SANGFOR_NGAF_产品实施手册-
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
SANGFOR NGAF产品测试/实施手册
(Ver 1.0)
2011年8月
目录
1.网络环境确认 (3)
2.测试/实施前准备工作 (4)
2.1.测试/实施前,需先走设备自检流程 (4)
2.1.1.AF1820(含)以上高端设备,需走高端设备测试流程 (4)
2.1.2.AF1720(含)以下设备,先走下面的自检流程 (4)
2.2.通过电话与用户沟通,获取用户信息和预约上门安装时间 (5)
2.2.1.获取用户的详细资料 (5)
2.2.2.获取用户的网络环境 (5)
2.2.3.获取用户的软硬件环境 (5)
2.2.4.建议获取其他厂商在用户环境中的测试情况 (5)
2.2.5.实施方案确定及项目验收应注意的问题 (5)
2.2.6.约定上门的时间 (6)
2.3.整理安装实施所需要的资料 (6)
2.4.测试前需要给设备打上最新补丁包 (6)
3.设备上架规范 (6)
3.1.设备上架准备 (6)
3.2.上架保障措施 (7)
3.3.设备安装 (7)
3.4.设备安装检查 (8)
4.Webagent实施规范 (9)
5.bypass功能检测及注意事项 (9)
6.内网有承载重要业务的设备时AF部署注意事项 (10)
7.网络中有ISA代理服务器时的配置注意事项 (10)
8.检查光口兼容性 (10)
9.各种网络环境下的基本配置规范 (10)
9.1.目的 (10)
9.2.AF路由模式部署基本配置规范 (11)
9.2.1.AF路由模式( WAN口直接拨号或接固定Internet IP 线路) (11)
9.2.2.AF路由模式(通过前置网关设备上网) (14)
9.2.3.AF 路由模式(支持VLAN环境) (17)
9.2.4.AF 路由模式(内网通过代理服务器上网) (20)
9.2.5.AF路由模式(双机热备-主备) (24)
9.2.6.AF路由模式(双机热备-主主) (27)
9.3.AF网桥模式部署基本配置规范 (32)
9.3.1.基本网桥模式配置规范 (32)
9.3.1.AF网桥模式(支持链路聚合穿透) (34)
9.3.2.AF网桥模式(支持VLAN穿透) (36)
9.3.3.AF网桥模式(内网通过代理服务器上网环境一) (39)
9.3.4.AF网桥模式(内网通过代理服务器上网环境二) (42)
9.3.5.AF网桥模式(VRRP、双机热备环境) (44)
9.3.6.AF网桥模式(穿透动态路由) (47)
9.3.7.AF网桥部署(启用Bypass功能) (50)
9.4.AF虚拟网线部署基本配置规范 (53)
9.5.AF混合模式部署基本配置规范 (53)
9.5.1.AF混合部署(路由加网桥) (53)
10.紧急事件处理规范 (57)
11.常见问题处理规范 (57)
12.测试/实施完成后扫尾规范 (60)
1.网络环境确认
详见《环境确认表》。
2.测试/实施前准备工作
2.1.测试/实施前,需先走设备自检流程
2.1.1.AF1820(含)以上高端设备,需走高端设备测试流
程
2.1.2.AF1720(含)以下设备,先走下面的自检流程2.1.2.1.硬件检查
1、设备外观是否严重变形,设备内部是否有部件脱落,是否有残留水渍
2、是否能正常开机且在开机完成后告警灯熄灭
3、接线后网口指示灯是否正常亮起
2.1.2.2.软件检查
1、确认软件版本是否为本次测试需要的版本(如果不是,有定制等,请恢复为本次测试的
软件版本)
2、确认设备是否为默认配置(如不是默认配置,请恢复默认配置)
3、确认设备是否能从WebUI和升级客户端接入
4、确认设备日期是否正确(如不正确,请修改正确)
5、确认序列号是否正确(如需交换网口,请提前交换并申请序列号)
6、查看系统日志,看是否有错误的提示
7、确认设备是否可以正常进入内置数据中心
8、确认设备内置数据中心是否还有日志(如有日志,请将日志清空)
9、确认内置规则库是否为最新(如不是最新,请更新到最新的库)
10、确认设备网关升级包是否更新到最新版本(如不是最新,请更新到最新)
2.2.通过电话与用户沟通,获取用户信息和预约上门安装时间
2.2.1.获取用户的详细资料
包括: 企业名称、通讯地址、联系人、联系电话。
2.2.2.获取用户的网络环境
在测试或实施之前,至少提前两天确定好客户环境以及部署方案。
对没有把握的配置或部署方式,请在进行测试或实施的前两天咨询总部相应产品的产品专家。
如果产品专家确认没有这类成功案例,请产品专家至少提前一天通知研发相关接口人准备。
准备期间如有需要补充获取的信息,请驻外同事积极协助。
例如:客户的网络环境,并完成《网络环境确认表》。
确保客户网络环境具备安装条件再安排上门实施。
如客户网络不具备安装条件,跟客户协商网络整改时间。
待整改后具备安装条件再跟客户约定上门实施时间。
2.2.
3.获取用户的软硬件环境
例如:客户的网络环境、是否有域服务器、是否使用代理服务器等信息、客户的关键业务数据流是怎样走的等,完成《网络环境确认表》。
确保客户网络环境具备安装条件再安排上门实施。
如客户网络不具备安装条件,跟客户协商网络整改时间。
待整改后具备安装条件再跟客户约定上门实施时间。
2.2.4.建议获取其他厂商在用户环境中的测试情况
在测试前,建议了解一下客户有没有测试过相同类型的产品,了解一下测试其他同类产品时所遇到的问题,并根据客户需要测试的产品的功能,分析一下sangfor设备去实施时是否也会遇到类似的问题,尽量在测试前能做好准备,避免问题的产生。
2.2.5.实施方案确定及项目验收应注意的问题
向客户出具实施方案前,需先跟客户沟通,确保实施方案的内容和形式符合客户要求。
避免由于实施文档跟客户预期相差较大导致客户不满。
项目验收前需跟客户就验收文档的内容和形式达成一致,按照客户的期望提交验收文档。
避免由于验收文档不符合客户预期而导致不通过的问题。
2.2.6.约定上门的时间
同客户确认上门时间,以保证客户方有对公司内部网络情况较为熟悉的人员配合实施。
2.3.整理安装实施所需要的资料
整理安装实施过程中需要携带的设备和资料,例如:笔记本电脑,交叉线,常用的软件,上门反馈表,工牌等。
2.4.测试前需要给设备打上最新补丁包
3.设备上架规范
3.1.设备上架准备
(1)安装场所准备
要求具体内容
温度/湿度环境要求标准工作在温度0~ 45 ℃,湿度5~90%,非冷凝。
输入电压要求110—230V
抗干扰要求远离强功率无线电发射台、雷达发射台、高频大电流设备。
接地要求良好的接地系统是设备稳定可靠运行的基础。
建议接地电阻值宜小于5欧姆。
机架要求通风散热、牢固承重、接地良好。
供电要求具体数值请参考产品硬件参数文档。
(2)注意事项
注意事项具体内容
用电注意事项1:仔细检查在您的工作区域内是否存
在潜在的危险,比如电源未接地、电源接地不可靠,地面潮湿等。
2:在安装前,要知道设备所在房间的紧急电源开关的位置,当发生意外时,要先切断电源开关。
3:请不要将设备放置在潮湿的地方,也不要让液体进入机箱内。
工具准备注意安装前需提前准备好紧固工具、钳工工具。
(螺丝刀、水晶头压线钳等)
3.2.上架保障措施
1、客户内网有其他网络安全设备,如ids、ips、utm等设备时,尽量和客户沟通跳过他们
再上架,当确认设备工作正常后再加入这些安全设备。
2、客户给的拓扑图可能有一定偏差,上架前,一定在现场顺着网线检查一次网络拓扑,确
认安装位置无误。
3、重大项目上架前使用模拟环境进行一次配置验证,验证范接口、路由、snat、dnat、应
用服务控制等影响业务连通性的配置。
3.3.设备安装
设备搬移在移动设备前一定要拔掉所有电源线和外部电缆。
设备上架1:AF1820以上(含AF1820)设备必须安装托盘或导轨。
2:用户并不具备标准机柜情况下,可将设备安装在干净的工作台上。
并保证保证安装工作台足够牢固,足以承担设备及电缆的重量,设备四周留出10cm 散热空间。
3:不可在设备上放置重物。
4:在机器上架安装过程中,注意同一机柜中其它设备,避免在安装过程中碰掉其他设备的电源,网线接口等。
设备耳片安装设备安装托盘或导轨后,可视情况不安装耳片。
其他情况都必须安装耳片。
电源接线有冗余电源设备必须接通冗余电源。
标签线缆必须贴标签注明
1:电源线标签:内容为电缆对端位置信息,填写标签所在电缆侧对端设备、控制柜、分线盒或插座的位置信息。
2:信号线标签:标签两面内容分别标识电缆两端所连端口的位置信息。
3:粘贴标签之前先在整版标签纸上填写或打印好标签内容,然后揭下、粘贴在电缆或标识牌线扣上。
接地当设备采用直流电电源的时候,必须采取接地措施,把接地线接在设备接地螺丝上面,另一端接在机架上面。
采用交流电电源的时候尽量接地操作。
3.4.设备安装检查
检查事项具体操作
上电前检查1:网络设备是否安放牢固。
2:所有通信电缆、光纤以及电源线和地线连接正确。
3:供电电压是否与网络设备的要求一致。
设备上电1:打开网络设备供电电源开关。
2:打开网络设备电源开关。
上电后检查1:网络设备上电以后,通风系统工作,应该可以听到风扇旋转的声音,网络设备的通风孔有空气排出。
2:查看设备面板上的系统各种指示灯是否正常。
4.Webagent实施规范
如客户中心端有固定IP的情况,技术交流、测试(实施)时优先选择并引导客户使用固定IP。
如客户有自己的Web服务器(该服务器必须单独部署于IDC机房或者与VPN设备使用不同的网络出口)的情况,技术交流、测试(实施)时优先选择并引导客户将Webagent服务部署在自己的服务器上。
在上述条件都无法满足的情况下,我司可以为客户提供免费的Webagent服务,同时,请在实施(测试)时与客户进行事前沟通,让客户了解我司会尽可能为客户提供稳定的Webagent服务,但我司无法保证Webagent服务不因Internet网络故障、IDC 机房故障等无法控制的因素而导致中断。
5.bypass功能检测及注意事项
所有支持bypass的设备,在做透明模式和虚拟网线模式部署的时候,必须在实施时检测设备的bypass功能是否生效,以避免因为硬件故障引起客户的业务中断。
建议检测方法如下:不同型号设备的bypass口位置不同,会在设备面板上标出,请根据实际型号调整接线网口,部署好设备之后,关闭电源,从bypass口所接的电脑上ping前置设备的接口或者公网IP,如果可以通,表示bypass功能生效。
注意事项:目前所有AF设备型号均支持开机bypass功能,故请注意在实施时不能把一对bypass口接在同一交换机上,避免形成环路。
6.内网有承载重要业务的设备时AF部署注意事项
如果客户内网有一些设备正承载着公司的重要业务,包括服务器、承载业务设备、sangfor设备M5X00、M5X00-S、M5X00-Q等,如果AF需要在出口做网桥或者路由模式部署,请在架上AF前,将内网这些设备的IP填入排除IP地址列表,请提前设置这些设备的权限全部放通,并根据业务数据所使用的协议在内容安全策略中放通。
以此避免架上AF后影响客户正常业务的风险。
7.网络中有ISA代理服务器时的配置注意事项
AF在结合ISA代理服务器环境,并且使用ISA客户端代理的时候,无特殊要求尽量把Skype的智能识别规则禁用,因为代理环境下识别Skype有问题,有可能会把ISA代理数据识别成Skype,如果做了禁止Skype的配置,可能会导致ISA客户端代理无法正常使用。
8.检查光口兼容性
如果有使用到AF的光口和其他设备连接,请在连接完成后,尝试将AF的光口的网线拔掉再插上,观察一下光口的状态,看光口在插拔一次后能不能正常使用,如果插拔一次后,光口没有起来,请联系研发替换光口驱动。
9.各种网络环境下的基本配置规范
9.1.目的
通过基本配置,能保证SANGFOR设备上架后客户网络的正常运转,AF的各种策略可以实现,客户的各种业务系统均能正常运行。
9.2.AF路由模式部署基本配置规范
9.2.1.AF路由模式(WAN口直接拨号或接固定Internet
IP 线路)
9.2.1.1.网络拓扑
环境描述:设备路由模式部署,ETH2与MODEN相连进行拨号,ETH1口连接局域网交换机;或者路由模式部署,ETH2口配置固定的公网IP地址,ETH1口连接局域网交换机。
9.2.1.2.接线规范
1、AF设备ETH2口连接前置MODEM或者光纤收发器,AF设备ETH1口连接内部局域网交换机。
2、如果与设备相连的是防火墙或路由器,使用交叉线进行连接;如果与设备相连的是交换
机,使用直通线进行连接。
3、网线连接设备任意网口的时候,要听到“咔”的一声,表示网线和设备已经连接好了。
4、网线与设备的接口连接以后,设备的Link灯常亮,Act灯闪烁,表示接口正常工作。
9.2.1.3.基本配置规范
1、通过默认IP登录设备,设备接口默认的IP地址为:
Manage:10.251.251.251/24,默认用户名密码Admin/sangfor
2、配置ETH2、ETH1接口为路由口,ETH2接口启用WAN属性,正确配置AF内网IP地址和外
网IP地址,合理配置区域信息,要求外网接口、内网接口应属于不同的区域。
3、如果使用设备拨号上网,为了保证设备能够成功拨号,操作时,把设备和Modem断电(10
秒左右),然后同时开启;ADSL拨号时,应勾选拨号参数的“添加默认路由”。
4、设备上架前放通相应的应用控制策略。
AF默认策略是全部禁止的,应放通内网访问外网
的相关应用,如果内网有服务器发布到公网,应放通外网访问内网服务器的相关应用。
5、AF路由模式,外网单线路时,应添加全0的默认路由;当外网是多条线路时,应配置策
略路由,具体策略路由的配置根据客户需求合理配置,下面有多个网段时,要在AF中添加各个网段的回程路由。
6、根据内网的网段来配置源地址转换规则,如果有内网服务器发布到外网,应配置目的地
址转换规则,根据需要配置双向NAT规则或DNS mapping。
7、配置DNS服务器地址,并启用DNS代理功能。
8、开启ARP防御功能和免费ARP功能,以让前置设备(如AF的网关设备)能更新到AF
的ARP。
9、设备上架以后,建议通过升级客户端登陆设备,ping 外网地址,尽可能的验证每个服务
器和每个私有网段的连通性,包括tcp、udp和icmp协议,看是否有丢包现象;查看网卡工作状态,是否有错误包等,是否适应为全双工,是否需要锁定网口,判断是否存在兼容性问题;查看设备路由表,arp表是否正确。
10、开启网关自动升级和各种规则的自动升级,保证设备的规则得到及时的更新,使设备工
作在最佳状态。
11、开放内网服务器和网络设备的全部上网权限,开放外网主动访问内网服务器的相关权限,
保证服务器和网络设备的正常运行。
12、为了保证设备平稳的接入到网络中,设备上架前先将设备开直通,查看拒绝列表,确保
拒绝列表无拦截正常网络流量后再关闭直通。
13、实施完毕后需要将设备的配置进行备份,并在客户现场进行两个小时的观察,确认设备
持续运行正常。
9.2.1.4.注意事项
1、AF有两个或多个外网路由口的时候,为保证每条外网线路可用(代理内网上网、从公网
访问设备、DNAT到内网等场景),应给每条线路配置策略路由。
2、确认已开启免费ARP功能,目前发货的默认配置是开启此功能的,请确认。
3、客户如果要求启用自动拨号,请确认在重新启动设备后可以自动拨号,注意重启拨号服
务是不能自动拨号的,这点要和客户说明。
(这里主要是针对客服人员的,客户不会到后台重启服务)
4、做NAT池时,最好把运营商分配的用作NAT的地址都配置在接口上(也有遇到过不配置
也能正常通讯的情况,若不能正常通讯则最好配置上。
)
5、内网有服务器,内网需要根据公网IP、域名方式来访问的,要注意做双向地址转换保证
服务器看到的源IP地址都为设备LAN IP地址或者DNS-MApping。
6、有重要服务器发布到外网时,请确认服务器到公网的路由是否经过AF设备,如果不经过、
或者不明确是否经过,请做一条SNAT规则,让公网过来访问服务器的数据,源IP转换成AF出接口IP。
7、设备只支持ADSL拨号,其他方式的拨号不支持,外网拨号且单线路时务必勾选拨号参数
的“添加默认路由”。
8、ARP代理功能慎重使用,只要勾选了ARP代理、即便不配置任何条目,ARP代理功能也会
生效;在某些不恰当的接线方式下,开启ARP代理会导致网络中断,请注意这一点。
9、双向地址转换需求场景不支持开启网关杀毒,两者功能只能用其一,可以用dns mapping
来代替双向地址转换。
10、PC的DNS解析过程不经过AF、或者指向AF本身时(DNS代理),全局排除域名功能不
生效。
11、不支持AF做VPN总部、其他分支通过总部上网的应用场景,修改VPN相关配置不会记
录网关操作日志。
12、OSPF、RIP的路由重发布功能,暂不支持发布静态路由。
13、AF-1120、AF-1320这两个平台使用时网口号推荐奇偶搭配使用,保证性能最高,例如:
eth1和eth2组成一对,或者eth0和eth3组成一对。
14、所有硬件平台的MANAGE口固定为管理接口,接口属性不允许修改,可增加管理IP,默
认管理IP不能删除,应将manage口只做管理用,不要配置在双机的网口列表中。
15、一般情况下,连接不同网络的接口应划分到不同的区域,请勿将所有网口配置为同一个区域。
9.2.2.AF路由模式(通过前置网关设备上网)
9.2.2.1.网络拓扑
环境描述:前置设备做端口映射,AF设备路由模式部署,ETH2口配置客户规划的IP连接前置网关的内网接口,ETH1口连接内部局域网的交换机。
9.2.2.2.接线规范
1、AF设备ETH2口接连接前置网关的LAN口,AF设备ETH1口连接内部局域网交换机。
2、如果与设备相连的是防火墙或路由器,使用交叉线进行连接;如果与设备相连的是交换
机,使用直通线进行连接。
3、网线连接设备任意网口的时候,要听到“咔”的一声,表示网线和设备已经连接好了。
4、网线与设备的接口连接以后,设备的Link灯常亮,Act灯闪烁,表示接口正常工作。
9.2.2.3.基本配置规范
1、通过管理IP登录设备,设备管理口默认的IP地址为:
Manage:10.251.251.251/24,默认用户名密码Admin/sangfor
2、配置ETH2、ETH1接口为路由口,ETH2接口启用WAN属性,正确配置AF内网IP地址和外
网IP地址,合理配置区域信息,要求外网接口、内网接口应属于不同的区域。
3、如果使用设备VPN功能,协调客户在前置网关上配置端口映射,将TCP 和UDP 4009端
口映射到VPN网关设备WAN口的地址,并放通前置网关上的防火墙规则。
4、设备上架前放通相应的应用控制策略。
AF默认策略是全部禁止的,应放通内网访问外网
的相关应用,如果内网有服务器发布到公网,应放通外网访问内网服务器的相关应用。
5、AF路由模式,外网单线路时,应添加全0的默认路由;当外网是多线路时,应配置策略
路由,具体策略路由的配置根据客户需求合理配置,下面有多个网段时,要在AF中添加各个网段的回程路由。
6、根据内网的网段来配置源地址转换规则,如果有内网服务器发布到外网,应配置目的地
址转换规则,根据需要配置双向NAT规则或DNS mapping。
7、配置DNS服务器地址,并启用DNS代理功能
8、开启ARP防御功能和免费ARP功能,以让前置设备(如AF的网关设备)能更新到AF
的ARP。
10、设备上架以后,建议通过升级客户端登陆设备,ping 外网地址,尽可能的验证每个服
务器和每个私有网段的连通性,包括tcp、udp和icmp协议,看是否有丢包现象;查看网卡工作状态,是否有错误包等,是否适应为全双工,是否需要锁定网口,判断是否存在兼容性问题;查看设备路由表,arp表是否正确。
11、开启网关自动升级和各种规则的自动升级,保证设备的规则得到及时的更新,使设备工
作在最佳状态。
12、开放内网服务器和网络设备的全部上网权限,开放外网主动访问内网服务器的相关权限,
保证服务器和网络设备的正常运行。
13、为了保证设备平稳的接入到网络中,设备上架前先将设备开直通,查看拒绝列表,确保
拒绝列表无拦截正常网络流量后再关闭直通。
14、实施完毕后需要将设备的配置进行备份,并在客户现场进行两个小时的观察,确认设备
持续运行正常。
9.2.2.4.注意事项
1、AF有两个或多个外网路由口的时候,为保证每条外网线路可用(代理内网上网、从公网
访问设备、DNAT到内网等场景),应给每条线路配置策略路由。
2、确认已开启免费ARP功能,目前发货的默认配置是开启此功能的,请确认。
3、客户如果要求启用自动拨号,请确认在重新启动设备后可以自动拨号,注意重启拨号服
务是不能自动拨号的,这点要和客户说明。
(这里主要是针对客服人员的,客户不会到后台重启服务)
4、做NAT池时,最好把运营商分配的用作NAT的地址都配置在接口上(也有遇到过不配置
也能正常通讯的情况,若不能正常通讯则最好配置上。
)
5、内网有服务器,内网需要根据公网IP、域名方式来访问的,要注意做双向地址转换保证
服务器看到的源IP地址都为设备LAN IP地址或者DNS-MApping。
6、有重要服务器发布到外网时,请确认服务器到公网的路由是否经过AF设备,如果不经过、
或者不明确是否经过,请做一条SNAT规则,让公网过来访问服务器的数据,源IP转换成AF出接口IP。
7、设备只支持ADSL拨号,其他方式的拨号不支持;ADSL拨号时,应勾选拨号参数的“添
加默认路由”。
8、ARP代理功能慎重使用,只要勾选了ARP代理、即便不配置任何条目,ARP代理功能也会
生效;在某些不恰当的接线方式下,开启ARP代理会导致网络中断。
9、双向地址转换需求场景不支持开启网关杀毒,两者功能只能用其一,可以用dns mapping
来代替双向地址转换。
10、PC的DNS解析不经过AF、或者指向AF本身时(DNS代理),全局排除域名功能不生效。
11、不支持AF做VPN总部、其他分支通过总部上网的应用场景,修改VPN相关配置不会记
录网关操作日志。
12、OSPF、RIP的路由重发布功能,暂不支持发布静态路由。
13、AF-1120、AF-1320这两个平台使用时网口号推荐奇偶搭配使用,保证性能最高,例如:
eth1和eth2组成一对,或者eth0和eth3组成一对。
14、所有硬件平台的MANAGE口固定为管理接口,接口属性不允许修改,可增加管理IP,默
认管理IP不能删除。
应将manage口只做管理用
15、如果使用设备VPN功能,协调客户在前置网关上配置端口映射,将TCP 和UDP 4009端
口映射到VPN网关设备WAN口的地址,并放通前置网关上的防火墙规则。
16、一般情况下,连接不同网络的接口应划分到不同的区域,请勿将所有网口配置为同一个
区域。
9.2.3.AF 路由模式(支持VLAN环境)
9.2.3.1.网络拓扑
环境描述:设备ETH2口配置固定的IP地址(公网或私网)或ADSL拨号,ETH1口连接局域网交换机的TRUNK口。
9.2.3.2.接线规范
1、 AF设备ETH2口连接前置设备LAN口或MODEN,AF设备ETH1口线连接局域网交换机的
TRUNK接口。
2、如果与设备相连的是防火墙或路由器,使用交叉线进行连接;如果与设备相连的是交换
机或,使用直通线进行连接。
3、网线连接设备任意网口的时候,要听到“咔”的一声,表示网线和设备已经连接好了。
4、网线与设备的接口连接以后,设备的Link灯常亮,Act灯闪烁,表示接口正常工作。
9.2.3.3.基本配置规范
1、通过管理IP登录设备,设备管理口默认的IP地址为:
Manage:10.251.251.251/24,默认用户名密码Admin/sangfor
2、配置ETH2、ETH1接口为路由口,ETH2接口启用WAN属性,为ETH1设置子接口,正确配
置AF内网IP地址、外网IP地址和子接口的VlanIP和VlanID,合理配置区域信息,要求外网接口、内网接口应属于不同的区域。
3、如果使用设备拨号上网,为了保证设备能够成功拨号,操作时,把设备和Modem断电(10
秒左右),然后同时开启;ADSL拨号时,应勾选拨号参数的“添加默认路由”。
4、设备上架前放通相应的应用控制策略。
AF默认策略是全部禁止的,应放通内网访问外网
的相关应用,如果内网有服务器发布到公网,应放通外网访问内网服务器的相关应用。
5、AF路由模式,外网单线路时,应添加全0的默认路由;当外网是多线路时,应配置策略
路由,具体策略路由的配置根据客户需求合理配置;下面有多个网段时,要在AF中添加各个网段的回程路由。
6根据内网的网段来配置源地址转换规则,如果内网有服务器发布到外网应配置目的地址转换规则,根据需要配置双向NAT规则或DNS mapping。
7、配置DNS服务器地址,并启用DNS代理功能。
8、开启ARP防御功能和免费ARP功能,以让前置设备(如AF的网关设备)能更新到AF
的ARP。
9、设备上架以后,建议通过升级客户端登陆设备,ping 外网地址,尽可能的验证每个服务
器和每个私有网段的连通性,包括tcp、udp和icmp协议,看是否有丢包现象;查看网。