SANGFORACXXXX年度渠道初級認證培訓02-設備部署

1、SANGFOR AC設備部署培訓培訓內容培訓目標AC部署模式介紹1. 掌握AC支持的部署模式路由模式1.掌握路由模式適用環(huán)境及支持的功能2.掌握路由模式的配置步驟和注意事項網橋模式1.掌握網橋模式適用環(huán)境及支持的功能2.掌握網橋模式的配置步驟和注意事項旁路模式1.掌握旁路模式適用環(huán)境及支持的功能2.掌握旁路模式的配置步驟和注意事項策略路由和多線路選路介紹1.掌握策略路由和多線路選路的應用背景2.掌握策略路由和多線路選路的實現(xiàn)原理和配置步驟防DOS攻擊功能介紹及配置1.掌握防DOS攻擊的作用及配置SANGFOR AC部署方式引見部署方式_簡介1、部署方式是指設備以什么樣的任務方式部署到客戶網絡中

2、去，詳細以何種部署方式需求綜合客戶詳細的網絡環(huán)境和客戶的功能需求而定，不同的部署方式對客戶原有網絡的影響各有不同。2、AC設備支持路由、網橋、旁路三種任務方式。SANGFOR AC部署方式引見路由方式_簡介1、路由方式時AC的任務方式與路由器相當，具備根本的路由轉發(fā)及NAT功能。普通在客戶原有網絡環(huán)境中添加AC設備時不建議采用這種方式，由于這種部署方式需求對客戶的網絡環(huán)境作較大的改動。2、普通運用路由方式部署的環(huán)境是客戶想用AC交換原有部署的防火墻或者是路由器，或者是客戶在規(guī)劃新網絡建立時需求將AC充任路由功能。3、路由方式下支持AC一切的功能方式。4、普通客戶假設需求運用NAT、VPN、DH

3、CP等功能時，AC必需是路由方式部署，其它任務方式不支持實現(xiàn)這些功能。SANGFOR AC部署方式引見網橋方式_簡介1、AC以網橋方式部署時對客戶原有網絡根本沒有改動，不需求更改客戶原有的網絡設備配置。2、網橋方式時AC不支持NAT代理上網和端口映射、VPN、DHCP功能，除此之外AC的其它功能如URL過濾、流控等其它功能均可實現(xiàn)。3、網橋方式部署AC時，對客戶來說是個透明的設備，假設由于AC本身的緣由而導致網絡中斷時可以開啟硬件bypass功能，即可恢復網絡通訊。4、網橋方式部署時AC支持硬件bypass功能其它方式部署均沒有支持bypass功能的說法。SANGFOR AC部署方式引見網橋方

4、式_2種類型1、網橋多網口：網橋多網口是指設備只做一個網橋，但內外網口不是一一對應的，能夠內網口需求接多個網口，也能夠外網口需求接多個網口，各個網口之間的數據都可以設置轉發(fā)，設備的ARP表只維持一份。2、多網橋是指一臺設備可以做多個網橋，相當于多個交換機，和網橋多網口的區(qū)別是：設備的ARP表維持多份；內外網口是一一對應的；網口屬于同一個網橋才干進展數據轉發(fā)，不同網橋接口之間的數據不能轉發(fā)。SANGFOR AC部署方式引見旁路方式_簡介1、旁路方式是AC三種任務方式中最簡單的一種，但也是所能實現(xiàn)功能較弱的一種部署方式，此種部署方式對客戶原有網絡無任何影響，即使設備宕機也不影響客戶網絡。2、旁路方

5、式AC只用于上網行為的審計和基于TCP運用的控制功能，對基于UDP協(xié)議的運用無法控制。不支持流量管理，準入系統(tǒng)，NAT, VPN, DHCP等功能。3、旁路方式下，AC運用LAN/WAN口接中心交換機或者是中心出口路由器上，需求路由器或者是中心交換機支持鏡像功能，將流量上下行鏡像到AC設備上來。路由方式旁路方式網橋方式典型部署方式與配置典型部署方式與配置 路由方式_部署指點1、首選需求了解客戶的實踐需求，客戶能否必需求用到AC的VPN、NAT代理上網和端口映射、DHCP這幾個功能。假設客戶網絡中曾經有其它設備實現(xiàn)了這些功能或者是客戶根本用不到這些功能那么應首先思索網橋方式部署。2、客戶新規(guī)劃建

6、立的網絡中來部署AC，相當于一個全新的網絡規(guī)劃，客戶想把AC當作一臺防火墻部署在出口上，可以部署成為路由方式。3、客戶網絡中原有防火墻或者路由器了，出于某方面的緣由想用AC交換掉原有出口的防火墻或者路由器。典型部署方式與配置典型部署方式與配置 路由方式配置思緒1、網口配置：確定設備外網口WAN1口是固定IP或者是ADSL撥號方式，獲得相應運營商給的IP地址信息或者是撥號的帳號密碼；確定內網口LAN口的IP地址信息；2、確定內網能否多網段網絡環(huán)境，假設是的話需求添加相應的回包路由回指給設備下接的中心交換機；典型部署方式與配置 路由方式配置步驟定義網絡接口配置完成，點擊提交典型部署方式與配置 網橋

7、方式_部署指點1、網橋方式部署相比路由方式對客戶的網絡影響比較小，當客戶確定不需求運用AC的VPN、NAT、DHCP功能時，那么應思索部署網橋方式。2、根據客戶的網絡構造決議AC采用多網橋或網橋多網口的方式。 網橋多網口運用場景： a.兩條線路分別接FW1和FW2，內網接交換機，設備在交換機和防火墻 之間， 網橋方式部署，單進雙出做網橋多網口。 b.內網中心交換機和路由器都做雙機，參與兩臺設備，雙進單出做網橋多網口。 多網橋運用場景: a.設備一進一出做單網橋 b.客戶內網有VRRP或HSRP環(huán)境典型部署方式與配置典型部署方式與配置 網橋方式配置思緒 網橋方式部署時需求思索AC串接在前面防火墻

8、和下面的中心交換機之間網段能否存在空閑的主機IP地址，假設有那么分配一個該網段的IP地址給AC作為網橋的IP地址，假設沒有空閑IP的話那么配置管理口DMZ進展管理。典型部署方式與配置 網橋方式配置步驟配置完成，點擊提交典型部署方式與配置 旁路方式_部署指點1、旁路方式是一切部署方式中最簡單的一種，但也是功能實現(xiàn)較弱的一種部署方式。當客戶的需求只是上網審計和基于TCP的運用過濾時，可以思索此種部署方式，常見于高校、大型國有企業(yè)專門用于AC作審計；2、旁路部署時普通設備是接在中心交換機上，中心交換機經過將鏡像功能將需求審計的流量鏡像過來；3、管理時采用管理口DMZ配置IP地址進展管理，其它一切接口

9、均可作為監(jiān)聽口，可運用一個口或者是多個口同時作為監(jiān)聽口，監(jiān)聽口無需任何配置的。典型部署方式與配置典型部署方式與配置 旁路方式部署配置思緒1、普通AC旁路接在中心交換機的鏡像口上，中心交換機需求將上下行流量鏡像到AC過來。2、旁路方式部署時必需配置管理口IP地址進展管理，可以分配內網恣意網段空閑IP地址進展管理，監(jiān)聽口可以接恣意網口除了配置為管理口接口之外，可以同時接多個進展監(jiān)聽。3、需求確認內網一切需求進展審計的內網網段監(jiān)控網段，需求確認內網能否有效力器提供訪問時需求也進展記錄。4、管理口不僅用于管理，還用于包括和外置數據中心同步、作TCP控制時發(fā)reset包運用。典型部署方式與配置 旁路方式

10、配置步驟假設設備需求跟外網通訊，需配置好網關和DNS配置完成點擊提交 戰(zhàn)略路由功能 多線路自動選路功能 防DOS攻擊戰(zhàn)略路由和多線路選路引見運用背景：隨著企業(yè)的不斷壯大和開展，一個企業(yè)所擁有的互聯(lián)網線路往往不止一條線路，而每條線路的帶寬又是非常有限的。如何設置才可以更合理的利用線路帶寬，提高訪問公網的速度呢？處理方案：AC設備提供兩種技術多線路選路和戰(zhàn)略路由。多線路選路戰(zhàn)略：根據每條線路的上、下行帶寬進展分配或者平均分配帶寬或者優(yōu)先選擇前面的線路等分配戰(zhàn)略來選擇不同的外網線路。戰(zhàn)略路由功能：根據源/目的IP、源/目的端口、協(xié)議等條件進展線路選擇，以實現(xiàn)不同的數據走不同的外網線路的需求。上述兩種

11、功能均能實現(xiàn)某條外網線路缺點，選擇從這條線路出去的流量自動切換到其他正常的鏈路。假設線路恢復，那么自動切換回來。戰(zhàn)略路由運用舉例客戶需求訪問某網上銀行，地址是2，訪問協(xié)議是HTTPS，網上銀行會校驗源IP地址，假好像一銜接中的源IP發(fā)生了改動，網上銀行會斷開銜接，導致無法訪問。處理方法：設置一條戰(zhàn)略路由，指定訪問到這個目的地址的數據固定走線路一。戰(zhàn)略路由運用舉例配置步驟：1. 首先設置網絡接口及代理上網上一章節(jié)及防火墻 功能培訓PPT中有引見，此處不再累述2. 網絡配置戰(zhàn)略路由，點擊新增，如以下圖：源地址即訪問網上銀行的地址，這里是內網一切用戶，可以選擇一切IP多線路選路運用舉例如圖，某客戶兩

12、條公網線路，客戶想要實現(xiàn)內網用戶上網時，走剩余上行帶寬最多的線路出去。處理方法：配置多線路選路，選擇“按每條線路的剩余上行帶寬優(yōu)先選擇線路多線路選路運用舉例配置步驟：首先配網絡接口及代理上網上一章節(jié)及防火墻 功能培訓PPT中有引見，此處不再累述然后在網絡配置戰(zhàn)略路由，點擊外網線路分配戰(zhàn)略，如圖：多線路選路和戰(zhàn)略路由功能本卷須知1. 多線路選路和戰(zhàn)略路由功能只在路由方式下有效。2. 需求開啟外網至少2條線路的授權。防DOS攻擊功能簡介及配置防DOS攻擊功能引見1、防DOS攻擊是設備對于DOS攻擊的防護作用，經過設備可以阻止此類攻擊，不僅可以阻止對設備本身的攻擊、也可以阻止內網某些PC對外網發(fā)起的

13、攻擊。2、DOS攻擊常見類型有：單個主機IP對某個目的IP發(fā)起大量的TCP銜接握手、單個IP對某個目的IP發(fā)送大量的小包。3、防DOS攻擊配置建議：建議假設客戶對平安方面有要求的話可以啟用，但需求謹慎配置；假設客戶網絡中已有平安防護設備，那么不建議在設備上配置該功能。 防DOS攻擊功能簡介及配置防DOS攻擊配置1、內網網段要么留空，要配置那么必需完好將內網一切網段填寫完好，否那么少填的網段將會無法上網。2、假設內網是三層交換機多網段環(huán)境，那么左圖中紅色框選項一定不能勾選，假設內網是二層交換機單網段環(huán)境，可以勾選此項，不勾選也不會產生影響。3、下面三個配置參數建議運用默許配置即可。假設內網用戶運

14、用電驢，迅雷等下載軟件下載，可適當增大“最大攻擊包次數，防止出現(xiàn)誤判。練練手情景1客戶原有網絡曾經在出口位置部署了一臺防火墻，下接三層交換機，如今購買了一臺AC，客戶需求實現(xiàn)流控、審計、網頁過濾等功能，請問根據這樣需求AC應該如何部署對客戶是最適宜的？請根據左邊拓撲圖對設備任務方式實踐動手配置一下，完成設備部署練練手情景2客戶原有網絡拓撲如右圖所示，由于某方面的緣由，客戶想購買一臺AC交換掉原有防火墻，請根據圖示拓撲信息實踐動手配置一下，完成設備部署。練練手情景3某大型集團公司網絡拓撲如右圖所示，客戶主要需求是對內網上網行為進展審計、URL過濾這兩個功能需求，并且要求對提供內外網訪問的WEB SERVER訪問時進展記錄，請根據客戶的實踐網絡討論以哪種部署方式最適宜客戶的部署，并實踐動手完成配置部署。練練手情景4客戶原