SANGFORNGAFV度渠道初級認(rèn)證培訓(xùn)常見網(wǎng)絡(luò)環(huán)境部署

SANGFORNGAF常見網(wǎng)絡(luò)環(huán)境部署培訓(xùn)內(nèi)容培訓(xùn)目標(biāo)NGAF各種部署模式掌握路由部署配置及場景掌握透明模式部署配置及場景掌握虛擬網(wǎng)線模式部署配置及場景4.了解旁路模式部署配置及場景5.掌握混合模式部署配置及場景部署說明

AF部署能力的提高，讓工程師了解在各種環(huán)境下，選擇最優(yōu)的部署模式。為了讓AF適應(yīng)各種環(huán)境的部署能力，和可擴展性，NGAF沒有單獨的部署模式可以選擇，AF的部署模式是由各個網(wǎng)口的屬性決定的；根據(jù)網(wǎng)口屬性分為：物理接口、子接口、vlan接口；根據(jù)網(wǎng)口工作區(qū)域劃分為：2層區(qū)域口、3層區(qū)域口；其中物理口可選擇為：路由口、透明口、虛擬網(wǎng)線口、鏡像口；1、路由模式（lan對端路由口）路由口部署思路：1、lan口對端是路由口，直接設(shè)置lan口為路由口即可2、路由模式（lan對端trunk口）路由模式下，對端是trunk口Trunk口部署思路2：1、設(shè)置lan口為trunk口，并設(shè)置對應(yīng)的vlan號的vlan接口，這種模式類似3層虛擬接口交換機。2、路由模式（lan對端trunk口）3、透明模式（access環(huán)境）透明模式部署也是最常見的部署模式access部署思路：1、網(wǎng)口設(shè)置成透明口，設(shè)置對應(yīng)的vlan號即可，如果線路傳輸?shù)臄?shù)據(jù)不包含vlan標(biāo)簽，選擇默認(rèn)的vlan1。2、可以配置eth0可作為管理口外，也可以使用新建vlan1對應(yīng)的3層口veth1來管理設(shè)備，需要確保AF的veth1接口的IP與前后端設(shè)備接口屬于同網(wǎng)段。3、透明模式（access環(huán)境）4、透明模式（trunk環(huán)境）如果鏈路是承載著多個vlan的trunk鏈路，可以采用透明trunk模式部署。與AF對接的其他網(wǎng)絡(luò)設(shè)備的接口一般也都是配置了trunk模式，或者是路由子接口模式。Trunk部署思路：1、把2個網(wǎng)口配置成trunk口接口，trunk所有vlan。2、配置相對應(yīng)的任何vlan虛擬接口給AF設(shè)備，以用于管理和上網(wǎng)更新規(guī)則庫，也可以用manager口。4、透明模式（trunk環(huán)境）5、虛擬線路虛擬網(wǎng)線部署是最常見的部署模式，也是適用范圍最廣，最提倡的一種部署模式。部署思路：1、采用虛擬網(wǎng)線方式部署時不需要考慮AF前后設(shè)備接口屬性和鏈路屬性，直接把網(wǎng)口配置成了虛擬線路口后，配對部署即可。2、需要給默認(rèn)管理口eth0分配一個可用的IP，該IP可以用于管理設(shè)備，更新規(guī)則庫，防篡改模塊更新緩存等。5、虛擬線路6、路由模式（wan口路由口，內(nèi)網(wǎng)服務(wù)器有公網(wǎng)IP，啟用ARP代理）上文提及需求是公網(wǎng)IP必須配置在服務(wù)器上面的另外一種配置方法，這就是全路由模式部署。部署思路：1、接口都配置為路由口，然后采用arp代理的方式實現(xiàn)服務(wù)器區(qū)域和公網(wǎng)網(wǎng)關(guān)的互相通訊。6、路由模式（wan口路由口，內(nèi)網(wǎng)服務(wù)器有公網(wǎng)IP，啟用ARP代理）arp代理功能，該拓?fù)鋱D，必須選擇eth37、旁路模式旁路模式部署AF，AF僅僅支持的功能有WAF（web應(yīng)用防護），IPS（入侵防護系統(tǒng)），和DLP（數(shù)據(jù)庫泄密防護，屬于WAF內(nèi)，其余功能均不能實現(xiàn)，例如Vpn功能，網(wǎng)關(guān)(smtp/pop3/http)殺毒，DOS防御，網(wǎng)站防篡改，Web過濾等都不能實現(xiàn)。部署思路：1、連接旁路口eth3到鄰接核心交換機設(shè)備2、連接管理口并配置管理ip3、啟用管理口reset功能7、旁路模式支持帶vlan標(biāo)記數(shù)據(jù)旁路部署支持阻斷功能，通過查找系統(tǒng)路由選擇接口發(fā)送tcpreset包為旁路區(qū)域配置IPS/WAF策略1、當(dāng)源區(qū)域配置為旁路鏡像區(qū)域時，目的區(qū)域自動填寫為所有區(qū)域2、目的IP組不能填寫所有7、旁路模式8、混合模式（wan口交換口，內(nèi)網(wǎng)服務(wù)器有公網(wǎng)IP）混合模式部署，主要指AF的各個網(wǎng)口，既有2層口，又有3層口的情況。特別是當(dāng)DMZ區(qū)域服務(wù)器集群需要配置公網(wǎng)IP地址的時候部署思路：1、服務(wù)器eth3和公網(wǎng)區(qū)域接口eth2配置成2層口，放到2層區(qū)域2、內(nèi)網(wǎng)口eth1配置為路由口3、新建一個和eth2以及eth3對應(yīng)vlan的3層區(qū)域接口并配置公網(wǎng)ip地址。用于代理內(nèi)網(wǎng)方向上網(wǎng)及內(nèi)網(wǎng)區(qū)域與服務(wù)器區(qū)域、外網(wǎng)區(qū)域策略控制8、混合模式（wan口交換口，內(nèi)網(wǎng)服務(wù)器有公網(wǎng)IP）9、混合模式部署案例用戶需求：某用戶內(nèi)網(wǎng)有服務(wù)器群，服務(wù)器均配置公網(wǎng)IP地址，提供所有用戶直接通過公網(wǎng)IP地址接入訪問。內(nèi)網(wǎng)用戶使用私有地址，通過NAT轉(zhuǎn)換上網(wǎng)。希望將NGAF設(shè)備部署在公網(wǎng)出口的位置，保護服務(wù)器群和內(nèi)網(wǎng)上網(wǎng)數(shù)據(jù)的安全。部署方式推薦：使用混合模式部署，NGAF設(shè)備連接公網(wǎng)和服務(wù)器群的2個接口使用透明access口，連接內(nèi)網(wǎng)網(wǎng)段使用路由接口。9、混合模式部署案例NGAF部署分析：由于服務(wù)器均有公網(wǎng)IP地址，所以AF設(shè)備連接公網(wǎng)線路的接口eth1與連接服務(wù)器群接口eth2使用透明access接口，并設(shè)置相同的VLANID。即可實現(xiàn)所有用戶通過公網(wǎng)IP直接訪問到服務(wù)器群。新增VLAN1接口，分配一個公網(wǎng)IP地址。AF設(shè)備與內(nèi)網(wǎng)相連的接口eth3使用路由接口，設(shè)置與內(nèi)網(wǎng)交換機同網(wǎng)段的IP地址，并設(shè)置靜態(tài)路由與內(nèi)網(wǎng)通信。（靜態(tài)路由配置省略）內(nèi)網(wǎng)用戶上網(wǎng)時，轉(zhuǎn)換源IP地址為VLAN1接口的IP地址。（NAT配置省略）根據(jù)需求，劃分為一個二層區(qū)域選擇網(wǎng)口eth1和eth2；劃分兩個三層區(qū)域，其中“外網(wǎng)區(qū)域”選擇VLAN接口vlan1；“內(nèi)網(wǎng)區(qū)域”選擇接口eth3。9、混合模式部署案例配置截圖：1.設(shè)置物理接口eth1、eth2和eth3：9、混合模式部署案例2