SANGFORAC设备部署培训培训内容培训目标AC部署模式介绍1.掌握AC支持的部署模式路由模式1.掌握路由模式适用环境及支持的功能2.掌握路由模式的配置步骤和注意事项网桥模式1.掌握网桥模式适用环境及支持的功能2.掌握网桥模式的配置步骤和注意事项旁路模式1.掌握旁路模式适用环境及支持的功能2.掌握旁路模式的配置步骤和注意事项策略路由和多线路选路介绍1.掌握策略路由和多线路选路的应用背景2.掌握策略路由和多线路选路的实现原理和配置步骤防DOS攻击功能介绍及配置1.掌握防DOS攻击的作用及配置SANGFORAC部署模式介绍•部署模式_简介1、部署模式是指设备以什么样的工作模式部署到客户网络中去,具体以何种部署方式需要综合客户具体的网络环境和客户的功能需求而定,不同的部署模式对客户原有网络的影响各有不同。2、AC设备支持路由、网桥、旁路三种工作模式。SANGFORAC部署模式介绍•路由模式_简介1、路由模式时AC的工作方式与路由器相当,具备基本的路由转发及NAT功能。一般在客户原有网络环境中添加AC设备时不建议采用这种模式,因为这种部署模式需要对客户的网络环境作较大的改动。2、一般使用路由模式部署的环境是客户想用AC替换原有部署的防火墙或者是路由器,或者是客户在规划新网络建设时需要将AC充当路由功能。3、路由模式下支持AC所有的功能模式。4、一般客户如果需要使用NAT、VPN、DHCP等功能时,AC必须是路由模式部署,其它工作模式不支持实现这些功能。SANGFORAC部署模式介绍•网桥模式_简介1、AC以网桥模式部署时对客户原有网络基本没有改动,不需要更改客户原有的网络设备配置。2、网桥模式时AC不支持NAT(代理上网和端口映射)、VPN、DHCP功能,除此之外AC的其它功能如URL过滤、流控等其它功能均可实现。3、网桥模式部署AC时,对客户来说是个透明的设备,如果因为AC自身的原因而导致网络中断时可以开启硬件bypass功能,即可恢复网络通信。4、网桥模式部署时AC支持硬件bypass功能(其它模式部署均没有支持bypass功能的说法。SANGFORAC部署模式介绍•网桥模式_2种类型1、网桥多网口:网桥多网口是指设备只做一个网桥,但内外网口不是一一对应的,可能内网口需要接多个网口,也可能外网口需要接多个网口,各个网口之间的数据都可以设置转发,设备的ARP表只维持一份。2、多网桥是指一台设备可以做多个网桥,相当于多个交换机,和网桥多网口的区别是:设备的ARP表维持多份;内外网口是一一对应的;网口属于同一个网桥才能进行数据转发,不同网桥接口之间的数据不能转发。SANGFORAC部署模式介绍•旁路模式_简介1、旁路模式是AC三种工作模式中最简单的一种,但也是所能实现功能较弱的一种部署方式,此种部署模式对客户原有网络无任何影响,即使设备宕机也不影响客户网络。2、旁路模式AC只用于上网行为的审计和基于TCP应用的控制功能,对基于UDP协议的应用无法控制。不支持流量管理,准入系统,NAT,VPN,DHCP等功能。3、旁路模式下,AC使用LAN/WAN口接核心交换机或者是核心出口路由器上,需要路由器或者是核心交换机支持镜像功能,将流量上下行镜像到AC设备上来。路由模式旁路模式网桥模式典型部署模式与配置典型部署模式与配置路由模式_部署指导1、首选需要了解客户的实际需求,客户是否必须要用到AC的VPN、NAT(代理上网和端口映射)、DHCP这几个功能。如果客户网络中已经有其它设备实现了这些功能或者是客户根本用不到这些功能则应首先考虑网桥模式部署。2、客户新规划建设的网络中来部署AC,相当于一个全新的网络规划,客户想把AC当作一台防火墙部署在出口上,可以部署成为路由模式。3、客户网络中原有防火墙或者路由器了,出于某方面的原因想用AC替换掉原有出口的防火墙或者路由器。典型部署模式与配置三层交换机IP:192.168.1.1/24IP:192.168.1.2/24192.168.2.0/24192.168.3.0/24172.16.1.0/24WAN:拨号\固定IP\DHCP二层交换机IP:192.168.1.1/24192.168.1.0/24WAN:拨号\固定IP\DHCP典型部署模式与配置路由模式配置思路1、网口配置:确定设备外网口(WAN1口)是固定IP或者是ADSL拨号方式,取得相应运营商给的IP地址信息或者是拨号的帐号密码;确定内网口(LAN口)的IP地址信息;2、确定内网是否多网段网络环境,如果是的话需要添加相应的回包路由回指给设备下接的核心交换机;典型部署模式与配置路由模式配置步骤定义网络接口配置完成,点击提交典型部署模式与配置网桥模式_部署指导1、网桥模式部署相比路由模式对客户的网络影响比较小,当客户确定不需要使用AC的VPN、NAT、DHCP功能时,则应考虑部署网桥模式。2、根据客户的网络结构决定AC采用多网桥或网桥多网口的方式。网桥多网口应用场景:a.两条线路分别接FW1和FW2,内网接交换机,设备在交换机和防火墙之间,网桥模式部署,单进双出做网桥多网口。b.内网核心交换机和路由器都做双机,加入两台设备,双进单出做网桥多网口。多网桥应用场景:a.设备一进一出做单网桥b.客户内网有VRRP或HSRP环境典型部署模式与配置三层交换机路由器(FW)ACIP:192.168.1.1/24网桥IP:192.168.1.3/24IP:192.168.1.2/24192.168.2.0/24192.168.3.0/24172.16.1.0/24三层交换机路由器(FW)AC192.168.2.0/24192.168.3.0/24172.16.1.0/24路由器(FW)典型部署模式与配置网桥模式配置思路网桥模式部署时需要考虑AC串接在前面防火墙和下面的核心交换机之间网段是否存在空闲的主机IP地址,如果有则分配一个该网段的IP地址给AC作为网桥的IP地址,如果没有空闲IP的话则配置管理口(DMZ)进行管理。典型部署模式与配置网桥模式配置步骤配置完成,点击提交典型部署模式与配置旁路模式_部署指导1、旁路模式是所有部署模式中最简单的一种,但也是功能实现较弱的一种部署方式。当客户的需求只是上网审计和基于TCP的应用过滤时,可以考虑此种部署方式,常见于高校、大型国有企业专门用于AC作审计;2、旁路部署时一般设备是接在核心交换机上,核心交换机通过将镜像功能将需要审计的流量镜像过来;3、管理时采用管理口(DMZ)配置IP地址进行管理,其它所有接口均可作为监听口,可使用一个口或者是多个口同时作为监听口,监听口无需任何配置的。典型部署模式与配置三层交换机路由器(FW)DMZ(管理口)IP:192.168.1.2/24监听口镜像192.168.1.0/24192.168.2.0/24192.168.3.0/24典型部署模式与配置旁路模式部署配置思路1、一般AC旁路接在核心交换机的镜像口上,核心交换机需要将上下行流量镜像到AC过来。2、旁路模式部署时必须配置管理口IP地址进行管理,可以分配内网任意网段空闲IP地址进行管理,监听口可以接任意网口(除了配置为管理口接口之外),可以同时接多个进行监听。3、需要确认内网所有需要进行审计的内网网段(监控网段),需要确认内网是否有服务器提供访问时需要也进行记录。4、管理口不仅用于管理,还用于包括和外置数据中心同步、作TCP控制时发reset包使用。典型部署模式与配置旁路模式配置步骤若设备需要跟外网通讯,需配置好网关和DNS配置完成点击提交策略路由功能多线路自动选路功能防DOS攻击策略路由和多线路选路介绍应用背景:随着企业的不断壮大和发展,一个企业所拥有的互联网线路往往不止一条线路,而每条线路的带宽又是非常有限的。如何设置才能够更合理的利用线路带宽,提高访问公网的速度呢?解决方案:AC设备提供两种技术——多线路选路和策略路由。多线路选路策略:根据每条线路的上、下行带宽进行分配或者平均分配带宽或者优先选择前面的线路等分配策略来选择不同的外网线路。策略路由功能:根据源/目的IP、源/目的端口、协议等条件进行线路选择,以实现不同的数据走不同的外网线路的需求。上述两种功能均能实现某条外网线路故障,选择从这条线路出去的流量自动切换到其他正常的链路。如果线路恢复,则自动切换回来。策略路由应用举例客户需要访问某网上银行,地址是58.56.133.32,访问协议是HTTPS,网上银行会校验源IP地址,如果同一连接中的源IP发生了改变,网上银行会断开连接,导致无法访问。解决办法:设置一条策略路由,指定访问到这个目标地址的数据固定走线路一。策略路由应用举例配置步骤:1.首先设置网络接口及代理上网(上一章节及防火墙功能培训PPT中有介绍,此处不再累述)2.[网络配置]-[策略路由],点击新增,如下图:源地址即访问网上银行的地址,这里是内网所有用户,可以选择所有IP多线路选路应用举例如图,某客户两条公网线路,客户想要实现内网用户上网时,走剩余上行带宽最多的线路出去。解决方法:配置多线路选路,选择“按每条线路的剩余上行带宽优先选择线路”多线路选路应用举例配置步骤:1.首先配网络接口及代理上网(上一章节及防火墙功能培训PPT中有介绍,此处不再累述)2.然后在[网络配置]-[策略路由],点击外网线路分配策略,如图:多线路选路和策略路由功能注意事项1.多线路选路和策略路由功能只在路由模式下有效。2.需要开启外网至少2条线路的授权。防DOS攻击功能简介及配置•防DOS攻击功能介绍1、防DOS攻击是设备对于DOS攻击的防护作用,通过设备能够阻止此类攻击,不仅能够阻止对设备本身的攻击、也可以阻止内网某些PC对外网发起的攻击。2、DOS攻击常见类型有:单个主机IP对某个目标IP发起大量的TCP连接握手、单个IP对某个目标IP发送大量的小包。3、防DOS攻击配置建议:建议如果客户对安全方面有要求的话可以启用,但需要谨慎配置;如果客户网络中已有安全防护设备,则不建议在设备上配置该功能。防DOS攻击功能简介及配置•防DOS攻击配置1、内网网段要么留空,要配置则必须完整将内网所有网段填写完整,否则少填的网段将会无法上网。2、如果内网是三层交换机多网段环境,则左图中红色框选项一定不能勾选,如果内网是二层交换机单网段环境,可以勾选此项,不勾选也不会产生影响。3、下面三个配置参数建议使用默认配置即可。如果内网用户使用电驴,迅雷等下载软件下载,可适当增大“最大攻击包次数”,避免出现误判。练练手情景1客户原有网络已经在出口位置部署了一台防火墙,下接三层交换机,现在购买了一台AC,客户需要实现流控、审计、网页过滤等功能,请问根据这样需求AC应该如何部署对客户是最合适的?请根据左边拓扑图对设备工作模式实际动手配置一下,完成设备部署三层交换机防火墙IP:192.168.1.1/30IP:192.168.1.2/30192.168.2.0/24192.168.3.0/24172.16.1.0/24练练手情景2客户原有网络拓扑如右图所示,由于某方面的原因,客户想购买一台AC替换掉原有防火墙,请根据图示拓扑信息实际动手配置一下,完成设备部署。三层交换机防火墙IP:192.168.1.1/29IP:192.168.1.2/29192.168.2.0/24192.168.3.0/24172.16.1.0/24IP:220.163.221.10/24Gateway:220.163.221.1DNS:222.172.200.68练练手情景3某大型集团公司网络拓扑如右图所示,客户主要需求是对内网上网行为进行审计、URL过滤这两个功能需求,并且要求对提供内外网访问的WEBSERVER访问时进行记录,请根据客户的实际网络讨论以哪种部署方式最适合客户的部署,并实际动手完成配置部署。三层交换机路由器(FW)WEBSERVER10.0.0.8/24192.168.2.0/24192.168.3.0/24练练手情景4客户原有网络拓扑如右图所示,客户需要AC实现审计、P2P管控等功能