sangfor ad2011年度渠道初級(jí)認(rèn)證培訓(xùn)設(shè)備典型網(wǎng)絡(luò)的部署

1、SANGFOR AD典型網(wǎng)絡(luò)部署培訓(xùn)培訓(xùn)內(nèi)容培訓(xùn)目標(biāo)AD部署模式介紹1. 掌握SANGFOR AD有哪些部署模式、可以部署在網(wǎng)絡(luò)中的什么位置、各種部署模式之間的區(qū)別和特點(diǎn)AD典型部署及配置1. 熟悉各種部署模式下如何配置方可上架AD部署模式介紹深信服公司簡(jiǎn)介練練手SANGFOR ADAD典型部署及配置 1.1.什么是部署模式 1.2.路由模式介紹 1.3.網(wǎng)橋模式介紹 1.4.旁路模式介紹1. AD部署模式介紹1.AD部署模式介紹 部署模式是指設(shè)備以什么樣的工作方式部署到客戶網(wǎng)絡(luò)中去，不同的部署方式對(duì)客戶的網(wǎng)絡(luò)影響各有不同，具體以何種部署方式需要綜合客戶具體的網(wǎng)絡(luò)環(huán)境和客戶的功能需求而定。 A

2、D支持路由模式、網(wǎng)橋模式、旁路模式三種部署方式。1.1.什么叫部署模式1.AD部署模式介紹1.2.路由模式介紹 常見(jiàn)的部署方式，可以同時(shí)實(shí)現(xiàn)服務(wù)器負(fù)載和多鏈路負(fù)載，設(shè)備直接接入網(wǎng)絡(luò)邊界，啟用NAT代理上網(wǎng)，防火墻做透明模式，適合新建網(wǎng)絡(luò)或者替代原有出口路由器或者防火墻。 部署時(shí)改動(dòng)較大，需內(nèi)網(wǎng)規(guī)劃IP段和添加相應(yīng)的路由。 路由模式下可實(shí)現(xiàn)入站鏈路負(fù)載、出站鏈路負(fù)載、服務(wù)器負(fù)載。1.AD部署模式介紹1.3.網(wǎng)橋模式介紹 網(wǎng)橋模式部署非常簡(jiǎn)單，不需要改動(dòng)原有的網(wǎng)絡(luò)結(jié)構(gòu)，只需要給設(shè)備配置一個(gè)網(wǎng)橋IP，并且保證AD的網(wǎng)橋IP地址能夠訪問(wèn)到服務(wù)器即可。 網(wǎng)橋模式下支持硬件BYPASS功能，保證業(yè)務(wù)系統(tǒng)不

3、中斷。 網(wǎng)橋模式只支持服務(wù)器負(fù)載、入站鏈路負(fù)載和出站鏈路負(fù)載均無(wú)法實(shí)現(xiàn)。1.AD部署模式介紹1.4.旁路模式介紹旁路典型拓?fù)鋱D1介紹：旁路模式部署不需要改動(dòng)原有的網(wǎng)絡(luò)結(jié)構(gòu)。該拓?fù)洵h(huán)境下通過(guò)AD設(shè)備實(shí)現(xiàn)服務(wù)器負(fù)載均衡功能。AD設(shè)備旁路模式部署時(shí)，必須連接WAN口類型的接口到局域網(wǎng)交換機(jī)。同時(shí)WAN口可以和服務(wù)器IP地址在同一網(wǎng)段，如果不在同網(wǎng)段，則需要保證AD和服務(wù)器路由可達(dá)。若服務(wù)需要發(fā)布到公網(wǎng)，需要在邊界出口設(shè)備上做AD的端口映射（全映射或者服務(wù)器相關(guān)應(yīng)用端口） 1.AD部署模式介紹1.4.旁路模式介紹 旁路典型拓?fù)鋱D2介紹： 該拓?fù)洵h(huán)境下能實(shí)現(xiàn)入站鏈路負(fù)載和服務(wù)器負(fù)載。 這種情況下需要將多

4、條公網(wǎng)鏈路的IP映射到AD設(shè)備，AD設(shè)備WAN口可以和服務(wù)器IP地址在同一網(wǎng)段，如果不在同網(wǎng)段，需要保證AD和服務(wù)器路由可達(dá)。路由模式旁路模式網(wǎng)橋模式2. AD典型部署案例與配置2.AD典型部署案例及配置 2.1.路由模式部署案例 2.2.網(wǎng)橋模式部署案例 2.3.旁路模式部署案例客戶需求：客戶有電信和網(wǎng)通兩條互聯(lián)網(wǎng)線路，希望實(shí)現(xiàn)代理內(nèi)網(wǎng)上網(wǎng)和智能選路，內(nèi)網(wǎng)用戶訪問(wèn)公網(wǎng)網(wǎng)通服務(wù)器走網(wǎng)通線路，訪問(wèn)電信服務(wù)器走電信線路。同時(shí)要實(shí)現(xiàn)外網(wǎng)用戶訪問(wèn)內(nèi)部服務(wù)器的時(shí)候能夠做自動(dòng)選路快速訪問(wèn)。網(wǎng)絡(luò)環(huán)境：兩條外網(wǎng)線路，內(nèi)網(wǎng)有服務(wù)器群，防火墻透明部署2.1 路由模式部署案例與配置1.選擇路由模式，確定網(wǎng)口配置：設(shè)

5、備外網(wǎng)口（WAN口）地址，取 得相應(yīng)運(yùn)營(yíng)商給的IP地址信息；確定內(nèi)網(wǎng)口（LAN口）的IP地址 信息2.確定內(nèi)網(wǎng)多網(wǎng)段網(wǎng)絡(luò)環(huán)境，添加靜態(tài)路由回指給設(shè)備下接的核心 交換機(jī)（靜態(tài)路由是保證AD能夠和內(nèi)網(wǎng)進(jìn)行通信）；3.確定代理上網(wǎng)的網(wǎng)段，配置代理上網(wǎng)。2.1 路由模式部署案例與配置配置思路：通過(guò)AD設(shè)備manage口登錄設(shè)備控制臺(tái)完成基本配置后，再把設(shè)備架入網(wǎng)絡(luò)中。 AD manage口的默認(rèn)控制臺(tái)登錄方式是 。配置截圖：1.選擇路由模式2.配置LAN口地址（網(wǎng)口聚合默認(rèn)禁用）3.配置WAN口接口地址和網(wǎng)關(guān)（配置鏈路帶寬，和繁忙保護(hù)比例，健康檢查機(jī)制）4.配置靜態(tài)路由（保證AD能夠和用戶網(wǎng)段通信）5

6、.配置代理上網(wǎng)2.1 路由模式部署案例與配置6.智能路由智能路由下一個(gè)PPT講解此處不要求掌握客戶需求：只需要做內(nèi)網(wǎng)服務(wù)器的負(fù)載，不需要鏈路負(fù)載，不希望改動(dòng)原有的網(wǎng)絡(luò)結(jié)構(gòu)。 網(wǎng)絡(luò)環(huán)境：網(wǎng)絡(luò)出口是防火墻設(shè)備，公網(wǎng)兩條外網(wǎng)鏈路實(shí)現(xiàn)分流。2.2 網(wǎng)橋模式部署案例與配置1、選擇網(wǎng)橋模式，確定網(wǎng)橋IP地址，網(wǎng)關(guān)和網(wǎng)橋接口；2、如果AD網(wǎng)橋IP和內(nèi)網(wǎng)服務(wù)器不在同網(wǎng)段，則需要添加回包路由，保證 AD和服務(wù)器通信，但是只能做七層負(fù)載。 如果AD和內(nèi)網(wǎng)服務(wù)器在同網(wǎng)段，就不需要添加路由，可以同時(shí)做 四層和七層負(fù)載。 此案例中，不需要在AD上添加路由。2.2 網(wǎng)橋模式部署案例與配置配置思路：通過(guò)AD設(shè)備manage

7、口登錄設(shè)備控制臺(tái)完成基本配置后，再把設(shè)備架入網(wǎng)絡(luò)中。 AD manage口的默認(rèn)控制臺(tái)登錄方式是 。配置截圖：1 選擇網(wǎng)橋模式2 配置網(wǎng)橋IP地址和網(wǎng)關(guān)地址，添加網(wǎng)橋接口，不分LAN口和WAN口2.2 網(wǎng)橋模式部署案例與配置網(wǎng)橋模式下注意事項(xiàng)： 2. AD暫不支持多進(jìn)多出模式的橋，橋的網(wǎng)口不區(qū)別進(jìn)出方向，不分LAN區(qū)，WAN區(qū)1.網(wǎng)橋模式只支持服務(wù)器負(fù)載，不支持鏈路負(fù)載2.2 網(wǎng)橋模式部署案例與配置客戶需求：不希望改變?cè)瓉?lái)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),內(nèi)網(wǎng)多臺(tái)服務(wù)器要做服務(wù)器負(fù)載。此需求可以選擇旁路或者網(wǎng)橋模式部署。網(wǎng)絡(luò)環(huán)境：網(wǎng)絡(luò)出口是防火墻設(shè)備，外網(wǎng)只有一條公網(wǎng)線路。 旁路模式部署案例一2.3 旁路模式部

8、署案例與配置1. 選擇旁路模式，AD WAN口IP設(shè)置與服務(wù)器相同網(wǎng)段。 如果AD和內(nèi)網(wǎng)服務(wù)器IP不在同網(wǎng)段，則要保證 AD和服務(wù)器路由可達(dá)。2. AD網(wǎng)關(guān)設(shè)置和服務(wù)器相同，指向前置路由設(shè)備3. AD上啟用代理上網(wǎng)功能（這樣服務(wù)器看到的是AD的訪問(wèn)請(qǐng)求，回包就直接回給AD）4. 前置防火墻上做端口映射（映射內(nèi)網(wǎng)服務(wù)器的服務(wù)端口或者全映射到AD WAN口IP地址）5.【系統(tǒng)配置】-【設(shè)備管理】-【管理網(wǎng)口】，啟用遠(yuǎn)程維護(hù)2.3 旁路模式部署案例與配置旁路模式部署案例一配置思路：旁路模式部署案例一配置截圖：1. 選擇旁路模式2. 配置WAN口地址的時(shí)候要添加對(duì)應(yīng)互聯(lián)網(wǎng)地址，互聯(lián)網(wǎng)地址在服務(wù)負(fù)載需要

9、用到。3. 代理上網(wǎng)配置默認(rèn)禁用狀態(tài)需要啟用方可從設(shè)備WAN口登錄4.啟用遠(yuǎn)程維護(hù)2.3 旁路模式部署案例與配置客戶需求：客戶想實(shí)現(xiàn)外網(wǎng)訪問(wèn)內(nèi)網(wǎng)服務(wù)器的鏈路負(fù)載和服務(wù)器負(fù)載，又不想改動(dòng)原有的網(wǎng)絡(luò)結(jié)構(gòu)。網(wǎng)絡(luò)環(huán)境：有兩條公網(wǎng)線路，出口是防火墻設(shè)備，防火墻下是內(nèi)網(wǎng)服務(wù)器區(qū)和內(nèi)網(wǎng)上網(wǎng)區(qū)2.3 旁路模式部署案例與配置旁路模式部署案例二1.選擇旁路模式，AD上添加一個(gè)WAN口，一條虛擬鏈路。直接連接交換機(jī)的AD網(wǎng)口配置成WAN口，除了填寫真實(shí)IP外還需要填寫對(duì)應(yīng)的互聯(lián)網(wǎng)IP（其中一條公網(wǎng)線路的IP）。虛擬鏈路直接填寫剩余公網(wǎng)線路的互聯(lián)網(wǎng)IP。2.AD上啟用代理上網(wǎng)功能（這樣服務(wù)器看到的是AD的訪問(wèn)請(qǐng)求，回包就 直接回給AD）。3.前置防火墻上做端口映射，把兩個(gè)公網(wǎng)地址分別映射服務(wù)器服務(wù)端口或 者全映射到AD的WAN口。4.【系統(tǒng)配置】-【設(shè)備管理】-【管理網(wǎng)口】，啟用遠(yuǎn)程維護(hù)2.3 旁路模式部署案例與配置旁路模式部署案例二配置思路：1.選擇旁路模式，本案例中NET1口接線2.配置一個(gè)WAN口4.配置代理上網(wǎng)3.配置一條虛擬鏈路5.啟用遠(yuǎn)程維護(hù)默認(rèn)禁用狀態(tài)需要啟用方可從設(shè)備WAN口登錄2.3 旁路模式部署案例與配置旁路模式部署案例二配置截圖：練練手某客戶網(wǎng)絡(luò)