教程說(shuō)明成果

目 AF路由模式（WAN口直接撥號(hào)或接固定InternetIP線(xiàn)路 AF路由模式（支持VLAN環(huán)境 AF路由模式（內(nèi)網(wǎng)通過(guò)服務(wù)器上網(wǎng) AF網(wǎng)橋部署（啟用Bypass功能 網(wǎng)絡(luò)環(huán)境確客戶(hù)網(wǎng)絡(luò)環(huán)境確認(rèn)□ □小區(qū)寬 □光 □AC不需部署在網(wǎng)□固定 □動(dòng)態(tài)獲 □公網(wǎng) □私網(wǎng) □不使用□10M電 □100M電 □1000M電 □多模光 □單模光□ □ □ □ □ □不使用Trunk中是否使用了VLANID為1的VLAN：□ □□ □ □不使用ADSL撥□ □ □非網(wǎng)橋部分配給AC的網(wǎng)橋IP是否能公網(wǎng)□ □ □非網(wǎng)橋部測(cè)試/實(shí)施前準(zhǔn)備工測(cè)試/實(shí)施前AF1820（含）以上高端設(shè)備，需走高端設(shè)備AF1720（含）以下設(shè)備，先走下面的自檢流硬件檢軟件檢10 獲取用戶(hù)的詳細(xì)資包括:企業(yè)名稱(chēng)、通訊地址、聯(lián)系人、獲取用戶(hù)的網(wǎng)絡(luò)環(huán)在測(cè)試或?qū)嵤┲?，至少提前兩天確定好客戶(hù)環(huán)境以及部署方案。對(duì)沒(méi)有把握的配置或部署方式，請(qǐng)?jiān)谶M(jìn)試或?qū)嵤┑那皟商熳稍?xún)總部相應(yīng)產(chǎn)品的產(chǎn)品專(zhuān)家。如果產(chǎn)品專(zhuān)家確認(rèn)沒(méi)有這類(lèi)成功案例，請(qǐng)產(chǎn)品專(zhuān)家至少提前一天通知研發(fā)相關(guān)接口人準(zhǔn)備。準(zhǔn)備期間需要補(bǔ)充獲取的信息，請(qǐng)駐外同事積極協(xié)助。例如：客戶(hù)的網(wǎng)絡(luò)環(huán)境，并完成《網(wǎng)絡(luò)環(huán)境確認(rèn)表》。確保客戶(hù)網(wǎng)絡(luò)環(huán)境具備安裝條件再安排上門(mén)實(shí)施。如客戶(hù)網(wǎng)絡(luò)不具備安裝條件，跟客戶(hù)協(xié)商網(wǎng)絡(luò)整改時(shí)間。待整改獲取用戶(hù)的軟硬件例如：客戶(hù)的網(wǎng)絡(luò)環(huán)境、是否有域服務(wù)器、是否使用服務(wù)器等信息、客戶(hù)的關(guān)鍵業(yè)務(wù)數(shù)據(jù)流是怎樣走的等，完成《網(wǎng)絡(luò)環(huán)境確認(rèn)表》。確?？蛻?hù)網(wǎng)絡(luò)環(huán)境具備安裝條件再安排上門(mén)實(shí)施。如客戶(hù)網(wǎng)絡(luò)不具備安裝條件，跟客戶(hù)協(xié)商網(wǎng)絡(luò)整改時(shí)間。待整改建議獲取其他廠(chǎng)商在用戶(hù)環(huán)境中的測(cè)試情在測(cè)試前，建議了解一下客戶(hù)有沒(méi)有測(cè)試過(guò)相同類(lèi)型的產(chǎn)品，了解一下測(cè)試其他同類(lèi)產(chǎn)品時(shí)所遇到的問(wèn)題，并根據(jù)客戶(hù)需要測(cè)試的產(chǎn)品的功能，分析一下sangfor設(shè)備去實(shí)施方案確定及項(xiàng)目驗(yàn)收應(yīng)注意的問(wèn)向客戶(hù)出具實(shí)施方案前，需先跟客戶(hù)溝通，確保實(shí)施方案的內(nèi)容和形式符合客戶(hù)項(xiàng)目驗(yàn)收前需跟客戶(hù)就驗(yàn)收文檔的內(nèi)容和形式達(dá)成一致，按照客戶(hù)的期望提交驗(yàn)約定上門(mén)的時(shí)同客戶(hù)確認(rèn)上門(mén)時(shí)間，以保證客戶(hù)方有對(duì)公司內(nèi)部網(wǎng)絡(luò)情況較為熟悉的人員配合實(shí)施。整理安裝實(shí)施所需要的資整理安裝實(shí)施過(guò)程中需要攜帶的設(shè)備和資料，例如：筆記本電腦，交叉線(xiàn)，常用的軟件，上門(mén)反饋表，工牌等。測(cè)試前需要給設(shè)備打上補(bǔ)丁設(shè)備上架規(guī)設(shè)備上架準(zhǔn)110—遠(yuǎn)離強(qiáng)功率無(wú)線(xiàn)電發(fā)射臺(tái)、發(fā)（螺絲刀、水晶頭壓線(xiàn)鉗等上架保障措再上架，當(dāng)確認(rèn)設(shè)備工作正常后再加入這些。網(wǎng)絡(luò)的IP地址。設(shè)備備及電纜的重量，設(shè)備四周留出10cm1：電源線(xiàn)：內(nèi)容為電纜對(duì)端位置2：信號(hào)線(xiàn)：兩面內(nèi)容分別標(biāo)3：粘貼之前先在整版紙上填設(shè)備安裝檢應(yīng)該可以聽(tīng)到風(fēng)扇旋轉(zhuǎn)，網(wǎng)絡(luò)設(shè)Webagent實(shí)施規(guī)如客戶(hù)中心端有固定IP的情況，技術(shù)交流、測(cè)試（實(shí)施）時(shí)優(yōu)先選擇并引導(dǎo)客戶(hù)使用固定IP。如客戶(hù)有自己的Web服務(wù)器（該服務(wù)器必須單獨(dú)部署于IDC機(jī)房或者與設(shè)備使用不同的網(wǎng)絡(luò)出口）的情況，技術(shù)交流、測(cè)試（實(shí)施）時(shí)優(yōu)先選擇并引導(dǎo)客戶(hù)將Webagent服務(wù)部署在自己的服務(wù)器上。在上述條件都的情況下，可以為客戶(hù)提供免費(fèi)的Webagent服務(wù)，同時(shí)，請(qǐng)?jiān)趯?shí)施（測(cè)試）時(shí)與客戶(hù)進(jìn)行事前溝通，讓客戶(hù)了解會(huì)盡可能為客戶(hù)提供穩(wěn)定的Webagent服務(wù)，但無(wú)法保證Webagent服務(wù)不因Internet網(wǎng)絡(luò)故障、IDC機(jī)房故 所有支持bypass的設(shè)備，在做透明模式和虛擬網(wǎng)線(xiàn)模式部署的時(shí)候，必須在實(shí)施時(shí)檢測(cè)設(shè)備的bypass功能是否生效，以避免因?yàn)橛布收弦鹂蛻?hù)的業(yè)務(wù)中斷。建議檢測(cè)方法如下：不同型號(hào)設(shè)備的bypass口位置不同，會(huì)在設(shè)備面板上標(biāo)出，請(qǐng)根據(jù)實(shí)際型號(hào)調(diào)整接線(xiàn)網(wǎng)口，部署好設(shè)備之后，關(guān)閉電源，從bypass口所接的電腦上前置設(shè)備的接口或者公網(wǎng)IP，如果可以通，表示bypass功能生效注意事項(xiàng)：目前所有AF設(shè)備型號(hào)均支持開(kāi)機(jī)bypass功能，故請(qǐng)注意在實(shí)施時(shí)不能把一對(duì)bypass口接在同一交換機(jī)上，避免形成環(huán)路。內(nèi)網(wǎng)有承載重要業(yè)務(wù)的設(shè)備時(shí)AF部署注sangfor設(shè)備M5X00、M5X00-S、M5X00-QAF需要在出口做網(wǎng)橋或者路由模式部署，請(qǐng)?jiān)诩苌螦F前，將內(nèi)網(wǎng)這些設(shè)備的IP填入排除IP地址列表，請(qǐng)?zhí)崆霸O(shè)置這些設(shè)備的權(quán)限全部放通，并根據(jù)業(yè)務(wù)數(shù)據(jù)所使用的協(xié)議在內(nèi)容安全策略中放通。以此避免架上AF后影響客戶(hù)正常業(yè)務(wù)的風(fēng)險(xiǎn)。網(wǎng)絡(luò)中有ISA服務(wù)器時(shí)的配置注意AF在結(jié)合ISA服務(wù)器環(huán)境，并且使用ISA客戶(hù)端的時(shí)候，無(wú)特殊要求盡量把Skype的智能識(shí)別規(guī)則禁用，因?yàn)榄h(huán)境下識(shí)別Skype有問(wèn)題，有可能會(huì)把ISA數(shù)據(jù)識(shí)別成Skype，如果做了Skype的配置，可能會(huì)導(dǎo)致ISA客戶(hù)端無(wú)法正常檢查光口兼容如果有使用到AF的光口和其他設(shè)備連接，請(qǐng)?jiān)谶B接完成后，嘗試將AF的光口的網(wǎng)線(xiàn)拔掉再插上，觀(guān)察一下光口的狀態(tài)，看光口在插拔一次后能不能正常使用，如果插各種網(wǎng)絡(luò)環(huán)境下的基本配置目通過(guò)基本配置，能保證SANGFOR設(shè)備上架后客戶(hù)網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)，AF的各種策略可 IP線(xiàn)路）網(wǎng)絡(luò)拓或者路由模式部署，ETH2IP地址，ETH1口連接局域網(wǎng)交換機(jī)。接線(xiàn)規(guī)基本配置規(guī)Manage：51/24，默認(rèn)用戶(hù)名2、配ETH2、ETH1為路由口,ETH2接口WAN屬性，正確配置AFIP地址和外網(wǎng)IP地址，合理配置區(qū)域信息，要求接口、內(nèi)網(wǎng)接口應(yīng)屬于不同的區(qū)域。5、AF路由模式，單線(xiàn)路時(shí)，應(yīng)添加全0的默認(rèn)路由；當(dāng)是多條線(xiàn)路時(shí)，應(yīng)配置策6、根據(jù)內(nèi)網(wǎng)的網(wǎng)段來(lái)配置源地址轉(zhuǎn)換規(guī)則，如果有內(nèi)網(wǎng)服務(wù)器發(fā)布到，應(yīng)配置目的地址轉(zhuǎn)換規(guī)則，根據(jù)需要配置雙向NAT規(guī)則或DNSmap。8ARPARP（AF）ARP9、設(shè)備上架以后，建議通過(guò)升級(jí)客戶(hù)端登陸設(shè)備，地址，盡可能的驗(yàn)證每個(gè)服務(wù)器和每個(gè)私有網(wǎng)段的連通性，包括tcp、udp和icmp協(xié)議，看是否有丟包現(xiàn)象；查看網(wǎng)兼容性問(wèn)題；查看設(shè)備路由表，arp表是否正確。注意事設(shè)備、DNAT到內(nèi)網(wǎng)等場(chǎng)景，應(yīng)給每條線(xiàn)路配置策略路由。4、做NAT池時(shí)，最好把運(yùn)營(yíng)商分配的用作NAT的地址都配置在接口上（也有遇到過(guò)不配置服務(wù)器看到的源IP地址都為設(shè)備LANIP地址或者DNS-MAp。AF出接口IP。生效；在某些不恰當(dāng)?shù)慕泳€(xiàn)方式下，開(kāi)啟ARP會(huì)導(dǎo)致網(wǎng)絡(luò)中斷,請(qǐng)注意這一點(diǎn)。管理IPmanage口只做管理用，不要配置在雙機(jī)的網(wǎng)口列表中。 路由模式（通過(guò)前置網(wǎng)關(guān)設(shè)備上網(wǎng)網(wǎng)絡(luò)拓置網(wǎng)關(guān)的內(nèi)網(wǎng)接口，ETH1口連接內(nèi)部局域網(wǎng)的交換機(jī)。接線(xiàn)規(guī)基本配置規(guī)Manage：51/24，默認(rèn)用戶(hù)名2ETH2、ETH1接口為路由口,ETH2接口啟用WAN屬性，正確配AFIP地址和外網(wǎng)IP地址，合理配置區(qū)域信息，要求接口、內(nèi)網(wǎng)接口應(yīng)屬于不同的區(qū)域。 網(wǎng)關(guān)設(shè)備WAN口的地址，并放通前置網(wǎng)關(guān)上的規(guī)則。5、AF路由模式，單線(xiàn)路時(shí)，應(yīng)添加全0的默認(rèn)路由；當(dāng)是多線(xiàn)路時(shí)，應(yīng)配置策略6、根據(jù)內(nèi)網(wǎng)的網(wǎng)段來(lái)配置源地址轉(zhuǎn)換規(guī)則，如果有內(nèi)網(wǎng)服務(wù)器發(fā)布到，應(yīng)配置目的地址轉(zhuǎn)換規(guī)則，根據(jù)需要配置雙向NAT規(guī)則或DNSmap。8ARPARP（AF）ARP10、設(shè)備上架以后，建議通過(guò)升級(jí)客戶(hù)端登陸設(shè)備，地址，盡可能的驗(yàn)證每個(gè)服務(wù)器和每個(gè)私有網(wǎng)段的連通性，包括tcp、udpicmp協(xié)議，看是否有丟包現(xiàn)象；查看網(wǎng)兼容性問(wèn)題；查看設(shè)備路由表，arp表是否正確。注意事設(shè)備、DNAT到內(nèi)網(wǎng)等場(chǎng)景，應(yīng)給每條線(xiàn)路配置策略路由。4、做NAT池時(shí)，最好把運(yùn)營(yíng)商分配的用作NAT的地址都配置在接口上（也有遇到過(guò)不配置服務(wù)器看到的源IP地址都為設(shè)備LANIP地址或者DNS-MAp。AF出接口IP。生效；在某些不恰當(dāng)?shù)慕泳€(xiàn)方式下，開(kāi)啟ARP會(huì)導(dǎo)致網(wǎng)絡(luò)中斷。管理IP不能刪除。應(yīng)將manage口只做管理用 網(wǎng)關(guān)設(shè)備WAN口的地址，并放通前置網(wǎng)關(guān)上的規(guī)則。AF路由模式（VLAN環(huán)境網(wǎng)絡(luò)拓網(wǎng)交換機(jī)的TRUNK口。接線(xiàn)規(guī)基本配置規(guī)Manage：51/24，默認(rèn)用戶(hù)名5、AF路由模式，單線(xiàn)路時(shí)，應(yīng)添加全0的默認(rèn)路由；當(dāng)是多線(xiàn)路時(shí)，應(yīng)配置策略6、根據(jù)內(nèi)網(wǎng)的網(wǎng)段來(lái)配置源地址轉(zhuǎn)換規(guī)則，如果內(nèi)網(wǎng)有服務(wù)器發(fā)布到應(yīng)配置目的地址轉(zhuǎn)換規(guī)則，根據(jù)需要配置雙向NAT規(guī)則或DNSmap。8ARPARP（AF）ARP9、設(shè)備上架以后，建議通過(guò)升級(jí)客戶(hù)端登陸設(shè)備，地址，盡可能的驗(yàn)證每個(gè)服務(wù)器和每個(gè)私有網(wǎng)段的連通性，包括tcp、udp和icmp協(xié)議，看是否有丟包現(xiàn)象；查看網(wǎng)兼容性問(wèn)題；查看設(shè)備路由表，arp表是否正確。注意事設(shè)備、DNAT到內(nèi)網(wǎng)等場(chǎng)景，應(yīng)給每條線(xiàn)路配置策略路由。4、做NAT池時(shí)，最好把運(yùn)營(yíng)商分配的用作NAT的地址都配置在接口上（也有遇到過(guò)不配置服務(wù)器看到的源IP地址都為設(shè)備LANIP地址或者DNS-MAp。AF出接口IP。生效；在某些不恰當(dāng)?shù)慕泳€(xiàn)方式下，開(kāi)啟ARP會(huì)導(dǎo)致網(wǎng)絡(luò)中斷。管理IP不能刪除。應(yīng)將manage口只做管理用 路由模式（內(nèi)網(wǎng)通過(guò)服務(wù)器上網(wǎng)網(wǎng)絡(luò)拓接線(xiàn)規(guī)基本配置規(guī)2、配ETH2、ETH1為路由口,ETH2接口WAN屬性，正確配置AFIP地址和外網(wǎng)IP地址，合理配置區(qū)域信息，要求接口、內(nèi)網(wǎng)接口應(yīng)屬于不同的區(qū)域。4AF路由模式，單線(xiàn)路時(shí)（單個(gè)ISA），應(yīng)添加全0的默認(rèn)路由；當(dāng)是多線(xiàn)路時(shí)（多個(gè)ISA），應(yīng)配置策略路由，具體策略路由的配置根據(jù)客戶(hù)需求合理配置，下面有多個(gè)網(wǎng)段時(shí)，要在AF中添加各個(gè)網(wǎng)段的回程路由。換規(guī)則，根據(jù)需要配置雙向NAT規(guī)則或DNSmap。7ARPARP（AF）ARP8、設(shè)備上架以后，建議通過(guò)升級(jí)客戶(hù)端登陸設(shè)備，地址，盡可能的驗(yàn)證每個(gè)服務(wù)器和每個(gè)私有網(wǎng)段的連通性，包括tcp、udp和icmp協(xié)議，看是否有丟包現(xiàn)象；查看網(wǎng)兼容性問(wèn)題；查看設(shè)備路由表，arp表是否正確。13、內(nèi)網(wǎng)PC在IE瀏覽器-INTERNET選項(xiàng)-連接-局域網(wǎng)設(shè)置-服務(wù)器設(shè)置將AF的IP排除，詳細(xì)設(shè)置請(qǐng)參照《SINFOR_AC_案例分析(2009年度技術(shù)培訓(xùn))_ 注意事設(shè)備、DNAT到內(nèi)網(wǎng)等場(chǎng)景，應(yīng)給每條線(xiàn)路配置策略路由。4、做NAT池時(shí)，最好把運(yùn)營(yíng)商分配的用作NAT的地址都配置在接口上（也有遇到過(guò)不配置5、內(nèi)網(wǎng)有服務(wù)器，內(nèi)網(wǎng)需要根據(jù)方式來(lái)的，要注意做雙向地址轉(zhuǎn)換保證服務(wù)器看到的源IP地址都為設(shè)備LANIP地址或者DNS-MAp。AF出接口IP。生效；在某些不恰當(dāng)?shù)慕泳€(xiàn)方式下，開(kāi)啟ARP會(huì)導(dǎo)致網(wǎng)絡(luò)中斷。管理IP不能刪除。應(yīng)將manage口只做管理用。 路由模式（雙機(jī)熱備-主備網(wǎng)絡(luò)拓接線(xiàn)規(guī)ETH1AFETH1基本配置規(guī)MANAGE:51/24，默認(rèn)用戶(hù)名Admin/sangfor3、配置AF設(shè)備的ETH1、ETH2、ETH3口為路由口，ETH3口啟WAN屬性；其中ETH1口作為高可用性口配置HA屬性地址，正確配置AF內(nèi)網(wǎng)IP地址和IP地址，合理配置區(qū)域信息，要求接口、內(nèi)網(wǎng)接口應(yīng)屬于不同的區(qū)域。Modem（106、AF路由模式，單線(xiàn)路時(shí)，應(yīng)添加全0的默認(rèn)路由；當(dāng)是多線(xiàn)路時(shí)，應(yīng)配置策略7、根據(jù)內(nèi)網(wǎng)的網(wǎng)段來(lái)配置源地址轉(zhuǎn)換規(guī)則，如果有內(nèi)網(wǎng)服務(wù)器發(fā)布到應(yīng)配置目的地址轉(zhuǎn)換規(guī)則，根據(jù)需要配置雙向NAT規(guī)則或DNSmap。9ARPARP（AF）ARP10、設(shè)備上架以后，建議通過(guò)升級(jí)客戶(hù)端登陸設(shè)備，地址，盡可能的驗(yàn)證每個(gè)服務(wù)器和每個(gè)私有網(wǎng)段的連通性，包括tcp、udpicmp協(xié)議，看是否有丟包現(xiàn)象；查看網(wǎng)兼容性問(wèn)題；查看設(shè)備路由表，arp表是否正確。MANAGE:51/24，默認(rèn)用戶(hù)名Admin/sangfor由組，虛擬組ID應(yīng)與主機(jī)設(shè)備相同；啟用配置同步，并選擇同步信息。注意事設(shè)備、DNAT到內(nèi)網(wǎng)等場(chǎng)景，應(yīng)給每條線(xiàn)路配置策略路由。5、做NAT池時(shí)，最好把運(yùn)營(yíng)商分配的用作NAT的地址都配置在接口上（也有遇到過(guò)不配置服務(wù)器看到的源IP地址都為設(shè)備LANIP地址或者DNS-MAp。AF出接口IP。會(huì)生效；在某些不恰當(dāng)?shù)慕泳€(xiàn)方式下，開(kāi)啟ARP會(huì)導(dǎo)致網(wǎng)絡(luò)中斷。管理IP不能刪除。應(yīng)將manage口只做管理用 路由模式（雙機(jī)熱備-主主網(wǎng)絡(luò)拓環(huán)境描述：兩臺(tái)同時(shí)工作，正常情況下內(nèi)網(wǎng)用戶(hù)A通過(guò)路由器A上網(wǎng)；內(nèi)網(wǎng)用戶(hù)B內(nèi)網(wǎng)用戶(hù)B可以走路由器A上網(wǎng)；當(dāng)A掛了，內(nèi)網(wǎng)用戶(hù)都走B上網(wǎng)；當(dāng)B掛了，內(nèi)網(wǎng)用戶(hù)都走A上網(wǎng)接線(xiàn)規(guī)口連接三層交換A，兩AFETH4口連接三層交B，AFETH5口使用交叉線(xiàn)對(duì)接另一臺(tái)AF設(shè)備ETH5口MANAGE:51/24，默認(rèn)用戶(hù)名3、配AFETH1、ETH2、ETH3、ETH4、ETH5口為路由口，ETH1、ETH2WAN性；其中ETH5口作為高可用性口配置HA屬性地址，正確配置AF內(nèi)網(wǎng)IP地址和IP地址，合理配置區(qū)域信息，要求接口、內(nèi)網(wǎng)接口應(yīng)屬于不同的區(qū)域。7、AF路由模式，單線(xiàn)路時(shí)，應(yīng)添加全0的默認(rèn)路由；當(dāng)是多線(xiàn)路時(shí)，應(yīng)配置策略8、根據(jù)內(nèi)網(wǎng)的網(wǎng)段來(lái)配置源地址轉(zhuǎn)換規(guī)則，如果有內(nèi)網(wǎng)服務(wù)器發(fā)布到，應(yīng)配置目的地址轉(zhuǎn)換規(guī)則，根據(jù)需要配置雙向NAT規(guī)則或DNSmap。10、開(kāi)ARP能和ARP能，以讓前置設(shè)備（如AF的網(wǎng)關(guān)設(shè)備）能更新到AF的11、設(shè)備上架以后，建議通過(guò)升級(jí)客戶(hù)端登陸設(shè)備，地址，盡可能的驗(yàn)證每個(gè)服務(wù)器和每個(gè)私有網(wǎng)段的連通性，包括tcp、udp和icmp協(xié)議，看是否有丟包現(xiàn)象；查看在兼容性問(wèn)題；查看設(shè)備路由表，arp表是否正確。13、開(kāi)放內(nèi)網(wǎng)服務(wù)器和網(wǎng)絡(luò)設(shè)備的全部上網(wǎng)權(quán)限，開(kāi)放主動(dòng)內(nèi)網(wǎng)服務(wù)器的相關(guān)權(quán)MANAGE:51/24，默認(rèn)用戶(hù)名Admin/sangfor18、配置AFB設(shè)備的高可用性，選擇本機(jī)地址，對(duì)端地址；啟機(jī)熱備，并設(shè)置HA注意事1、雙機(jī)配置中，eth0口設(shè)置在虛擬路由組的“網(wǎng)口列表”中，否則可能會(huì)導(dǎo)致無(wú)2、路由模式下，相鄰交換機(jī)的IP必須在不同網(wǎng)段，因?yàn)锳F兩個(gè)互為備份的接口不能配置在同一網(wǎng)段，否則回包路由不明確，上圖中即路由器A和路由器B在不同網(wǎng)段，交換機(jī)A和交換機(jī)B在不同網(wǎng)段。設(shè)備、DNAT到內(nèi)網(wǎng)等場(chǎng)景，應(yīng)給每條線(xiàn)路配置策略路由。7、做NAT池時(shí)，最好把運(yùn)營(yíng)商分配的用作NAT的地址都配置在接口上（也有遇到過(guò)不配置服務(wù)器看到的源IP地址都為設(shè)備LANIP地址或者DNS-MAp。AF出接口IP。會(huì)生效；在某些不恰當(dāng)?shù)慕泳€(xiàn)方式下，開(kāi)啟ARP會(huì)導(dǎo)致網(wǎng)絡(luò)中斷。管理IP不能刪除。應(yīng)將manage口只做管理用。 基本網(wǎng)橋模式配置網(wǎng)絡(luò)拓環(huán)境描述：ETH2口連接互聯(lián)網(wǎng)，ETH1口連接局域網(wǎng)交換機(jī)，將設(shè)備部署在部署設(shè)備前后對(duì)接線(xiàn)規(guī)基本配置規(guī)ARP6、設(shè)備上架以后，建議通過(guò)升級(jí)客戶(hù)端登陸設(shè)備，地址，盡可能的驗(yàn)證每個(gè)服務(wù)器和每個(gè)私有網(wǎng)段的連通性，包括tcp、udp和icmp協(xié)議，看是否有丟包現(xiàn)象；查看網(wǎng)兼容性問(wèn)題；查看設(shè)備路由表，arp表是否正確。注意事生效；在某些不恰當(dāng)?shù)慕泳€(xiàn)方式下，開(kāi)啟ARP會(huì)導(dǎo)致網(wǎng)絡(luò)中斷。認(rèn)管理IP不能刪除。應(yīng)將manage口只做管理用 網(wǎng)橋模式（支持鏈路聚合網(wǎng)絡(luò)拓環(huán)境描述：局域網(wǎng)交換機(jī)與出口路由相連的接口啟用了鏈路聚合（hash802.ad，不支持輪詢(xún)。將設(shè)備部署在出口和局域網(wǎng)交換機(jī)之間，設(shè)備ETH1、ETH2口連接內(nèi)網(wǎng)接口，設(shè)備ETH3、ETH4口連接局域網(wǎng)交換機(jī)。部署設(shè)備前后對(duì)接線(xiàn)規(guī)基本配置規(guī)Manage：51/24，默認(rèn)用戶(hù)名2、配ETH1、ETH2、ETH3、ETH4接口為透明口，并選擇連接類(lèi)access，ETH1ETH3的accessID設(shè)置1，ETH2ETH4accessID設(shè)置2,ETH1、ETH2口啟用WAN屬性，合理配置區(qū)域信息，要求接口、內(nèi)網(wǎng)接口應(yīng)屬于不同的區(qū)域。3、設(shè)備上架前放通相應(yīng)的應(yīng)用控制策略并確認(rèn)放通所有2層協(xié)議。AF默認(rèn)策略是全部5ARPARP（AF）ARP6、設(shè)備上架以后，建議通過(guò)升級(jí)客戶(hù)端登陸設(shè)備，地址，盡可能的驗(yàn)證每個(gè)服務(wù)器和每個(gè)私有網(wǎng)段的連通性，包括tcp、udp和icmp協(xié)議，看是否有丟包現(xiàn)象；查看網(wǎng)兼容性問(wèn)題；查看設(shè)備路由表，arp表是否正確。注意事生效；在某些不恰當(dāng)?shù)慕泳€(xiàn)方式下，開(kāi)啟ARP會(huì)導(dǎo)致網(wǎng)絡(luò)中斷。認(rèn)管理IP不能刪除。應(yīng)將manage口只做管理用。AF網(wǎng)橋模式（支持VLAN網(wǎng)絡(luò)拓環(huán)境描述：局域網(wǎng)交換機(jī)與相連的接口啟用了TRUNK。將設(shè)備部署在和局域網(wǎng)交換機(jī)之間，設(shè)備ETH2口連接內(nèi)網(wǎng)接口，設(shè)備ETH1口連接局域網(wǎng)交換 部署設(shè)備前后對(duì)接線(xiàn)規(guī)基本配置規(guī)1、通過(guò)管理IP登錄設(shè)備，設(shè)備管理口默認(rèn)的IP地址為：2、ETH2、ETH1接口為透明口，并選擇連接類(lèi)trunk，NativeVlan根據(jù)客戶(hù)設(shè)備而IPETH2ARP6、設(shè)備上架以后，建議通過(guò)升級(jí)客戶(hù)端登陸設(shè)備，地址，盡可能的驗(yàn)證每個(gè)服務(wù)器和每個(gè)私有網(wǎng)段的連通性，包括tcp、udp和icmp協(xié)議，看是否有丟包現(xiàn)象；查看網(wǎng)兼容性問(wèn)題；查看設(shè)備路由表，arp表是否正確。注意事生效；在某些不恰當(dāng)?shù)慕泳€(xiàn)方式下，開(kāi)啟ARP會(huì)導(dǎo)致網(wǎng)絡(luò)中斷。認(rèn)管理IP不能刪除。應(yīng)將manage口只做管理用。 網(wǎng)橋模式（內(nèi)網(wǎng)通過(guò)服務(wù)器上網(wǎng)環(huán)境一網(wǎng)絡(luò)拓環(huán)境1描述：服務(wù)器路由模式部署在局域網(wǎng)交換機(jī)與之間。將設(shè)備部署在服務(wù)器和局域網(wǎng)交換機(jī)之間，設(shè)備ETH2口連接服務(wù)器內(nèi)網(wǎng)接口，設(shè)備ETH1部署設(shè)備前后對(duì)比設(shè)備WAN口與服務(wù)器方向的交換機(jī)相連，設(shè)備LAN口連接局域網(wǎng)交換機(jī)。部署設(shè)備前后對(duì)比接線(xiàn)規(guī)基本配置規(guī)1、通過(guò)管理IP登錄設(shè)備，設(shè)備管理口默認(rèn)的IP地址為：2、配置ETH2、ETH1接口為透明口，并選擇正確的連接類(lèi)型，當(dāng)需要進(jìn)行vlan時(shí)選擇trunk，當(dāng)無(wú)需vlan時(shí)，選擇access并配置同一ID，ETH2口啟用WAN屬性，合理配置區(qū)域信息，要求接口、內(nèi)網(wǎng)接口應(yīng)屬于不同的區(qū)域。ARP7、設(shè)備上架以后，建議通過(guò)升級(jí)客戶(hù)端登陸設(shè)備，地址，盡可能的驗(yàn)證每個(gè)服務(wù)器和每個(gè)私有網(wǎng)段的連通性，包括tcp、udp和icmp協(xié)議，看是否有丟包現(xiàn)象；查看網(wǎng)兼容性問(wèn)題；查看設(shè)備路由表，arp表是否正確。注意事生效；在某些不恰當(dāng)?shù)慕泳€(xiàn)方式下，開(kāi)啟ARP會(huì)導(dǎo)致網(wǎng)絡(luò)中斷。 網(wǎng)橋模式（內(nèi)網(wǎng)通過(guò)服務(wù)器上網(wǎng)環(huán)境二網(wǎng)絡(luò)拓環(huán)境描述：服務(wù)器單臂模式部署在局域網(wǎng)交換機(jī)與之間。將設(shè)備部署在服務(wù)器和局域網(wǎng)交換機(jī)之間，設(shè)備ETH2口連接服務(wù)器內(nèi)網(wǎng)接口，設(shè)備ETH1口部署設(shè)備前后對(duì)接線(xiàn)規(guī)基本配置規(guī)ARP7、設(shè)備上架以后，建議通過(guò)升級(jí)客戶(hù)端登陸設(shè)備，地址，盡可能的驗(yàn)證每個(gè)服務(wù)器和每個(gè)私有網(wǎng)段的連通性，包括tcp、udp和icmp協(xié)議，看是否有丟包現(xiàn)象；查看網(wǎng)兼容性問(wèn)題；查看設(shè)備路由表，arp表是否正確。注意事生效；在某些不恰當(dāng)?shù)慕泳€(xiàn)方式下，開(kāi)啟ARP會(huì)導(dǎo)致網(wǎng)絡(luò)中斷。認(rèn)管理IP不能刪除。應(yīng)將manage口只做管理用。 網(wǎng)橋模式（VRRP、雙機(jī)熱備環(huán)境網(wǎng)絡(luò)拓環(huán)境描述：前置設(shè)備啟用VRRP協(xié)議或雙機(jī)熱備，將設(shè)備以網(wǎng)橋多網(wǎng)口的方式部署在前置設(shè)備和局域網(wǎng)交換AFETH1口連接路A，兩AFETH2口連接路由器B,AFETH3口連接三層交換機(jī)AAFETH4口連接三層交換機(jī)B，AF設(shè)備ETH5口使用交叉線(xiàn)對(duì)接另一臺(tái)AF設(shè)備ETH5口部署設(shè)備前后對(duì)接線(xiàn)規(guī)口連接三層交換A，兩AFETH4口連接三層交B，AFETH5口使用交叉線(xiàn)對(duì)接另一臺(tái)AF設(shè)備ETH5口基本配置規(guī)MANAGE:51/24，默認(rèn)用戶(hù)名trunkETH2-ETH4為同一IDaccess口或相vlan范圍trunk口，啟用接要求接口、內(nèi)網(wǎng)接口應(yīng)屬于不同的區(qū)域。5VRRPIP112。AF默認(rèn)策略是全部的，應(yīng)放通內(nèi)網(wǎng)的相關(guān)應(yīng)用，如果內(nèi)網(wǎng)有服務(wù)器發(fā)布到公7、設(shè)備上架以后，建議通過(guò)升級(jí)客戶(hù)端登陸設(shè)備，地址，盡可能的驗(yàn)證每個(gè)服務(wù)器和每個(gè)私有網(wǎng)段的連通性，包括tcp、udp和icmp協(xié)議，看是否有丟包現(xiàn)象；查看網(wǎng)兼容性問(wèn)題；查看設(shè)備路由表，arp表是否正確。MANAGE:51/24，默認(rèn)用戶(hù)名Admin/sangfor。15、B設(shè)備關(guān)機(jī)上架，接好ETH1、ETH2、ETH3、ETH4四根網(wǎng)線(xiàn)，并確認(rèn)接好HA注意事生效；在某些不恰當(dāng)?shù)慕泳€(xiàn)方式下，開(kāi)啟ARP會(huì)導(dǎo)致網(wǎng)絡(luò)中斷。認(rèn)管理IP不能刪除。應(yīng)將manage口只做管理用 網(wǎng)橋模式（動(dòng)態(tài)路由網(wǎng)絡(luò)拓環(huán)境描述：交換機(jī)和前置之間啟用動(dòng)態(tài)路由協(xié)議（ospf），將設(shè)備以多網(wǎng)橋的方式部署置設(shè)備和局域網(wǎng)交換機(jī)之間，設(shè)備ETH1、ETH2口連接前置設(shè)備，設(shè)備ETH3、ETH4口連接局域網(wǎng)交換機(jī)。部署設(shè)備前后對(duì)接線(xiàn)規(guī)口連接三層交換A，兩AFETH4口連接三層交B，AFETH5口使用交叉線(xiàn)對(duì)接另一臺(tái)AF設(shè)備ETH5口基本配置規(guī)MANAGE:51/24，默認(rèn)用戶(hù)名3、配AF設(shè)備ETH1ETH2ETH3ETH4口為透明模式接口，ETH5為路由模式，其口，啟用接口link狀態(tài)聯(lián)動(dòng)，新增物理接口ETH1-ETH3聯(lián)動(dòng)、ETH2-ETH4聯(lián)動(dòng)，合理配置區(qū)域信息，要求接口、內(nèi)網(wǎng)接口應(yīng)屬于不同的區(qū)域。7、設(shè)備上架以后，建議通過(guò)升級(jí)客戶(hù)端登陸設(shè)備，地址，盡可能的驗(yàn)證每個(gè)服務(wù)器和每個(gè)私有網(wǎng)段的連通性，包括tcp、udp和icmp協(xié)議，看是否有丟包現(xiàn)象；查看網(wǎng)兼容性問(wèn)題；查看設(shè)備路由表，arp表是否正確。MANAGE:51/24，默認(rèn)用戶(hù)名Admin/sangforHA注意事生效；在某些不恰當(dāng)?shù)慕泳€(xiàn)方式下，開(kāi)啟ARP會(huì)導(dǎo)致網(wǎng)絡(luò)中斷。認(rèn)管理IP不能刪除。應(yīng)將manage口只做管理用。AF網(wǎng)橋部署（Bypass功能網(wǎng)絡(luò)拓環(huán)境描述：以AF1120為例設(shè)備網(wǎng)橋模式部署，將設(shè)備部署在和局域網(wǎng)交換機(jī)之間，ETH2口連接前置，ETH1口連接局域網(wǎng)交換機(jī)，并啟用Bypass功能。其他型號(hào)設(shè)備的bypass口在面板上可見(jiàn)標(biāo)出。 部署設(shè)備前后對(duì)接線(xiàn)規(guī)基本配置規(guī)Manage：51/24，默認(rèn)用戶(hù)名接口啟WAN設(shè)備上需要跑vlan發(fā)，則連接類(lèi)trunkvlan圍信息，合理配置區(qū)域信息，要求接口、內(nèi)網(wǎng)接口應(yīng)屬于不同的區(qū)域。5、設(shè)備上架以后，建議通過(guò)升級(jí)客戶(hù)端登陸設(shè)備，地址，盡可能的驗(yàn)證每個(gè)服務(wù)器和每個(gè)私有網(wǎng)段的連通性，包括tcp、udp和icmp協(xié)議，看是否有丟包現(xiàn)象；查看網(wǎng)兼容性問(wèn)題；查看設(shè)備路由表，arp表是否正確。注意事生效；在某些不恰當(dāng)?shù)慕泳€(xiàn)方式下，開(kāi)啟ARP會(huì)導(dǎo)致網(wǎng)絡(luò)中斷。認(rèn)管理IP不能刪除。應(yīng)將manage口只做管理用。 mac 混合部署（路由加網(wǎng)橋網(wǎng)絡(luò)拓路由器走NAT出去上網(wǎng)，不希望將公網(wǎng)ip都配置到路由設(shè)備上再做端口映射，而是服務(wù)器直接配置公網(wǎng)ip，現(xiàn)在希望AF能代替路由器。接線(xiàn)規(guī)基本配置規(guī)Manage：51/24，默認(rèn)用戶(hù)名用WAN屬性；ETH3口為路由模式，正確配置AF內(nèi)網(wǎng)IP地址到ETH3口，IP地址到新建Vlan接口Veth.1接口，合理配置區(qū)域信息，要求接口、內(nèi)網(wǎng)接口應(yīng)屬于不同4、AF路由模式，單線(xiàn)路時(shí)，應(yīng)添加全0的默認(rèn)路由；當(dāng)是多線(xiàn)路時(shí)，應(yīng)配置策略5、根據(jù)內(nèi)網(wǎng)的網(wǎng)段來(lái)配置源地址轉(zhuǎn)換規(guī)則，如果有內(nèi)網(wǎng)服務(wù)器發(fā)布到，應(yīng)配置目的地址轉(zhuǎn)換規(guī)則，根據(jù)需要配置雙向NAT規(guī)則或DNSmap。7ARPARP（AF）ARP8、設(shè)備上架以后，建議通過(guò)升級(jí)客戶(hù)端登陸設(shè)備，地址，盡可能的驗(yàn)證每個(gè)服務(wù)器和每個(gè)私有網(wǎng)段的連通性，包括tcp、udp和icmp協(xié)議，看是否有丟包現(xiàn)象；查看網(wǎng)兼容性問(wèn)題；查看設(shè)備路由表，arp表是否正確。注意事設(shè)備、DNAT到內(nèi)網(wǎng)等場(chǎng)景，應(yīng)給每條線(xiàn)路配置策略路由。5、做NAT池時(shí)，最好把運(yùn)營(yíng)商分配的用作NAT的地址都配置在接口上（也有遇到過(guò)不配置服務(wù)器看