SANGFORNGAF新產(chǎn)品培訓二

SANGFORNGAF新產(chǎn)品培訓一、產(chǎn)品介紹二、產(chǎn)品部署深信服公司簡介三、產(chǎn)品應用四、數(shù)據(jù)中心及其他AF1.0什么是NGAFNGAF能做什么一、產(chǎn)品介紹為什么要NGAFNGAFVS.AC1.1什么是NGAFNext-GenerationApplicationFirewall下一代應用防火墻防火墻：擁有防火墻的基礎(chǔ)功能，路由、NAT、包過濾等。應用防火墻：對應用內(nèi)容的更準確識別、更加關(guān)注應用層的內(nèi)容安全。下一代應用防火墻：Garnter定義。為什么要NGAF—防火墻歷史第一代防火墻第一代防火墻技術(shù)幾乎與路由器同時出現(xiàn)，采用了包過濾（Packetfilter）技術(shù)。第二、三代防火墻1989年，貝爾實驗室的DavePresotto和HowardTrickey推出了第二代防火墻，即電路層防火墻，同時提出了第三代防火墻——應用層防火墻（代理防火墻）的初步結(jié)構(gòu)。第四代防火墻1992年，USC信息科學院的BobBraden開發(fā)出了基于動態(tài)包過濾（Dynamicpacketfilter）技術(shù)的第四代防火墻，后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視（Statefulinspection）技術(shù)。1994年，以色列的CheckPoint公司開發(fā)出了第一個采用這種技術(shù)的商業(yè)化的產(chǎn)品。第五代防火墻1998年，NAI公司推出了一種自適應代理（Adaptiveproxy）技術(shù)，并在其產(chǎn)品GauntletFirewallforNT中得以實現(xiàn)，給代理類型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。網(wǎng)絡(luò)發(fā)展的趨勢——防火墻需要更新?lián)Q代

網(wǎng)絡(luò)在改變網(wǎng)絡(luò)已經(jīng)深入日常生活

1、大量的新應用建立在HTTP/HTTPS標準協(xié)議之上2、許多威脅依附在應用之中傳播肆虐3、Gartner報告：75%的攻擊來自應用層僅80端口上的應用就有N種，防火墻如何限制？防火墻需要更新?lián)Q代傳統(tǒng)的防火墻基于包頭信息可是卻無法分辨應用及其內(nèi)容也不能區(qū)分用戶更無法分析記錄用戶的行為Gartner定義下一代防火墻

Gartner定義下一代防火墻基本防火墻功能集成式入侵防御可視化應用識別智能防火墻高性能網(wǎng)絡(luò)安全可視化應用管控全面應用安全單次解析構(gòu)架智能風險審計應用識別流量管控非法業(yè)務(wù)阻斷核心業(yè)務(wù)帶寬保障OA合法業(yè)務(wù)帶寬限制應用安全防護WEB安全防護灰度威脅識別灰度威脅關(guān)聯(lián)分析引擎多核并行處理統(tǒng)一

簽名統(tǒng)一

策略報文一次匹配潛在威脅漏洞防護服務(wù)器防護病毒防護行為追蹤上傳云端應用防護日志應用管控日志網(wǎng)絡(luò)安全日志用戶分析報表智能關(guān)聯(lián)分析報表身份認證NAT抗攻擊VPN1.2NGAF如何滿足網(wǎng)絡(luò)對防火墻的要求全面繼承AC和VPN領(lǐng)域的技術(shù)積累全面繼承AC和VPN領(lǐng)域的技術(shù)積累防火墻FW流量管理QoS應用訪問控制策略服務(wù)器防護IPSecVPN攻擊防護IPS病毒過濾AV內(nèi)容過濾URL內(nèi)容安全可視化完整的NGAF強強聯(lián)合加入微軟MAPP專業(yè)的WAF功能可視化的雙向應用訪問控制NAT、DDoS、路由更豐富1.2NGAF如何滿足網(wǎng)絡(luò)對防火墻的要求1.3NGAF和AC的對比ACNGAF產(chǎn)品定位上網(wǎng)行為管理，主要監(jiān)視和控制用戶上internert的行為，關(guān)注帶寬利用價值、非法訪問、不和諧言論、泄密風險應用防火墻，關(guān)注業(yè)務(wù)區(qū)數(shù)據(jù)中心二—>七層安全防護，確保內(nèi)網(wǎng)網(wǎng)絡(luò)不受外部惡意攻擊。應用場景主要用于lan->wan方向的上網(wǎng)行為管控。主要保護數(shù)據(jù)中心/服務(wù)器/內(nèi)網(wǎng)免受攻擊,而無須關(guān)注具體部署方向。功能強勢準入認證、內(nèi)容審計、ssl內(nèi)容識別、郵件過濾/延遲審計，外發(fā)文件告警等（AF缺失）部署上的優(yōu)勢：支持混合部署，支持動態(tài)路由協(xié)議，支持主備、負載均衡。應用安全：WAF、DDOS外網(wǎng)防護，IPS功能更強大共同功能

Vpn、流量管理、IPS、應用控制、網(wǎng)關(guān)殺毒、腳本插件過濾，url過濾等，但是功能分布有改動。AF菜單AC菜單AF新增功能服務(wù)器保護護重新分布的的功能：1、用戶與策策略管理認證系統(tǒng)+內(nèi)容安全2、防火墻防火墻+VPN3、安全防護護IPS+內(nèi)容安全+防火墻幾乎平移的的菜單：1、系統(tǒng)診斷斷系統(tǒng)維護2、系統(tǒng)配置置系統(tǒng)3、防火墻防火墻+VPN4、流量管理理流量管理5、實時狀態(tài)態(tài)運行狀態(tài)6、網(wǎng)絡(luò)配置置網(wǎng)絡(luò)配置1.3NGAF和AC的對比辦公網(wǎng)絡(luò)數(shù)據(jù)中心1、AC更關(guān)注于辦辦公網(wǎng)絡(luò)的的行為管控控、泄密監(jiān)監(jiān)控、不和和諧言論追追查。2、AF更關(guān)注數(shù)據(jù)據(jù)中心、內(nèi)內(nèi)網(wǎng)的安全全防守。1.3NGAF和AC的對比---應用場景AFAFAF不允許使用用skype等不允許訪問問非法網(wǎng)站站流量管理禁止運行不不安全的腳腳本、插件件禁止/記錄發(fā)表不不和諧的言言論泄密防護……（紅色部分分AF做不到）……防止DDOS攻擊防止漏洞入入侵防止SQL注入、XSS攻擊防止向服務(wù)務(wù)器傳送惡惡意腳本。。。禁止訪問服服務(wù)器某些些目錄記錄不安全全的訪問……1.3NGAF型號10G300M一、產(chǎn)品介紹二、產(chǎn)品部署深信服公司簡介三、產(chǎn)品應用四、數(shù)據(jù)中心AF1.0知識分類知識概要網(wǎng)絡(luò)配置基礎(chǔ)了解部署中各必要元素的配置、用途。（接口類型、vlan接口、子接口。）路由路由部署、路由+trunk部署透明透明部署、透明+trunk部署虛擬網(wǎng)線虛擬網(wǎng)線部署，類似透明部署，但是數(shù)據(jù)轉(zhuǎn)發(fā)時不查mac表，從虛擬網(wǎng)線的接口1接收數(shù)據(jù)，從接口2轉(zhuǎn)發(fā)。混合部署路由+透明網(wǎng)橋雙機雙機主備、雙機主主其他路由（靜態(tài)路由、策略路由、OSPF、RIP等）高級網(wǎng)絡(luò)配置（DHCP、DNS、ARP、SNMP）產(chǎn)品部署篇篇—部署方式1、設(shè)備登錄錄方式1、默認只有有eth0接口有設(shè)置置IP，初始IP為512、eth0為管理口，，UI顯示為eth0，描述信息息為"manage"；eth0只能作為路路由口，不不能切換模模式；eth0只能配成靜靜態(tài)IP：在網(wǎng)口數(shù)數(shù)<=4時，eth0可以修改IP，但51/24不能刪除；；在網(wǎng)口數(shù)數(shù)>4時，eth0不能做任何何更改。webui密碼和pshell密碼跟其他他產(chǎn)品線一一致。2.1網(wǎng)絡(luò)配置基基礎(chǔ)--接口/區(qū)域設(shè)置物理接口：：路由、透透明、虛擬擬網(wǎng)線，這這三種接口口都有一個個wan或者非wan屬性。子接口：是是路由接口口的虛擬子子接口，可可支持vlan數(shù)據(jù)轉(zhuǎn)發(fā)。。Vlan接口：同交交換劃分vlan，每個vlan有vlanid和vlanip，則產(chǎn)生一一個vlan接口。三層接口：：路由口口、子接口口、vlan接口，共同同的特點是是可以配置置IP。二層接口：：透明口虛擬網(wǎng)線接接口：虛擬擬網(wǎng)線接口口區(qū)域：系統(tǒng)統(tǒng)默認沒有有區(qū)域，但但接口必須須屬于某個個區(qū)域才能能被調(diào)用做做NAT、控制策略略等。有三三層區(qū)域、、二層區(qū)域域、虛擬網(wǎng)網(wǎng)線區(qū)域，，對應的，，只能將相相應層次的的接口劃分分到對應區(qū)區(qū)域。接口有物理接口、子接口、vlan接口三種物理口：沒沒有部署模模式配置向向?qū)В锢砝斫涌陬愋托蜎Q定部署署模式1、路由，即普通的三層口，兩個路由口構(gòu)成路由模式2、透明，即網(wǎng)橋口，兩個網(wǎng)橋口構(gòu)成網(wǎng)橋模式3、虛擬網(wǎng)線，另一種透明口，兩個虛擬網(wǎng)線口組成一條虛擬網(wǎng)線2、透明口有有access和trunk兩種，access口一定屬于于某vlan，trunk口不屬于任任何vlan，但可以承承載指定vlan的數(shù)據(jù)HA地址用于雙機部署時做心跳口用客戶需求：設(shè)備路由模式部署，并且作為vlan的網(wǎng)關(guān)，支持vlan間路由子接口：用用于物理口口支持vlantrunkAC可以這樣設(shè)設(shè)置AF需要這樣設(shè)設(shè)置物理接口配置不屬于任何vlan的ip給物理接口建立vlan子接口物理接口配置不屬于任何vlan的ip給物理接口建立vlan子接口物理接口多多IP，非trunk？跟AC一樣，以IP地址列表的形式配置配置的多IP用ifconfig是看不到的，用ipaddress看：vlan接口Eth1作為trunk口，允許中繼的vlan范圍Q：透明口接接口本身不不能配置IP地址，那如如何通訊？？A：配置vlan接口透明口的兩兩種用法vlan1vlan10給vlan1配置IP沒有默認區(qū)區(qū)域，自定定義接口所所屬區(qū)域來來標識控制制方向默認是沒有的1、默認沒有有任何區(qū)域域，而設(shè)備備NAT、內(nèi)容安全全等策略都都是根據(jù)區(qū)區(qū)域來做，，所以需要要將接口劃劃分到區(qū)域域。2、區(qū)域有二二層、三層層、虛擬網(wǎng)網(wǎng)線三種類類型，二層層區(qū)域只能能選擇二層層接口，三三層區(qū)域只只能選擇三三層接口，，虛擬網(wǎng)線線只能選擇擇虛擬網(wǎng)線線接口。二層接口：：透明口（（access、trunk）三層接口：：路由口、、vlan接口、子接接口虛擬網(wǎng)線接接口：虛擬擬網(wǎng)線口是否允許從此區(qū)域管理設(shè)備？允許哪些客戶端管理？三層區(qū)域才有此選項。區(qū)域設(shè)置的的意義和原原則Q：有了lan和wan屬性，為什什么還要定定義區(qū)域？？A：wan屬性只是用用于控制部部分功能是是否生效，如：流控控、策略路路由、插件件過濾、腳腳本過濾只只對出接口口是wan屬性接口生生效。但是是對哪個方方向上的數(shù)數(shù)據(jù)進行控控制，并不不像AC一樣是約定定俗成的lanwan,而是取決于于自定義的的配置。策略應用在在哪個方向向，由策略略本身的區(qū)區(qū)域設(shè)置決決定。規(guī)劃劃區(qū)域的時時候，就需需要規(guī)劃好好，是一個個接口屬于于一個區(qū)域域，還是相相同需求的的多個接口口屬于一個個區(qū)域。區(qū)域設(shè)置原原則：1、二層接口口只能屬于于二層區(qū)域域，其他類類推（界面面已經(jīng)限制制）2、定義策略略時，只能能二層—二層，三層層---三層（部分分界面已限限制）3、區(qū)域定義義按照控制制的需求來來規(guī)劃（自自主規(guī)劃））1、接口設(shè)置置的下一跳跳網(wǎng)關(guān)，只只做鏈路故故障檢測用用，不會產(chǎn)產(chǎn)生路由，，所以設(shè)備備還需要手手動設(shè)置默默認路由。。2、接口設(shè)置置的線路帶帶寬跟流控控通道帶寬寬沒有必然然關(guān)系，用用于策略路路由按照帶帶寬比例選選路用。3、線路故障障檢測結(jié)果果可被策略略路由、雙雙機部署調(diào)調(diào)用。4、高級設(shè)置置可以設(shè)置置網(wǎng)卡工作作模式、mtu、mac地址。此處修改mac地址不會影影響網(wǎng)關(guān)序序列號。PS：不同類型型的接口可可以設(shè)置的的參數(shù)不盡盡相同。只有物理口口可以設(shè)置置工作模式式、MAC地址、wan屬性只有三層接接口可以設(shè)設(shè)置IP地址、鏈路路故障檢測測等二選一接口區(qū)域---其他他屬性配置置路由模式混合模式透明模式典型部署模模式與配置置虛擬網(wǎng)線模模式2.2路由模式--配置方法路由、網(wǎng)橋、虛擬網(wǎng)線三種類型選擇選擇是否為wan口（需要外網(wǎng)線路授權(quán)）不會生成8個0的默認路由，僅做線路檢測用允許以什么方式管理該區(qū)域允許客戶端以什么源地址登陸來管理該區(qū)域三層區(qū)域可以選擇路由口、子接口和vlan子接口（不可選擇透明口和虛擬網(wǎng)線口）如果內(nèi)網(wǎng)PCDNS服務(wù)器地址指向AF設(shè)備，則需要開啟此選項。設(shè)備自身上網(wǎng)dns解析1、設(shè)置wan口，類型”路由”，勾選wan屬性，設(shè)置置ip地址等其他他屬性。2、設(shè)置lan口，類型““路由”，，不勾選wan屬性，設(shè)置置ip地址等其他他屬性3、分別定義義lan和wan的區(qū)域，并并將接口劃劃入對應的的區(qū)域。4、為該設(shè)備備配置DNS地址，如需需要則啟用用DNS代理。5、給設(shè)備設(shè)設(shè)置上外網(wǎng)網(wǎng)的缺省路路由。6、如果內(nèi)網(wǎng)網(wǎng)有多網(wǎng)段段，需要給給設(shè)備加上上系統(tǒng)路由由指向三層層交換機。。7、配置地址址轉(zhuǎn)換，做做代理上網(wǎng)網(wǎng)的SNAT8、默認應用用服務(wù)控制制是缺省拒拒絕的，需需要手動放放行路由雙線路路—應用場景需求解讀：：希望實現(xiàn)電電信走電信信、網(wǎng)通走走網(wǎng)通一條線路斷斷掉之后，，流量走到到另外一條條線路解決方案：：路由模式Wan屬性接口兩兩個，外網(wǎng)網(wǎng)線路授權(quán)權(quán)兩條配置線路故故障檢測，，檢測線路路狀況配置多線路路負載策略略路由，做做出站線路路負載TRUNK路由—應用場景需求解讀：：局域網(wǎng)內(nèi)有有CISCO4006、3500等多多臺，但是是都沒有三三層功能的的，現(xiàn)有AF防火墻墻一臺作出出口連接，打算把局局域網(wǎng)內(nèi)劃劃分VLAN，，聽說AF支持路路由和TRUNK，想用NGAF來來做路由解決方案：：設(shè)備以路由由部署，lan口必定要是是一個路由由口。將eth0做為lan口，并設(shè)置置子接口。。TRUNK路由由—應用用場場景景eth0.10eth0.20Q：做做策策略略時時，，引引用用區(qū)區(qū)域域應應該該如如何何引引用用？？A：此時時eth0eth0.10eth0.20是三三個個獨獨立立的的三三層層接接口口可以以屬屬于于不不同同的的區(qū)區(qū)域域：：eth0.10所屬屬區(qū)區(qū)域域wan區(qū)域域，，匹匹配配vlan10的數(shù)數(shù)據(jù)據(jù)eth0所屬屬區(qū)區(qū)域域雖雖然然也也是是三三層層區(qū)區(qū)域域，，但但是是無無法法匹匹配配到到eth0.10的數(shù)數(shù)據(jù)據(jù)，，如如果果數(shù)數(shù)據(jù)據(jù)不不屬屬于于任任何何子子接接口口，，才才會會匹匹配配父接接口口eth0TRUNK路由由--配置置方方法法路由、網(wǎng)橋、虛擬網(wǎng)線三種類型選擇選擇是否為wan口（需要外網(wǎng)線路授權(quán)）不會生成8個0的默認路由，僅做線路檢測用1、設(shè)設(shè)置置wan口，，類類型型”路由由”，勾勾選選wan屬性性，，設(shè)設(shè)置置ip地址址等等其其他他屬屬性性。。2、設(shè)設(shè)置置lan口，，類類型型““路路由由””，，不不勾勾選選wan屬性性，，設(shè)設(shè)置置ip地址址等等其其他他屬屬性性，，注注意意lan口的的ip地址址應應隨隨便便配配置置，，不不屬屬于于任任何何vlan。3、給給lan口設(shè)設(shè)置置子子接接口口，，配配置置vlanid、vlanip等（（類類似似AC的vlan列表表））3、分分別別定定義義lan和wan的區(qū)區(qū)域域，，并并將將接接口口劃劃入入對對應應的的區(qū)區(qū)域域。。4、為為該該設(shè)設(shè)備備配配置置DNS地址址，，如如需需要要則則啟啟用用DNS代理理。。5、給給設(shè)設(shè)備備設(shè)設(shè)置置上上外外網(wǎng)網(wǎng)的的缺缺省省路路由由。。6、配配置置地地址址轉(zhuǎn)轉(zhuǎn)換換，，做做代代理理上上網(wǎng)網(wǎng)的的SNAT。（（參參考考章章節(jié)節(jié)））7、默默認認應應用用服服務(wù)務(wù)控控制制是是缺缺省省拒拒絕絕的的，，需需要要手手動動放放行行（（參參考考章章節(jié)節(jié)））指明該子接口是哪個物理口的子接口該子接口所屬的vlanid給設(shè)備分一個屬于vlan10的空閑地址，通常也是vlan的pc所指向的網(wǎng)關(guān)地址網(wǎng)橋橋模模式式—應用用場場景景需求求解解讀讀：：客戶戶網(wǎng)網(wǎng)絡(luò)絡(luò)中中原原有有一一臺臺路路由由器器部部署署在在出出口口代代理理內(nèi)內(nèi)網(wǎng)網(wǎng)上上網(wǎng)網(wǎng)，，希希望望在在不不改改變變網(wǎng)網(wǎng)絡(luò)絡(luò)結(jié)結(jié)構(gòu)構(gòu)的的情情況況下下，，AF部署署在在網(wǎng)網(wǎng)絡(luò)絡(luò)中中保保護護內(nèi)內(nèi)網(wǎng)網(wǎng)和和服服務(wù)務(wù)器器。。配置要點點：1、AF兩個接口口設(shè)置成成透明Access口，accessid=1。2、給vlan1配置管理理地址，，或者用用eth0做管理。。網(wǎng)橋模式式—應用場景景eth2透明accessid=1eth1透明accessid=1Q：做策略略時，引引用區(qū)域域應該如如何引用用？Vlan1ip=A：此時eth2、eth1是二層接接口Vlan1是三層接接口，但但是轉(zhuǎn)發(fā)發(fā)的數(shù)據(jù)據(jù)并不經(jīng)經(jīng)過它所以，區(qū)區(qū)域設(shè)置置：eth1所屬區(qū)域域eth2所屬區(qū)域域（都都為二層層區(qū)域））網(wǎng)橋模式式---配置方法法設(shè)置為透明口，根據(jù)鏈路信息選擇access或者trunk口，此例為access口，設(shè)置將此eth3接口劃分到哪個vlan中。物理接口本身如eth3沒有ip地址信息，如果要通過此接口與外界通訊，應給所屬vlan設(shè)置vlan的ip地址。1、設(shè)置wan口、lan口，類型型“透明明”，設(shè)設(shè)置ip地址等其其他屬性性（若為為wan口則勾選選上wan屬性）3、分別定定義lan和wan的區(qū)域，，并將接接口劃入入對應的的區(qū)域。。4、因需要要對設(shè)備備進行管管理，可可以配置置vlan的管理地地址，或或者用eth0做管理。。5、設(shè)置vlan接口所屬屬的區(qū)域域，設(shè)置置該區(qū)域域是否允允許從webui、ssh管理等。。5、為該設(shè)設(shè)備配置置DNS地址、上上外網(wǎng)的的缺省路路由等。。6、給設(shè)備備設(shè)置上上外網(wǎng)的的缺省路路由。7、如果內(nèi)內(nèi)網(wǎng)有多多網(wǎng)段，，需要給給設(shè)備加加上系統(tǒng)統(tǒng)路由指指向三層層交換機機。8、默認應應用服務(wù)務(wù)控制是是缺省拒拒絕的，，需要手手動放行行（參考考章節(jié)））二層區(qū)域只可以選擇“透明”網(wǎng)口通過此地址訪問設(shè)備進行管理下一跳做鏈路檢測用，不會生默認路由Trunk網(wǎng)橋---應用場景景需求解讀讀：交換機上上劃分了了vlan，交換機機和路由由器之間間走vlantrunk，PC網(wǎng)關(guān)都指指向路由由器，現(xiàn)現(xiàn)在不希希望修改改網(wǎng)絡(luò)結(jié)結(jié)構(gòu)，部部署AF。配置要點點：設(shè)備透明明網(wǎng)橋方方式部署署，兩個個接口類類型均為為透明+trunk口，允許許中繼vlan10、vlan20等數(shù)據(jù)。。Trunk透明---配置方法法1、設(shè)置wan口、lan口，類型型“透明明”，設(shè)設(shè)置類型型為trunk，并設(shè)置置允許轉(zhuǎn)轉(zhuǎn)發(fā)的vlan，如果是是wan口則勾選選上wan屬性。3、分別定定義lan和wan的區(qū)域，，并將接接口劃入入對應的的區(qū)域。。4、因需要要對設(shè)備備進行管管理，可可以設(shè)置置vlan的管理地地址，或或者從管管理口eth0進行管理理。5、設(shè)置vlan接口所屬屬的區(qū)域域，設(shè)置置該區(qū)域域是否允允許從webui、ssh管理等。。5、為該設(shè)設(shè)備配置置DNS地址、上上外網(wǎng)的的缺省路路由等。。6、給設(shè)備備設(shè)置上上外網(wǎng)的的缺省路路由。7、如果內(nèi)內(nèi)網(wǎng)有多多網(wǎng)段，，需要給給設(shè)備加加上系統(tǒng)統(tǒng)路由指指向三層層交換機機。8、默認應應用服務(wù)務(wù)控制是是缺省拒拒絕的，，需要手手動放行行（參考考章節(jié)））lan和wan口都做同樣的設(shè)置，不同的是wan口需要勾選wan屬性Vlan范圍用用于設(shè)設(shè)置允允許對對哪些些vlan做中繼繼，不在此此范圍圍中的的vlan數(shù)據(jù)將將不會會被被中繼繼網(wǎng)橋模模式—網(wǎng)橋多多網(wǎng)口口---應用場場景需求解解讀：：外網(wǎng)多多出口口，內(nèi)內(nèi)網(wǎng)用用戶分分別走不同同的路路由器器，從從不同同的公公網(wǎng)出出口上上外網(wǎng)網(wǎng)，需需要對對兩條條公網(wǎng)網(wǎng)線路路上的的數(shù)據(jù)據(jù)都做做安全全防護護。配配置要要點：：三個網(wǎng)網(wǎng)橋口口，都都配置置成透透明+access口，設(shè)設(shè)置在在同一一vlan（vlanid相同）），維維護一一張mac表。配置截截圖：：略區(qū)域解解讀：：此時數(shù)據(jù)轉(zhuǎn)發(fā)發(fā)口eth2、eth3、eth1是三個獨立的的二層口。eth2eth3eth1網(wǎng)橋模式—多網(wǎng)橋---應用場景解決方案：同AC設(shè)備，設(shè)置成成多網(wǎng)橋模式式，讓每路網(wǎng)網(wǎng)橋維護各自自的mac轉(zhuǎn)發(fā)表，互相相之間不轉(zhuǎn)發(fā)發(fā)數(shù)據(jù)。需求解讀：在這個拓撲環(huán)環(huán)境下，S1S2交換機跑VRRP協(xié)議，如果源源MAC是交換機vrrp虛擬MAC，那么此MAC可能在A2和B2接口上都出現(xiàn)現(xiàn)，設(shè)備根據(jù)據(jù)mac表轉(zhuǎn)發(fā)數(shù)據(jù)的的時候，可能能發(fā)錯，導致致網(wǎng)絡(luò)異常。。配置要點：四個口都設(shè)置置成透明access口，并且A1A2在一個vlan，B1B2屬于另一個vlan。（vlanaccessID不同）虛擬網(wǎng)線---應用場景應用場景：虛擬網(wǎng)橋模式式，其實也是是透明網(wǎng)橋的的一種，應用用場景同多網(wǎng)網(wǎng)橋模式，這這種模式下，，數(shù)據(jù)從一個個口進，從虛虛擬網(wǎng)線的另另外一個口直直接轉(zhuǎn)發(fā)，而不需查找mac表，提高轉(zhuǎn)發(fā)發(fā)性能。配置要點：A1A2，B1B2都設(shè)置成虛擬擬網(wǎng)線接口，，并且A1A2組成一條虛擬擬網(wǎng)線，B1B2組成另外一條條虛擬網(wǎng)線。。虛擬網(wǎng)線模式式下支持的功功能與透明模模式一樣，（（支持vlantrunk，支持所有策策略控制）PS：AC2.0r1的時候，開始始用這種網(wǎng)線線式網(wǎng)橋來規(guī)規(guī)避一些未知知的mac表混亂問題，，多網(wǎng)橋環(huán)境境建議使用虛虛擬網(wǎng)線部署署。虛擬網(wǎng)線—配置方法1、設(shè)置wan口、lan口，類型“虛虛擬網(wǎng)線”，，如果是wan口則勾選上wan屬性。3、分別定義lan和wan的區(qū)域，并將將接口劃入對對應的區(qū)域，，區(qū)域應選擇擇虛擬網(wǎng)線區(qū)區(qū)域，該區(qū)域域只可選擇虛虛擬網(wǎng)線接口口，不可以選選擇其他接口口。3、設(shè)置虛擬網(wǎng)網(wǎng)線，指明將將哪兩個虛擬擬網(wǎng)線接口組組成一條虛擬擬網(wǎng)線。4、eth0做管理用。5、為該設(shè)備配配置DNS地址、上外網(wǎng)網(wǎng)的缺省路由由等。6、默認應用服服務(wù)控制是缺缺省拒絕的，，需要手動放放行（參考章章節(jié)）這個截圖是早期的，現(xiàn)在eth0已經(jīng)不支持修改為透明或者虛擬網(wǎng)線接口，僅支持做路由口。接口聯(lián)動—應用場景類似AC網(wǎng)橋模式下開開啟鏈路同步步，設(shè)置成接接口聯(lián)動的兩兩個口或者多多個口，如果果一個網(wǎng)口宕宕掉了，會自自動宕掉另外外一個橋接口口。在vrrp熱備環(huán)境下，，避免出現(xiàn)一一個橋的網(wǎng)口口不通了，但但是數(shù)據(jù)還是是通過這個橋橋轉(zhuǎn)發(fā)，導致致上網(wǎng)中斷的的情況。應用場景：vrrp等熱備環(huán)境，，需要檢測鏈鏈路link狀態(tài)，來完成成主備切換等等。和AC的差異：1、實現(xiàn)方式，，檢測物理接接口linkdown狀態(tài)，支持光光口、電口。。2、一個接口聯(lián)聯(lián)動組內(nèi)可以以添加多個接接口，任意接接口down，則其他接口口都down，所以不允許許添加帶有HA屬性的接口，，因為HA屬性一般為雙雙機心跳口所所用。接口聯(lián)動—配置方法啟用接口聯(lián)動動聯(lián)動口只可以以選擇物理接接口接口聯(lián)動不能能和HA同時啟動1、勾選“啟用用接口link狀態(tài)聯(lián)動”2、新增一個接接口聯(lián)動，選選擇關(guān)聯(lián)的聯(lián)聯(lián)動口。一個個接口聯(lián)動組組可以任選多多個接口，選選擇一定要慎慎重。聯(lián)動口只可以以選擇物理接接口，聯(lián)動接接口不能和HA心跳口同用。。HA下也不需要手手動配置接口口聯(lián)動，會自自動聯(lián)動。混合部署—應用場景需求解讀：某客戶有大量量的公網(wǎng)ＩＰＰ提供給服務(wù)務(wù)器群，同時時lan區(qū)域的私網(wǎng)ＩＩＰ又要通過過路由器走NAT出去上網(wǎng)，不不希望將公網(wǎng)網(wǎng)ip都配置到路由由設(shè)備上再做做端口映射，，而是服務(wù)器器直接配置公公網(wǎng)ip，現(xiàn)在希望AF能代替路由器器。解決方案：混混合部署配置要點：1、DMZ和WAN之間，是透明明部署，DMZ和WAN口設(shè)置成透明明access口，且在同一一vlan，Accessid=12、配置vlan1，添加vlan1地址為通訊地地址如5，nat在vlan1實現(xiàn)。3、Lan口設(shè)置為路由由口eth2配置成透明口+access混合部署—配置方法1、wan、dmz配置成透明模模式，并且在在同一vlan，給該vlan配置地址，直直接為公網(wǎng)地地址（需要給給內(nèi)網(wǎng)lan區(qū)域做NAT）2、lan口為路由模式式eth1也配置透明+access，并且vlanID跟eth2一致。Eth3設(shè)置為路由口Vlan1設(shè)置公網(wǎng)IP此時數(shù)據(jù)轉(zhuǎn)發(fā)發(fā)口有四個，，分別為：DMZ區(qū)域和WAN區(qū)域，用eth1—eth2轉(zhuǎn)發(fā)，二層區(qū)區(qū)域LAN區(qū)域和WAN區(qū)域，用eth3—vlan1轉(zhuǎn)發(fā)，三層區(qū)區(qū)域LAN區(qū)域和DMZ區(qū)域，用eth3—vlan1轉(zhuǎn)發(fā)，三層區(qū)區(qū)域--此時做區(qū)域控控制，無法對對lan訪問dmz、lan訪問wan區(qū)域分別，因因為對于lan來說，dmz和wan屬于同一接口口、同一區(qū)域域，所以此時時需要根據(jù)區(qū)區(qū)域+目標IP控制?；旌喜渴鹱兩砩砭W(wǎng)橋+vlan此時區(qū)域解讀讀為：DMZ區(qū)域域和和WAN區(qū)域域，，用用eth1——eth2轉(zhuǎn)發(fā)發(fā)，，二二層層區(qū)區(qū)域域LAN區(qū)域域和和WAN區(qū)域域，，用用vlan2vlan1轉(zhuǎn)發(fā)發(fā)，，三三層層區(qū)區(qū)域域LAN區(qū)域域和和DMZ區(qū)域域，，用用vlan2——vlan1轉(zhuǎn)發(fā)發(fā)，，三三層層區(qū)區(qū)域域跟混混合合部部署署的的區(qū)區(qū)域域是是類類似似的的，，所所有有沒沒有有必必要要部部署署成成這這樣樣。。在混混合合部部署署和和當當前前部部署署模模式式下下，，如如果果要要對對lan訪問問wan和lan訪問問dmz做不不同同控控制制，，可可以以在在區(qū)區(qū)域域的的基基礎(chǔ)礎(chǔ)上上加加入入目目標標IP的條條件件限限制制，，此此時時就就可可以以分分別別控控制制了了。。ARP代理理—應用用場場景景需求求解解讀讀：：這個個需需求求跟跟混混合合部部署署需需求求相相同同，，但但是是某某些些特特殊殊情情況況不不能能做做混混合合或或者者網(wǎng)網(wǎng)橋橋部部署署。。難點點：：如果果設(shè)設(shè)備備不不做做混混合合部部署署，，而而做做路路由由部部署署，，DMZ區(qū)域域用用戶戶如如何何穿穿過過三三層層路路由由設(shè)設(shè)備備和和同同一一網(wǎng)網(wǎng)段段的的網(wǎng)網(wǎng)關(guān)關(guān)通通訊訊？？解決決方方案案：：ARP代理理ARP代理理—配置置方方法法1、公網(wǎng)某設(shè)備請求137.76的mac2、AF回應137.76的mac為eth21、137.76請求137.1的mac2、AF回應137.1的mac為eth13、137.76和137.1之間間的的數(shù)數(shù)據(jù)據(jù)通通過過AF轉(zhuǎn)發(fā)發(fā)彼此此正正常常通通訊訊。。2、讓eth1回應6的arp請求1、啟用arp代理其他他網(wǎng)網(wǎng)絡(luò)絡(luò)配配置置1、路路由由：：靜靜態(tài)態(tài)、、策策略略、、ospf、rip2、高高級級網(wǎng)網(wǎng)絡(luò)絡(luò)配配置置：：DNSARPDHCPSNMP高級級網(wǎng)網(wǎng)絡(luò)絡(luò)配配置置--DNSDNS設(shè)置設(shè)備自身上網(wǎng)、或者做DNS代理使用啟用，則支持PC將DNS服務(wù)器地址設(shè)置成設(shè)備地址，交由設(shè)備作DNS解析1、如果果wan口為adsl撥號，，或者者dhcp，下發(fā)發(fā)了dns地址，，則此此處dns服務(wù)器器設(shè)置置不生生效，，以接接口下下發(fā)到到的dns為準。。2、啟用用dns代理，，只支支持pc將代理理服務(wù)務(wù)器設(shè)設(shè)置成成AF，才做做代理理，不不支持持類似似AD的透明明代理理。高級網(wǎng)網(wǎng)絡(luò)配配置--ARPARP：arp即增加加靜態(tài)態(tài)arp表項接口必必須為為三層層接口口，并并且增增加的的ip跟選定定的接接口ip在同一一網(wǎng)段段。ARP代理：：應用場場景和和設(shè)置置方法法見前前面章章節(jié)。。DHCP服務(wù)支持所有的三層接口（物理路由口、子接口、vlan接口）高級網(wǎng)網(wǎng)絡(luò)配配置--DHCP啟用DHCP服務(wù)，AF自身作作為DHCP服務(wù)器器，支支持給給自身身所有有三層層接口口分配配DHCP。包括括物理理路由由口、、子接接口、、vlan接口。。啟用DHCP中繼代代理，AF自身作作為DHCP中繼代代理，，將DHCP廣播請請求以以單播播方式式并轉(zhuǎn)轉(zhuǎn)發(fā)到到真正正的DHCP服務(wù)器器。啟用DHCP中繼代代理，，并不不一定定要啟啟用DHCP服務(wù)。。DHCP中繼代代理應應用用場景景需求背背景：：設(shè)備路路由模模式部部署，，dhcp客戶端端和dhcp服務(wù)器器被隔隔離在在不同同子網(wǎng)網(wǎng)，而而dhcp請求是是發(fā)廣廣播的的，AF阻隔了了廣播播域。。為某接口啟用dhcp代理，則對該接口收到的dhcp請求做中繼代理（面向客戶端的接口）將收到的dhcp請求轉(zhuǎn)發(fā)給哪個dhcp服務(wù)器。解決方方案：：在AF的eth3接口上上啟用用dhcp中繼代代理1、Pc發(fā)廣播播包請請求dhcp2、AF單播到到DHCPserver，為pc請求dhcp3、Server回單播播請求求給AF4、AF廣播dhcp回應包包到pc高級網(wǎng)網(wǎng)絡(luò)配配置-SNMP管理主主機是是指用用snmpV2版本管管理地址設(shè)設(shè)置允允許哪哪些主主機用用snmp管理本本機，，團體體名稱稱：任任意，，只要要snmp軟件設(shè)設(shè)置的的跟此此處一一致在這里里設(shè)置置的團團體名名稱只只有RO只讀權(quán)權(quán)限。。SNMPv3是指用用snmpV3版本軟軟件管管理本本機其他設(shè)設(shè)置跟跟snmp管理軟軟件設(shè)設(shè)置一一致支持管管理的的信息息：IP地址、、MAC地址、、路由由、版版本信信息、、運行行時間間暫不支支持查查看CPU、內(nèi)存存占用用率點擊導導出MIB，可以以導出出MIB庫路由靜態(tài)路路由策略路路由OSPFRIP查看路路由靜態(tài)路路由1、靜態(tài)態(tài)路由由可以以單個個添加加，或者批批量添添加2、接口口，一一般情情況下下讓其其自動動選擇擇即可可，系系統(tǒng)會會自動動選擇擇跟下下一跳跳ip在同一一網(wǎng)段段的接接口做做為出出接口口。Q1：度量量值的的意義義？如如果添添加兩兩個靜靜態(tài)路路由，，目標標網(wǎng)絡(luò)絡(luò)一致致，度度量值值一高高一低低，能能否實實現(xiàn)低低的不不通了了，走走高的的那條條？A1：不支支持，，靜態(tài)態(tài)路由由不知知道路路由不不通了了Q2：arp條目和和路由由條目目，都都可以以設(shè)置置接口口，這這個設(shè)設(shè)置的的意義義？A2：設(shè)備備上是是支持持兩個個路由由口設(shè)設(shè)置成成同一一網(wǎng)段段的。。。靜態(tài)路路由5Gw6Gw可能存存在這這樣一一種場場景：：設(shè)備兩兩個wan口是不不同運運營商商提供供的不不同線線路，，但是是卻是是同一一網(wǎng)段段地址址。解決辦辦法：：Wan1和wan2設(shè)置同同一網(wǎng)網(wǎng)段的的ip，設(shè)備加加兩條條路由由到不不同的的下一一跳，，指定定不同同的出出接口口。配置多多線路路負載載路由由。請盡量量避免免把兩兩個接接口的的IP設(shè)置成成同一一網(wǎng)段段的，，因為為大多多數(shù)情情況下下都沒沒有此此種需需求。。這種環(huán)環(huán)境可可以做做是因因為有有多線線路負負載的的策略略路由由，而而策略略路由由只對對wan屬性接接口有有效、、且對對設(shè)備備自身身不生生效，，所以以設(shè)備備到內(nèi)內(nèi)網(wǎng)的的回包包路由由并不不能以以這種種方式式實現(xiàn)現(xiàn)負載載備份份。策略路路由客戶需需求1：電信走走電信信，網(wǎng)網(wǎng)通走走網(wǎng)通通，一一條down了之后后走另另外一一條。。客戶需需求3：到某些些目的的固定定走一一條線線路，，如443應用都都走eth1客戶需需求2：兩條外外網(wǎng)線線路都都利用用起來來，按按照帶帶寬繁繁忙程程度等等自動動選路路，其其中一一跳down掉之后后流量量都自自動切切換到到另外外一條條所有源到所有目的在雙線路之間輪詢策略路路由---配置置可以參與策略路由的接口，wan屬性+物理路由口所有源到所有目的443走eth1策略路路由---配置置電信走電信源地址址策略略路由由和多多線路路負載載路由由本質(zhì)質(zhì)上是是一樣樣的，，只是是提高高易用用性（（因為為源地地址路路由一一般不不需要要選擇擇多個個接口口的））。有任何何需求求，只只要界界面上上能配配置出出來，，那么么在源源地址址策略略路由由配置置還是是在多多線路路負載載路由由配置置，結(jié)結(jié)果是是一樣樣的。。目前ISP地址段是空的，需要手動加入，參考AD的規(guī)則庫即可。后續(xù)會爭取內(nèi)置規(guī)則，加上導入和自動更新功能。OSPF1、啟用用OSPF2、設(shè)置置需要要通告告的網(wǎng)網(wǎng)絡(luò)（（如需需要通通告本本機的的直連連網(wǎng)絡(luò)絡(luò)）3、配置置接口口參數(shù)數(shù)4、配置置整個個設(shè)備備的一一些參參數(shù)5、如果果需要要，則則配置置虛連連接1、支持持通告告本段段所有有直連連網(wǎng)絡(luò)絡(luò)。2、不支支持發(fā)發(fā)布vpn對端的的網(wǎng)絡(luò)絡(luò)。3、支持持路由由重發(fā)發(fā)布4、3—5步配置置，一一般按按照客客戶提提供的的參數(shù)數(shù)配置置即可可。具體參參數(shù)參參考用用戶手手冊RIP了解咱咱們有有這樣樣一個個功能能具體參參數(shù)參參考用用戶手手冊。。查看路路由雙機—主備--應用場場景應用場場景：：客戶擔擔心FW單點故故障，，希望望多部部署一一臺做做備份份來提提高可可靠性性。（（路由由或者者網(wǎng)橋橋）解決方方案：：雙機，，主備備模式式。兩臺設(shè)設(shè)備配配置一一樣，，并且且配置置同步步。同時只只有一一臺主主機工工作，，主機機宕掉掉以后后由備備機接接替工工作，，對用用戶透透明。。雙機—主備—路由實實現(xiàn)方方式/00005e000164廣播arp/00005e000164丟棄1、兩臺AF擁有同樣的配置，包括接口IP都相同。2、兩個設(shè)備虛擬出同一個MAC地址，至此，兩個設(shè)備的ip+mac都一致。3、兩個設(shè)備協(xié)商出一個主機，一個備機，備機自動放棄所有到達設(shè)備的數(shù)據(jù)，不進行轉(zhuǎn)發(fā)。4、留下一臺設(shè)備來處理數(shù)據(jù)，并且不斷向外廣播他的ip和mac，他就是主機。5、提供一種檢測機制，如果主機發(fā)生故障，備機自動成為主機，承擔主機工作。處理雙機——主備備—網(wǎng)網(wǎng)橋?qū)崒崿F(xiàn)方方式網(wǎng)橋模模式下下，當當主備備切換換時，，備機機的網(wǎng)網(wǎng)橋數(shù)數(shù)據(jù)轉(zhuǎn)轉(zhuǎn)發(fā)口口都linkdown，讓交交換機機相連連接口口也linkdown，或者者交換換機arp表超時時，將將流量量切換換。雙機——主備備—實實現(xiàn)方方式VRRP（Virtualrouterredundancyprotocol,虛擬路路由器器冗余余協(xié)議議）你了解的VRRP一般是這樣的1、兩個個路由由器IP地址不一一樣，需需要虛擬擬IP---AF不需要虛虛擬IP，因為接接口IP一樣。2、根據(jù)虛虛擬組ID找同伴，，同一虛虛擬組的的設(shè)備之之間選主主備。----AF也是這樣樣3、可能影影響主備備的條件件：1、優(yōu)先級級，優(yōu)先先級高的的為主，，2、接口IP，IP地址大的的為主---AF也是一樣樣，但因因為接口口IP一致，最最終是看看心跳口口IP的大小。。4、可以設(shè)設(shè)置搶占占模式，，優(yōu)先級級高的設(shè)設(shè)備故障障恢復后后，如果果配置成成搶占模模式，可可以成為為主。----AF也一樣5、心跳協(xié)協(xié)商通過過組播8----AF也一樣6、AF需要配置置心跳口口，心跳跳口是一一個普通通網(wǎng)口。。雙機—主主備—實實現(xiàn)方式式AF1：心跳口eth1：對端地址址：虛擬路路路由組配配置：虛擬組100優(yōu)先級100搶占是網(wǎng)口列表表：eth3eth2啟用配置置同步AF2：心跳口eth1：對端地址址：虛擬路路路由組配配置：虛擬組100優(yōu)先級90搶占否網(wǎng)口列表表：eth3eth2啟用配置置同步雙機—主主備—配配置主機機基本信信息基礎(chǔ)配置置部分：：1、配置序序列號。。2、配置單單機模式式下應配配的所有有配置。。3、配置心心跳口（（HA屬性）HA配置：1、基本信息：：選擇本機心心跳口（所有有配置了HA屬性的物理接接口都可供選選擇），配置置對端心跳口口IP。2、雙機熱備：：配置虛擬路路由組3、配置同步：：配置需要同同步的信息配置HA屬性的物理接口可做為心跳口心跳口條件：物理路由+HA屬性對端地址條件：對端心跳口，路由可達、組播可達，建議兩接口直連雙機—主備——配置主機雙雙機熱備1、配置虛擬組：同一虛擬組組的不同設(shè)備備參加主備競競選，所以主主備模式兩臺臺設(shè)備的虛擬擬組ID應相同。2、優(yōu)先級：同一虛擬組組里優(yōu)先級高高的設(shè)備成為為主機，如果果優(yōu)先級一樣樣則看誰先起起來誰成為主主機。3、搶占：配置為搶占占時，優(yōu)先級級高的設(shè)備一一旦能正常運運行即搶為主主機，否則當當發(fā)現(xiàn)虛擬組組中已有主機機存在時，自自己雖然優(yōu)先先級高也只做做備機。4、心跳時間：vrrp報文發(fā)送間隔隔，如果三個個心跳時間內(nèi)內(nèi)沒收到報文文則將自己置置為主機。5、網(wǎng)口列表：選擇數(shù)據(jù)轉(zhuǎn)轉(zhuǎn)發(fā)口（只可可選擇物理接接口，且已經(jīng)經(jīng)選擇為心跳跳口的不能選選），該網(wǎng)口口列表中的網(wǎng)網(wǎng)口linkdown將會引發(fā)主備備切換。6、鏈路監(jiān)控：是否以鏈路故故障監(jiān)控結(jié)果果作為依據(jù)來來主導主備切切換，取決于于接口本身的的鏈路監(jiān)控配配置。雙機—主備——配置主機配配置同步一、選擇配置置同步將同步步配置，以下下配置除外：：1、序列號配置置2、高可用性配配置3、心跳口配置置（HA屬性）二、選擇同步步會話表則將將同步連接跟跟蹤狀態(tài)。三、選擇同步步用戶認證，，則同步用戶戶認證信息。。PS：用戶認證，，是指在線用用戶列表的同同步，如果只只選擇配置同同步，不選擇擇用戶認證，，則認證系統(tǒng)統(tǒng)、組織結(jié)構(gòu)構(gòu)相關(guān)配置還還是會同步的的。雙機—主備——配置備機因為有配置同同步功能，所所以備機不需需要配置所有有的配置，但但以下配置必必須在備機單單獨配置1：序列號2、用作心跳口口的接口配置置IP和HA屬性3、高可用性（（HA）配置備機配置原則：虛擬路由組部分，除優(yōu)先級和搶占模式按需要設(shè)置外，其余的各選項應與主機配置一致。雙機—主備——主備競選主備競選：1、AF1先啟動，網(wǎng)絡(luò)絡(luò)中無其他同同類設(shè)備，則則成主機，并并且發(fā)送VRRP報文說明虛擬擬組、優(yōu)先級級等。2、AF2啟動，收到了了VRRP報文，對比虛虛擬組等其他他選項一致等等，并比較優(yōu)優(yōu)先級，如果果自己優(yōu)先級級高并且設(shè)置置了搶占模式式，則自己為為master，其余情況自自己為backup。3、如果AF1和AF2同時啟動，并并且優(yōu)先級一一致，心跳口口ip大的為主。雙機切換條件件：1、master以心跳間隔時時間發(fā)送vrrp報文，如果backup三個心跳時間間內(nèi)沒有收到到心跳，則自自己置為master。2、網(wǎng)口列表中中的網(wǎng)口linkdown3、開啟了鏈路路監(jiān)控，鏈路路檢測結(jié)果出出現(xiàn)故障雙機—主備——配置同步1、AF1先啟動，網(wǎng)絡(luò)絡(luò)中無其他同同類設(shè)備，則則成主機，并并且向?qū)Χ税l(fā)發(fā)送同步配置置請求，因此此時備機不存存在，AF1配置未變。2、AF2啟動，向AF1發(fā)送同步配置置請求，AF1將自己的配置置打包傳送給給AF2，AF2的配置和AF1的相同。此為批量同步步的過程，一一般運行在設(shè)設(shè)備啟動、或或者VRRP進程啟動之后后，此時是向向?qū)Χ怂渑渲谩?、兩臺設(shè)備都都在正常運行行，不排除兩兩端的配置都都有可能發(fā)生生改變，AF進程每10秒檢測一下本本端配置，如如果發(fā)生改變變則主動推送送給對端。這這種推送，只只發(fā)送配置修修改的部分，，所以可以理理解為增量同同步。（注意，備機發(fā)發(fā)生改變也會會同步到主機機，所以一般般在一臺設(shè)備備上修改配置置。）庫同步本端庫升級將將把規(guī)則庫同同步到另外一一臺，同步之之后，設(shè)備檢檢測自身的序序列號是否有有效，有效才才覆蓋相關(guān)配配置文件，完完成最終的庫庫升級。在線用戶同步步和連接跟蹤蹤都是實時同同步。連接跟蹤用UDP連接同步，配配置同步用TCP連接同步。批量同步增量同步雙機高級用法法—主主需求解讀：內(nèi)網(wǎng)用戶A走電信線路上上網(wǎng)，內(nèi)網(wǎng)用用戶B走網(wǎng)通線路上上網(wǎng)，這樣用用了兩臺路由由器，但是路路由器沒有起起到備份的作作用，如果一一臺路由器掛掛掉之后，相相應的內(nèi)網(wǎng)就就無法上網(wǎng)，，用戶希望兩兩臺防火墻同同時工作，一一臺壞掉之后后，內(nèi)網(wǎng)流量量都走另外一一個防火墻。。解決方案：雙機部署，主主主方式做負負載均衡。雙機高級用法法—主主解決方案：每臺AF上配置兩個虛虛擬組路由組組，把每臺AF模擬出兩臺設(shè)設(shè)備，然后在在四臺虛擬設(shè)設(shè)備中，選擇擇兩主兩備。。在路由組A中，AF1為主，AF2為備（藍色圈圈選一條路））在路由組B中，AF1為備，AF2為主（紅色圈圈選一條路））1、AF的網(wǎng)絡(luò)配置(兩臺AF設(shè)置相同)：eth0=eth1=eth2=eth3=2、HA配置：需要建立兩個個虛擬路由組組，每個虛擬擬路由組中產(chǎn)產(chǎn)生一個主備備。雙機高級用法法—主主AF1配置：虛擬組50優(yōu)先級20接口：eth0eth2虛擬組20優(yōu)先級50接口eth1eth3AF2配置：虛擬組50優(yōu)先級50接口：eth0eth2虛擬組20優(yōu)先級20接口eth1eth3雙機高級用法法—主主1、路由模式下下，相鄰交換換機的IP必須在不同網(wǎng)網(wǎng)段，因為AF兩個互為備份份的接口不能能配置在同一一網(wǎng)段，否則則回包路由不不明確。（面面臨的問題：：兩個口配置置同一網(wǎng)段IP，到交換機的的路由從哪個個接口出去？？）2、AF的一個接口只只能屬于一個個虛擬路由組組，而有些廠廠商的做法是是一個接口可可以屬于多個個虛擬路由組組。雙機—主主--應用場景2網(wǎng)橋客戶需求：在路由設(shè)備和和交換機上已已經(jīng)運行vrrp協(xié)議，現(xiàn)在不不希望改變網(wǎng)網(wǎng)絡(luò)拓撲，AF需要在任意鏈鏈路上做安全全保護。解決方案：AF以透明模式部部署，這時的的線路切換、、路由器流量量負載由路由由器本身執(zhí)行行，AF可以只啟用配配置同步。配置方法：1、將AF四個數(shù)據(jù)轉(zhuǎn)發(fā)發(fā)口配置在同同一個vlan中。2、配置HA的基本信息（（心跳口、對對端地址）3、配置HA配置同步注意：若此時不配置置VRRP虛擬路由組，，只配置配置置同步，需要要手動配置接接口聯(lián)動。（（想想AC的鏈路同步））透明下實現(xiàn)重重定向、代理理、resetQ：透明模式或或者虛擬網(wǎng)線線模式下，網(wǎng)網(wǎng)橋本身并沒沒有IP地址，如果要要做web認證重定向、、郵件殺毒等等通過代理實實現(xiàn)的功能應應該怎么做？？是不是一定定配置vlanip，或者用eth0管理口來實現(xiàn)現(xiàn)？A：網(wǎng)橋模式下下，要實現(xiàn)認認證重定向、、郵件殺毒等等代理功能，，設(shè)備本身有有沒有IP可以跟內(nèi)網(wǎng)通通訊、上網(wǎng)都都沒有關(guān)系，，只需要確保保內(nèi)網(wǎng)用戶到到這個IP地址的路由經(jīng)經(jīng)過設(shè)備即可可，路由模式式下重定向過過程直接查找找路由，跟AC無異。1、網(wǎng)關(guān)殺毒pop3、smtp是代理殺毒，，實現(xiàn)方式跟跟AC一致，DNAT到本機。2、web認證、拒絕頁頁面重定向用用同樣的方法法，將連接重重定向到AF本機。透明下實現(xiàn)重重定向、代理理、resetgetbaidu重定向到get1、用戶getbaidu2、AF判斷需要重定定向（web認證、拒絕訪訪問等）3、AF返回數(shù)據(jù)包給給PC，將步驟1中的數(shù)據(jù)包源源目的轉(zhuǎn)換，，數(shù)據(jù)包內(nèi)容容帶重定向標標記，讓用戶戶訪問4、pc訪問,數(shù)據(jù)重定向到到AFvlan0的地址,連接建立成功功。郵件代理等方方法類似，我我們不需要關(guān)關(guān)注詳細過程程，了解兩點點：1、到的路由要經(jīng)過過到達AF2、AF轉(zhuǎn)發(fā)數(shù)據(jù)包的的時候，源地地址和目的地地址都是數(shù)據(jù)據(jù)包原本的地地址，代理后后，AF將數(shù)據(jù)包發(fā)往往公網(wǎng)，源ip還是還原成Pc、目標是公網(wǎng)網(wǎng)服務(wù)器，所所以AF自身IP不需要上網(wǎng)。。AF對用戶基本透透明。PS：如果數(shù)據(jù)進進入的接口類類型是路由口口，則直接查找路路由表，不走走此過程。產(chǎn)品部署FAQ1、AF是否支持組播播路由（是指指在路由開模模式下轉(zhuǎn)發(fā)IGMP包）？是否支持非對對稱路由？暫不支持在路路由模式下轉(zhuǎn)轉(zhuǎn)發(fā)IGMP，后面補丁版版本會支持非非對稱路由。。2、是否支持特特殊協(xié)議的協(xié)協(xié)議剝離？在網(wǎng)橋模式下下，默認支持持對pppoe、vlan、pppoe+vlan的協(xié)議剝離（（支持識別和和控制）,暫不支持l2tp、mpls、qinq等的協(xié)議剝離離。3、AF是否支持sip、h323等有關(guān)聯(lián)連接接的協(xié)議？（（AC不支持sip）支持，路由模模式下保證建建立建立成功功，需要指明明協(xié)議使用端端口。4、雙機部署可可否使用不同同硬件型號？？不支持，要求求硬件型號、、軟件版本一一致，不同版版本、不同型型號均不支持持雙機。5、雙機開啟配配置同步后，，備機的配置置也可能同步步到主機，如如何避免這種種情況？主機A開啟配置同步步，選擇用戶戶認證、會話話表、配置同同步，備機B開啟配置同步步，但只選擇擇同步用戶認認證、會話表表，不選擇配配置同步。（（切換后需要要改設(shè)置。））一、產(chǎn)品介紹二、產(chǎn)品部署深信服公司簡介

三、產(chǎn)品應用四、數(shù)據(jù)中心及其他AF1.0功能模塊功能介紹用戶認證可以設(shè)置對哪個區(qū)域啟用用戶認證，則該區(qū)域訪問其他任何區(qū)域都需要經(jīng)過認證后，才能訪問。內(nèi)容安全包含應用控制策略、病毒防御策略、web過濾策略三種。主要用于保護/限制內(nèi)網(wǎng)用戶的上網(wǎng)安全防火墻地址轉(zhuǎn)換\DNSmapping，二層協(xié)議過濾，Dos/ddos防護（內(nèi)網(wǎng)防護、外網(wǎng)防護）,連接數(shù)控制IPS保護服務(wù)器漏洞，保護客戶端漏洞服務(wù)器保護即WAF（web應用防火墻），特別保護webftp服務(wù)器，如sql注入防護、xss防護，應用隱藏等流量管理合入了AC的流量管理，同時支持對不同vlan做不同的流控策略。vpn合入了vpn4.32產(chǎn)品應用篇—功能模塊分布布保護服務(wù)器內(nèi)網(wǎng)上網(wǎng)安全全產(chǎn)品應用篇---功能用途分布布流量管理防火墻基礎(chǔ)功能產(chǎn)品應用---典型應用場景景—1需求解讀：1、保護/限制內(nèi)網(wǎng)用戶戶上網(wǎng)。2、保護服務(wù)器器安全。3、流量控制。。4、……區(qū)域解讀1：：1、PC到公網(wǎng)的訪問：eth3—vlan1三層----三層2、PC到服務(wù)器的訪問：eth3—vlan1三層---三層3、服務(wù)器和公網(wǎng)間的訪問：Eth1—eth2二層----二層1、策略只能在在三層—三層之間，或或者二層-二層之間做，，不能在三層層—二層之間做。。2、vlan接口本身無wan屬性，如流控控等要匹配wan屬性的，最終終看出接口的的物理接口屬屬性。需求分解1：保護內(nèi)網(wǎng)用用戶上網(wǎng)安全全Q：保護內(nèi)網(wǎng)用用戶上網(wǎng)安全全的角度，AF可以做什么？？內(nèi)網(wǎng)上網(wǎng)安全面臨什么威脅/AF需要解決的問題1、未授權(quán)的訪問，非法用戶流量2、不必要的訪問（p2p,視頻語音）3、不合法的訪問（法輪功，賭博）4、不可靠的訪問（不明來歷腳本，插件）4、不安全的訪問（網(wǎng)頁、郵件攜帶病毒）5、其他危險流量（dos攻擊、漏洞攻擊）用戶認證應用識別、控制URL過濾腳本、插件過濾網(wǎng)關(guān)殺毒DOS防護、IPS需求分解1：保護內(nèi)網(wǎng)用用戶上網(wǎng)安全全限定用戶通過認證后方可訪問外部網(wǎng)絡(luò)病毒防御策略：防止上網(wǎng)帶來的病毒威脅應用控制策略：控制可以訪問的服務(wù)/應用URL過濾：url過濾、文件上傳下載限制、腳本/插件過濾，不允許訪問不安全的內(nèi)容。保護客戶端漏洞Dos/ddos內(nèi)網(wǎng)防護、二層協(xié)議過濾、連接數(shù)限制保護上網(wǎng)安全全--用戶認證注意事項：1、不支持dkey認證，不支持持AC3.3新增的幾種單單點登錄方式式2、用戶認證其其他功能同AC3.0配置方法：1、開啟用戶認認證（默認未未開啟）2、選擇擇需要要認證證的區(qū)區(qū)域（（源區(qū)區(qū)域））3、認證證策略略等其其他設(shè)設(shè)置同同AC（建議議先做做好認認證相相關(guān)設(shè)設(shè)置后后開啟啟認證證）12Q1：如果果不開開啟用用戶認認證，，用戶戶能否否上網(wǎng)網(wǎng)，行行為能能否控控制識識別？？A1：不需需要認認證即即可上上網(wǎng)，，在線線用戶戶列表表無用用戶，，以IP為對象象做控控制和和審計計。Q2：本例例中，，lan區(qū)域訪訪問dmz區(qū)域也也需要要認證證么？？A2：是的的，只只對源源區(qū)域域進行行匹配配，對對lan區(qū)域啟啟用認認證后后，lan區(qū)域穿穿過設(shè)設(shè)備的的流量量需要要認證證，而而不管管其目目的區(qū)區(qū)域。。保護上上網(wǎng)安安全--內(nèi)容安安全—應用控控制配置方方法：：允許/拒絕什么人、在什什么時間、訪問問什么么目標什么內(nèi)容，，是否記錄日日志。。服務(wù)/應用：：服務(wù)：：同AC網(wǎng)絡(luò)服服務(wù)控控制應用：：同AC應用服服務(wù)控控制生效時時間：：循環(huán)時時間計計劃：：同AC的時間間計劃劃。單次時時間計計劃：：在指指定時時間執(zhí)執(zhí)行一一次如如10月1號—10月7號執(zhí)行行。單次時間計劃功能1、默認認拒絕絕所有有區(qū)域域的訪訪問，，除非非接口口不屬屬于任任何區(qū)區(qū)域。。2、可建建立多多條應應用控控制策策略，，從上上到下下匹配配，匹匹配到到則不不往下下匹配配。3、需要要選擇擇生效效時間間的都都支持持單次次和循循環(huán)，，此后后不贅贅述。保護上上網(wǎng)安安全--內(nèi)容安安全—病毒防防御配置方方法：：1、對哪哪些源源區(qū)域域訪問問哪些些目標標區(qū)域域啟用用病毒毒防御御策略略（區(qū)區(qū)域可可多選選）2、檢測測到病病毒后后可以以只記記錄日日志或或只阻阻斷，，或記記錄日日志+阻斷。。3、其他他配置置、實實現(xiàn)原原理同同AC。4、只可可建立立一條條病毒毒防御御策略略。1、腳本本過濾濾、插插件過過濾同同AC（需選選擇源源區(qū)域域），，這兩個個功能能只對對出接接口是是wan屬性接接口生生效。2、文件件過濾濾同AC的文件件類型型過濾濾，但但不支支持ftp上傳下下載過過濾。。（需需選擇擇源區(qū)區(qū)域））3、URL過濾同同AC的url過濾，，設(shè)置置稍有有不同同。保護上上網(wǎng)安安全2.3.1--內(nèi)容安安全—web