资源预览内容
第1页 / 共44页
第2页 / 共44页
第3页 / 共44页
第4页 / 共44页
第5页 / 共44页
第6页 / 共44页
第7页 / 共44页
第8页 / 共44页
第9页 / 共44页
第10页 / 共44页
亲,该文档总共44页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
安装部署特殊网络环境部署培训内容培训目标高可用性之主主模式部署1.了解主主模式的适用环境2. 掌握设备主主模式部署的配置方法3.了解主主模式部署下的注意事项高可用性之主备模式部署1.了解主备模式的适用环境2. 掌握设备主备模式部署的配置方法3.了解主备模式部署下的注意事项内网有代理服务器环境部署1.了解内网有代理服务器时设备的部署适用环境2.掌握常见代理环境中的部署和配置方法3.了解内网有代理服务器环境下部署的注意事项协议封装环境部署1.了解协议封装环境下部署的适用场景2.掌握协议封装环境下的网桥部署和配置方法3.了解协议封装环境下部署的注意事项高可用性之主主模式部署高可用性之主备模式部署内网代理环境部署SANGFOR AC&SG协议封装环境部署主备模式部署主备模式部署环境 主备模式是指路由模式部署的两台设备通过心跳检测,实现热备份(保持心跳和配置同步)。正常情况下,只有主设备工作,如果主设备故障,则自动切换到备设备,备设备接替主设备工作。从而保证客户的业务不受影响,网络不中断。 主备模式只有一台主设备处于正常工作状态,另一台备设备处于监听状态。 适用环境:对网络稳定性要求较高的客户环境。要求两台设备路由模式部署。主备模式配置主机配置:1.主机配置好路由模式。2. 控制台【网络配置】【高可用性】选择主备模式,点击开始配置主备模式配置3.配置主机设备标识4.配置检测网口抢占为主机:指的是当主机切换为备机后,当备机恢复正常后是否会主动切换为主机,开启则会切换。指定HA口:用来同步配置。可以使用DMZ口或其他未配置区域的网口。共享密钥:需要主备两台设备设置同一个密钥。检测网口:被检测的网口只要发生故障就会发生主备切换。告警选项:手动更改模式也会触发告警。主备模式配置备机配置:1.备机登录后,【高可用性】选择主备模式,配置设备标识,设备角色选择备机。2.配置主机的IP地址以及密钥。说明:备机不能配置抢占主机与检测网口以及配置告警信息,这些信息是由主机同步过来主备模式配置主机状态:部署完成后,主机正常工作,可以在高可用性中看到主机状态,可以看到最近切换的时间,以及同步配置的时间,只有主机状态才可以手动切换到备机。主备模式部署注意事项1、主备模式部署的两台设备,软件版本要求一致,软件版本一致是指两台AC设备的版本信息中内容,除SP补丁外,其余信息一致即可。硬件版本不做要求,但是建议选择负载相近,型号相近的设备。2、主备部署的两台设备配置自动实时同步,完全一样。3、只能2台设备部署为主备模式,2台以上不支持部署主备模式。4、主备部署的两台设备,只有一台在工作,另一台在监听。5、只有路由模式可以部署主备模式,网桥模式不支持部署主备模式。6、主备模式的两台设备通过普通网线作为心跳线,通过HA口发送心跳包,主备模式下,可以使用DMZ口或其他未配置区域的网口。 HA灯状态,主机设备亮绿灯,备机状态灯闪。7、主备模式下,只有主机可以加入集中管理。备机不能加入。如果主机挂了,备机变成主机,此时备机也可以加入SC。主主模式部署主主模式部署环境 主主模式部署由多台AC设备通过通信网口同步配置。主主模式部署的设备同时工作,主控设备将配置同步到所有节点,主控与各节点之间相互同步会话信息。当主控故障,将无法更改设备配置。 适用环境: 客户原有网络中有多台交换机,防火墙或路由器主主或主备部署时,AC以网桥串接在中间,建议使用主主模式部署。主主模式部署配置主控配置:1.设备路由模式或网桥模式部署。2.主控设备控制台选择【网络配置】【高可用性】选择主主模式。主主模式部署配置配置设备标识及角色选择主控,配置密钥主主模式部署配置节点配置:【高可用性】选择主主模式,配置设备标识,角色选择“节点”。配置主机的IP地址及密钥。主主模式部署配置主控状态节点状态主主模式部署注意事项4、路由模式和网桥模式都支持配置成主主模式部署。1、主主模式部署的两台设备,软件版本要求一致,软件版本一致是指两台AC设备的版本信息中内容,除SP补丁外,其余信息一致即可。硬件版本不做要求,但是建议选择负载相近,型号相近的设备。2、主主模式部署的设备同时工作,没有主备之分。3、两台或两台以上的设备可以部署主主模式。5、主主模式下,节点不能修改配置只能由主控同步,界面限制只能只读。6、主控会显示所有节点状态,名称为“在线节点列表”,显示所有在线的节点。7、主主模式下,只有主控可以加入集中管理,节点不能加入和下发配置。此时,即使主控挂了,节点临时变成主控,此时该主控也不能接入SC。需要等主控恢复后,才能从SC下发配置。被选举出来的主控,只能同步在线用户,不能同步配置。内网代理服务器环境部署内网代理服务器环境部署应用场景 内网通过代理服务器上网,由于用户所有数据是发往代理服务器的,目标IP是代理服务器的IP,真实的上网数据通过代理服务器封装后转发到公网。 在这样的网络环境下,如果要对上网用户采用不同的上网策略,记录真实的访问公网的数据,AC/SG的部署和其他网络环境中的部署就有区别 适用环境:用户通过内网代理服务器上网,并且需要准确识别用户通过代理服务器上网的数据和分权限控制。常见代理环境中的部署方式1. 代理服务器双网卡(AC/SG设备路由或网桥模式部署)设备可采取路由模式或网桥模式部署在客户端与代理服务器之间,考虑到内网改动的大小,建议采用网桥模式部署。必须保证内网发往代理服务器的数据先经过AC/SG设备,也就是代理服务器应该部署于AC/SG设备的WAN口方向。常见代理环境中的部署方式2. 代理服务器双网卡(AC/SG设备旁路模式部署)如果主要用于审计,设备可采取旁路模式部署,用于监听内网发往代理服务器的所有数据。常见代理环境中的部署方式3. 代理服务器单网卡(AC/SG设备网桥模式部署)如左图所示,代理服务器以单臂模式接在核心交换机上。内网用户上网数据先通过交换机到达代理服务器,再由代理服务器经核心交换机和防火墙到公网。针对这种环境,给出以下解决方案常见代理环境中的部署方式3. 代理服务器单网卡(AC设备网桥模式部署)此种部署场景下,需要在AC上【用户认证与管理】-【认证高级选项】-【认证选项】中勾选“WAN-LAN方向的连接不认证”。内网代理环境部署配置1. 将设备采用以上各拓扑中的部署方式(路由,网桥,旁路)进行配置,然后接入到网络中。2. 在设备“代理服务器设置”选项中填入代理服务器的IP。3. 在客户端电脑浏览器配置代理服务器的IP地址,并在“例外情况”填写AC设备的管理地址,如果AC是网桥部署,并且开启了虚拟地址重定向功能,也需要把虚拟IP添加排除,如下图所示:内网代理环境部署注意事项1、必须保证客户端发到代理服务器的数据先经过AC/SG设备,也就是代理服务器应该部署在AC/SG设备的WAN口方向。协议封装环境部署协议封装环境部署 协议封装环境,是指客户网络环境中有特殊协议如Trunk、QinQ、链路聚合、PPPOE、VLAN+PPPOE、QinQ+PPPOE、WAC、L2tp、GRE等。此种环境中AC支持以网桥模式部署并且穿透协议,其中Trunk环境也支持以单臂路由方式部署。 在Trunk、QinQ、链路聚合、PPPOE、VLAN+PPPOE、QinQ+PPPOE环境中AC网桥部署通过虚拟IP实现重定向和代理功能(SSL内容识别和邮件过滤)。 在WAC、L2TP、GRE等其它特殊协议环境中,AC网桥部署通过DMZ口重定向实现重定向和代理功能(SSL内容识别和邮件过滤)。协议封装环境部署 虚拟IP重定向:内网PC认证前的HTTP上网数据经过AC时,AC拦截并记录下数据包的源,目的IP,数据包的封装类型,以及数据包进入AC时的接口。 AC回弹portal的重定向认证页面时,会将记录下来的数据包的源,目的IP反转,再从数据包进入的接口直接发出去,其中数据包中的数据字段会替换成AC虚拟IP的重定向URL地址。 DMZ口重定向:内网PC认证前的HTTP上网数据经过AC时,AC拦截数据包,AC通过查找本身DMZ口的路由表,将portal的重定向认证页面从DMZ口发出,其中数据包中的数据字段会替换成AC的DMZ口IP的重定向URL地址。172.16.1.1/24DMZ:192.168.32.10/24192.168.32.11/24MAC2MAC3MAC4MAC5http:/www.sangfor.com.cneth2eth3eth0 eth1In接Out口SIPDIPeth0eth2172.16.1.1outSipDip302dataeth0121.14.85.198172.16.1.1http:/1.1.1.2/ac_portal.121.14.85.198重定向页面不查AC路由表直接从数据进来的网口eth0回包给内网(1)默认使用虚拟地址虚拟IP重定向原理图协议封装环境部署 拓扑如左图所示,交换机划分了三个VLAN,VLAN ID分别为10,20,30。路由器内网口配置为trunk口,各vlan间的互访通过路由器路由。 需求:部署AC实现上网行为管理 协议封装环境部署AC在Trunk环境中直接替代原有的路由器做路由模式部署。TRUNK环境协议封装环境部署1、AC路由模式部署直接替代原有的路由器(或FW),并按照路由模式部署配置好设备。2、配置LAN口IP,填写内网对应VLAN的VLAN网关IP即可。Trunk环境下路由模式配置思路:协议封装环境部署Trunk环境下路由模式配置方法:协议封装环境部署不改变原有拓扑结构,AC网桥模式串接在交换机和防火墙之间(推荐方案)1.此时可以给设备网桥配置其中一个VLAN中的可用IP来进行管理和上网更新规则库。2.也可以给设备管理口配置其中一个VLAN中的可用IP来进行管理和上网更新规则库。Trunk环境1、网桥模式部署在路由器与交换机之间,按网桥模式部署配置好设备。2、可以给设备网桥配置其中一个VLAN中的可用IP来进行管理和上网更新规则库。也可以给设备管理口配置其中一个VLAN中的可用IP来进行管理和上网更新规则库。3、如果内网是三层环境还需要配置内网的路由网关指向AC内网口所连接的设备。协议封装环境部署Trunk环境下网桥模式配置思路:协议封装环境部署Trunk环境下网桥模式配置方法:选择网桥列表,默认勾选了“开启网桥链路同步”可以选择给桥IP配置VLANIP进行管理,也可以此处不配置任何IP,通过管理口进行管理。如果前面桥IP没有做任何配置,可以在管理口配置一个VLANIP进行管理。设备通过虚拟IP来实现重定向和代理功能(SSL内容识别和邮件过滤功能)。1、网桥模式部署在路由器与交换机之间,按网桥模式部署配置好设备。2、可以给设备管理口配置一个可用IP来进行管理和上网更新规则库。如果没有空闲管理口,也可以给设备网桥配置其中一个可用IP来进行管理和上网更新规则库。 WAC、L2TP、GRE这三种协议封装环境下,必须使用DMZ口。3、如果内网是三层环境还需要配置内网的路由网关指向AC内网口所连接的设备。协议封装环境部署其他协议环境下网桥模式配置思路:4、 QinQ、PPPOE、VLAN+PPPOE、QinQ+PPPOE 、 WAC、L2TP、GRE环境下,设备上开启对应的协议剥离。 Trunk,链路聚合协议设备无需开启协议剥离就能识别应用。协议封装环境部署其他协议环境下网桥模式配置方法:前三步配置不在赘述,协议剥离配置请在左图页面开启。协议封装环境部署重定向和代理功能的实现:Trunk、QinQ、链路聚合、PPPOE、VLAN+PPPOE、QinQ+PPPOE环境中,通过设备的虚拟IP来实现重定向和代理功能(SSL内容识别和邮件过滤)。协议封装环境部署重定向和代理功能的实现:WAC、L2TP、GRE等其它特殊协议环境中,设备通过DMZ口目的路由实现重定向和代理功能(SSL内容识别和邮件过滤)。此时需要勾选DMZ口重定向和代理功能。协议封装环境部署注意事项:1.如果客户内网划分有不同vlan,但是不同vlan有相同的IP,可以勾选VLANID功能。勾选此功能可以用来区分出来不同用户,不勾选此功能当一个用户识别。1.请描述主主部署和主备部署的不同点。问题思考2.AC网桥模式部署在trunk环境,应该怎样配置?3.内网有代理服务器时,AC应该部署在代理服务器哪个方向?Tel:400-630-6430Email:supportsangfor.com.cn
收藏 下载该资源
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号