深信服上网行为管理-典型环境部署指南

1、深信服上网行为管理安装部署典型环境部署培训内容培训目标AC/SG典型部署模式介绍了解AC/SG有几种部署模式以及每处部署模式适用场景AC/SG典型部署模式配置能根据客户不同场景选择恰当的部署模式并独立完成部署配置AC/SG典型部署模式总结掌握不同部署模式的区分别及注意事项AC/SG典型部署模式介绍SANGFOR AC&SGAC/SG典型部署模式配置AC/SG典型部署模式总结AC/SG典型部署模式介绍SANGFOR AC/SG部署模式介绍部署模式_简介部署模式是指设备以什么样的工作模式部署到客户网络中去，不同的部署模式对客户原有网络的影响各有不同；设备在不同模式下支持的功能也各不一样，设备以何种

2、方式部署需要综合用户具体的网络环境和功能需求而定。根据客户需求及环境不同，AC/SG设备支持路由、网桥、旁路、单臂四种部署模式。其中SG支持上述四种部署，AC支持前三种部署。SANGFOR AC/SG部署模式介绍路由模式/网关模式_简介设备以路由模式部署时，AC的工作方式与路由器相当，具备基本的路由转发及NAT功能。一般在客户还没有相应的网关设备，需要将AC做网关使用时，建议以路由模式部署。 路由模式下支持AC所有的功能。如果需要使用NAT、VPN、DHCP等功能时，AC必须以路由模式部署，其它工作模式没有这些功能。SANGFOR AC/SG部署模式介绍路由模式部署环境（举例）：SANGFOR

3、 AC/SG部署模式介绍网桥模式_简介设备以网桥模式部署时对客户原有的网络基本没有改动。网桥模式部署AC时，对客户来说AC就是个透明的设备，如果因为AC自身的原因而导致网络中断时可以开启硬件bypass功能，即可恢复网络通信。网桥模式部署时AC不支持NAT（代理上网和端口映射）、VPN、DHCP等功能。SANGFOR AC/SG部署模式介绍网桥模式部署环境-多网桥（举例）：单网桥多网桥SANGFOR AC/SG部署模式介绍旁路模式_简介旁路模式主要用于实现审计功能，完全不需要改变用户的网络环境，通过把设备的监听口接在交换机的镜像口，实现对上网数据的监控。这种模式对用户的网络环境完全没有影响，即

4、使宕机也不会对用户的网络造成中断。旁路模式部署只用于上网行为的审计和基于TCP应用的控制，对基于UDP协议的应用无法控制。不支持流量管理、NAT、 VPN、 DHCP等功能。监听口管理口监听口管理口SANGFOR AC/SG部署模式介绍旁路模式部署环境（举例）：SANGFOR SG部署模式介绍单臂模式_简介单臂模式部署只适用于SG产品，当客户有代理需求，又不希望影响网络中其它的设备部署或替换原有代理服务器，考虑用单臂部署SANGFOR SG部署模式介绍单臂模式部署环境（举例）：eth0SANGFOR SG部署模式介绍SG单臂模式部署环境（举例）：AC/SG典型部署模式配置典型部署模式与配置 路

5、由模式_部署指导首选需要了解用户的实际需求，以下几种情况 必须使用路由模式部署：1、用户必须要用到AC的VPN、NAT（代理上网和端口映射）、DHCP等功能。2、用户在新规划建设的网络中来部署AC，想把AC当作一台网关设备部署在网络出口处。3、用户网络中已有防火墙或者路由器了，但出于某方面的原因想用AC替换掉原有的防火墙或者路由器并代理内网用户上网。典型部署模式与配置 路由模式_配置思路1、网口配置：配置各网口地址。如果是固定IP，则填写运营商给的IP地址及网关；如果是ADSL拔号上网，则填写运营商给的拔号账号和密码；确定内网口的IP地址信息；2、确定内网是否为多网段网络环境，如果是的话需要添

6、加相应的回包路由，将到内网各网段的数据回指给设备下接的三层设备。3、用户是否需要通过AC设备上网，如果是的话，需要设置地址转换规则。4、检察并放通防火墙规则。典型部署模式与配置需求：某用户网络环境如右图，现将AC部署在网络出口，实现AC代理内网所有用户上网。路由模式_应用举例配置思路： 1.选择部署模式并配置内/外网口 2.配置代理上网3.检查lan to wan防火墙规则是否放行，默认放行典型部署模式与配置路由模式_应用举例_配置步骤定义网络接口配置外网接口地址，可以自动获取，手动配置或adsl拨号填写需要代理上网的网段。此处配置也可以在【防火墙】下的【NAT代理上网】中添加。配置完成，点击

7、提交，设备重启典型部署模式与配置 网桥模式_部署指导1、网桥模式部署相比路由模式对客户的网络影响较小，当客户内网已有相应的网关设备时，建议使用网桥模式部署。2、根据客户的网络结构决定AC采用多网桥方式，如双网桥桥常部署在vrrp环境。典型部署模式与配置 网桥模式_配置思路1、配置设备网桥地址，网关地址，DNS地址。2、确定内网是否为多网段网络环境，如果是的话需要添加相应的回包路由，将到内网各网段的数据回指给设备下接的三层设备。3、检察并放通防火墙规则。典型部署模式与配置网桥模式-应用举例需求：某用户网络环境如右图，AC部署在防火墙与交换机之间，实现对内网用户的上网控制。配置思路：1、选择部署模

8、式并配置接口地址。2、配置到内网的回指路由3、配置用户上网策略（此处略，详见培训PPT SANGFOR_AC&SG_v6.0_2015年度渠道初级认证培训09_组织结构与上网策略）4.检查lan to wan防火墙规则是否放行，默认放行典型部署模式与配置 网桥模式_应用举例_配置步骤定义网桥列表配置网桥地址，网关和DNS。桥地址应该是FW和交换机所在网段可用的一个地址，设备网关配置前置FW的地址，DNS配置可用DNS配置管理口地址，并启用“自动放通防火墙规则”。除了桥地址管理设备，dmz口也可以管理设备。配置完成，点击提交，设备自动重启典型部署模式与配置 旁路模式_部署指导1、旁路模式对客户网

9、络影响最小，主要用于审计。当客户的需求只是上网审计和基于TCP的应用过滤时，可以考虑此种部署方式。2、旁路部署时设备接在核心交换机上镜像口，设备监听镜像口的流量实现审计。3、旁路模式部署时采用管理口（DMZ）配置的IP地址进行管理，其它所有接口均可作为监听口，可使用一个口或者是多个口同时作为监听口，监听口无需任何配置。典型部署模式与配置 旁路模式_配置思路1、交换机设置镜像口，并接到监听口。2、配置需要审计的内网网段和服务器网段。3、配置管理口地址，用于登录管理设备。典型部署模式与配置旁路模式-应用举例需求：用户网络环境如右图，AC以旁路模式部署在三层交换机上，用来审计200.200.0.0/

10、16这个网段的用户上网行为。配置思路：1、配置部署模式2、配置管理口（DMZ）地址3、配置监听网段。典型部署模式与配置 旁路模式_应用举例_配置步骤若设备需要跟外网通讯，需配置好网关和DNS填写需要审计的内网网段配置完成点击提交典型部署模式与配置 单臂模式_部署指导单臂模式部署只适用于SG产品，当客户有代理需求，又不希望影响网络中其它的设备部署或替换原有代理服务器，考虑用单臂部署。典型部署模式与配置 单臂模式_配置思路1、配置设备接口地址，网关地址及DNS地址。2、配置设备代理设置。3、客户端PC配置SG作为代理服务器。典型部署模式与配置 单臂模式_应用举例_配置步骤需求：客户原有使用squi

11、d代理内网PC上网 ，现需要使用SG替换Squid代理服务器，代理内网PC上网。配置思路：1、配置设备接口地址，网关地址及DNS地址。2、配置设备代理设置。3、客户端PC配置SG作为代理服务器。10.10.2.106/24eth010.10.2.106/24eth0典型部署模式与配置 单臂模式_应用举例_配置步骤SANGFOR SG部署模式介绍SG单臂模式部署环境（举例）：AC/SG典型部署模式总结AC/SG典型部署模式总结1、路由模式可以实现设备所有功能，网桥模式其次，旁路模式多用于审计，只能对tcp应用控制，控制功能最弱。2、路由模式对客户原有网络改造影响最大，网桥模式其次，旁路模式对客户

12、原有网络改造无影响，即使设备宕机也不会影响客户断网。3、设备路由模式最多支持4条外网线路（需要足够的授权），默认最多使用eth0到eth7共8个接口。网桥模式最多支持4对网桥，默认最多使用eth0到eth7共8个接口。旁路模式除了管理口外，其它网口均可作为监听口。4、若设备面板有10个网口，eth0到eth7为电口，eth8和eth9为光口，现需要部署为四网桥，前三对网桥为电口，第四对网桥为光口。则需要先通过SANGFOR设备升级系统将eth8和eth9两个光口与eth0到eth7之间的两个电口交换才能满足需求练练手场景1客户原有网络如右图，在出口位置部署了一台防火墙，下接三层交换机，现在购买

13、了一台AC，客户需要实现流控、审计、网页过滤等功能，请问根据这样的需求，在对原有的环境改动最小的情况 下AC应该如何部署？请根据左边拓扑图手动配置一下，完成设备部署。练练手场景2客户原有网络拓扑如右图所示，由于某方面的原因，客户想购买一台AC替换掉原有防火墙，请根据图示拓扑信息动手配置一下，完成设备部署。练练手场景3某大型集团公司网络拓扑如右图所示，客户主要需求是对内网上网行为进行审计和内网用户访问网站过滤，并且要求对WEB SERVER的访问进行记录，请根据客户的实际网络讨论以哪种部署方式最适合该客户，并动手完成配置部署。练练手场景4某用户原有网络拓扑如右图所示，现购买一台AC设备，需要实现对内网