SANGFORNGAFv71度渠道初级认证培训03常见网络环境部署.ppt

《SANGFORNGAFv71度渠道初级认证培训03常见网络环境部署.ppt》由会员分享，可在线阅读，更多相关《SANGFORNGAFv71度渠道初级认证培训03常见网络环境部署.ppt（29页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、部署说明 NGAF部署能力的提高，让工程师了解在各种环境下，选择最优的部署模式。为了让AF适应各种环境的部署能力，和可扩展性，NGAF没有单独的部署模式可以选择，AF的部署模式是由各个网口的属性决定的。根据网口属性分为：物理接口、子接口、vlan接口、聚合接口。根据网口工作区域划分为：2层区域口、3层区域口、虚拟网线区域口。其中物理口可选择为：路由口、透明口、虚拟网线口、镜像口。1、路由模式（lan对端路由口）路由部署思路：1、设置lan口为路由口即可（lan口对端的接口可以是三层口也可以是access口）2、路由模式（lan对端trunk口）路由模式下，对端是trunk口Trunk口部署思路

2、：1、设置lan口为trunk口，并设置对应的vlan号的vlan接口，这种模式类似3层虚拟接口交换机。2、路由模式（lan对端trunk口）3、透明模式（access环境） 透明模式部署也是最常见的部署模式access部署思路：1、网口设置成透明口，设置对应的vlan号即可，如果线路传输的数据不包含vlan标签，选择默认的vlan1。2、除了可以配置eth0作为管理口外，也可以使用新建vlan1对应的3层口veth1来管理设备，需要确保NGAF的veth1接口的IP与前后端设备接口属于同网段。3、透明模式（access环境）4、透明模式（trunk环境）如果链路是承载着多个vlan的trun

3、k链路，可以采用透明trunk模式部署。与NGAF对接的其他网络设备的接口一般也都是配置了trunk模式，或者是路由子接口模式。Trunk部署思路：1、把2个网口配置成trunk口接口，trunk所有vlan。2、配置相对应的任何vlan虚拟接口给AF设备，以用于管理和上网更新规则库，也可以用manage口。4、透明模式（trunk环境）5、虚拟线路虚拟网线部署是最常见的部署模式，也是适用范围最广，最提倡的一种部署模式。部署思路：1、采用虚拟网线方式部署时不需要考虑NGAF前后设备接口属性和链路属性，直接把网口配置成了虚拟线路口后，配对部署即可。2、分配一个可用的IP给设备的任意一个路由口并配

4、置默认路由，该IP可以用于管理设备，更新规则库等。5、虚拟线路6、路由模式（wan口路由口，内网服务器有公网IP，启用ARP代理）在全路由模式下实现此需求的部署思路：1、接口都配置为路由口，然后采用arp代理的方式实现服务器区域和公网网关的互相通讯。6、路由模式（wan口路由口，内网服务器有公网IP，启用ARP代理）arp代理功能，该拓扑图，必须选择eth37、旁路模式旁路模式部署NGAF仅支持的功能有：APT（僵尸网络）PVS（实时漏洞分析）WAF（web应用防护）IPS（入侵防护系统）DLP（数据泄密防护）网站防篡改部分功能（客户端保护）其余功能均不能实现，例如Vpn功能，网关(smtp/

5、pop3/http)杀毒，DOS防御，Web过滤等都不能实现。部署思路：1、连接旁路口eth3到邻接核心交换机设备2、连接管理口并配置管理ip3、启用管理口reset功能7、旁路模式支持带vlan标记数据旁路部署支持阻断功能，通过查找系统路由选择接口发送tcp reset包旁路镜像模式支持流量统计功能：旁路流量统计为接口配置内网IP组到非内网IP组的流量内网IP组至内网IP组、非内网IP组至非内网IP组流量不统计首页流量排行图包含旁路流量统计数据1.流量排行功能支持筛选旁路镜像口查看流量数据7、旁路模式（流量统计）为旁路区域配置IPS/WAF策略1、当源区域配置为旁路镜像区域时，目的区域自动填

6、写为所有区域2、目的IP组不能填写所有7、旁路模式8、混合模式（wan口交换口，内网服务器有公网IP）混合模式部署，主要指NGAF的各个网口，既有2层口，又有3层口的情况。特别是当DMZ区域服务器集群需要配置公网IP地址的时候部署思路：1、服务器eth3和公网区域接口eth2配置成2层口，放到2层区域2、内网口eth1配置为路由口3、新建一个和eth2以及eth3对应vlan的3层区域接口并配置公网ip地址。用于代理内网方向上网及内网区域与服务器区域、外网区域策略控制8、混合模式（wan口交换口，内网服务器有公网IP）9、混合模式部署案例用户需求：某用户内网有服务器群，服务器均配置公网IP地址

7、，提供所有用户直接通过公网IP地址接入访问。 内网用户使用私有地址，通过NAT转换上网。希望将NGAF设备部署在公网出口的位置，保护服务器群和内网上网数据的安全。部署方式推荐：使用混合模式部署，NGAF设备连接公网和服务器群的2个接口使用透明access口，连接内网网段使用路由接口。9、混合模式部署案例NGAF部署分析：由于服务器均有公网IP地址，所以NGAF设备连接公网线路的接口eth1与连接服务器群接口eth2使用透明access接口，并设置相同的VLAN ID。即可实现所有用户通过公网IP直接访问到服务器群。新增VLAN1接口，分配一个公网IP地址。AF设备与内网相连的接口eth3使用路

8、由接口，设置与内网交换机同网段的IP地址，并设置静态路由与内网通信。（静态路由配置省略）内网用户上网时，转换源IP地址为VLAN1接口的IP地址。（NAT配置省略）根据需求，划分为一个二层区域选择网口eth1和eth2；划分两个三层区域，其中“外网区域”选择VLAN接口vlan1；“内网区域”选择接口eth3。9、混合模式部署案例配置截图：1. 设置物理接口eth1、eth2和eth3：9、混合模式部署案例2. 设置VLAN接口：9、混合模式部署案例问题思考设备路由模式部署，lan口对端的交换机端口属性是trunk，则设备lan有哪几种配置方式？3. 虚拟线路部署配置接口时的注意事项？2. 简单描述一下混合模式各个接口的配置？深信服社区资料库社区资料库旨在为用户提供最新、最全的产品资料访问方式：资料分类：深圳市南山区学苑大道1001号南山智园A1栋结束结束