SANGFORNGAFV度渠道初級(jí)認(rèn)證培訓(xùn)常見網(wǎng)絡(luò)環(huán)境部署

SANGFORNGAF常見網(wǎng)絡(luò)環(huán)境部署培訓(xùn)內(nèi)容培訓(xùn)目標(biāo)NGAF各種部署模式掌握路由部署配置及場(chǎng)景掌握透明模式部署配置及場(chǎng)景掌握虛擬網(wǎng)線模式部署配置及場(chǎng)景4.了解旁路模式部署配置及場(chǎng)景5.掌握混合模式部署配置及場(chǎng)景部署說明

AF部署能力的提高，讓工程師了解在各種環(huán)境下，選擇最優(yōu)的部署模式。為了讓AF適應(yīng)各種環(huán)境的部署能力，和可擴(kuò)展性，NGAF沒有單獨(dú)的部署模式可以選擇，AF的部署模式是由各個(gè)網(wǎng)口的屬性決定的；根據(jù)網(wǎng)口屬性分為：物理接口、子接口、vlan接口；根據(jù)網(wǎng)口工作區(qū)域劃分為：2層區(qū)域口、3層區(qū)域口；其中物理口可選擇為：路由口、透明口、虛擬網(wǎng)線口、鏡像口；1、路由模式（lan對(duì)端路由口）路由口部署思路：1、lan口對(duì)端是路由口，直接設(shè)置lan口為路由口即可2、路由模式（lan對(duì)端trunk口）路由模式下，對(duì)端是trunk口Trunk口部署思路2：1、設(shè)置lan口為trunk口，并設(shè)置對(duì)應(yīng)的vlan號(hào)的vlan接口，這種模式類似3層虛擬接口交換機(jī)。2、路由模式（lan對(duì)端trunk口）3、透明模式（access環(huán)境）透明模式部署也是最常見的部署模式access部署思路：1、網(wǎng)口設(shè)置成透明口，設(shè)置對(duì)應(yīng)的vlan號(hào)即可，如果線路傳輸?shù)臄?shù)據(jù)不包含vlan標(biāo)簽，選擇默認(rèn)的vlan1。2、可以配置eth0可作為管理口外，也可以使用新建vlan1對(duì)應(yīng)的3層口veth1來管理設(shè)備，需要確保AF的veth1接口的IP與前后端設(shè)備接口屬于同網(wǎng)段。3、透明模式（access環(huán)境）4、透明模式（trunk環(huán)境）如果鏈路是承載著多個(gè)vlan的trunk鏈路，可以采用透明trunk模式部署。與AF對(duì)接的其他網(wǎng)絡(luò)設(shè)備的接口一般也都是配置了trunk模式，或者是路由子接口模式。Trunk部署思路：1、把2個(gè)網(wǎng)口配置成trunk口接口，trunk所有vlan。2、配置相對(duì)應(yīng)的任何vlan虛擬接口給AF設(shè)備，以用于管理和上網(wǎng)更新規(guī)則庫(kù)，也可以用manager口。4、透明模式（trunk環(huán)境）5、虛擬線路虛擬網(wǎng)線部署是最常見的部署模式，也是適用范圍最廣，最提倡的一種部署模式。部署思路：1、采用虛擬網(wǎng)線方式部署時(shí)不需要考慮AF前后設(shè)備接口屬性和鏈路屬性，直接把網(wǎng)口配置成了虛擬線路口后，配對(duì)部署即可。2、需要給默認(rèn)管理口eth0分配一個(gè)可用的IP，該IP可以用于管理設(shè)備，更新規(guī)則庫(kù)，防篡改模塊更新緩存等。5、虛擬線路6、路由模式（wan口路由口，內(nèi)網(wǎng)服務(wù)器有公網(wǎng)IP，啟用ARP代理）上文提及需求是公網(wǎng)IP必須配置在服務(wù)器上面的另外一種配置方法，這就是全路由模式部署。部署思路：1、接口都配置為路由口，然后采用arp代理的方式實(shí)現(xiàn)服務(wù)器區(qū)域和公網(wǎng)網(wǎng)關(guān)的互相通訊。6、路由模式（wan口路由口，內(nèi)網(wǎng)服務(wù)器有公網(wǎng)IP，啟用ARP代理）arp代理功能，該拓?fù)鋱D，必須選擇eth37、旁路模式旁路模式部署AF，AF僅僅支持的功能有WAF（web應(yīng)用防護(hù)），IPS（入侵防護(hù)系統(tǒng)），和DLP（數(shù)據(jù)庫(kù)泄密防護(hù)，屬于WAF內(nèi)，其余功能均不能實(shí)現(xiàn)，例如Vpn功能，網(wǎng)關(guān)(smtp/pop3/http)殺毒，DOS防御，網(wǎng)站防篡改，Web過濾等都不能實(shí)現(xiàn)。部署思路：1、連接旁路口eth3到鄰接核心交換機(jī)設(shè)備2、連接管理口并配置管理ip3、啟用管理口reset功能7、旁路模式支持帶vlan標(biāo)記數(shù)據(jù)旁路部署支持阻斷功能，通過查找系統(tǒng)路由選擇接口發(fā)送tcpreset包為旁路區(qū)域配置IPS/WAF策略1、當(dāng)源區(qū)域配置為旁路鏡像區(qū)域時(shí)，目的區(qū)域自動(dòng)填寫為所有區(qū)域2、目的IP組不能填寫所有7、旁路模式8、混合模式（wan口交換口，內(nèi)網(wǎng)服務(wù)器有公網(wǎng)IP）混合模式部署，主要指AF的各個(gè)網(wǎng)口，既有2層口，又有3層口的情況。特別是當(dāng)DMZ區(qū)域服務(wù)器集群需要配置公網(wǎng)IP地址的時(shí)候部署思路：1、服務(wù)器eth3和公網(wǎng)區(qū)域接口eth2配置成2層口，放到2層區(qū)域2、內(nèi)網(wǎng)口eth1配置為路由口3、新建一個(gè)和eth2以及eth3對(duì)應(yīng)vlan的3層區(qū)域接口并配置公網(wǎng)ip地址。用于代理內(nèi)網(wǎng)方向上網(wǎng)及內(nèi)網(wǎng)區(qū)域與服務(wù)器區(qū)域、外網(wǎng)區(qū)域策略控制8、混合模式（wan口交換口，內(nèi)網(wǎng)服務(wù)器有公網(wǎng)IP）9、混合模式部署案例用戶需求：某用戶內(nèi)網(wǎng)有服務(wù)器群，服務(wù)器均配置公網(wǎng)IP地址，提供所有用戶直接通過公網(wǎng)IP地址接入訪問。內(nèi)網(wǎng)用戶使用私有地址，通過NAT轉(zhuǎn)換上網(wǎng)。希望將NGAF設(shè)備部署在公網(wǎng)出口的位置，保護(hù)服務(wù)器群和內(nèi)網(wǎng)上網(wǎng)數(shù)據(jù)的安全。部署方式推薦：使用混合模式部署，NGAF設(shè)備連接公網(wǎng)和服務(wù)器群的2個(gè)接口使用透明access口，連接內(nèi)網(wǎng)網(wǎng)段使用路由接口。9、混合模式部署案例NGAF部署分析：由于服務(wù)器均有公網(wǎng)IP地址，所以AF設(shè)備連接公網(wǎng)線路的接口eth1與連接服務(wù)器群接口eth2使用透明access接口，并設(shè)置相同的VLANID。即可實(shí)現(xiàn)所有用戶通過公網(wǎng)IP直接訪問到服務(wù)器群。新增VLAN1接口，分配一個(gè)公網(wǎng)IP地址。AF設(shè)備與內(nèi)網(wǎng)相連的接口eth3使用路由接口，設(shè)置與內(nèi)網(wǎng)交換機(jī)同網(wǎng)段的IP地址，并設(shè)置靜態(tài)路由與內(nèi)網(wǎng)通信。（靜態(tài)路由配置省略）內(nèi)網(wǎng)用戶上網(wǎng)時(shí)，轉(zhuǎn)換源IP地址為VLAN1接口的IP地址。（NAT配置省略）根據(jù)需求，劃分為一個(gè)二層區(qū)域選擇網(wǎng)口eth1和eth2；劃分兩個(gè)三層區(qū)域，其中“外網(wǎng)區(qū)域”選擇VLAN接口vlan1；“內(nèi)網(wǎng)區(qū)域”選擇接口eth3。9、混合模式部署案例配置截圖：1.設(shè)置物理接口eth1、eth2和eth3：9、混合模式部署案例2