深信服培训讲义共73页文档
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
SANGFOR AC 认证功能介绍
所有计算机上网前必须通过SANGFOR AC的认证才可上网。通过认 证功能用于识别内网上网用户的身份,为后续流量管理、用户上网权 限策略及应用审计提供基础。
典型部署模式与配置
➢ 网桥模式配置思路
网桥模式部署时需要考虑AC串接在前面防火墙和下面的核心交换 机之间网段是否存在空闲的主机IP地址,如果有则分配一个该网段的 IP地址给AC作为网桥的IP地址,如果没有空闲IP的话则配置管理口 (DMZ)进行管理。
典型部署模式与配置
➢ 网桥模式配置截图
二、用户认证技术
2、AC支持路由、网桥、旁路三种工作模式。
SANGFOR AC部署模式介绍
• 路由模式_简介
1、路由模式时AC的工作方式与路由器相当,具备基本的路由转发及NAT功 能。一般在客户原有网络环境中添加AC设备时不建议采用这种模式,因为这 种部署模式需要对客户的网络环境作较大的改动。 2、一般使用路由模式部署的环境是客户想用AC替换原有部署的防火墙或者 是路由器,或者是客户在规划新网络建设时需要将AC充当路由功能。 3、路由模式下支持AC所有的功能模式。 4、一般客户如果需要使用NAT、VPN、DHCP等功能时,AC必须是路由模式 部署,其它工作模式不支持实现这些功能。
典型部署模式与配置
➢ 路由模式配置截图
典型部署模式与配置
➢ 网桥模式_部署指导
1、网桥模式部署相比路由模式对客户的网络影响比较小,当客户确定不需要使 用AC的VPN、NAT、DHCP功能时,则应考虑部署网桥模式。
2、根据客户原有网络结构决定AC采用是单网桥、双网桥、网桥多网口等方式。 典型的网络环境和部署方式: 客户原有网络是单核心交换机、单出口防火墙情况下,AC用单网桥; 客户原有网络是单核心交换机、两台出口防火墙情况下,AC用双网桥; 客户原有网络是两台核心交换机、单台出口防火墙情况下,AC用双网桥;
典型部署模式与配置
路由 模式
网桥 模式
典型部署模式与配置
➢ 路由模式_部署指导
1、首选需要了解客户的实际需求,客户是否必须要用到AC的VPN、 NAT(代理上网和端口映射)、DHCP这几个功能。如果客户网络中 已经有其它设备实现了这些功能或者是客户根本用不到这些功能则应 首先考虑网桥模式部署。
2、客户新规划建设的网络中来部署AC,相当于一个全新的网络规划, 客户想把AC当作一台防火墙部署在出口上,可以部署成为路由模式。
SANGFOR AC部署模式介绍
• 网桥模式_简介
1、AC以网桥模式部署时对客户原有网络基本没有改动,不需要更改客户原 有的网络设备配置。 2、网桥模式时AC不支持NAT(代理上网和端口映射)、VPN、DHCP功能, 除此之外AC的其它功能如URL过滤、流控等其它功能均可实现。 3、网桥模式部署AC时,对客户来说是个透明的设备,如果因为AC自身的原 因而导致网络中断时可以开启硬件bypass功能,即可恢复网络通信。 4、网桥模式部署时AC支持硬件bypass功能(其它模式部署均没有支持bypass 功能的说法。
典型部署模式与配置
路由器(FW)
IP:192.168.1.1/24
AC
网桥IP:192.168.1.3/24
IP:192.168.1.2/24
三层交换机
路由器(FW) AC 三层交换机
路由器(FW)
192.168.2.0/24 192.168.3.0/24 172.16.1.0/24
192.168.2.0/24 192.168.3.0/24 172.16.1.0/24
3、网桥多网口,这种部署相对比较少。是指支持将多于两个以上的网口来组成 单对网桥。
SANGFOR AC部署模式介绍
• 旁路模式_简介
1、旁路模式是AC三种工作模式中最简单的一种,但也是所能实现功能较弱 的一种部署方式,此种部署模式对客户原有网络无任何影响,即使设备宕机 也不影响客户网络。 2、旁路模式AC只用于上网行为的审计和基于TCP应用的控制功能,对基于 UDP协议的应用无法控制。不支持流量管理,准入系统,NAT, VPN, DHCP等 功能。 3、旁路模式下,AC使用LAN/WAN口接核心交换机或者是核心出口路由器上, 需要路由器或者是核心交换机支持镜像功能,将流量上下行镜像到AC上来。
Βιβλιοθήκη Baidu
SANGFOR AC部署模式介绍
• 网桥模式_3种类型
1、单网桥,这种部署模式是最常见的。AC部署在出口网关设备(防火墙或者路 由器)和内网的主交换机中间。常见于客户原有的网络是单核心交换机、单 出口防火墙(路由器)的情况下。
2、多网桥,一般情况下两进两出是最常见的。AC部署在出口网关设备(防火墙 或者路由器)和内网的主交换机存在多个核心链路之间。常见于客户原有的 网络有可能是多核心交机或者是多出口防火墙(路由器)的情况下。
3、客户网络中原有防火墙或者路由器了,出于某方面的原因想用AC替 换掉原有出口的防火墙或者路由器。
典型部署模式与配置
WAN:拨号\固定IP\DHCP IP:192.168.1.1/24 IP:192.168.1.2/24
三层交换机
192.168.2.0/24 192.168.3.0/24 172.16.1.0/24
SANGFOR AC培训大纲
一、设备部署模式 二、用户认证技术 二、组织结构与上网策略 三、流量管理系统
一、设备部署模式
SANGFOR AC部署模式介绍
• 部署模式_简介
1、部署模式是指设备以什么样的工作模式部署到客户网络中去,具体以何种 部署方式需要综合客户具体的网络环境和客户的功能需求而定,不同的部署 模式对客户原有网络的影响各有不同。
WAN:拨号\固定IP\DHCP
IP:192.168.1.1/24
192.168.1.0/24
二层交换机
典型部署模式与配置
➢ 路由模式配置思路
1、网口配置:确定设备外网口(WAN1口)是固定IP或者是ADSL拨号方式, 取得相应运营商给的IP地址信息或者是拨号的帐号密码;确定内网口(LAN 口)的IP地址信息; 2、确定内网是否多网段网络环境,如果是的话需要添加相应的回包路由回指 给设备下接的核心交换机;