特殊网络环境部署深信服上网行为管理AC.ppt
- 文档编号:2121257
- 上传时间:2022-10-27
- 格式:PPT
- 页数:38
- 大小:2.51MB
特殊网络环境部署深信服上网行为管理AC.ppt
《特殊网络环境部署深信服上网行为管理AC.ppt》由会员分享,可在线阅读,更多相关《特殊网络环境部署深信服上网行为管理AC.ppt(38页珍藏版)》请在冰豆网上搜索。
SANGFORAC&SG特殊网络环境部署培训内容培训目标AC双机环境下的部署1.了解双机维护功能的适用环境2.掌握设备各种部署模式下的双机部署和配置方法3.了解双机部署下的注意事项AC多机环境下的部署1.了解多机功能的适用环境2.掌握常见网络中的多机部署及配置方法3.了解多机部署的注意事项内网有代理服务器环境下的部署1.了解内网有代理服务器时设备的部署适用环境2.掌握常见代理环境中的部署和配置方法3.了解内网有代理服务器环境下部署的注意事项AC在TRUNK环境下的部署1.了解TRUNK环境下部署的适用场景2.掌握TRUNK环境下的部署和配置方法3.了解TRUNK环境下部署的注意事项双机维护环境部署多机同步环境部署内网代理环境部署SANGFORAC&SGTRUNK环境部署双机维护环境部署双机维护环境部署双机维护是指两台设备通过双机心跳线连接,实现互为备份。
正常情况下,只有主设备工作,如果网络失去与主设备的通信,则自动切换到备设备,保证客户的业务不受影响,网络不中断。
双机维护环境只有一台主设备处于正常工作状态,另一台备设备处于监听状态。
适用环境:
对网络稳定性要求较高的客户环境常见网络环境中的双机部署方式
(1)路由模式下的双机部署:
连接方式:
两台SANGFORAC/SG设备的CONSOLE口通过双机心跳线(全反线)相连接,设备的内外网口各自连接到内外网的二层交换机或三层交换机的同一个VLAN接口上。
常见网络环境中的双机部署方式
(2)网桥模式下的双机部署两台AC/SG设备的CONSOLE口之间通过双机心跳线(全反线)连接,桥接方式与单台设备网桥模式类似。
常见网络环境中的双机部署方式(3)旁路模式下的双机部署:
两台AC/SG设备的CONSOLE口之间通过双机心跳线(全反线)连接。
交换机上需要设置两个相同的镜像口用于连接到两台设备的监听口,另外两台设备的管理口连接到交换机同一个VLAN的接口上。
双机维护配置配置说明:
1.启用双机服务,并设置双机的相关选项用于显示双机通信是否正常用于设置当前设备名称,可以自定义方便区分的两台设备的名称设置双机自动切换的超时时间,默认为10s监测所选择的网口的连接状态,如果断开连接则自动发生主备切换,保证网络正常。
注意:
设备暂时没有用到的接口请不要勾选,因为接口没有用却检测接口状态会导致双机异常。
启用串口故障检测后,当串口发生故障,如串口的线掉了,可以通过此处选择的网口发送网络数据包来检测对端设备的存在。
如果串口线掉了,很有可能会导致两台设备同时切换为主机,为避免IP冲突,会自动将一台设备切换为备机,恢复成只有一台设备正常工作的情况,需要注意的是此处选择的网口必须接在同一交换机上,否则无效。
选择启用的目的是在对设备进行升级时,关闭主备机切换功能,避免升级过程中发生主备切换,导致升级失败。
点击启用后主备机不能自动切换,请慎用此功能,建议只在对主备机器进行升级维护的时候才开启此模式,升级完成请后务必关闭升级模式。
用于手动切换到主机或备机,并且显示最后一次主备机切换的时间。
用于手动点击按钮同步配置。
双机维护配置(续)2.用同样的方法配置另外一台设备双机维护配置(续)3.将主备机按照物理拓扑连接好,用双机心跳线(全反线)将两台设备的CONSOLE口连接起来。
4.选择一台设备做主机先加电开机,主机启动后,备机再加电,正常工作后,主机的配置会通过双机心跳线同步到备机,只需要配置主设备即可。
双机维护配置注意事项(4)双机部署的两台设备,可以同步在线用户的状态,双机切换后内网用户不需要重新认证。
(1)双机部署的两台设备,软件版本和硬件型号要一致。
(2)双机部署的两台设备配置完全一样,包括接口配置,序列号除外。
(3)切换部署模式,恢复备份的配置,修改系统时间等会导致设备重启的操作,建议先开启升级模式,否则可能会在设备重启过程中发生主备切换导致配置同步有问题。
(5)AC/SG4.3版本开始,双机环境下支持准入功能。
多机同步环境部署多机同步应用环境多机同步功能由多台AC/SG设备通过通信网口同步配置、库文件和用户在线状态等信息,多机环境下所有的设备都是同时工作的,同时实现在VRRP环境下某条线路断掉,无缝切换到另一条线路,且策略和用户状态保持一致,用户上网不需要重新认证。
适用环境:
内网VRRP环境,用户对网络可靠性有较高需求,需要多台AC/SG互为热备的情况。
AC/SG的多机同步主要应用于内网设备启用VRRP的环境,既可以起到设备冗余又可以起到负载均衡的作用。
常见网络中的多机部署方式多机同步一般应用于内网VRRP环境,AC/SG设备常用网桥模式部署。
多机功能,首先需要设置设备的通信网口,通信网口用于处于同一个组播域的多机设备之间的通信。
通信网口的要求:
(1)可用的网口,可以指定正在使用的网口,也可以指定空闲的网口;
(2)如果指定正在使用的网口做通信网口,则需要保证这两个网口处于同一广播域,即处于同一个二层环境;(3)如果指定空闲网口做通信网口,则需要将两个空闲网口用交叉线直连。
(4)通信网口不能选择拨号网口或者DHCP获取IP的网口。
常见网络中的多机部署方式如果左边拓扑图中SG下面接的是三层交换机,那么要使用空闲网口做为通信网口,采用如图的接线方式多机同步配置配置说明:
1.启用多机同步,并设置多机的相关选项。
用于进行设备配置信息同步用于进行设备配置信息同步的网络接口,此例中使用空的网络接口,此例中使用空闲网口闲网口DMZDMZ口做通信网口,口做通信网口,所以此处选择所以此处选择DMZDMZ口。
口。
用于给通信网口定义一个用于给通信网口定义一个IPIP地址,地址,两台设备通信网口的两台设备通信网口的IPIP地址最好地址最好设置同一网段,注意不要跟现有设置同一网段,注意不要跟现有接口的接口的IPIP地址网段冲突。
地址网段冲突。
用于配置设备进行多机同步的组播地址,用于配置设备进行多机同步的组播地址,因为多机同步时通过组播实现的,所以因为多机同步时通过组播实现的,所以通信接口需要属于同一广播域,并且此通信接口需要属于同一广播域,并且此处的的组播地址需要多台设备设置完全处的的组播地址需要多台设备设置完全相同。
多机同步配置设备组播地址可以相同。
多机同步配置设备组播地址可以用组播地址范围的任意地址用组播地址范围的任意地址。
显示同步设备的显示同步设备的IPIP地址。
地址。
多机同步配置2.在另外一台设备上开启多机功能并进行相关的配置3.配置完成后,点击向其它设备同步配置,此时设备会发送同步信号,进行设备的配置同步和信息同步。
点击“查看同步报告”可查看同步信息。
多机同步配置注意事项(4)做多机的设备要求硬件型号和软件版本完全一致。
(1)当多机环境中某台设备的配置改变时,设备中会有提示,点击“向其它设备同步配置”则立即向另外一台设备发同步命令进行配置同步。
(2)在线用户状态是实时同步的,也就是一旦有新的用户通过认证,那么多机会立即同步,注意不需要认证的用户(只绑定IP/MAC的用户)的在线状态是不会同步的。
(3)做多机同步的几台设备网口IP地址是需要设置不一样的,网口IP地址这些配置也不会进行同步。
(6)AC/SG4.X版本,多机环境下不支持准入功能。
(5)AC/SG旁路模式不支持多机部署。
内网代理服务器环境部署内网代理服务器环境部署应用场景内网通过代理的方式上网的网络环境,由于用户所有数据是发往代理服务器的,目标IP是代理服务器的IP,真实的上网数据通过代理服务器封装后转发到公网。
在这样的网络环境下,如果要对上网用户采用不同的上网策略,记录真实的访问公网的数据,AC/SG的部署和其他网络环境中的部署就有区别适用环境:
用户通过内网代理服务器上网,并且需要准确识别用户通过代理服务器上网的数据和分权限控制。
常见代理环境中的部署方式1.代理服务器双网卡(AC/SG设备路由或网桥模式部署)在设备“代理服务器设置”选项中填入代理服务器的IP。
设备可采取路由模式或网桥模式部署在客户端与代理服务器之间,考虑到内网改动的大小,建议采用网桥模式部署。
必须保证内网发往代理服务器的数据先经过AC/SG设备,也就是代理服务器应该部署于AC/SG设备的WAN口方向。
把AC/SG设备的IP在客户端电脑的IE代理排除列表里排除掉。
常见代理环境中的部署方式2.代理服务器双网卡(AC/SG设备旁路模式部署)在设备“代理服务器设置”选项中填入代理服务器的IP。
如果仅用于审计或仅控制TCP协议的数据,设备可采取旁路模式部署,用于监听内网发往代理服务器的所有数据。
常见代理环境中的部署方式3.代理服务器单网卡(AC/SG设备网桥模式部署)如左图所示,代理服务器以单臂模式接在核心交换机上。
内网用户上网数据先通过交换机到达代理服务器,再由代理服务器经核心交换机和防火墙到公网。
针对这种环境,给出以下两种解决方案:
常见代理环境中的部署方式方案一:
在AC/SG设备的“代理服务器设置”选项中填入代理服务器的IP。
3.代理服务器单网卡(AC/SG设备网桥模式部署)在防火墙、代理服务器与核心交换机之间再加多一台二层交换机,或者将代理服务器迁移至防火墙的接口上。
如果原来代理服务器与防火墙内网口不在同一个VLAN,则需要重新规划代理服务器或防火墙网段的IP。
将AC|SG网桥模式部署在核心交换机与新增的二层交换机之间,确保上网数据只有一次通过设备常见代理环境中的部署方式方案二:
在设备“代理服务器设置”选项中填入代理服务器的IP。
3.代理服务器单网卡(AC设备网桥模式部署)将AC|SG网桥模式部署在单臂代理服务器与核心交换机之间。
联系深信服400,协助修改系统后台配置。
因为这样部署,上网数据会两次经过设备,如果不修改后台配置,那么在线用户列表中会出现公网IP。
内网代理环境部署配置1.将设备采用以上各拓扑中的部署方式进行配置,然后接入到网络中。
关于网关模式配置在初级培训中均已涉及,此处不再赘述。
2.在设备“代理服务器设置”选项中填入代理服务器的IP。
在方框里面填上代理服务器IP地址或者IP地址范围。
点击提交保存配置生效内网代理环境部署注意事项
(1)必须保证客户端发到代理服务器的数据先经过AC/SG设备,也就是代理服务器应该部署在AC/SG设备的WAN口方向。
(2)设备默认情况下会对所有的代理数据进行检测,也就是说如果“代理服务器设置”列表为空,则对发往任何地址的数据都会进行代理数据的识别,这样会影响设备处理效率。
建议在地址列表中填入代理服务器的IP地址,这样的话只有发往此列表地址的数据才会被检测是否为代理数据,并对其进行上网权限控制。
在内网有代理服务器的环境中,也可以根据网络环境和代理服务器的类型,选择SANGFORSG3.4版本替换网络中的代理服务器,实现上网代理,控制和审计的需求,详见培训PPT上网代理部分TRUNK环境部署TRUNK网络环境Trunk是一种封装技术,它是一条点到点的链路,链路的两端可以都是交换机,也可以是交换机和路由器,还可以是主机和交换机或路由器。
VLANTrunk(虚拟局域网中继技术)的作用是让连接在不同交换机或路由器上的相同VLAN中的主机互通。
SANGFORAC/SG在路由模式下LAN口支持配置为trunk口,网桥模式(包括多网桥)支持穿透trunk封装数据,不支持在AC/SG设备上划分VLAN。
适用环境:
内网交换机划分了VLAN,且需要AC/SG设备支持并识别trunk封装的数据。
TRUNK网络环境中的部署(3)若要实现各VLAN之间的数据互访(单臂路由功能),需要将AC设备的LANLAN防火墙规则放通。
方案一:
AC|SG路由模式
(1)直接替代原有的路由器(或FW)并配置成路由模式。
(2)将LAN口的VLAN配置启用,LAN口IP不能属于任何VLAN,可随意配置。
分别填写各个VLAN的ID及IP,此IP即原来路由器(或FW)上各VLAN的网关IP。
TRUNK网络环境中的部署(3)设备在多网桥模式下,每个网桥均可启用VLAN并配置。
方案二:
AC|SG网桥模式
(1)网桥模式部署在路由器与交换机之间,设备穿透trunk。
(2)网桥IP需任意设置
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 特殊 网络 环境 部署 深信 上网 行为 管理 AC