現象；查看網兼容性問題；查看設備路由表，arp表是否正確。MANAGE:51/24，默認用戶名Admin/sangfor。15、B設備關機上架，接好ETH1、ETH2、ETH3、ETH4四根網線，并確認接好HA注意事生效；在某些不恰當的接線方式下，開啟ARP會導致網絡中斷。認管理IP不能刪除。應將manage口只做管理用 網橋模式（動態路由網絡拓環境描述：交換機和前置之間啟用動態路由協議（ospf），將設備以多網橋的方式部署置設備和局域網交換機之間，設備ETH1、ETH2口連接前置設備，設備ETH3、ETH4口連接局域網交換機。部署設備前后對接線規口連接三層交換A，兩AFETH4口連接三層交B，AFETH5口使用交叉線對接另一臺AF設備ETH5口基本配置規MANAGE:51/24，默認用戶名3、配AF設備ETH1ETH2ETH3ETH4口為透明模式接口，ETH5為路由模式，其口，啟用接口link狀態聯動，新增物理接口ETH1-ETH3聯動、ETH2-ETH4聯動，合理配置區域信息，要求接口、內網接口應屬于不同的區域。7、設備上架以后，建議通過升級客戶端登陸設備，地址，盡可能的驗證每個服務器和每個私有網段的連通性，包括tcp、udp和icmp協議，看是否有丟包現象；查看網兼容性問題；查看設備路由表，arp表是否正確。MANAGE:51/24，默認用戶名Admin/sangforHA注意事生效；在某些不恰當的接線方式下，開啟ARP會導致網絡中斷。認管理IP不能刪除。應將manage口只做管理用。AF網橋部署（Bypass功能網絡拓環境描述：以AF1120為例設備網橋模式部署，將設備部署在和局域網交換機之間，ETH2口連接前置，ETH1口連接局域網交換機，并啟用Bypass功能。其他型號設備的bypass口在面板上可見標出。 部署設備前后對接線規基本配置規Manage：51/24，默認用戶名接口啟WAN設備上需要跑vlan發，則連接類trunkvlan圍信息，合理配置區域信息，要求接口、內網接口應屬于不同的區域。5、設備上架以后，建議通過升級客戶端登陸設備，地址，盡可能的驗證每個服務器和每個私有網段的連通性，包括tcp、udp和icmp協議，看是否有丟包現象；查看網兼容性問題；查看設備路由表，arp表是否正確。注意事生效；在某些不恰當的接線方式下，開啟ARP會導致網絡中斷。認管理IP不能刪除。應將manage口只做管理用。 mac 混合部署（路由加網橋網絡拓路由器走NAT出去上網，不希望將公網ip都配置到路由設備上再做端口映射，而是服務器直接配置公網ip，現在希望AF能代替路由器。接線規基本配置規Manage：51/24，默認用戶名用WAN屬性；ETH3口為路由模式，正確配置AF內網IP地址到ETH3口，IP地址到新建Vlan接口Veth.1接口，合理配置區域信息，要求接口、內網接口應屬于不同4、AF路由模式，單線路時，應添加全0的默認路由；當是多線路時，應配置策略5、根據內網的網段來配置源地址轉換規則，如果有內網服務器發布到，應配置目的地址轉換規則，根據需要配置雙向NAT規則或DNSmap。7ARPARP（AF）ARP8、設備上架以后，建議通過升級客戶端登陸設備，地址，盡可能的驗證每個服務器和每個私有網段的連通性，包括tcp、udp和icmp協議，看是否有丟包現象；查看網兼容性問題；查看設備路由表，arp表是否正確。注意事設備、DNAT到內網等場景，應給每條線路配置策略路由。5、做NAT池時，最好把運營商分配的用作NAT的地址都配置在接口上（也有遇到過不配置服務器看