SANGFOR_NGAF_v5.8_2015年度渠道初级认证培训03_常见网络环境部署

SANGFORNGAF常见网络环境部署,部署说明,AF部署能力的提高，让工程师了解在各种环境下，选择最优的部署模式。为了让AF适应各种环境的部署能力，和可扩展性，NGAF没有单独的部署模式可以选择，AF的部署模式是由各个网口的属性决定的；根据网口属性分为：物理接口、子接口、vlan接口、聚合接口；根据网口工作区域划分为：2层区域口、3层区域口；其中物理口可选择为：路由口、透明口、虚拟网线口、镜像口；,1、路由模式（lan对端路由口）,路由口部署思路：1、lan口对端是路由口，直接设置lan口为路由口即可,2、路由模式（lan对端trunk口）,路由模式下，对端是trunk口Trunk口部署思路2：1、设置lan口为trunk口，并设置对应的vlan号的vlan接口，这种模式类似3层虚拟接口交换机。,2、路由模式（lan对端trunk口）,3、透明模式（access环境）,透明模式部署也是最常见的部署模式access部署思路：1、网口设置成透明口，设置对应的vlan号即可，如果线路传输的数据不包含vlan标签，选择默认的vlan1。2、可以配置eth0可作为管理口外，也可以使用新建vlan1对应的3层口veth1来管理设备，需要确保AF的veth1接口的IP与前后端设备接口属于同网段。,3、透明模式（access环境）,4、透明模式（trunk环境）,如果链路是承载着多个vlan的trunk链路，可以采用透明trunk模式部署。与AF对接的其他网络设备的接口一般也都是配置了trunk模式，或者是路由子接口模式。Trunk部署思路：1、把2个网口配置成trunk口接口，trunk所有vlan。2、配置相对应的任何vlan虚拟接口给AF设备，以用于管理和上网更新规则库，也可以用manager口。,4、透明模式（trunk环境）,5、虚拟线路,虚拟网线部署是最常见的部署模式，也是适用范围最广，最提倡的一种部署模式。部署思路：1、采用虚拟网线方式部署时不需要考虑AF前后设备接口属性和链路属性，直接把网口配置成了虚拟线路口后，配对部署即可。2、需要给默认管理口eth0分配一个可用的IP，该IP可以用于管理设备，更新规则库，防篡改模块更新缓存等。,5、虚拟线路,6、路由模式（wan口路由口，内网服务器有公网IP，启用ARP代理）,上文提及需求是公网IP必须配置在服务器上面的另外一种配置方法，这就是全路由模式部署。部署思路：1、接口都配置为路由口，然后采用arp代理的方式实现服务器区域和公网网关的互相通讯。,6、路由模式（wan口路由口，内网服务器有公网IP，启用ARP代理）,arp代理功能，该拓扑图，必须选择eth3,7、旁路模式,旁路模式部署AF，AF仅仅支持的功能有僵尸网络，实时漏洞分析，WAF（web应用防护），IPS（入侵防护系统），和DLP（数据库泄密防护，属于WAF内，其余功能均不能实现，例如Vpn功能，网关(smtp/pop3/http)杀毒，DOS防御，网站防篡改，Web过滤等都不能实现。部署思路：1、连接旁路口eth3到邻接核心交换机设备2、连接管理口并配置管理ip3、启用管理口reset功能,7、旁路模式,支持带vlan标记数据,旁路部署支持阻断功能，通过查找系统路由选择接口发送tcpreset包,旁路镜像模式支持流量统计功能：旁路流量统计为接口配置内网IP组到非内网IP组的流量内网IP组至内网IP组、非内网IP组至非内网IP组流量不统计首页流量排行图包含旁路流量统计数据流量排行功能支持筛选旁路镜像口查看流量数据,7、旁路模式（流量统计）,为旁路区域配置IPS/WAF策略1、当源区域配置为旁路镜像区域时，目的区域自动填写为所有区域2、目的IP组不能填写所有,7、旁路模式,8、混合模式（wan口交换口，内网服务器有公网IP）,混合模式部署，主要指AF的各个网口，既有2层口，又有3层口的情况。特别是当DMZ区域服务器集群需要配置公网IP地址的时候部署思路：1、服务器eth3和公网区域接口eth2配置成2层口，放到2层区域2、内网口eth1配置为路由口3、新建一个和eth2以及eth3对应vlan的3层区域接口并配置公网ip地址。用于代理内网方向上网及内网区域与服务器区域、外网区域策略控制,8、混合模式（wan口交换口，内网服务器有公网IP）,9、混合模式部署案例,用户需求：某用户内网有服务器群，服务器均配置公网IP地址，提供所有用户直接通过公网IP地址接入访问。内网用户使用私有地址，通过NAT转换上网。希望将NGAF设备部署在公网出口的位置，保护服务器群和内网上网数据的安全。,部署方式推荐：使用混合模式部署，NGAF设备连接公网和服务器群的2个接口使用透明access口，连接内网网段使用路由接口。,9、混合模式部署案例,NGAF部署分析：由于服务器均有公网IP地址，所以AF设备连接公网线路的接口eth1与连接服务器群接口eth2使用透明access接口，并设置相同的VLANID。即可实现所有用户通过公网IP直接访问到服务器群。新增VLAN1接口，分配一个公网IP地址。AF设备与内网相连的接口eth3使用路由接口，设置与内网交换机同网段的IP地址，并设置静态路由与内网通信。（静态路由配置省略）内网用户上网时，转换源IP地址为VLAN1接口的IP地址。（NAT配置省略）根据需求，划分为一个二层区域选择网口eth1和eth2；划分两个三层区域，其中“外网区域”选择VLAN接口vlan1；“内网区域”选择接口eth3。,9、混合模式部署案例,配置截图：1.设置物理接口eth1、eth2和eth3：,9、混