SANGFORACXXXX年度渠道初級(jí)認(rèn)證培訓(xùn)02-設(shè)備部署

1、SANGFOR AC設(shè)備部署培訓(xùn)培訓(xùn)內(nèi)容培訓(xùn)目標(biāo)AC部署模式介紹1. 掌握AC支持的部署模式路由模式1.掌握路由模式適用環(huán)境及支持的功能2.掌握路由模式的配置步驟和注意事項(xiàng)網(wǎng)橋模式1.掌握網(wǎng)橋模式適用環(huán)境及支持的功能2.掌握網(wǎng)橋模式的配置步驟和注意事項(xiàng)旁路模式1.掌握旁路模式適用環(huán)境及支持的功能2.掌握旁路模式的配置步驟和注意事項(xiàng)策略路由和多線路選路介紹1.掌握策略路由和多線路選路的應(yīng)用背景2.掌握策略路由和多線路選路的實(shí)現(xiàn)原理和配置步驟防DOS攻擊功能介紹及配置1.掌握防DOS攻擊的作用及配置SANGFOR AC部署方式引見部署方式_簡介1、部署方式是指設(shè)備以什么樣的任務(wù)方式部署到客戶網(wǎng)絡(luò)中

2、去，詳細(xì)以何種部署方式需求綜合客戶詳細(xì)的網(wǎng)絡(luò)環(huán)境和客戶的功能需求而定，不同的部署方式對(duì)客戶原有網(wǎng)絡(luò)的影響各有不同。2、AC設(shè)備支持路由、網(wǎng)橋、旁路三種任務(wù)方式。SANGFOR AC部署方式引見路由方式_簡介1、路由方式時(shí)AC的任務(wù)方式與路由器相當(dāng)，具備根本的路由轉(zhuǎn)發(fā)及NAT功能。普通在客戶原有網(wǎng)絡(luò)環(huán)境中添加AC設(shè)備時(shí)不建議采用這種方式，由于這種部署方式需求對(duì)客戶的網(wǎng)絡(luò)環(huán)境作較大的改動(dòng)。2、普通運(yùn)用路由方式部署的環(huán)境是客戶想用AC交換原有部署的防火墻或者是路由器，或者是客戶在規(guī)劃新網(wǎng)絡(luò)建立時(shí)需求將AC充任路由功能。3、路由方式下支持AC一切的功能方式。4、普通客戶假設(shè)需求運(yùn)用NAT、VPN、DH

3、CP等功能時(shí)，AC必需是路由方式部署，其它任務(wù)方式不支持實(shí)現(xiàn)這些功能。SANGFOR AC部署方式引見網(wǎng)橋方式_簡介1、AC以網(wǎng)橋方式部署時(shí)對(duì)客戶原有網(wǎng)絡(luò)根本沒有改動(dòng)，不需求更改客戶原有的網(wǎng)絡(luò)設(shè)備配置。2、網(wǎng)橋方式時(shí)AC不支持NAT代理上網(wǎng)和端口映射、VPN、DHCP功能，除此之外AC的其它功能如URL過濾、流控等其它功能均可實(shí)現(xiàn)。3、網(wǎng)橋方式部署AC時(shí)，對(duì)客戶來說是個(gè)透明的設(shè)備，假設(shè)由于AC本身的緣由而導(dǎo)致網(wǎng)絡(luò)中斷時(shí)可以開啟硬件bypass功能，即可恢復(fù)網(wǎng)絡(luò)通訊。4、網(wǎng)橋方式部署時(shí)AC支持硬件bypass功能其它方式部署均沒有支持bypass功能的說法。SANGFOR AC部署方式引見網(wǎng)橋方

4、式_2種類型1、網(wǎng)橋多網(wǎng)口：網(wǎng)橋多網(wǎng)口是指設(shè)備只做一個(gè)網(wǎng)橋，但內(nèi)外網(wǎng)口不是一一對(duì)應(yīng)的，能夠內(nèi)網(wǎng)口需求接多個(gè)網(wǎng)口，也能夠外網(wǎng)口需求接多個(gè)網(wǎng)口，各個(gè)網(wǎng)口之間的數(shù)據(jù)都可以設(shè)置轉(zhuǎn)發(fā)，設(shè)備的ARP表只維持一份。2、多網(wǎng)橋是指一臺(tái)設(shè)備可以做多個(gè)網(wǎng)橋，相當(dāng)于多個(gè)交換機(jī)，和網(wǎng)橋多網(wǎng)口的區(qū)別是：設(shè)備的ARP表維持多份；內(nèi)外網(wǎng)口是一一對(duì)應(yīng)的；網(wǎng)口屬于同一個(gè)網(wǎng)橋才干進(jìn)展數(shù)據(jù)轉(zhuǎn)發(fā)，不同網(wǎng)橋接口之間的數(shù)據(jù)不能轉(zhuǎn)發(fā)。SANGFOR AC部署方式引見旁路方式_簡介1、旁路方式是AC三種任務(wù)方式中最簡單的一種，但也是所能實(shí)現(xiàn)功能較弱的一種部署方式，此種部署方式對(duì)客戶原有網(wǎng)絡(luò)無任何影響，即使設(shè)備宕機(jī)也不影響客戶網(wǎng)絡(luò)。2、旁路方

5、式AC只用于上網(wǎng)行為的審計(jì)和基于TCP運(yùn)用的控制功能，對(duì)基于UDP協(xié)議的運(yùn)用無法控制。不支持流量管理，準(zhǔn)入系統(tǒng)，NAT, VPN, DHCP等功能。3、旁路方式下，AC運(yùn)用LAN/WAN口接中心交換機(jī)或者是中心出口路由器上，需求路由器或者是中心交換機(jī)支持鏡像功能，將流量上下行鏡像到AC設(shè)備上來。路由方式旁路方式網(wǎng)橋方式典型部署方式與配置典型部署方式與配置 路由方式_部署指點(diǎn)1、首選需求了解客戶的實(shí)踐需求，客戶能否必需求用到AC的VPN、NAT代理上網(wǎng)和端口映射、DHCP這幾個(gè)功能。假設(shè)客戶網(wǎng)絡(luò)中曾經(jīng)有其它設(shè)備實(shí)現(xiàn)了這些功能或者是客戶根本用不到這些功能那么應(yīng)首先思索網(wǎng)橋方式部署。2、客戶新規(guī)劃建

6、立的網(wǎng)絡(luò)中來部署AC，相當(dāng)于一個(gè)全新的網(wǎng)絡(luò)規(guī)劃，客戶想把AC當(dāng)作一臺(tái)防火墻部署在出口上，可以部署成為路由方式。3、客戶網(wǎng)絡(luò)中原有防火墻或者路由器了，出于某方面的緣由想用AC交換掉原有出口的防火墻或者路由器。典型部署方式與配置典型部署方式與配置 路由方式配置思緒1、網(wǎng)口配置：確定設(shè)備外網(wǎng)口WAN1口是固定IP或者是ADSL撥號(hào)方式，獲得相應(yīng)運(yùn)營商給的IP地址信息或者是撥號(hào)的帳號(hào)密碼；確定內(nèi)網(wǎng)口LAN口的IP地址信息；2、確定內(nèi)網(wǎng)能否多網(wǎng)段網(wǎng)絡(luò)環(huán)境，假設(shè)是的話需求添加相應(yīng)的回包路由回指給設(shè)備下接的中心交換機(jī)；典型部署方式與配置 路由方式配置步驟定義網(wǎng)絡(luò)接口配置完成，點(diǎn)擊提交典型部署方式與配置 網(wǎng)橋

7、方式_部署指點(diǎn)1、網(wǎng)橋方式部署相比路由方式對(duì)客戶的網(wǎng)絡(luò)影響比較小，當(dāng)客戶確定不需求運(yùn)用AC的VPN、NAT、DHCP功能時(shí)，那么應(yīng)思索部署網(wǎng)橋方式。2、根據(jù)客戶的網(wǎng)絡(luò)構(gòu)造決議AC采用多網(wǎng)橋或網(wǎng)橋多網(wǎng)口的方式。 網(wǎng)橋多網(wǎng)口運(yùn)用場景： a.兩條線路分別接FW1和FW2，內(nèi)網(wǎng)接交換機(jī)，設(shè)備在交換機(jī)和防火墻 之間， 網(wǎng)橋方式部署，單進(jìn)雙出做網(wǎng)橋多網(wǎng)口。 b.內(nèi)網(wǎng)中心交換機(jī)和路由器都做雙機(jī)，參與兩臺(tái)設(shè)備，雙進(jìn)單出做網(wǎng)橋多網(wǎng)口。 多網(wǎng)橋運(yùn)用場景: a.設(shè)備一進(jìn)一出做單網(wǎng)橋 b.客戶內(nèi)網(wǎng)有VRRP或HSRP環(huán)境典型部署方式與配置典型部署方式與配置 網(wǎng)橋方式配置思緒 網(wǎng)橋方式部署時(shí)需求思索AC串接在前面防火墻

8、和下面的中心交換機(jī)之間網(wǎng)段能否存在空閑的主機(jī)IP地址，假設(shè)有那么分配一個(gè)該網(wǎng)段的IP地址給AC作為網(wǎng)橋的IP地址，假設(shè)沒有空閑IP的話那么配置管理口DMZ進(jìn)展管理。典型部署方式與配置 網(wǎng)橋方式配置步驟配置完成，點(diǎn)擊提交典型部署方式與配置 旁路方式_部署指點(diǎn)1、旁路方式是一切部署方式中最簡單的一種，但也是功能實(shí)現(xiàn)較弱的一種部署方式。當(dāng)客戶的需求只是上網(wǎng)審計(jì)和基于TCP的運(yùn)用過濾時(shí)，可以思索此種部署方式，常見于高校、大型國有企業(yè)專門用于AC作審計(jì)；2、旁路部署時(shí)普通設(shè)備是接在中心交換機(jī)上，中心交換機(jī)經(jīng)過將鏡像功能將需求審計(jì)的流量鏡像過來；3、管理時(shí)采用管理口DMZ配置IP地址進(jìn)展管理，其它一切接口

9、均可作為監(jiān)聽口，可運(yùn)用一個(gè)口或者是多個(gè)口同時(shí)作為監(jiān)聽口，監(jiān)聽口無需任何配置的。典型部署方式與配置典型部署方式與配置 旁路方式部署配置思緒1、普通AC旁路接在中心交換機(jī)的鏡像口上，中心交換機(jī)需求將上下行流量鏡像到AC過來。2、旁路方式部署時(shí)必需配置管理口IP地址進(jìn)展管理，可以分配內(nèi)網(wǎng)恣意網(wǎng)段空閑IP地址進(jìn)展管理，監(jiān)聽口可以接恣意網(wǎng)口除了配置為管理口接口之外，可以同時(shí)接多個(gè)進(jìn)展監(jiān)聽。3、需求確認(rèn)內(nèi)網(wǎng)一切需求進(jìn)展審計(jì)的內(nèi)網(wǎng)網(wǎng)段監(jiān)控網(wǎng)段，需求確認(rèn)內(nèi)網(wǎng)能否有效力器提供訪問時(shí)需求也進(jìn)展記錄。4、管理口不僅用于管理，還用于包括和外置數(shù)據(jù)中心同步、作TCP控制時(shí)發(fā)reset包運(yùn)用。典型部署方式與配置 旁路方式

10、配置步驟假設(shè)設(shè)備需求跟外網(wǎng)通訊，需配置好網(wǎng)關(guān)和DNS配置完成點(diǎn)擊提交 戰(zhàn)略路由功能 多線路自動(dòng)選路功能 防DOS攻擊戰(zhàn)略路由和多線路選路引見運(yùn)用背景：隨著企業(yè)的不斷壯大和開展，一個(gè)企業(yè)所擁有的互聯(lián)網(wǎng)線路往往不止一條線路，而每條線路的帶寬又是非常有限的。如何設(shè)置才可以更合理的利用線路帶寬，提高訪問公網(wǎng)的速度呢？處理方案：AC設(shè)備提供兩種技術(shù)多線路選路和戰(zhàn)略路由。多線路選路戰(zhàn)略：根據(jù)每條線路的上、下行帶寬進(jìn)展分配或者平均分配帶寬或者優(yōu)先選擇前面的線路等分配戰(zhàn)略來選擇不同的外網(wǎng)線路。戰(zhàn)略路由功能：根據(jù)源/目的IP、源/目的端口、協(xié)議等條件進(jìn)展線路選擇，以實(shí)現(xiàn)不同的數(shù)據(jù)走不同的外網(wǎng)線路的需求。上述兩種

11、功能均能實(shí)現(xiàn)某條外網(wǎng)線路缺點(diǎn)，選擇從這條線路出去的流量自動(dòng)切換到其他正常的鏈路。假設(shè)線路恢復(fù)，那么自動(dòng)切換回來。戰(zhàn)略路由運(yùn)用舉例客戶需求訪問某網(wǎng)上銀行，地址是2，訪問協(xié)議是HTTPS，網(wǎng)上銀行會(huì)校驗(yàn)源IP地址，假好像一銜接中的源IP發(fā)生了改動(dòng)，網(wǎng)上銀行會(huì)斷開銜接，導(dǎo)致無法訪問。處理方法：設(shè)置一條戰(zhàn)略路由，指定訪問到這個(gè)目的地址的數(shù)據(jù)固定走線路一。戰(zhàn)略路由運(yùn)用舉例配置步驟：1. 首先設(shè)置網(wǎng)絡(luò)接口及代理上網(wǎng)上一章節(jié)及防火墻 功能培訓(xùn)PPT中有引見，此處不再累述2. 網(wǎng)絡(luò)配置戰(zhàn)略路由，點(diǎn)擊新增，如以下圖：源地址即訪問網(wǎng)上銀行的地址，這里是內(nèi)網(wǎng)一切用戶，可以選擇一切IP多線路選路運(yùn)用舉例如圖，某客戶兩

12、條公網(wǎng)線路，客戶想要實(shí)現(xiàn)內(nèi)網(wǎng)用戶上網(wǎng)時(shí)，走剩余上行帶寬最多的線路出去。處理方法：配置多線路選路，選擇“按每條線路的剩余上行帶寬優(yōu)先選擇線路多線路選路運(yùn)用舉例配置步驟：首先配網(wǎng)絡(luò)接口及代理上網(wǎng)上一章節(jié)及防火墻 功能培訓(xùn)PPT中有引見，此處不再累述然后在網(wǎng)絡(luò)配置戰(zhàn)略路由，點(diǎn)擊外網(wǎng)線路分配戰(zhàn)略，如圖：多線路選路和戰(zhàn)略路由功能本卷須知1. 多線路選路和戰(zhàn)略路由功能只在路由方式下有效。2. 需求開啟外網(wǎng)至少2條線路的授權(quán)。防DOS攻擊功能簡介及配置防DOS攻擊功能引見1、防DOS攻擊是設(shè)備對(duì)于DOS攻擊的防護(hù)作用，經(jīng)過設(shè)備可以阻止此類攻擊，不僅可以阻止對(duì)設(shè)備本身的攻擊、也可以阻止內(nèi)網(wǎng)某些PC對(duì)外網(wǎng)發(fā)起的

13、攻擊。2、DOS攻擊常見類型有：單個(gè)主機(jī)IP對(duì)某個(gè)目的IP發(fā)起大量的TCP銜接握手、單個(gè)IP對(duì)某個(gè)目的IP發(fā)送大量的小包。3、防DOS攻擊配置建議：建議假設(shè)客戶對(duì)平安方面有要求的話可以啟用，但需求謹(jǐn)慎配置；假設(shè)客戶網(wǎng)絡(luò)中已有平安防護(hù)設(shè)備，那么不建議在設(shè)備上配置該功能。 防DOS攻擊功能簡介及配置防DOS攻擊配置1、內(nèi)網(wǎng)網(wǎng)段要么留空，要配置那么必需完好將內(nèi)網(wǎng)一切網(wǎng)段填寫完好，否那么少填的網(wǎng)段將會(huì)無法上網(wǎng)。2、假設(shè)內(nèi)網(wǎng)是三層交換機(jī)多網(wǎng)段環(huán)境，那么左圖中紅色框選項(xiàng)一定不能勾選，假設(shè)內(nèi)網(wǎng)是二層交換機(jī)單網(wǎng)段環(huán)境，可以勾選此項(xiàng)，不勾選也不會(huì)產(chǎn)生影響。3、下面三個(gè)配置參數(shù)建議運(yùn)用默許配置即可。假設(shè)內(nèi)網(wǎng)用戶運(yùn)

14、用電驢，迅雷等下載軟件下載，可適當(dāng)增大“最大攻擊包次數(shù)，防止出現(xiàn)誤判。練練手情景1客戶原有網(wǎng)絡(luò)曾經(jīng)在出口位置部署了一臺(tái)防火墻，下接三層交換機(jī)，如今購買了一臺(tái)AC，客戶需求實(shí)現(xiàn)流控、審計(jì)、網(wǎng)頁過濾等功能，請(qǐng)問根據(jù)這樣需求AC應(yīng)該如何部署對(duì)客戶是最適宜的？請(qǐng)根據(jù)左邊拓?fù)鋱D對(duì)設(shè)備任務(wù)方式實(shí)踐動(dòng)手配置一下，完成設(shè)備部署練練手情景2客戶原有網(wǎng)絡(luò)拓?fù)淙缬覉D所示，由于某方面的緣由，客戶想購買一臺(tái)AC交換掉原有防火墻，請(qǐng)根據(jù)圖示拓?fù)湫畔?shí)踐動(dòng)手配置一下，完成設(shè)備部署。練練手情景3某大型集團(tuán)公司網(wǎng)絡(luò)拓?fù)淙缬覉D所示，客戶主要需求是對(duì)內(nèi)網(wǎng)上網(wǎng)行為進(jìn)展審計(jì)、URL過濾這兩個(gè)功能需求，并且要求對(duì)提供內(nèi)外網(wǎng)訪問的WEB SERVER訪問時(shí)進(jìn)展記錄，請(qǐng)根據(jù)客戶的實(shí)踐網(wǎng)絡(luò)討論以哪種部署方式最適宜客戶的部署，并實(shí)踐動(dòng)手完成配置部署。練練手情景4客戶原