深信服上网行为管理特殊网络环境PPT课件.ppt

SANGFORAC SG特殊网络环境部署 双机维护环境部署 多机同步环境部署 内网代理环境部署 SANGFORAC SG TRUNK环境部署 双机维护环境部署 双机维护环境部署 双机维护是指两台设备通过双机心跳线连接 实现互为备份 正常情况下 只有主设备工作 如果网络失去与主设备的通信 则自动切换到备机 保证客户的业务不受影响 网络不中断 双机维护环境只有一台主设备处于正常工作状态 另一台备设备处于监听状态 适用环境 对网络稳定性要求较高的客户环境 常见网络环境中的双机部署方式 1 路由模式下的双机部署 连接方式 两台SANGFORAC设备通过双机心跳线 全反线 将CONSOLE口进行连接 设备的内外网口各自连接到内外网的二层交换机或三层交换机的同一个VLAN接口上 常见网络环境中的双机部署方式 2 网桥模式下的双机部署 两台AC设备之间通过双机心跳线 全反线 将其CONSOLE口进行连接 桥接方式与单台设备网桥模式下类似 常见网络环境中的双机部署方式 3 旁路模式下的双机部署 两台AC设备之间通过双机心跳线 全反线 将其CONSOLE口进行连接 交换机上需要设置两个相同的镜像口用于连接到两台设备的监听口 另外两台设备的管理口需要连接到交换机同一个VLAN的接口上 双机维护配置 1 启用双机服务 并设置双机的相关选项 双机维护配置 续 2 用同样的方法配置另外一台设备 双机维护配置 续 3 将主备机按照物理拓扑连接好 用双机心跳线 全反线 将两台设备的CONSOLE口连接起来 4 选择一台设备做主机先加电开机 主机启动后 备机再加电 正常工作后 主机的配置会通过双机心跳线同步到备机 只需要配置主设备即可 双机维护配置注意事项 1 双机部署的两台设备 软件版本和硬件型号要一致 2 双机部署的两台设备配置完全一样 包括接口配置 序列号除外 3 切换部署模式 恢复备份的配置 修改系统时间等会导致设备重启的操作 建议先开启升级模式 否则可能会在设备重启过程中发生主备切换导致配置同步有问题 多机同步环境部署 多机同步应用环境 AC的多机同步主要应用于内网设备启用VRRP 确保任一条链路故障 VRRP进行切换时 也能无缝支持 多机同步功能由多台SANGFORAC设备通过通信网口同步配置 库文件和用户在线状态等信息 多机环境下所有的AC设备是同时工作的 实现在VRRP环境下某条线路断掉 无缝切换到另一条线路 策略和用户状态的一致性 用户上网不需要重新认证 适用环境 内网VRRP 对网络可靠性有较高需求 需要多台AC互为热备的情况 常见网络中的多机部署方式 多机同步一般应用于内网VRRP环境 常用的部署方式是AC设备网桥模式 多机功能 首先需要设置设备的通信网口 通信网口用于处于同一个组播域的多机设备之间的通信 通信网口的要求 1 可用的网口 可以指定正在使用的网口 也可以指定空闲的网口 2 如果指定正在使用的网口做通信网口 则需要保证这两个网口处于同一广播域 即处于同一个二层环境 3 如果指定空闲网口做通信网口 则需要将两个空闲网口用交叉线直连 4 通信网口不能选择拨号网口或者DHCP获取IP的网口 常见网络中的多机部署方式 如果左边拓扑图中AC下面接的是三层交换机 那么要使用空闲网口口做为通信网口 采用如图的接线方式 多机同步配置 1 启用多机同步 并设置多机的相关选项 多机同步配置 2 在另外一台设备上开启多机功能并进行相关的配置 3 配置完成后 点击向其它设备同步配置 此时设备会发送同步信号 进行设备的配置同步和信息同步 点击 查看同步报告 可查看同步信息 多机同步配置注意事项 4 做多机的设备要求硬件型号和软件版本完全一致 1 当多机环境中某台设备的配置改变时 设备中会有提示 点击 向其它设备同步配置 则立即向另外一台设备发同步命令进行配置同步 2 在线用户状态时实时同步的 也就是一旦有新的用户通过认证 那么多机会立即同步 注意不需要认证的用户 只绑定IP MAC的用户 的在线状态是不会同步的 3 做多机同步的几台设备网口IP地址是需要设置不一样的 网口IP地址这些配置也不会进行同步 内网代理服务器环境部署 2020 2 5 21 内网代理服务器环境部署应用场景 内网通过代理的方式上网的网络环境 由于用户所有数据是发往代理服务器的 目标IP是代理服务器的IP 真实的上网数据通过代理服务器封装后转发到公网 在这样的网络环境下 如果要对上网用户采用不同的上网策略 记录真实的访问公网的数据 AC的部署和其他网络环境中的部署就有区别适用环境 用户通过内网代理服务器上网 并且需要准确识别用户通过代理服务器上网的数据和分权限控制 常见代理环境中的部署方式 1 代理服务器双网卡 AC设备路由或网桥模式部署 在设备 代理服务器设置 选项中填入代理服务器的IP 设备可采取路由模式 网桥模式部署在客户端与代理服务器之间 考虑到内网改动的大小 建议采用网桥模式部署 必须保证内网发往代理服务器的数据先经过AC设备 也就是代理服务器应该部署于AC设备的WAN口方向 把AC设备的IP在客户端电脑的IE代理排除列表里排除掉 常见代理环境中的部署方式 2 代理服务器双网卡 AC设备旁路模式部署 在设备 代理服务器设置 选项中填入代理服务器的IP 如果仅用于审计或仅控制TCP协议的数据 设备可采取旁路模式部署 用于监听内网发往代理服务器的所有数据 常见代理环境中的部署方式 3 代理服务器单网卡 AC设备网桥模式部署 如左图所示 代理服务器以单臂模式接在核心交换机上 内网用户上网数据先通过交换机到达代理服务器 再由代理服务器经核心交换机和防火墙出到公网 针对这种环境 给出以下两种解决方案 常见代理环境中的部署方式 方案一 在AC设备 代理服务器设置 选项中填入代理服务器的IP 3 代理服务器单网卡 AC设备网桥模式部署 在防火墙 代理服务器与核心交换机之间再加多一台二层交换机 或者将代理服务器迁移至防火墙的接口上 如果原来代理服务器与防火墙内网口不在同一个VLAN 则需要重新规划代理服务器或防火墙网段的IP 将AC SG网桥模式部署在核心交换机与新增的二层交换机之间 确保上网数据只一次通过设备 常见代理环境中的部署方式 方案二 在设备 代理服务器设置 选项中填入代理服务器的IP 3 代理服务器单网卡 AC设备网桥模式部署 将AC SG网桥模式部署在单臂代理服务器与核心交换机之间 联系深信服800 协助修改系统后台配置 因为这样部署 上网数据会两次经过设备 如果不修改后台配置 那么在线用户列表中会出现公网IP 内网代理环境部署配置 1 将设备采用以上各拓扑中的部署方式进行配置 然后接入到网络中 关于网关模式配置在初级培训中均已涉及 此处不再赘述 2 在设备 代理服务器设置 选项中填入代理服务器的IP 在方框里面填上代理服务器IP地址或者IP地址范围 内网代理环境部署注意事项 1 必须保证客户端发到代理服务器的数据先经过AC设备 也就是代理服务器应该部署在AC设备的WAN口方向 2 设备默认情况下会对所有的代理数据进行检测 也就是说如果 代理服务器设置 列表为空 则对发往任何地址的数据都会进行代理数据的识别 这样会影响设备处理效率 建议在地址列表中填入代理服务器的IP地址 这样的话只有发往此列表地址的数据才会被检测是否为代理数据 并对其进行上网权限控制 TRUNK环境部署 TRUNK网络环境 Trunk是一种封装技术 它是一条点到点的链路 链路的两端可以都是交换机 也可以是交换机和路由器 还可以是主机和交换机或路由器 VLANTrunk 虚拟局域网中继技术 的作用是让连接在不同交换机或路由器上的相同VLAN中的主机互通 SANGFORAC在路由模式下LAN口支持配置为trunk口 网桥模式 包括多网桥 支持穿透trunk封装数据 不支持在AC设备上划分VLAN 适用环境 内网交换机划分了VLAN 且需要支持并识别trunk封装的数据 TRUNK网络环境中的部署 3 若要实现各VLAN之间的数据互访 单臂路由功能 需要将AC设备的LANLAN防火墙规则放通 方案一 AC SG路由模式 1 直接替代原有的路由器 或FW 并配置成路由模式 2 将LAN口的VLAN配置启用 LAN口IP不能属于任何VLAN 可随意配置 分别填写各个VLAN的ID及IP 此IP即原来路由器 或FW 上各VLAN的网关IP TRUNK网络环境中的部署 3 设备在多网桥模式下 每个网桥均可启用VLAN并配置 方案二 AC SG网桥模式 1 网桥模式部署在路由器与交换机之间 设备穿透trunk 2 网桥IP需任意设置一个不在任何VLAN的IP 网桥的网关指向任意一个VLAN的网关 网桥配置启用VLAN 并按格式填写每个VLAN的IP TRUNK环境部署配置 VLAN配置项 1 路由模式 配置完成后可看到配置汇总信息 TRUNK环境部署配置 VLAN配置项 2 单网桥模式 据实填写其中一个能与互联网通信的VLAN的网关IP和准确的DNS信息 配置完成后可看到汇总信息 TRUNK环境部署配置 VLAN配置项 3 多网桥模式 各网桥均可启用VLAN TRUNK环境配置注意事项 3 设备以多网桥部署时 每个网桥均可穿透VLAN并配置VLAN相关项 1 路由模式下 LAN口配置802 1QVLAN地址后 LAN口可以接支持VLAN的2层交换机的TRUNK口 设备可以在VLAN间转发数据 单臂路由 并可做LANLAN方向的防火墙规则 即控制不同VLAN之间的访问 2 网桥模式下 网桥IP配置802 1QVLAN地址后 设备内置相关规则库升级只会使用其中一个VLAN的IP 所以