深信服上网行为管理特殊网络环境

1、SANGFOR AC&SG特殊特殊 网络环境部署网络环境部署 培训内容培训目标 AC双机环境下的部署 了解双机维护功能的适用环境 掌握设备各种部署模式下的双机部署和配置方法 了解双机部署下的注意事项 AC多机环境下的部署 了解多机功能的适应环境 掌握常见网络中的多机部署及配置方法 了解多机部署的注意事项 内网有代理服务器环境下的 部署 了解内网有代理服务器的部署适用环境 掌握常见代理环境中的部署和配置方法 了解内网代理服务器环境下部署的注意事项 AC在TRUNK环境下的部署 了解TRUNK环境下部署的适应场景 掌握TRUNK环境下的部署和配置方法 了解TRUNK环境下部署的注意事项 双机维护环

2、境部署 多机同步环境部署 内网代理环境部署 SANGFOR AC&SG TRUNK环境部署 双机维护环境部署 双机维护环境部署 双机维护是指两台设备通过双机心 跳线连接，实现互为备份。正常情 况下，只有主设备工作，如果网络 失去与主设备的通信，则自动切换 到备机，保证客户的业务不受影响， 网络不中断。 双机维护环境只有一台主设备处于 正常工作状态，另一台备设备处于 监听状态。 适用环境：对网络稳定性要求较高的 客户环境 常见网络环境中的双机部署方式 （1）路由模式下的双机部署： 连接方式： 两台SANGFOR AC设备通过双 机心跳线（全反线）将 CONSOLE口进行连接，设备的 内外网口各自

3、连接到内外网的二 层交换机或三层交换机的同一个 VLAN接口上。 常见网络环境中的双机部署方式 （2）网桥模式下的双机部署 两台AC设备之间通过双机心跳 线（全反线）将其CONSOLE 口进行连接，桥接方式与单台 设备网桥模式下类似。 常见网络环境中的双机部署方式 （3）旁路模式下的双机部署： 两台AC设备之间通过双机心跳线 （全反线）将其CONSOLE口进行 连接。 交换机上需要设置两个相同的镜像 口用于连接到两台设备的监听口， 另外两台设备的管理口需要连接到 交换机同一个VLAN的接口上。 双机维护配置 1.启用双机服务，并设置双机的相关选项 用于显示双机通信是否正常用于显示双机通信是否正

4、常 用于设置当前设备名称，可以自用于设置当前设备名称，可以自 定义方便区分的两台设备的名称定义方便区分的两台设备的名称 设置双机自动切换的超时时间，默认为设置双机自动切换的超时时间，默认为10s10s 监测以下网口的连接状态，如果断开连接则监测以下网口的连接状态，如果断开连接则 自动发生主备切换，保证网络正常。注意：自动发生主备切换，保证网络正常。注意： 设备暂时没有用到的接口请不要勾选，因为设备暂时没有用到的接口请不要勾选，因为 接口没有用却检测接口状态会导致双机异常。接口没有用却检测接口状态会导致双机异常。 启用串口故障检测后，当串口发生故障，启用串口故障检测后，当串口发生故障， 如串口的

5、线掉了，可以通过此处选择的网如串口的线掉了，可以通过此处选择的网 口发送网络数据包来检测对端设备的存在。口发送网络数据包来检测对端设备的存在。 如果串口线掉了，很有可能会导致两台设如果串口线掉了，很有可能会导致两台设 备同时切换为主机，为避免备同时切换为主机，为避免IPIP冲突，会自冲突，会自 动将一台设备切换为备机，恢复一台设备动将一台设备切换为备机，恢复一台设备 工作的正常情况，需要注意的是此处选择工作的正常情况，需要注意的是此处选择 的网口必须接在同一交换机上，否则无效。的网口必须接在同一交换机上，否则无效。 选择启用的目的是在对设备进行升级时，关闭主备机切换功能，选择启用的目的是在对设

6、备进行升级时，关闭主备机切换功能， 避免升级过程中发生主备切换，导致升级失败。点击启用后主备避免升级过程中发生主备切换，导致升级失败。点击启用后主备 机不能自动切换，请慎用此功能，建议只在对主备机器进行升级机不能自动切换，请慎用此功能，建议只在对主备机器进行升级 维护的时候才开启此模式，升级完成请后务必关闭升级模式。维护的时候才开启此模式，升级完成请后务必关闭升级模式。 用于手动切换到主机或备机，并且用于手动切换到主机或备机，并且 显示最后一次主备机切换的时间。显示最后一次主备机切换的时间。用于手动点击按钮同步配置。用于手动点击按钮同步配置。 双机维护配置（续） 2.用同样的方法配置另外一台设

7、备 双机维护配置（续） 3. 将主备机按照物理拓扑连接好，用双机心跳线（全反线）将两台设 备的CONSOLE口连接起来。 4. 选择一台设备做主机先加电开机，主机启动后，备机再加电，正常 工作后，主机的配置会通过双机心跳线同步到备机，只需要配置主设 备即可。 双机维护配置注意事项 （1）双机部署的两台设备，软件版本和硬件型号要一致。 （2）双机部署的两台设备配置完全一样，包括接口配置，序列号除外。 （3）切换部署模式，恢复备份的配置，修改系统时间等会导致设备 重启的操作，建议先开启升级模式，否则可能会在设备重启过程中 发生主备切换导致配置同步有问题。 多机同步环境部署 多机同步应用环境 AC的

8、多机同步主要应用于内网设备启 用VRRP，确保任一条链路故障， VRRP进行切换时，也能无缝支持。 多机同步功能由多台SANGFOR AC设 备通过通信网口同步配置，库文件和 用户在线状态等信息，多机环境下所 有的AC设备是同时工作的，实现在 VRRP环境下某条线路断掉，无缝切 换到另一条线路，策略和用户状态的 一致性，用户上网不需要重新认证。 适用环境： 内网VRRP，对网络可靠性有较高需 求，需要多台AC互为热备的情况。 常见网络中的多机部署方式 多机同步一般应用于内网VRRP环境，常用的部署方式是AC设备网桥模式 多机功能，首先需要设置设备的通信网口， 通信网口用于处于同一个组播域的多机

9、设备 之间的通信。 通信网口的要求： （1）可用的网口，可以指定正在使用的网口， 也可以指定空闲的网口； （2）如果指定正在使用的网口做通信网口， 则需要保证这两个网口处于同一广播域，即 处于同一个二层环境； （3）如果指定空闲网口做通信网口，则需要 将两个空闲网口用交叉线直连。 （4）通信网口不能选择拨号网口或者DHCP 获取IP的网口。 常见网络中的多机部署方式 如果左边拓扑图中AC下面接 的是三层交换机，那么要使用 空闲网口口做为通信网口，采 用如图的接线方式 多机同步配置 1. 启用多机同步，并设置多机的相关选项。 用于进行设备配置信息同步用于进行设备配置信息同步 的网络接口，此例中使

10、用空的网络接口，此例中使用空 闲网口闲网口DMZDMZ口做通信网口，口做通信网口， 所以此处选择所以此处选择DMZDMZ口。口。 用于给通信网口定义一个用于给通信网口定义一个IPIP地址，地址， 两台设备通信网口的两台设备通信网口的IPIP地址最好地址最好 设置同一网段，注意不要跟现有设置同一网段，注意不要跟现有 接口的接口的IPIP地址网段冲突。地址网段冲突。 用于配置设备进行多机同步的组播地址，用于配置设备进行多机同步的组播地址， 因为多机同步时通过组播实现的，所以因为多机同步时通过组播实现的，所以 通信接口需要属于同一广播域，并且此通信接口需要属于同一广播域，并且此 处的的组播地址需要多

11、台设备设置完全处的的组播地址需要多台设备设置完全 相同。多机同步配置设备组播地址可以相同。多机同步配置设备组播地址可以 用组播地址范围的任意地址用组播地址范围的任意地址。 显示同步设备的显示同步设备的IPIP地址。地址。 多机同步配置 2. 在另外一台设备上开启多机功能并进行相关的配置 3.配置完成后，点击向其它设备同步配置，此时设备会发送同步信号， 进行设备的配置同步和信息同步。点击“查看同步报告”可查看同步信 息。 多机同步配置注意事项 （4）做多机的设备要求硬件型号和软件版本完全一致。 （1）当多机环境中某台设备的配置改变时，设备中会有提示，点击“向其它设 备同步配置”则立即向另外一台设

12、备发同步命令进行配置同步。 （2）在线用户状态时实时同步的，也就是一旦有新的用户通过认证，那么多机会 立即同步，注意不需要认证的用户（只绑定IP/MAC的用户）的在线状态是不会同 步的。 （3）做多机同步的几台设备网口IP地址是需要设置不一样的，网口IP地址这些 配置也不会进行同步。 内网代理服务器环境 部署 内网代理服务器环境部署应用场景 内网通过代理的方式上网的网络环境， 由于用户所有数据是发往代理服务器的， 目标IP是代理服务器的IP，真实的上网 数据通过代理服务器封装后转发到公网。 在这样的网络环境下，如果要对上网用 户采用不同的上网策略，记录真实的访 问公网的数据，AC的部署和其他网

13、络环 境中的部署就有区别 适用环境：用户通过内网代理服务器上 网，并且需要准确识别用户通过代理服 务器上网的数据和分权限控制。 常见代理环境中的部署方式 1. 代理服务器双网卡（AC设备路由或网桥模式部署） 在设备“代理服务器设置”选项中填入 代理服务器的IP。 设备可采取路由模式、网桥模式部署在客 户端与代理服务器之间，考虑到内网改动的 大小，建议采用网桥模式部署。 必须保证内网发往代理服务器的数据先经过 AC设备，也就是代理服务器应该部署于AC设 备的WAN口方向。 把AC设备的IP在客户端电脑的IE代理排除列 表里排除掉。 常见代理环境中的部署方式 2. 代理服务器双网卡（AC设备旁路模

14、式部署） 在设备“代理服务器设置” 选项中填入代理服务器的IP。 如果仅用于审计或仅控制TCP 协议的数据，设备可采取旁路模 式部署，用于监听内网发往代理 服务器的所有数据。 常见代理环境中的部署方式 3. 代理服务器单网卡（AC设备网桥模式部署） 如左图所示，代理服务器以单 臂模式接在核心交换机上。 内网用户上网数据先通过交换 机到达代理服务器，再由代理 服务器经核心交换机和防火墙 出到公网。 针对这种环境，给出以下两种 解决方案： 常见代理环境中的部署方式 方案一： 在AC设备“代理服务器设置”选项 中填入代理服务器的IP。 3. 代理服务器单网卡（AC设备网桥模式部署） 在防火墙、代理服

15、务器与核心交换机之间 再加多一台二层交换机，或者将代理服务器 迁移至防火墙的接口上。如果原来代理服务 器与防火墙内网口不在同一个VLAN，则需 要重新规划代理服务器或防火墙网段的IP。 将AC|SG网桥模式部署在核心交换机与新 增的二层交换机之间，确保上网数据只一次 通过设备 常见代理环境中的部署方式 方案二： 在设备“代理服务器设置”选项中 填入代理服务器的IP。 3. 代理服务器单网卡（AC设备网桥模式部署） 将AC|SG网桥模式部署在单臂代理服 务器与核心交换机之间。 联系深信服800，协助修改系统后台配 置。因为这样部署，上网数据会两次经 过设备，如果不修改后台配置，那么在 线用户列表

16、中会出现公网IP。 内网代理环境部署配置 1. 将设备采用以上各拓扑中的部署方式进行配置，然后接入到网络中。 关于网关模式配置在初级培训中均已涉及，此处不再赘述。 2. 在设备“代理服务器设置”选项中填入代理服务器的IP。 在方框里面填上代理服务器在方框里面填上代理服务器 IPIP地址或者地址或者IPIP地址范围。地址范围。 点击提交保存配置生效点击提交保存配置生效 内网代理环境部署注意事项 （1）必须保证客户端发到代理服务器的数据先经过AC设备，也就是代 理服务器应该部署在AC设备的WAN口方向。 （2）设备默认情况下会对所有的代理数据进行检测，也就是说如果“代 理服务器设置”列表为空，则对

17、发往任何地址的数据都会进行代理数 据的识别，这样会影响设备处理效率。 建议在地址列表中填入代理服务器的IP地址，这样的话只有发往此列 表地址的数据才会被检测是否为代理数据，并对其进行上网权限控制。 TRUNK环境部署 TRUNK网络环境 Trunk是一种封装技术，它是一条点到点的链路，链路的两端可以都 是交换机，也可以是交换机和路由器，还可以是主机和交换机或路 由器。 VLAN Trunk(虚拟局域网中继技术)的作用是让连接在不同交换机或 路由器上的相同VLAN中的主机互通。 SANGFOR AC在路由模式下LAN口支持配置为trunk口，网桥模式 （包括多网桥）支持穿透trunk封装数据，不

18、支持在AC设备上划分 VLAN。 适用环境：内网交换机划分了VLAN，且需要支持并识别trunk封装 的数据。 TRUNK网络环境中的部署 （3）若要实现各VLAN之间的数 据互访（单臂路由功能），需要将 AC设备的LANLAN防火墙规则 放通。 方案一：AC|SG路由模式 （1）直接替代原有的路由器 （或FW）并配置成路由模式。 （2）将LAN口的VLAN配置启用， LAN口IP不能属于任何VLAN，可随 意配置。 分别填写各个VLAN的ID及IP，此IP 即原来路由器（或FW）上各VLAN 的网关IP。 TRUNK网络环境中的部署 （3）设备在多网桥模式下，每个 网桥均可启用VLAN并配置

19、。 方案二：AC|SG网桥模式 （1）网桥模式部署在路由器与 交换机之间，设备穿透trunk。 （2）网桥IP需任意设置一个不在任 何VLAN的IP，网桥的网关指向任意 一个VLAN的网关。 网桥配置启用VLAN，并按格式填写 每个VLAN的IP。 TRUNK环境部署配置（VLAN配置项） （1）路由模式 LANLAN口（口（eth0eth0）填写）填写 任一个不存在的任一个不存在的IPIP 启用启用VLANVLAN并据实填并据实填 写写VLANVLAN地址信息地址信息 配置完成后可看到配置汇总信息配置完成后可看到配置汇总信息 TRUNK环境部署配置（VLAN配置项） （2）单网桥模式 填写任一个不存在的网桥填写任一个不存在的网桥IPIP 据实填写其中一个能与互据实填写其中一个能与互 联网通信的联网通信的VLANVLAN的网关