深信服上网行为管理特殊网络环境PPT.ppt

,SANGFOR AC&SG,特殊网络环境部署,培训内容,培训目标,AC,双机环境下的部署,了解双机维护功能的适用环境,掌握设备各种部署模式下的双机部署和配置方法,了解双机部署下的注意事项,AC,多机环境下的部署,了解多机功能的适应环境,掌握常见网络中的多机部署及配置方法,了解多机部署的注意事项,内网有代理服务器环境下的部署,了解内网有代理服务器的部署适用环境,掌握常见代理环境中的部署和配置方法,了解内网代理服务器环境下部署的注意事项,AC,在,TRUNK,环境下的部署,了解,TRUNK,环境下部署的适应场景,掌握,TRUNK,环境下的部署和配置方法,了解,TRUNK,环境下部署的注意事项,双机维护环境部署,多机同步环境部署,内网代理环境部署,SANGFOR,AC&SG,TRUNK,环境部署,双机维护环境部署,双机维护环境部署,双机维护是指两台设备通过双机心跳线连接，实现互为备份,。,正常情况下，只有主设备工作，如果网络失去与主设备的通信，则自动切换到备机，保证客户的业务不受影响，网络不中断。,双机维护环境只有一台主设备处于正常工作状态，另一台备设备处于监听状态。,适用环境：,对网络稳定性要求较高的,客户环境,常见网络环境中的双机部署方式,（1）路由模式下的双机部署：,连接方式：,两台,SANGFOR AC,设备通过双机心跳线（全反线）将CONSOLE口进行连接，设备的内外网口各自连接到内外网的二层交换机或三层交换机的同一个VLAN接口上。,常见网络环境中的双机部署方式,（,2）网桥模式下的双机部署,两台,AC,设备之间通过双机心跳线（全反线）将其CONSOLE口进行连接，桥接方式与单台设备网桥模式下类似。,常见网络环境中的双机部署方式,（3）旁路模式下的双机部署：,两台,AC,设备之间通过双机心跳线（全反线）将其CONSOLE口进行连接。,交换机上需要设置两个相同的镜像口用于连接到两台设备的监听口，另外两台设备的管理口需要连接到交换机同一个VLAN的接口上。,双机维护配置,1.,启用双机服务，并设置双机的相关选项,用于显示双机通信是否正常,用于设置当前设备名称，可以自定义方便区分的两台设备的名称,设置双机自动切换的超时时间，默认为,10s,监测以下网口的连接状态，如果断开连接则自动发生主备切换，保证网络正常。注意：设备暂时没有用到的接口请不要勾选，因为接口没有用却检测接口状态会导致双机异常。,启用串口故障检测后，当串口发生故障，如串口的线掉了，可以通过此处选择的网口发送网络数据包来检测对端设备的存在。如果串口线掉了，很有可能会导致两台设备同时切换为主机，为避免,IP,冲突，会自动将一台设备切换为备机，恢复一台设备工作的正常情况，需要注意的是此处选择的网口必须接在同一交换机上，否则无效。,选择启用的目的是在对设备进行升级时，关闭主备机切换功能，避免升级过程中发生主备切换，导致升级失败。点击启用后主备机不能自动切换，请慎用此功能，建议只在对主备机器进行升级维护的时候才开启此模式，升级完成请后务必关闭升级模式。,用于手动切换到主机或备机，并且显示最后一次主备机切换的时间。,用于手动点击按钮同步配置。,双机维护配置（续）,2.,用同样的方法配置另外一台设备,双机维护配置（续）,3.,将主备机按照物理拓扑连接好，用双机心跳线（全反线）将两台设备的CONSOLE口连接起来。,4.,选择一台设备做主机先加电开机，主机启动后，备机再加电，正常工作后，主机的配置会通过双机心跳线同步到备机,，,只需要配置主设备即可,。,双机维护配置注意事项,（1）,双机部署的两台设备，软件版本和硬件型号要一致。,（2）,双机部署的两台设备配置完全一样，包括接口配置，序列号除外,。,（3）,切换部署模式，恢复备份的配置，修改系统时间等会导致设备重启的操作,，,建议先开启升级模式，否则可能会在设备重启过程中发生主备切换导致配置同步有问题。,多机同步环境部署,多机同步应用环境,AC,的多机同步主要应用于内网设备启用,VRRP,，确保任一条链路故障，,VRRP,进行切换时，也能无缝支持。,多机同步功能由多台,SANGFOR AC,设备通过通信网口同步配置，库文件和用户在线状态等信息，多机环境下所有的,AC,设备是同时工作的，实现在VRRP环境下某条线路断掉，无缝切换到另一条线路，策略和用户状态的一致性，用户上网不需要重新认证。,适用环境：,内网VRRP，对网络可靠性有较高需求，需要多台AC互为热备的情况。,常见网络中的多机部署方式,多机同步一般应用于内网VRRP环境，,常,用的部署方式是,AC,设备网桥模式,多机功能，,首先需要,设置,设备的通信网口,，,通信网口用于处于同一个组播域的多机设备之间的通信。,通信网口的要求：,（1）可用的网口，可以指定正在使用的网口，也可以指定空闲的网口；,（2）如果指定正在使用的网口做通信网口，则需要保证这两个网口处于同一广播域，即处于同一个二层环境；,（3）如果指定空闲网口做通信网口，则需要将两个空闲网口用交叉线直连。,（4）通信网口不能选择拨号网口或者DHCP获取IP的网口。,常见网络中的多机部署方式,如果左边拓扑图中,AC,下面接的是三层交换机，那么要使用空闲网口口做为通信网口，采用如图的接线方式,多机同步配置,1.,启用多机同步，并设置多机的相关选项。,用于进行设备配置信息同步的网络接口，此例中使用空闲网口,DMZ,口做通信网口，所以此处选择,DMZ,口。,用于给通信网口定义一个,IP,地址，两台设备通信网口的,IP,地址最好设置同一网段，注意不要跟现有接口的,IP,地址网段冲突。,用于配置设备进行多机同步的组播地址，因为多机同步时通过组播实现的，所以通信接口需要属于同一广播域，并且此处的的组播地址需要多台设备设置完全相同。多机同步配置设备组播地址可以用组播地址范围的任意地址,。,显示同步设备的,IP,地址。,多机同步配置,2.,在另外一台设备上开启多机功能并进行相关的配置,3.,配置完成后，点击向其它设备同步配置，,此时设备会发送同步信号,，,进行设备的配置同步和信息同步,。点击,“,查看同步报告,”,可查看同步信息。,多机同步配置注意事项,（,4,）做多机的设备要求硬件型号和软件版本完全一致,。,（1）当多机环境中某台设备的配置改变时，设备中会有提示，,点击,“,向其它设备同步配置,”,则立即,向另外一台设备发同步命令进行配置同步,。,（2）在线用户状态时实时同步的，也就是一旦有新的用户通过认证，那么多机会立即同步，注意不需要认证的用户（只绑定IP/MAC的用户）的在线状态是不会同步的。,（3）做多机同步的几台设备网口IP地址是需要设置不一样的，网口IP地址这些配置也不会进行同步。,内网代理服务器环境部署,内网代理服务器环境部署应用场景,内网通过代理的方式上网的,网络,环境,，,由于用户所有数据是发往代理服务器的，目标,IP,是代理服务器的,IP,，真实的上网数据通过代理服务器封装后转发到公网。,在这样的网络环境下，如果要对上网用户采用不同的上网策略，记录真实的访问公网的数据，,AC,的部署和其他网络环境中的部署就有区别,适用环境：,用户通过内网代理服务器上网，并且需要准确识别用户通过代理服务器上网的数据和分权限控制。,常见代理环境中的部署方式,1.,代理服务器双网卡（,AC,设备路由或网桥模式部署）,在设备“代理服务器设置”选项中填入代理服务器的IP。,设备可采取路由模式、网桥模式部署在客户端与代理服务器之间，考虑到内网改动的大小，建议采用网桥模式部署。,必须保证内网发往代理服务器的数据先经过,AC,设备，也就是代理服务器应该部署于,AC,设备的WAN口方向。,把,AC,设备的IP在客户端电脑的,IE,代理排除列表里排除掉。,常见代理环境中的部署方式,2.,代理服务器双网卡（,AC,设备旁路模式部署）,在设备“代理服务器设置”选项中填入代理服务器的IP。,如果仅用于审计或仅控制TCP协议的数据，设备可采取旁路模式部署，用于监听内网发往代理服务器的所有数据。,常见代理环境中的部署方式,3.,代理服务器单网卡（,AC,设备网桥模式部署）,如左图所示，代理服务器以单臂模式接在核心交换机上。,内网用户上网数据先通过交换机到达代理服务器，再由代理服务器经核心交换机和防火墙出到公网。,针对这种环境，给出以下两种解决方案：,常见代理环境中的部署方式,方案一：,在,AC,设备“代理服务器设置”选项中填入代理服务器的IP。,3.,代理服务器单网卡（,AC,设备网桥模式部署）,在防火墙、代理服务器与核心交换机之间再加多一台二层交换机，或者将代理服务器迁移至防火墙的接口上。如果原来代理服务器与防火墙内网口不在同一个VLAN，则需要重新规划代理服务器或防火墙网段的IP。,将AC|SG网桥模式部署在核心交换机与新增的二层交换机之间，确保上网数据只一次通过设备,常见代理环境中的部署方式,方案二：,在设备“代理服务器设置”选项中填入代理服务器的IP。,3.,代理服务器单网卡（,AC,设备网桥模式部署）,将AC|SG网桥模式部署在单臂代理服务器与核心交换机之间。,联系深信服800，协助修改系统后台配置。因为这样部署，上网数据会两次经过设备，如果不修改后台配置，那么在线用户列表中会出现公网IP。,内网代理环境部署配置,1.,将设备采用以上各拓扑中的部署方式进行配置，然后接入到网络中。关于网关模式配置在初级培训中均已涉及，此处不再赘述。,2.,在设备“代理服务器设置”选项中填入代理服务器的IP。,在方框里面填上代理服务器,IP,地址或者,IP,地址范围。,点击提交保存配置生效,内网代理环境部署注意事项,（1）必须保证客户端发到代理服务器的数据先经过,AC,设备，也就是代理服务器应该部署在,AC,设备的WAN口方向。,（2）设备默认情况下会对所有的代理数据进行检测，也就是说如果“代理服务器设置”列表为空，则对发往任何地址的数据都会进行代理数据的识别，这样会影响设备处理效率。,建议在地址列表中填入代理服务器的IP地址，这样的话只有发往此列表地址的数据才会被检测是否为代理数据，并对其进行上网权限控制。,TRUNK,环境部署,TRUNK网络环境,Trunk是一种封装技术，它是一条点到点的链路，链路的两端可以都是交换机，也可以是交换机和路由器，还可以是主机和交换机或路由器。,VLAN Trunk(虚拟局域网中继技术)的作用是让连接在不同交换机或路由器上的相同VLAN中的主机互通。,SANGFOR AC,在路由模式下LAN口支持配置为trunk口，网桥模式（包括多网桥）支持穿透trunk封装数据，不支持在,AC,设备上划分,VLAN,。,适用环境：,内网交换机划分了,VLAN,，且需要支持并识别trunk封装的数据。,TRUNK,网络环境中的部署,（3）若要实现各VLAN之间的数据互访（单臂路由功能），需要将,AC,设备的LANLAN,防火墙规则放通,。,方案一：AC|SG路由模式,（1）直接替代原有的路由器（或FW）并配置成路由模式。,（2）将LAN口的VLAN配置启用，,LAN,口,IP,不能属于任何,VLAN,，可随意配置。,分别填写各个VLAN的ID及IP，此IP即原来路由器（或FW）上各VLAN的网关IP。,TRUNK,网络环境中的部署,（3）设备在多网桥模式下，每个网桥均可启用VLAN并配置。,方案二：AC|SG网桥模式,（1）网桥模式部署在路由器与交换机之间，设备穿透trunk。,（2）网桥,IP,需任意设置一个不在任何,VLAN,的,IP,，网桥的网关指向任意一个,VLAN,的网关。,网桥配置启用VLAN，,并按格式填写每个VLAN的,IP,。,TRUNK环境部署配置（VLAN配置项）,（1）路由模式,LAN口（eth0）填写任一个不存在的IP,启用VLAN并据实填写VLAN地址信息,配置完成后可看到配置汇总信息,TRUNK环境部署配置,（VLAN配置项）,（2）单网桥模式,填写任一个不存在的网桥IP,据实填写其中一个能与互联网通信的VLAN的网关IP和准确的DNS信息,启用VLAN并填写VLAN信息,配置完成后可看到汇总信息,TRUNK环境部署配置（VLAN配置项）,（3）多网桥模式（各网桥均可启用VLAN）,配置网桥1信息,配置网桥2信息,配置完成后查看网桥1汇总信息,配置完成后查看网桥2汇总信息,TRUNK环境配置注意事项,（3）设备以多网桥部署时，每个网桥均可穿透VLAN并配置VLAN相关项。,（1）路由模式下，LAN口配置802.1Q,VLAN地址后，LAN口可以接支持VLAN的2层交换机的TRUNK口，设备可以在VLAN间转发数据（单臂路由），并可做LANLAN方向的防火墙规则，即控制不同VLAN之间的访问,。,（2）网桥模式下，网桥IP配置802.1Q,VLAN地址后，设备内置相关规则库升级只会使用其中一个VLAN的IP，所以在配置网桥IP时注意配置任何一个可以上网用的,VLAN,网关。,1.,某客户购买两台,AC,设备路由模式部署双机，一次机房安装设备不小心把主设备的,AC,内网口不小心碰掉了，结果造成断网，双机并没有切换。客户对产品存在质疑，购买两台设备做成双机就是为了避免类似这种现象的发生，请问有可能是什么原因造成？,2.,多机和双机有什么不一样？,3.,为什么代理环境部署的时候需要将代理服务器,IP,填入,“,代理服务器设置,”,列表？,问题思考,