深信服部署模式

一、人以56部署模式:1.1部署模式拓?fù)鋱D：1.1.1路由部署1.1.2網(wǎng)橋部署：內(nèi)限用戶產(chǎn)網(wǎng)橋模式部署環(huán)境等網(wǎng)橋（舉例）：蹈由圖那曾交換機(jī)內(nèi)冏網(wǎng)戶木耳㈤聒■式郎內(nèi)限用戶產(chǎn)網(wǎng)橋模式部署環(huán)境等網(wǎng)橋（舉例）：蹈由圖那曾交換機(jī)內(nèi)冏網(wǎng)戶木耳㈤聒■式郎―1.1.3旁路部署：1.2部署指導(dǎo)1.2.1路由模式_部署指導(dǎo)首選需要了解用戶的實(shí)際需求，以下幾種情況必須使用路由模式部署：1、用戶必須要用到AC的VPN、NAT（代理上網(wǎng)和端口映射）、DHCP這幾個(gè)功能。2、用戶在新規(guī)劃建設(shè)的網(wǎng)絡(luò)中來部署AC，想把AC當(dāng)作一臺網(wǎng)關(guān)設(shè)備部署在網(wǎng)絡(luò)出口處。3、用戶網(wǎng)絡(luò)中已有防火墻或者路由器了，但出于某方面的原因想用AC替換掉原有的防火墻或者路由器并代理網(wǎng)用戶上網(wǎng)。1.2.2網(wǎng)橋模式一部署指導(dǎo)1、網(wǎng)橋模式部署相比路由模式對客戶的網(wǎng)絡(luò)影響較小，當(dāng)客戶確定不需要使用AC的VPN、NAT、DHCP功能，且網(wǎng)已有相應(yīng)的網(wǎng)關(guān)設(shè)備時(shí)，建議使用網(wǎng)橋模式部署。2、根據(jù)客戶的網(wǎng)絡(luò)結(jié)構(gòu)決定AC采用多網(wǎng)橋或網(wǎng)橋多網(wǎng)口的方式。網(wǎng)橋多網(wǎng)口常見應(yīng)用場景：a.兩條線路分別接FW1和FW2,網(wǎng)接交換機(jī)，設(shè)備在交換機(jī)和防火墻之間，網(wǎng)橋模式部署，單進(jìn)雙出做網(wǎng)橋多網(wǎng)口。b.網(wǎng)核心交換機(jī)和路由器都做雙機(jī)，加入兩臺設(shè)備，雙進(jìn)單出做網(wǎng)橋多網(wǎng)口。多網(wǎng)橋常見應(yīng)用場景:

a.設(shè)備一進(jìn)一出做單網(wǎng)橋b.客戶網(wǎng)有VRRP或HSRP環(huán)境a1.2.3旁路模式一部署指導(dǎo)1、旁路模式是所有部署模式中最簡單的一種，但也是功能實(shí)現(xiàn)較弱的一種部署方式。當(dāng)客戶的需求只是上網(wǎng)審計(jì)和基于TCP的應(yīng)用過濾時(shí)，可以考慮此種部署方式，常見于高校、大型國有企業(yè)專門用于AC作審計(jì)；2、旁路部署時(shí)一般設(shè)備是接在核心交換機(jī)上，核心交換機(jī)通過將鏡像功能將需要審計(jì)的流量鏡像過來；3、旁路模式部署時(shí)采用管理口（DMZ）配置的IP地址進(jìn)行管理，其它所有接口均可作為監(jiān)聽口，可使用一個(gè)口或者是多個(gè)口同時(shí)作為監(jiān)聽口，監(jiān)聽口無需任何配置。二、AF部署模式：部署模式拓?fù)鋱D：路由模式：5ANGF0RK路由模式（Ian對端路由口）路由口部署思路：k1的口對端是路由口,直接設(shè)置lan口為路由口即可2.路由模式（Ism對端trunk口）SANGFOR蹈由模式下，對端品smk口Trunk口音摩思路二二1、設(shè)蕓I9口為tenlc口，并設(shè)置又寸虛的Man號的vlan接口,這種模式類似3層虛擬接口交換機(jī).6.路由模式（wan口路由口,內(nèi)網(wǎng)服InLuntLInLuntL公網(wǎng)IP,啟用ARP代理）上文提及需求是公網(wǎng)［P必頊配置在服務(wù)器上面的另外一種配置方法,這就是全路由模式部著。部署思路：1、援口都配置為路由口，然后■采用arp代理的方式實(shí)現(xiàn)服務(wù)器區(qū)域和公網(wǎng)網(wǎng)美的互相逋訊口2.1.2■■■■3.透明模式C次cces號環(huán)境）法班橫式邰鐲也是最岸見的部署橫式E1匚匚七目石部密.思?路；1、網(wǎng)口設(shè)量成透明口,設(shè)置對應(yīng)的■vlar.耳即可,如一果線路傳輸?shù)臄?shù)據(jù)不良含METl標(biāo)整,選擇默認(rèn)的￥13111.2.可以配置亡由0可作為管理口外,也可以使用新建、1皿1對應(yīng)的3層口veth1來管理設(shè)瞽r需要確保AF的燈0比1房口的IP與前后端港密接口屬于同網(wǎng)段aS網(wǎng)HGFQR4.透明模式（trunks境）如杲誕蹈是承朝著冬個(gè)dan的uunk鏈路,可以采用透明ixuti此模式部署。與AF對接時(shí)其他網(wǎng)絡(luò)諛年的接口一般也都是配置了trunk模式1r或者號路由子接口模式ATrunk部署思路；1、把2個(gè)網(wǎng)口比置成trunkR］接口r士runk所舂-vlan,入西域相對應(yīng)的任何V出詼擬接口給AF設(shè)鉛,以用于管理和上網(wǎng)更新規(guī)則庫,也可以用manager口>>2.1.3■■■■虛以網(wǎng)線部看是最常見的部落模式,也是適用范圍最廣,號提倡的種部署模式.吾需?思路：L采用虛擬網(wǎng)在方式部署時(shí)不需要考用AF前后設(shè)第接口屬審口鏈路屬性.直接把網(wǎng)口配置.成了虛擬線路口后,配又寸吾呂蕾艮口可.工、需要給默認(rèn)重理口「擊口分配一^r可用的ip.詼ip可以用于管理設(shè)備.更新規(guī)則庫，防麓改模塊團(tuán)斯繾存等口SANGFORSANGFOR2.1.4旁路模式：Internet2.1.5混合模式Internet2.1.5混合模式旁路模式部署AF,AF僅僅支持的功能有WAF（NEb應(yīng)用防護(hù)）fIPS（入侵防護(hù)系統(tǒng)）.和DLP（數(shù)據(jù)庫世密防護(hù).屬于WAF內(nèi)，其余功能均不能實(shí)現(xiàn)，例如Vp口功能『網(wǎng)關(guān)（gnrtp；pop3..,,http）茶毒,D0m防御s網(wǎng)站防篡改,AV小過濾等都不能實(shí)現(xiàn).部署思路：h在接旁路口113到鄰接核心交換機(jī)設(shè)備工在接管理口并配置管理師3、啟用管理口t■巳配1:功能混合模式吝降，主要指AP的各個(gè)網(wǎng)口,既有2層口，又有3層口的情況口特別是當(dāng)DM2區(qū)域服務(wù)器集序需要配置公網(wǎng)IP地址的時(shí)候部署思路：L眼符器曰h3和公網(wǎng)區(qū)域接口eth2配置成2層口r放到2層區(qū)域￡內(nèi)網(wǎng)口ethl配置為路由口3、新建一個(gè)和抽2以及eth3對應(yīng)zlaii的3層區(qū)域接口并配置公網(wǎng)ip地址“用于代理內(nèi)網(wǎng)方向上網(wǎng)及內(nèi)網(wǎng)區(qū)域與服務(wù)器區(qū)域、外網(wǎng)區(qū)域策略控制三、SSLVPN部署模式:部署模式拓?fù)鋱D網(wǎng)關(guān)部署：三SANGFORSANGFORSSL部署配置（網(wǎng)關(guān)模式）網(wǎng)關(guān)單線路網(wǎng)關(guān)單線路網(wǎng)關(guān)多線路IuTEdUITT非直連公網(wǎng)方式的網(wǎng)關(guān)模式部署（應(yīng)用埼景非常少，對網(wǎng)絡(luò)改動(dòng)較大.需要在前置設(shè)備上做端口映射）1*0EW6T.JMlEJmET3.1.2

1*0EW6T.JMlEJmET3.1.2三5ANGFCR單臂單線踣部署配置思路：1、單臂模式配置：給設(shè)備LAN口分配一個(gè)可以上網(wǎng)的IP地址r填寫正確的網(wǎng)關(guān)IP、DNS；2、前置網(wǎng)關(guān)做TCP44矯口觸踹口映射（如果用到工FSECVPN還需要映射TCP/UDP4009端口）IKTELfiUrT超單臂單線踣部署配置思路：1、單臂模式配置：給設(shè)備LAN口分配一個(gè)可以上網(wǎng)的IP地址r填寫正確的網(wǎng)關(guān)IP、DNS；2、前置網(wǎng)關(guān)做TCP44矯口觸踹口映射（如果用到工FSECVPN還需要映射TCP/UDP4009端口）IKTELfiUrT超h服務(wù)潴DNSVPWSANGFOR（單臂多線路模式）單臂多線喻隋配置思踣：?1、單臂模式配置：給設(shè)靠LAN口分配一個(gè)可以上褐的IP地址、埴寫正確的網(wǎng)關(guān)】P、*2.、前詈網(wǎng)關(guān)分別做兩條線路的TCP44三和名0端口映射C如果用到IPSECVPK還需要映射TCP/UDP40Q9端口）-3、配置SSLVPN多線路SANGFORbSL部署配置IMTEANEI部署指導(dǎo)網(wǎng)關(guān)單線路配置思路1、網(wǎng)關(guān)模式配置：確定設(shè)備外網(wǎng)口（WAN1口）是固定IP或者是ADSL撥號方式，取得相應(yīng)運(yùn)營商給的IP地址信息或者是撥號的密碼；確定網(wǎng)口（LAN口）的IP地址信息；2、上網(wǎng)配置：代理上網(wǎng)（NAT），確定網(wǎng)是否多網(wǎng)段網(wǎng)絡(luò)環(huán)境，如果是的話需要添加相應(yīng)的回包路由回指給設(shè)備下接的核心交換機(jī)。網(wǎng)關(guān)多線路配置思路1、線路確定：跟客戶確認(rèn)有幾條公網(wǎng)線路接入，并申請多線路授權(quán)2、網(wǎng)關(guān)模式配置：確定設(shè)備外網(wǎng)口是固定IP或者是ADSL撥號方式，取得相應(yīng)運(yùn)營商給的IP地址信息或者是撥號的密碼，給每條外網(wǎng)線路做配置；確定網(wǎng)口（LAN口）的IP地址信息；3、上網(wǎng)配置：代理上網(wǎng)（NAT），確定網(wǎng)是否多網(wǎng)段網(wǎng)絡(luò)環(huán)境，如果是的話需要添加相應(yīng)的回包路由回指給設(shè)備下接的核心交換機(jī)。4、多線路配置：可根據(jù)客戶需求設(shè)置IPSECVPN多線路，SSLVPN多線路傳輸，上網(wǎng)數(shù)據(jù)的多線路選路策略。單臂單線路部署配置思路1、單臂模式配置：給設(shè)備LAN口分配一個(gè)可以上網(wǎng)的IP地址，填寫正確的網(wǎng)關(guān)IP、DNS；2、前置網(wǎng)關(guān)做TCP443和80端口映射（如果用到IPSECVPN還需要映射TCP/UDP4009端口）單臂多線路部署配置思路：1、單臂模式配置：給設(shè)備LAN口分配一個(gè)可以上網(wǎng)的IP地址、填寫正確的網(wǎng)關(guān)IP、DNS；2、前置網(wǎng)關(guān)分別做兩條線路的TCP443和80端口映射（如果用到IPSECVPN還需要映射TCP/UDP4009端口）3、配置SSLVPN多線路四、IPsecVPN部署模式:4.1部署模式拓?fù)鋱D：4.1.1網(wǎng)關(guān)模式部署/SANGFOR京4.1部署模式拓?fù)鋱D：4.1.1網(wǎng)關(guān)模式部署/SANGFOR京ANIP12,1^132.63/291M.200.2.1724GW：192,200.3.1/24vGW:l92.JOy.S.iLANIP200.1.254/Z44.1.2單臂模式部署：IM.ICOJ#'24in押Ql.iSL”GWJK.110.JICl「期WO.l.i4.2配置思路網(wǎng)關(guān)模式部署配置思路：.選擇部署模式并配置，外網(wǎng)接口信息.配置代理上網(wǎng)同時(shí)放通防火墻規(guī)則.本案例網(wǎng)有三層環(huán)境，還需配置回包路由.若設(shè)備還提供SANG