SANGFOR_AD_V5.1_2013年度培訓(xùn)02_設(shè)備典型網(wǎng)絡(luò)的部署_20130821

1、SANGFOR AD典型網(wǎng)絡(luò)部署培訓(xùn)培訓(xùn)內(nèi)容培訓(xùn)目標(biāo)AD部署模式介紹掌握SANGFOR AD有哪些部署模式、可以部署在網(wǎng)絡(luò)中的什么位置、各種部署模式之間的區(qū)別和特點AD典型部署及配置熟悉各種部署模式下如何配置方可上架AD部署模式介紹深信服公司簡介練練手SANGFOR ADAD典型部署及配置 1.1.什么是部署模式 1.2.路由模式介紹 1.3.旁路模式介紹1. AD部署模式介紹1.AD部署模式介紹部署模式是指設(shè)備以什么樣的工作方式部署到用戶網(wǎng)絡(luò)中去，不同的部署方式對用戶的網(wǎng)絡(luò)影響各有不同，具體以何種部署方式需要綜合用戶具體的網(wǎng)絡(luò)環(huán)境和用戶的功能需求而定。SANGFOR AD支持路由模式、旁路模

2、式兩種部署方式。1.1.什么叫部署模式1.AD部署模式介紹1.2.路由模式介紹常見的部署方式，可以同時實現(xiàn)服務(wù)器負(fù)載和多鏈路負(fù)載，設(shè)備直接接入網(wǎng)絡(luò)邊界，啟用NAT代理上網(wǎng)，防火墻做透明模式，適合新建網(wǎng)絡(luò)或者替代原有出口路由器或者防火墻。部署時改動較大，需內(nèi)網(wǎng)規(guī)劃IP段和添加相應(yīng)的路由。路由模式下可實現(xiàn)入站鏈路負(fù)載、出站鏈路負(fù)載、服務(wù)器負(fù)載。1.AD部署模式介紹1.3.旁路模式介紹旁路模式部署不需要改動原有的網(wǎng)絡(luò)結(jié)構(gòu)。旁路環(huán)境下通過AD設(shè)備實現(xiàn)服務(wù)器負(fù)載均衡和入站鏈路負(fù)載功能。AD設(shè)備旁路模式部署時，必須連接WAN口類型的接口到局域網(wǎng)交換機。同時WAN口可以和服務(wù)器IP地址在同一網(wǎng)段，如果不在同

3、網(wǎng)段，則需要保證AD和服務(wù)器路由可達。若服務(wù)需要發(fā)布到公網(wǎng)，需要在邊界出口設(shè)備上做AD的端口映射（全映射或者服務(wù)器相關(guān)應(yīng)用端口） 路由模式旁路模式2. AD典型部署案例與配置2.AD典型部署案例及配置 2.1.路由模式部署案例 2.2.旁路模式部署案例用戶需求：用戶有電信和網(wǎng)通兩條互聯(lián)網(wǎng)線路，希望實現(xiàn)代理內(nèi)網(wǎng)上網(wǎng)和智能選路，內(nèi)網(wǎng)用戶訪問公網(wǎng)網(wǎng)通服務(wù)器走網(wǎng)通線路，訪問電信服務(wù)器走電信線路。同時要實現(xiàn)外網(wǎng)用戶訪問內(nèi)部服務(wù)器的時候能夠做自動選路快速訪問。網(wǎng)絡(luò)環(huán)境：兩條外網(wǎng)線路，內(nèi)網(wǎng)有服務(wù)器群，防火墻透明部署2.1 路由模式部署案例與配置配置設(shè)備外網(wǎng)口（WAN口）地址，取 得相應(yīng)運營商給的IP地址信息

4、；配置設(shè)備內(nèi)網(wǎng)口（LAN口）的IP地址信息。確定內(nèi)網(wǎng)多網(wǎng)段網(wǎng)絡(luò)環(huán)境，添加靜態(tài)路由回指給設(shè)備下接的核心交換機 （靜態(tài)路由是保證AD能夠和內(nèi)網(wǎng)進行通信）。確定代理上網(wǎng)的網(wǎng)段，配置代理上網(wǎng)。配置智能路由。2.1 路由模式部署案例與配置配置思路：通過AD設(shè)備manage口登錄設(shè)備控制臺完成基本配置后，再把設(shè)備架入網(wǎng)絡(luò)中。AD MANAGE口的默認(rèn)控制臺登錄方式是52 或者54 默認(rèn)賬號密碼為admin/admin。配置截圖：1.配置LAN口地址2.配置WAN口接口地址和網(wǎng)關(guān)（配置鏈路帶寬，健康檢查機制等）3.配置靜態(tài)路由（保證

5、AD能夠和用戶網(wǎng)段通信）4.配置代理上網(wǎng)2.1 路由模式部署案例與配置6.智能路由智能路由下一個PPT講解此處不要求掌握用戶需求：不希望改變原來的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),內(nèi)網(wǎng)多臺服務(wù)器要做服務(wù)器負(fù)載。此需求可以選擇旁路部署。網(wǎng)絡(luò)環(huán)境：網(wǎng)絡(luò)出口是防火墻設(shè)備，外網(wǎng)只有一條公網(wǎng)線路。 旁路模式部署案例 2.2 旁路模式部署案例與配置AD WAN口IP設(shè)置與服務(wù)器相同網(wǎng)段。 如果AD和內(nèi)網(wǎng)服務(wù)器IP不在同網(wǎng)段，則要保證 AD和服務(wù)器路由可達。WAN口網(wǎng)關(guān)設(shè)置和服務(wù)器相同，指向前置路由設(shè)備 AD上啟用代理上網(wǎng)功能（這樣服務(wù)器看到的是AD的訪問請求，回包就直接回給AD）啟用遠(yuǎn)程維護，【系統(tǒng)配置】-【設(shè)備管理】-【管

6、理網(wǎng)口】-啟用遠(yuǎn)程維護。啟用后內(nèi)網(wǎng)用戶才可以從WAN口管理到AD設(shè)備。配置默認(rèn)路由，如果不配置默認(rèn)路由，則七層負(fù)載會不生效。前置防火墻上做端口映射（映射內(nèi)網(wǎng)服務(wù)器的服務(wù)端口或者全映射到AD WAN口IP地址）2.2 旁路模式部署案例與配置旁路模式部署案例配置思路：旁路模式部署案例配置截圖：1. 配置WAN口 2. 代理上網(wǎng)配置3.啟用遠(yuǎn)程維護2.2 旁路模式部署案例與配置必須選擇WAN接口類型可以不需要啟用健康檢查默認(rèn)禁用狀態(tài)需要啟用方可從設(shè)備WAN口登錄4.添加默認(rèn)路由5.端口映射點擊確定2.2 旁路模式部署案例與配置WAN口開啟PING的方法：AD設(shè)備默認(rèn)情況下新建的WAN口（旁路模式也一樣）是無法PING通的，如果要讓用戶能PING通WAN口，則需要在網(wǎng)絡(luò)安全處勾選“啟用WAN網(wǎng)卡的入站路由轉(zhuǎn)發(fā)”。默認(rèn)禁用狀態(tài)，啟用后WAN口可以PING通遠(yuǎn)程維護強制啟用練練手某用戶網(wǎng)絡(luò)拓?fù)淙鐖D所示，用戶需要使用AD來實現(xiàn)入站鏈路負(fù)載和服務(wù)器負(fù)載，請參考旁路模式部