SANGFOR-AC-v10-年度渠道高级认证培训01-安装部署

1、安装部署特殊网络环境部署培训内容培训目标高可用性之主主模式部署了解主主模式的适用环境 掌握设备主主模式部署的配置方法了解主主模式部署下的注意事项高可用性之主备模式部署了解主备模式的适用环境 掌握设备主备模式部署的配置方法了解主备模式部署下的注意事项内网有代理服务器环境部署了解内网有代理服务器时设备的部署适用环境掌握常见代理环境中的部署和配置方法了解内网有代理服务器环境下部署的注意事项协议封装环境部署了解协议封装环境下部署的适用场景掌握协议封装环境下的网桥部署和配置方法了解协议封装环境下部署的注意事项高可用性之主主方式部署高可用性之主备方式部署内网代理环境部署SANGFOR AC&SG协议封装环

2、境部署主备方式部署主备方式部署环境 主备方式是指路由方式部署的两台设备经过心跳检测，实现热备份坚持心跳和配置同步。正常情况下，只需主设备任务，假设主设备缺点，那么自动切换到备设备，备设备接替主设备任务。从而保证客户的业务不受影响，网络不中断。 主备方式只需一台主设备处于正常任务形状，另一台备设备处于监听形状。 适用环境：对网络稳定性要求较高的客户环境。要求两台设备路由方式部署。主备方式配置主机配置：1.主机配置好路由方式。2. 控制台【网络配置】【高可用性】选择主备方式，点击开场配置主备方式配置3.配置主机设备标识4.配置检测网口抢占为主机：指的是当主机切换为备机后，当备机恢复正常后能否会自动

3、切换为主机，开启那么会切换。指定HA口：用来同步配置。可以运用DMZ口或其他未配置区域的网口。共享密钥：需求主备两台设备设置同一个密钥。检测网口：被检测的网口只需发生缺点就会发生主备切换。告警选项：手动更改方式也会触发告警。主备方式配置备机配置：1.备机登录后，【高可用性】选择主备方式，配置设备标识，设备角色选择备机。2.配置主机的IP地址以及密钥。阐明：备机不能配置抢占主机与检测网口以及配置告警信息，这些信息是由主机同步过来主备方式配置主机形状：部署完成后，主机正常任务，可以在高可用性中看到主机形状，可以看到最近切换的时间，以及同步配置的时间，只需主机形状才可以手动切换到备机。主备方式部署本

4、卷须知1、主备方式部署的两台设备，软件版本要求一致，软件版本一致是指两台AC设备的版本信息中内容，除SP补丁外，其他信息一致即可。硬件版本不做要求，但是建议选择负载相近，型号相近的设备。2、主备部署的两台设备配置自动实时同步，完全一样。3、只能2台设备部署为主备方式，2台以上不支持部署主备方式。4、主备部署的两台设备，只需一台在任务，另一台在监听。5、只需路由方式可以部署主备方式，网桥方式不支持部署主备方式。6、主备方式的两台设备经过普通网线作为心跳线，经过HA口发送心跳包，主备方式下，可以运用DMZ口或其他未配置区域的网口。 HA灯形状，主机设备亮绿灯，备机形状灯闪。7、主备方式下，只需主机

5、可以参与集中管理。备机不能参与。假设主机挂了，备机变成主机，此时备机也可以参与SC。主主方式部署主主方式部署环境 主主方式部署由多台AC设备经过通讯网口同步配置。主主方式部署的设备同时任务，主控设备将配置同步到一切节点，主控与各节点之间相互同步会话信息。当主控缺点，将无法更改设备配置。 适用环境： 客户原有网络中有多台交换机，防火墙或路由器主主或主备部署时，AC以网桥串接在中间，建议运用主主方式部署。主主方式部署配置主控配置：1.设备路由方式或网桥方式部署。2.主控设备控制台选择【网络配置】【高可用性】选择主主方式。主主方式部署配置配置设备标识及角色选择主控，配置密钥主主方式部署配置节点配置：

6、【高可用性】选择主主方式，配置设备标识，角色选择“节点。配置主机的IP地址及密钥。主主方式部署配置主控形状节点形状主主方式部署本卷须知4、路由方式和网桥方式都支持配置成主主方式部署。1、主主方式部署的两台设备，软件版本要求一致，软件版本一致是指两台AC设备的版本信息中内容，除SP补丁外，其他信息一致即可。硬件版本不做要求，但是建议选择负载相近，型号相近的设备。2、主主方式部署的设备同时任务，没有主备之分。3、两台或两台以上的设备可以部署主主方式。5、主主方式下，节点不能修正配置只能由主控同步，界面限制只能只读。6、主控会显示一切节点形状，称号为“在线节点列表，显示一切在线的节点。7、主主方式下

7、，只需主控可以参与集中管理，节点不能参与和下发配置。此时，即使主控挂了，节点暂时变成主控，此时该主控也不能接入SC。需求等主控恢复后，才干从SC下发配置。被选举出来的主控，只能同步在线用户，不能同步配置。内网代理效力器环境部署内网代理效力器环境部署运用场景 内网经过代理效力器上网，由于用户一切数据是发往代理效力器的，目的IP是代理效力器的IP，真实的上网数据经过代理效力器封装后转发到公网。 在这样的网络环境下，假设要对上网用户采用不同的上网战略，记录真实的访问公网的数据，AC/SG的部署和其他网络环境中的部署就有区别 适用环境：用户经过内网代理效力器上网，并且需求准确识别用户经过代理效力器上网

8、的数据和分权限控制。常见代理环境中的部署方式1. 代理效力器双网卡AC/SG设备路由或网桥方式部署设备可采取路由方式或网桥方式部署在客户端与代理效力器之间，思索到内网改动的大小，建议采用网桥方式部署。必需保证内网发往代理效力器的数据先经过AC/SG设备，也就是代理效力器应该部署于AC/SG设备的WAN口方向。常见代理环境中的部署方式2. 代理效力器双网卡AC/SG设备旁路方式部署假设主要用于审计，设备可采取旁路方式部署，用于监听内网发往代理效力器的一切数据。常见代理环境中的部署方式3. 代理效力器单网卡AC/SG设备网桥方式部署如左图所示，代理效力器以单臂方式接在中心交换机上。内网用户上网数据

9、先经过交换机到达代理效力器，再由代理效力器经中心交换机和防火墙到公网。针对这种环境，给出以下处理方案常见代理环境中的部署方式3. 代理效力器单网卡AC设备网桥方式部署此种部署场景下，需求在AC上【用户认证与管理】-【认证高级选项】-【认证选项】中勾选“WAN-LAN方向的衔接不认证。内网代理环境部署配置1. 将设备采用以上各拓扑中的部署方式路由，网桥，旁路进展配置，然后接入到网络中。2. 在设备“代理效力器设置选项中填入代理效力器的IP。3. 在客户端电脑阅读器配置代理效力器的IP地址，并在“例外情况填写AC设备的管理地址，假设AC是网桥部署，并且开启了虚拟地址重定向功能，也需求把虚拟IP添加

10、排除，如以下图所示：内网代理环境部署本卷须知1、必需保证客户端发到代理效力器的数据先经过AC/SG设备，也就是代理效力器应该部署在AC/SG设备的WAN口方向。协议封装环境部署协议封装环境部署 协议封装环境，是指客户网络环境中有特殊协议如Trunk、QinQ、链路聚合、PPPOE、VLAN+PPPOE、QinQ+PPPOE、WAC、L2tp、GRE等。此种环境中AC支持以网桥方式部署并且穿透协议，其中Trunk环境也支持以单臂路由方式部署。 在Trunk、QinQ、链路聚合、PPPOE、VLAN+PPPOE、QinQ+PPPOE环境中AC网桥部署经过虚拟IP实现重定向和代理功能SSL内容识别和

11、邮件过滤。 在WAC、L2TP、GRE等其它特殊协议环境中，AC网桥部署经过DMZ口重定向实现重定向和代理功能SSL内容识别和邮件过滤。协议封装环境部署 虚拟IP重定向：内网PC认证前的HTTP上网数据经过AC时，AC拦截并记录下数据包的源，目的IP，数据包的封装类型，以及数据包进入AC时的接口。 AC回弹portal的重定向认证页面时，会将记录下来的数据包的源，目的IP反转，再从数据包进入的接口直接发出去，其中数据包中的数据字段会交换成AC虚拟IP的重定向URL地址。 DMZ口重定向：内网PC认证前的HTTP上网数据经过AC时，AC拦截数据包，AC经过查找本身DMZ口的路由表，将portal

12、的重定向认证页面从DMZ口发出，其中数据包中的数据字段会交换成AC的DMZ口IP的重定向URL地址。/24DMZ:0/241/24MAC2MAC3MAC4MAC5sangforeth2eth3eth0eth1In接Out口SIPDIPeth0eth2outSipDip302dataeth098/ac_portal.98重定向页面不查AC路由表直接从数据进来的网口eth0回包给内网(1)默许运用虚拟地址虚拟IP重定向原理图协议封装环境部署 拓扑如左图所示，交换机划分了三个VLAN，VLAN ID分别为10，20，30。路由器内网口配置为trunk口，各vlan间的互访经过路由器路由。 需求：部署

13、AC实现上网行为管理 协议封装环境部署AC在Trunk环境中直接替代原有的路由器做路由方式部署。TRUNK环境协议封装环境部署1、AC路由方式部署直接替代原有的路由器或FW，并按照路由方式部署配置好设备。2、配置LAN口IP，填写内网对应VLAN的VLAN网关IP即可。Trunk环境下路由方式配置思绪：协议封装环境部署Trunk环境下路由方式配置方法：协议封装环境部署不改动原有拓扑构造，AC网桥方式串接在交换机和防火墙之间引荐方案1.此时可以给设备网桥配置其中一个VLAN中的可用IP来进展管理和上网更新规那么库。2.也可以给设备管理口配置其中一个VLAN中的可用IP来进展管理和上网更新规那么库

14、。Trunk环境1、网桥方式部署在路由器与交换机之间，按网桥方式部署配置好设备。2、可以给设备网桥配置其中一个VLAN中的可用IP来进展管理和上网更新规那么库。也可以给设备管理口配置其中一个VLAN中的可用IP来进展管理和上网更新规那么库。3、假设内网是三层环境还需求配置内网的路由网关指向AC内网口所衔接的设备。协议封装环境部署Trunk环境下网桥方式配置思绪：协议封装环境部署Trunk环境下网桥方式配置方法：选择网桥列表，默许勾选了“开启网桥链路同步可以选择给桥IP配置VLANIP进展管理，也可以此处不配置任何IP，经过管理口进展管理。假设前面桥IP没有做任何配置，可以在管理口配置一个VLA

15、NIP进展管理。设备经过虚拟IP来实现重定向和代理功能SSL内容识别和邮件过滤功能。1、网桥方式部署在路由器与交换机之间，按网桥方式部署配置好设备。2、可以给设备管理口配置一个可用IP来进展管理和上网更新规那么库。假设没有空闲管理口，也可以给设备网桥配置其中一个可用IP来进展管理和上网更新规那么库。 WAC、L2TP、GRE这三种协议封装环境下，必需运用DMZ口。3、假设内网是三层环境还需求配置内网的路由网关指向AC内网口所衔接的设备。协议封装环境部署其他协议环境下网桥方式配置思绪：4、 QinQ、PPPOE、VLAN+PPPOE、QinQ+PPPOE 、 WAC、L2TP、GRE环境下，设备上开启对应的协议剥离。 Trunk，链路聚合协议设备无需开启协议剥离就能识别运用。协议封装环境部署其他协议环境下网桥方式配置方法：前三步配置不在赘述，协议剥离配置请在左图页面开启。协议封装环境部署重定向和代理功能的实现：Trunk、QinQ、链路聚合、PPPOE、VLAN+PPPOE、QinQ+PPPOE环境中，经过设备的虚拟IP来实现重定向和代理功能SSL内容识别和邮件过滤。协议封装环境部署重定向和代理功能的实现：WAC、L2TP、GRE等其它特殊协议环境中，设备