SANGFOR_AC_v110_2016年度渠道高級認(rèn)證培訓(xùn)01_安裝部署

1、安裝部署特殊網(wǎng)絡(luò)環(huán)境部署培訓(xùn)內(nèi)容培訓(xùn)目標(biāo)高可用性之主主模式部署了解主主模式的適用環(huán)境 掌握設(shè)備主主模式部署的配置方法了解主主模式部署下的注意事項(xiàng)高可用性之主備模式部署了解主備模式的適用環(huán)境 掌握設(shè)備主備模式部署的配置方法了解主備模式部署下的注意事項(xiàng)內(nèi)網(wǎng)有代理服務(wù)器環(huán)境部署了解內(nèi)網(wǎng)有代理服務(wù)器時(shí)設(shè)備的部署適用環(huán)境掌握常見代理環(huán)境中的部署和配置方法了解內(nèi)網(wǎng)有代理服務(wù)器環(huán)境下部署的注意事項(xiàng)協(xié)議封裝環(huán)境部署了解協(xié)議封裝環(huán)境下部署的適用場景掌握協(xié)議封裝環(huán)境下的網(wǎng)橋部署和配置方法了解協(xié)議封裝環(huán)境下部署的注意事項(xiàng)高可用性之主主模式部署高可用性之主備模式部署內(nèi)網(wǎng)代理環(huán)境部署SANGFOR AC&SG協(xié)

2、議封裝環(huán)境部署主備模式部署主備模式部署環(huán)境 主備模式是指路由模式部署的兩臺(tái)設(shè)備通過心跳檢測，實(shí)現(xiàn)熱備份（保持心跳和配置同步）。正常情況下，只有主設(shè)備工作，如果主設(shè)備故障，則自動(dòng)切換到備設(shè)備，備設(shè)備接替主設(shè)備工作。從而保證客戶的業(yè)務(wù)不受影響，網(wǎng)絡(luò)不中斷。 主備模式只有一臺(tái)主設(shè)備處于正常工作狀態(tài)，另一臺(tái)備設(shè)備處于監(jiān)聽狀態(tài)。 適用環(huán)境：對網(wǎng)絡(luò)穩(wěn)定性要求較高的客戶環(huán)境。要求兩臺(tái)設(shè)備路由模式部署。主備模式配置主機(jī)配置：1.主機(jī)配置好路由模式。2. 控制臺(tái)【網(wǎng)絡(luò)配置】【高可用性】選擇主備模式，點(diǎn)擊開始配置主備模式配置3.配置主機(jī)設(shè)備標(biāo)識4.配置檢測網(wǎng)口搶占為主機(jī)：指的是當(dāng)主機(jī)切換為備機(jī)后，當(dāng)備機(jī)恢復(fù)正常后

3、是否會(huì)主動(dòng)切換為主機(jī)，開啟則會(huì)切換。指定HA口：用來同步配置?？梢允褂肈MZ口或其他未配置區(qū)域的網(wǎng)口。共享密鑰：需要主備兩臺(tái)設(shè)備設(shè)置同一個(gè)密鑰。檢測網(wǎng)口：被檢測的網(wǎng)口只要發(fā)生故障就會(huì)發(fā)生主備切換。告警選項(xiàng)：手動(dòng)更改模式也會(huì)觸發(fā)告警。主備模式配置備機(jī)配置：1.備機(jī)登錄后，【高可用性】選擇主備模式，配置設(shè)備標(biāo)識，設(shè)備角色選擇備機(jī)。2.配置主機(jī)的IP地址以及密鑰。說明：備機(jī)不能配置搶占主機(jī)與檢測網(wǎng)口以及配置告警信息，這些信息是由主機(jī)同步過來主備模式配置主機(jī)狀態(tài)：部署完成后，主機(jī)正常工作，可以在高可用性中看到主機(jī)狀態(tài)，可以看到最近切換的時(shí)間，以及同步配置的時(shí)間，只有主機(jī)狀態(tài)才可以手動(dòng)切換到備機(jī)。主備模

4、式部署注意事項(xiàng)1、主備模式部署的兩臺(tái)設(shè)備，軟件版本要求一致，軟件版本一致是指兩臺(tái)AC設(shè)備的版本信息中內(nèi)容，除SP補(bǔ)丁外，其余信息一致即可。硬件版本不做要求，但是建議選擇負(fù)載相近，型號相近的設(shè)備。2、主備部署的兩臺(tái)設(shè)備配置自動(dòng)實(shí)時(shí)同步，完全一樣。3、只能2臺(tái)設(shè)備部署為主備模式，2臺(tái)以上不支持部署主備模式。4、主備部署的兩臺(tái)設(shè)備，只有一臺(tái)在工作，另一臺(tái)在監(jiān)聽。5、只有路由模式可以部署主備模式，網(wǎng)橋模式不支持部署主備模式。6、主備模式的兩臺(tái)設(shè)備通過普通網(wǎng)線作為心跳線，通過HA口發(fā)送心跳包，主備模式下，可以使用DMZ口或其他未配置區(qū)域的網(wǎng)口。 HA燈狀態(tài)，主機(jī)設(shè)備亮綠燈，備機(jī)狀態(tài)燈閃。7、主備模式下，

5、只有主機(jī)可以加入集中管理。備機(jī)不能加入。如果主機(jī)掛了，備機(jī)變成主機(jī)，此時(shí)備機(jī)也可以加入SC。主主模式部署主主模式部署環(huán)境 主主模式部署由多臺(tái)AC設(shè)備通過通信網(wǎng)口同步配置。主主模式部署的設(shè)備同時(shí)工作，主控設(shè)備將配置同步到所有節(jié)點(diǎn)，主控與各節(jié)點(diǎn)之間相互同步會(huì)話信息。當(dāng)主控故障，將無法更改設(shè)備配置。 適用環(huán)境： 客戶原有網(wǎng)絡(luò)中有多臺(tái)交換機(jī)，防火墻或路由器主主或主備部署時(shí)，AC以網(wǎng)橋串接在中間，建議使用主主模式部署。主主模式部署配置主控配置：1.設(shè)備路由模式或網(wǎng)橋模式部署。2.主控設(shè)備控制臺(tái)選擇【網(wǎng)絡(luò)配置】【高可用性】選擇主主模式。主主模式部署配置配置設(shè)備標(biāo)識及角色選擇主控，配置密鑰主主模式部署配置節(jié)

6、點(diǎn)配置：【高可用性】選擇主主模式，配置設(shè)備標(biāo)識，角色選擇“節(jié)點(diǎn)”。配置主機(jī)的IP地址及密鑰。主主模式部署配置主控狀態(tài)節(jié)點(diǎn)狀態(tài)主主模式部署注意事項(xiàng)4、路由模式和網(wǎng)橋模式都支持配置成主主模式部署。1、主主模式部署的兩臺(tái)設(shè)備，軟件版本要求一致，軟件版本一致是指兩臺(tái)AC設(shè)備的版本信息中內(nèi)容，除SP補(bǔ)丁外，其余信息一致即可。硬件版本不做要求，但是建議選擇負(fù)載相近，型號相近的設(shè)備。2、主主模式部署的設(shè)備同時(shí)工作，沒有主備之分。3、兩臺(tái)或兩臺(tái)以上的設(shè)備可以部署主主模式。5、主主模式下，節(jié)點(diǎn)不能修改配置只能由主控同步，界面限制只能只讀。6、主控會(huì)顯示所有節(jié)點(diǎn)狀態(tài)，名稱為“在線節(jié)點(diǎn)列表”，顯示所有在線的節(jié)點(diǎn)。7

7、、主主模式下，只有主控可以加入集中管理，節(jié)點(diǎn)不能加入和下發(fā)配置。此時(shí)，即使主控掛了，節(jié)點(diǎn)臨時(shí)變成主控，此時(shí)該主控也不能接入SC。需要等主控恢復(fù)后，才能從SC下發(fā)配置。被選舉出來的主控，只能同步在線用戶，不能同步配置。內(nèi)網(wǎng)代理服務(wù)器環(huán)境部署內(nèi)網(wǎng)代理服務(wù)器環(huán)境部署應(yīng)用場景 內(nèi)網(wǎng)通過代理服務(wù)器上網(wǎng)，由于用戶所有數(shù)據(jù)是發(fā)往代理服務(wù)器的，目標(biāo)IP是代理服務(wù)器的IP，真實(shí)的上網(wǎng)數(shù)據(jù)通過代理服務(wù)器封裝后轉(zhuǎn)發(fā)到公網(wǎng)。 在這樣的網(wǎng)絡(luò)環(huán)境下，如果要對上網(wǎng)用戶采用不同的上網(wǎng)策略，記錄真實(shí)的訪問公網(wǎng)的數(shù)據(jù)，AC/SG的部署和其他網(wǎng)絡(luò)環(huán)境中的部署就有區(qū)別 適用環(huán)境：用戶通過內(nèi)網(wǎng)代理服務(wù)器上網(wǎng)，并且需要準(zhǔn)確識別用戶通過代

8、理服務(wù)器上網(wǎng)的數(shù)據(jù)和分權(quán)限控制。常見代理環(huán)境中的部署方式1. 代理服務(wù)器雙網(wǎng)卡（AC/SG設(shè)備路由或網(wǎng)橋模式部署）設(shè)備可采取路由模式或網(wǎng)橋模式部署在客戶端與代理服務(wù)器之間，考慮到內(nèi)網(wǎng)改動(dòng)的大小，建議采用網(wǎng)橋模式部署。必須保證內(nèi)網(wǎng)發(fā)往代理服務(wù)器的數(shù)據(jù)先經(jīng)過AC/SG設(shè)備，也就是代理服務(wù)器應(yīng)該部署于AC/SG設(shè)備的WAN口方向。常見代理環(huán)境中的部署方式2. 代理服務(wù)器雙網(wǎng)卡（AC/SG設(shè)備旁路模式部署）如果主要用于審計(jì)，設(shè)備可采取旁路模式部署，用于監(jiān)聽內(nèi)網(wǎng)發(fā)往代理服務(wù)器的所有數(shù)據(jù)。常見代理環(huán)境中的部署方式3. 代理服務(wù)器單網(wǎng)卡（AC/SG設(shè)備網(wǎng)橋模式部署）如左圖所示，代理服務(wù)器以單臂模式接在核心交

9、換機(jī)上。內(nèi)網(wǎng)用戶上網(wǎng)數(shù)據(jù)先通過交換機(jī)到達(dá)代理服務(wù)器，再由代理服務(wù)器經(jīng)核心交換機(jī)和防火墻到公網(wǎng)。針對這種環(huán)境，給出以下解決方案常見代理環(huán)境中的部署方式3. 代理服務(wù)器單網(wǎng)卡（AC設(shè)備網(wǎng)橋模式部署）此種部署場景下，需要在AC上【用戶認(rèn)證與管理】-【認(rèn)證高級選項(xiàng)】-【認(rèn)證選項(xiàng)】中勾選“WAN-LAN方向的連接不認(rèn)證”。內(nèi)網(wǎng)代理環(huán)境部署配置1. 將設(shè)備采用以上各拓?fù)渲械牟渴鸱绞剑酚?，網(wǎng)橋，旁路）進(jìn)行配置，然后接入到網(wǎng)絡(luò)中。2. 在設(shè)備“代理服務(wù)器設(shè)置”選項(xiàng)中填入代理服務(wù)器的IP。3. 在客戶端電腦瀏覽器配置代理服務(wù)器的IP地址，并在“例外情況”填寫AC設(shè)備的管理地址，如果AC是網(wǎng)橋部署，并且開啟了虛

10、擬地址重定向功能，也需要把虛擬IP添加排除，如下圖所示：內(nèi)網(wǎng)代理環(huán)境部署注意事項(xiàng)1、必須保證客戶端發(fā)到代理服務(wù)器的數(shù)據(jù)先經(jīng)過AC/SG設(shè)備，也就是代理服務(wù)器應(yīng)該部署在AC/SG設(shè)備的WAN口方向。協(xié)議封裝環(huán)境部署協(xié)議封裝環(huán)境部署 協(xié)議封裝環(huán)境，是指客戶網(wǎng)絡(luò)環(huán)境中有特殊協(xié)議如Trunk、QinQ、鏈路聚合、PPPOE、VLAN+PPPOE、QinQ+PPPOE、WAC、L2tp、GRE等。此種環(huán)境中AC支持以網(wǎng)橋模式部署并且穿透協(xié)議，其中Trunk環(huán)境也支持以單臂路由方式部署。 在Trunk、QinQ、鏈路聚合、PPPOE、VLAN+PPPOE、QinQ+PPPOE環(huán)境中AC網(wǎng)橋部署通過虛擬IP

11、實(shí)現(xiàn)重定向和代理功能（SSL內(nèi)容識別和郵件過濾）。 在WAC、L2TP、GRE等其它特殊協(xié)議環(huán)境中，AC網(wǎng)橋部署通過DMZ口重定向?qū)崿F(xiàn)重定向和代理功能（SSL內(nèi)容識別和郵件過濾）。協(xié)議封裝環(huán)境部署 虛擬IP重定向：內(nèi)網(wǎng)PC認(rèn)證前的HTTP上網(wǎng)數(shù)據(jù)經(jīng)過AC時(shí)，AC攔截并記錄下數(shù)據(jù)包的源，目的IP，數(shù)據(jù)包的封裝類型，以及數(shù)據(jù)包進(jìn)入AC時(shí)的接口。 AC回彈portal的重定向認(rèn)證頁面時(shí)，會(huì)將記錄下來的數(shù)據(jù)包的源，目的IP反轉(zhuǎn)，再從數(shù)據(jù)包進(jìn)入的接口直接發(fā)出去，其中數(shù)據(jù)包中的數(shù)據(jù)字段會(huì)替換成AC虛擬IP的重定向URL地址。 DMZ口重定向：內(nèi)網(wǎng)PC認(rèn)證前的HTTP上網(wǎng)數(shù)據(jù)經(jīng)過AC時(shí)，AC攔截?cái)?shù)據(jù)包，AC

12、通過查找本身DMZ口的路由表，將portal的重定向認(rèn)證頁面從DMZ口發(fā)出，其中數(shù)據(jù)包中的數(shù)據(jù)字段會(huì)替換成AC的DMZ口IP的重定向URL地址。/24DMZ:0/241/24MAC2MAC3MAC4MAC5http:/eth2eth3eth0 eth1In接Out口SIPDIPeth0eth2outSipDip302dataeth098/ac_portal.98重定向頁面不查AC路由表直接從數(shù)據(jù)進(jìn)來的網(wǎng)口eth0回包給

13、內(nèi)網(wǎng)(1)默認(rèn)使用虛擬地址虛擬IP重定向原理圖協(xié)議封裝環(huán)境部署 拓?fù)淙缱髨D所示，交換機(jī)劃分了三個(gè)VLAN，VLAN ID分別為10，20，30。路由器內(nèi)網(wǎng)口配置為trunk口，各vlan間的互訪通過路由器路由。 需求：部署AC實(shí)現(xiàn)上網(wǎng)行為管理 協(xié)議封裝環(huán)境部署AC在Trunk環(huán)境中直接替代原有的路由器做路由模式部署。TRUNK環(huán)境協(xié)議封裝環(huán)境部署1、AC路由模式部署直接替代原有的路由器（或FW），并按照路由模式部署配置好設(shè)備。2、配置LAN口IP，填寫內(nèi)網(wǎng)對應(yīng)VLAN的VLAN網(wǎng)關(guān)IP即可。Trunk環(huán)境下路由模式配置思路：協(xié)議封裝環(huán)境部署Trunk環(huán)境下路由模式配置方法：協(xié)議封裝環(huán)境部署不改

14、變原有拓?fù)浣Y(jié)構(gòu)，AC網(wǎng)橋模式串接在交換機(jī)和防火墻之間（推薦方案）1.此時(shí)可以給設(shè)備網(wǎng)橋配置其中一個(gè)VLAN中的可用IP來進(jìn)行管理和上網(wǎng)更新規(guī)則庫。2.也可以給設(shè)備管理口配置其中一個(gè)VLAN中的可用IP來進(jìn)行管理和上網(wǎng)更新規(guī)則庫。Trunk環(huán)境1、網(wǎng)橋模式部署在路由器與交換機(jī)之間，按網(wǎng)橋模式部署配置好設(shè)備。2、可以給設(shè)備網(wǎng)橋配置其中一個(gè)VLAN中的可用IP來進(jìn)行管理和上網(wǎng)更新規(guī)則庫。也可以給設(shè)備管理口配置其中一個(gè)VLAN中的可用IP來進(jìn)行管理和上網(wǎng)更新規(guī)則庫。3、如果內(nèi)網(wǎng)是三層環(huán)境還需要配置內(nèi)網(wǎng)的路由網(wǎng)關(guān)指向AC內(nèi)網(wǎng)口所連接的設(shè)備。協(xié)議封裝環(huán)境部署Trunk環(huán)境下網(wǎng)橋模式配置思路：協(xié)議封裝環(huán)境部

15、署Trunk環(huán)境下網(wǎng)橋模式配置方法：選擇網(wǎng)橋列表，默認(rèn)勾選了“開啟網(wǎng)橋鏈路同步”可以選擇給橋IP配置VLANIP進(jìn)行管理，也可以此處不配置任何IP，通過管理口進(jìn)行管理。如果前面橋IP沒有做任何配置，可以在管理口配置一個(gè)VLANIP進(jìn)行管理。設(shè)備通過虛擬IP來實(shí)現(xiàn)重定向和代理功能（SSL內(nèi)容識別和郵件過濾功能）。1、網(wǎng)橋模式部署在路由器與交換機(jī)之間，按網(wǎng)橋模式部署配置好設(shè)備。2、可以給設(shè)備管理口配置一個(gè)可用IP來進(jìn)行管理和上網(wǎng)更新規(guī)則庫。如果沒有空閑管理口，也可以給設(shè)備網(wǎng)橋配置其中一個(gè)可用IP來進(jìn)行管理和上網(wǎng)更新規(guī)則庫。 WAC、L2TP、GRE這三種協(xié)議封裝環(huán)境下，必須使用DMZ口。3、如果內(nèi)

16、網(wǎng)是三層環(huán)境還需要配置內(nèi)網(wǎng)的路由網(wǎng)關(guān)指向AC內(nèi)網(wǎng)口所連接的設(shè)備。協(xié)議封裝環(huán)境部署其他協(xié)議環(huán)境下網(wǎng)橋模式配置思路：4、 QinQ、PPPOE、VLAN+PPPOE、QinQ+PPPOE 、 WAC、L2TP、GRE環(huán)境下，設(shè)備上開啟對應(yīng)的協(xié)議剝離。 Trunk，鏈路聚合協(xié)議設(shè)備無需開啟協(xié)議剝離就能識別應(yīng)用。協(xié)議封裝環(huán)境部署其他協(xié)議環(huán)境下網(wǎng)橋模式配置方法：前三步配置不在贅述，協(xié)議剝離配置請?jiān)谧髨D頁面開啟。協(xié)議封裝環(huán)境部署重定向和代理功能的實(shí)現(xiàn)：Trunk、QinQ、鏈路聚合、PPPOE、VLAN+PPPOE、QinQ+PPPOE環(huán)境中，通過設(shè)備的虛擬IP來實(shí)現(xiàn)重定向和代理功能（SSL內(nèi)容識別和郵件過濾）。協(xié)議封裝環(huán)境部署重定向和代理功能的實(shí)現(xiàn)：WAC、L2TP、GRE等其它特