SANGFOR_AC_v10_____年度渠道高级认证培训01_安装部署.ppt

安装部署 特殊网络环境部署 高可用性之主主模式部署 高可用性之主备模式部署 内网代理环境部署 SANGFORAC SG 协议封装环境部署 主备模式部署 主备模式部署环境 主备模式是指路由模式部署的两台设备通过心跳检测 实现热备份 保持心跳和配置同步 正常情况下 只有主设备工作 如果主设备故障 则自动切换到备设备 备设备接替主设备工作 从而保证客户的业务不受影响 网络不中断 主备模式只有一台主设备处于正常工作状态 另一台备设备处于监听状态 适用环境 对网络稳定性要求较高的客户环境 要求两台设备路由模式部署 主备模式配置 主机配置 1 主机配置好路由模式 2 控制台 网络配置 高可用性 选择主备模式 点击开始配置 主备模式配置 3 配置主机设备标识 4 配置检测网口 抢占为主机 指的是当主机切换为备机后 当备机恢复正常后是否会主动切换为主机 开启则会切换 指定HA口 用来同步配置 可以使用DMZ口或其他未配置区域的网口 共享密钥 需要主备两台设备设置同一个密钥 检测网口 被检测的网口只要发生故障就会发生主备切换 告警选项 手动更改模式也会触发告警 主备模式配置 备机配置 1 备机登录后 高可用性 选择主备模式 配置设备标识 设备角色选择备机 2 配置主机的IP地址以及密钥 说明 备机不能配置抢占主机与检测网口以及配置告警信息 这些信息是由主机同步过来 主备模式配置 主机状态 部署完成后 主机正常工作 可以在高可用性中看到主机状态 可以看到最近切换的时间 以及同步配置的时间 只有主机状态才可以手动切换到备机 主备模式部署注意事项 1 主备模式部署的两台设备 软件版本要求一致 软件版本一致是指两台AC设备的版本信息中内容 除SP补丁外 其余信息一致即可 硬件版本不做要求 但是建议选择负载相近 型号相近的设备 2 主备部署的两台设备配置自动实时同步 完全一样 3 只能2台设备部署为主备模式 2台以上不支持部署主备模式 4 主备部署的两台设备 只有一台在工作 另一台在监听 5 只有路由模式可以部署主备模式 网桥模式不支持部署主备模式 6 主备模式的两台设备通过普通网线作为心跳线 通过HA口发送心跳包 主备模式下 可以使用DMZ口或其他未配置区域的网口 HA灯状态 主机设备亮绿灯 备机状态灯闪 7 主备模式下 只有主机可以加入集中管理 备机不能加入 如果主机挂了 备机变成主机 此时备机也可以加入SC 主主模式部署 主主模式部署环境 主主模式部署由多台AC设备通过通信网口同步配置 主主模式部署的设备同时工作 主控设备将配置同步到所有节点 主控与各节点之间相互同步会话信息 当主控故障 将无法更改设备配置 适用环境 客户原有网络中有多台交换机 防火墙或路由器主主或主备部署时 AC以网桥串接在中间 建议使用主主模式部署 主主模式部署配置 主控配置 1 设备路由模式或网桥模式部署 2 主控设备控制台选择 网络配置 高可用性 选择主主模式 主主模式部署配置 配置设备标识及角色选择主控 配置密钥 主主模式部署配置 节点配置 高可用性 选择主主模式 配置设备标识 角色选择 节点 配置主机的IP地址及密钥 主主模式部署配置 主控状态 节点状态 主主模式部署注意事项 4 路由模式和网桥模式都支持配置成主主模式部署 1 主主模式部署的两台设备 软件版本要求一致 软件版本一致是指两台AC设备的版本信息中内容 除SP补丁外 其余信息一致即可 硬件版本不做要求 但是建议选择负载相近 型号相近的设备 2 主主模式部署的设备同时工作 没有主备之分 3 两台或两台以上的设备可以部署主主模式 5 主主模式下 节点不能修改配置只能由主控同步 界面限制只能只读 6 主控会显示所有节点状态 名称为 在线节点列表 显示所有在线的节点 7 主主模式下 只有主控可以加入集中管理 节点不能加入和下发配置 此时 即使主控挂了 节点临时变成主控 此时该主控也不能接入SC 需要等主控恢复后 才能从SC下发配置 被选举出来的主控 只能同步在线用户 不能同步配置 内网代理服务器环境部署 内网代理服务器环境部署应用场景 内网通过代理服务器上网 由于用户所有数据是发往代理服务器的 目标IP是代理服务器的IP 真实的上网数据通过代理服务器封装后转发到公网 在这样的网络环境下 如果要对上网用户采用不同的上网策略 记录真实的访问公网的数据 AC SG的部署和其他网络环境中的部署就有区别适用环境 用户通过内网代理服务器上网 并且需要准确识别用户通过代理服务器上网的数据和分权限控制 常见代理环境中的部署方式 1 代理服务器双网卡 AC SG设备路由或网桥模式部署 设备可采取路由模式或网桥模式部署在客户端与代理服务器之间 考虑到内网改动的大小 建议采用网桥模式部署 必须保证内网发往代理服务器的数据先经过AC SG设备 也就是代理服务器应该部署于AC SG设备的WAN口方向 常见代理环境中的部署方式 2 代理服务器双网卡 AC SG设备旁路模式部署 如果主要用于审计 设备可采取旁路模式部署 用于监听内网发往代理服务器的所有数据 常见代理环境中的部署方式 3 代理服务器单网卡 AC SG设备网桥模式部署 如左图所示 代理服务器以单臂模式接在核心交换机上 内网用户上网数据先通过交换机到达代理服务器 再由代理服务器经核心交换机和防火墙到公网 针对这种环境 给出以下解决方案 常见代理环境中的部署方式 3 代理服务器单网卡 AC设备网桥模式部署 此种部署场景下 需要在AC上 用户认证与管理 认证高级选项 认证选项 中勾选 WAN LAN方向的连接不认证 内网代理环境部署配置 1 将设备采用以上各拓扑中的部署方式 路由 网桥 旁路 进行配置 然后接入到网络中 2 在设备 代理服务器设置 选项中填入代理服务器的IP 3 在客户端电脑浏览器配置代理服务器的IP地址 并在 例外情况 填写AC设备的管理地址 如果AC是网桥部署 并且开启了虚拟地址重定向功能 也需要把虚拟IP添加排除 如下图所示 内网代理环境部署注意事项 1 必须保证客户端发到代理服务器的数据先经过AC SG设备 也就是代理服务器应该部署在AC SG设备的WAN口方向 协议封装环境部署 协议封装环境部署 协议封装环境 是指客户网络环境中有特殊协议如Trunk QinQ 链路聚合 PPPOE VLAN PPPOE QinQ PPPOE WAC L2tp GRE等 此种环境中AC支持以网桥模式部署并且穿透协议 其中Trunk环境也支持以单臂路由方式部署 在Trunk QinQ 链路聚合 PPPOE VLAN PPPOE QinQ PPPOE环境中AC网桥部署通过虚拟IP实现重定向和代理功能 SSL内容识别和邮件过滤 在WAC L2TP GRE等其它特殊协议环境中 AC网桥部署通过DMZ口重定向实现重定向和代理功能 SSL内容识别和邮件过滤 协议封装环境部署 虚拟IP重定向 内网PC认证前的HTTP上网数据经过AC时 AC拦截并记录下数据包的源 目的IP 数据包的封装类型 以及数据包进入AC时的接口 AC回弹portal的重定向认证页面时 会将记录下来的数据包的源 目的IP反转 再从数据包进入的接口直接发出去 其中数据包中的数据字段会替换成AC虚拟IP的重定向URL地址 DMZ口重定向 内网PC认证前的HTTP上网数据经过AC时 AC拦截数据包 AC通过查找本身DMZ口的路由表 将portal的重定向认证页面从DMZ口发出 其中数据包中的数据字段会替换成AC的DMZ口IP的重定向URL地址 172 16 1 1 24 DMZ 192 168 32 10 24 192 168 32 11 24 MAC2 MAC3 MAC4 MAC5 eth2 eth3 eth0 eth1 121 14 85 198 重定向页面不查AC路由表直接从数据进来的网口eth0回包给内网 1 默认使用虚拟地址 虚拟IP重定向原理图 协议封装环境部署 拓扑如左图所示 交换机划分了三个VLAN VLANID分别为10 20 30 路由器内网口配置为trunk口 各vlan间的互访通过路由器路由 需求 部署AC实现上网行为管理 协议封装环境部署 AC在Trunk环境中直接替代原有的路由器做路由模式部署 TRUNK环境 协议封装环境部署 1 AC路由模式部署直接替代原有的路由器 或FW 并按照路由模式部署配置好设备 2 配置LAN口IP 填写内网对应VLAN的VLAN网关IP即可 Trunk环境下路由模式配置思路 协议封装环境部署 Trunk环境下路由模式配置方法 协议封装环境部署 不改变原有拓扑结构 AC网桥模式串接在交换机和防火墙之间 推荐方案 1 此时可以给设备网桥配置其中一个VLAN中的可用IP来进行管理和上网更新规则库 2 也可以给设备管理口配置其中一个VLAN中的可用IP来进行管理和上网更新规则库 Trunk环境 1 网桥模式部署在路由器与交换机之间 按网桥模式部署配置好设备 2 可以给设备网桥配置其中一个VLAN中的可用IP来进行管理和上网更新规则库 也可以给设备管理口配置其中一个VLAN中的可用IP来进行管理和上网更新规则库 3 如果内网是三层环境还需要配置内网的路由网关指向AC内网口所连接的设备 协议封装环境部署 Trunk环境下网桥模式配置思路 协议封装环境部署 Trunk环境下网桥模式配置方法 选择网桥列表 默认勾选了 开启网桥链路同步 可以选择给桥IP配置VLANIP进行管理 也可以此处不配置任何IP 通过管理口进行管理 如果前面桥IP没有做任何配置 可以在管理口配置一个VLANIP进行管理 设备通过虚拟IP来实现重定向和代理功能 SSL内容识别和邮件过滤功能 1 网桥模式部署在路由器与交换机之间 按网桥模式部署配置好设备 2 可以给设备管理口配置一个可用IP来进行管理和上网更新规则库 如果没有空闲管理口 也可以给设备网桥配置其中一个可用IP来进行管理和上网更新规则库 WAC L2TP GRE这三种协议封装环境下 必须使用DMZ口 3 如果内网是三层环境还需要配置内网的路由网关指向AC内网口所连接的设备 协议封装环境部署 其他协议环境下网桥模式配置思路 4 QinQ PPPOE VLAN PPPOE QinQ PPPOE WAC L2TP GRE环境下 设备上开启对应的协议剥离 Trunk 链路聚合协议设备无需开启协议剥离就能识别应用 协议封装环境部署 其他协议环境下网桥模式配置方法 前三步配置不在赘述 协议剥离配置请在左图页面开启 协议封装环境部署 重定向和代理功能的实现 Trunk QinQ 链路聚合 PPPOE VLAN PPPOE QinQ PPPOE环境中 通过设备的虚拟IP来实现重定向和代理功能 SSL内容识别和邮件过滤 协议封装环境部署 重定向和代理功能的实现 WAC L2TP GRE等其它特殊协议环境中 设备通过DMZ口目的路由实现重定向