教程说明成果

目 AF路由模式（WAN口直接拨号或接固定InternetIP线路 AF路由模式（支持VLAN环境 AF路由模式（内网通过服务器上网 AF网桥部署（启用Bypass功能 网络环境确客户网络环境确认□ □小区宽 □光 □AC不需部署在网□固定 □动态获 □公网 □私网 □不使用□10M电 □100M电 □1000M电 □多模光 □单模光□ □ □ □ □ □不使用Trunk中是否使用了VLANID为1的VLAN：□ □□ □ □不使用ADSL拨□ □ □非网桥部分配给AC的网桥IP是否能公网□ □ □非网桥部测试/实施前准备工测试/实施前AF1820（含）以上高端设备，需走高端设备AF1720（含）以下设备，先走下面的自检流硬件检软件检10 获取用户的详细资包括:企业名称、通讯地址、联系人、获取用户的网络环在测试或实施之前，至少提前两天确定好客户环境以及部署方案。对没有把握的配置或部署方式，请在进试或实施的前两天咨询总部相应产品的产品专家。如果产品专家确认没有这类成功案例，请产品专家至少提前一天通知研发相关接口人准备。准备期间需要补充获取的信息，请驻外同事积极协助。例如：客户的网络环境，并完成《网络环境确认表》。确保客户网络环境具备安装条件再安排上门实施。如客户网络不具备安装条件，跟客户协商网络整改时间。待整改获取用户的软硬件例如：客户的网络环境、是否有域服务器、是否使用服务器等信息、客户的关键业务数据流是怎样走的等，完成《网络环境确认表》。确保客户网络环境具备安装条件再安排上门实施。如客户网络不具备安装条件，跟客户协商网络整改时间。待整改建议获取其他厂商在用户环境中的测试情在测试前，建议了解一下客户有没有测试过相同类型的产品，了解一下测试其他同类产品时所遇到的问题，并根据客户需要测试的产品的功能，分析一下sangfor设备去实施方案确定及项目验收应注意的问向客户出具实施方案前，需先跟客户沟通，确保实施方案的内容和形式符合客户项目验收前需跟客户就验收文档的内容和形式达成一致，按照客户的期望提交验约定上门的时同客户确认上门时间，以保证客户方有对公司内部网络情况较为熟悉的人员配合实施。整理安装实施所需要的资整理安装实施过程中需要携带的设备和资料，例如：笔记本电脑，交叉线，常用的软件，上门反馈表，工牌等。测试前需要给设备打上补丁设备上架规设备上架准110—远离强功率无线电发射台、发（螺丝刀、水晶头压线钳等上架保障措再上架，当确认设备工作正常后再加入这些。网络的IP地址。设备备及电缆的重量，设备四周留出10cm1：电源线：内容为电缆对端位置2：信号线：两面内容分别标3：粘贴之前先在整版纸上填设备安装检应该可以听到风扇旋转，网络设Webagent实施规如客户中心端有固定IP的情况，技术交流、测试（实施）时优先选择并引导客户使用固定IP。如客户有自己的Web服务器（该服务器必须单独部署于IDC机房或者与设备使用不同的网络出口）的情况，技术交流、测试（实施）时优先选择并引导客户将Webagent服务部署在自己的服务器上。在上述条件都的情况下，可以为客户提供免费的Webagent服务，同时，请在实施（测试）时与客户进行事前沟通，让客户了解会尽可能为客户提供稳定的Webagent服务，但无法保证Webagent服务不因Internet网络故障、IDC机房故 所有支持bypass的设备，在做透明模式和虚拟网线模式部署的时候，必须在实施时检测设备的bypass功能是否生效，以避免因为硬件故障引起客户的业务中断。建议检测方法如下：不同型号设备的bypass口位置不同，会在设备面板上标出，请根据实际型号调整接线网口，部署好设备之后，关闭电源，从bypass口所接的电脑上前置设备的接口或者公网IP，如果可以通，表示bypass功能生效注意事项：目前所有AF设备型号均支持开机bypass功能，故请注意在实施时不能把一对bypass口接在同一交换机上，避免形成环路。内网有承载重要业务的设备时AF部署注sangfor设备M5X00、M5X00-S、M5X00-QAF需要在出口做网桥或者路由模式部署，请在架上AF前，将内网这些设备的IP填入排除IP地址列表，请提前设置这些设备的权限全部放通，并根据业务数据所使用的协议在内容安全策略中放通。以此避免架上AF后影响客户正常业务的风险。网络中有ISA服务器时的配置注意AF在结合ISA服务器环境，并且使用ISA客户端的时候，无特殊要求尽量把Skype的智能识别规则禁用，因为环境下识别Skype有问题，有可能会把ISA数据识别成Skype，如果做了Skype的配置，可能会导致ISA客户端无法正常检查光口兼容如果有使用到AF的光口和其他设备连接，请在连接完成后，尝试将AF的光口的网线拔掉再插上，观察一下光口的状态，看光口在插拔一次后能不能正常使用，如果插各种网络环境下的基本配置目通过基本配置，能保证SANGFOR设备上架后客户网络的正常运转，AF的各种策略可 IP线路）网络拓或者路由模式部署，ETH2IP地址，ETH1口连接局域网交换机。接线规基本配置规Manage：51/24，默认用户名2、配ETH2、ETH1为路由口,ETH2接口WAN属性，正确配置AFIP地址和外网IP地址，合理配置区域信息，要求接口、内网接口应属于不同的区域。5、AF路由模式，单线路时，应添加全0的默认路由；当是多条线路时，应配置策6、根据内网的网段来配置源地址转换规则，如果有内网服务器发布到，应配置目的地址转换规则，根据需要配置双向NAT规则或DNSmap。8ARPARP（AF）ARP9、设备上架以后，建议通过升级客户端登陆设备，地址，尽可能的验证每个服务器和每个私有网段的连通性，包括tcp、udp和icmp协议，看是否有丢包现象；查看网兼容性问题；查看设备路由表，arp表是否正确。注意事设备、DNAT到内网等场景，应给每条线路配置策略路由。4、做NAT池时，最好把运营商分配的用作NAT的地址都配置在接口上（也有遇到过不配置服务器看到的源IP地址都为设备LANIP地址或者DNS-MAp。AF出接口IP。生效；在某些不恰当的接线方式下，开启ARP会导致网络中断,请注意这一点。管理IPmanage口只做管理用，不要配置在双机的网口列表中。 路由模式（通过前置网关设备上网网络拓置网关的内网接口，ETH1口连接内部局域网的交换机。接线规基本配置规Manage：51/24，默认用户名2ETH2、ETH1接口为路由口,ETH2接口启用WAN属性，正确配AFIP地址和外网IP地址，合理配置区域信息，要求接口、内网接口应属于不同的区域。 网关设备WAN口的地址，并放通前置网关上的规则。5、AF路由模式，单线路时，应添加全0的默认路由；当是多线路时，应配置策略6、根据内网的网段来配置源地址转换规则，如果有内网服务器发布到，应配置目的地址转换规则，根据需要配置双向NAT规则或DNSmap。8ARPARP（AF）ARP10、设备上架以后，建议通过升级客户端登陆设备，地址，尽可能的验证每个服务器和每个私有网段的连通性，包括tcp、udpicmp协议，看是否有丢包现象；查看网兼容性问题；查看设备路由表，arp表是否正确。注意事设备、DNAT到内网等场景，应给每条线路配置策略路由。4、做NAT池时，最好把运营商分配的用作NAT的地址都配置在接口上（也有遇到过不配置服务器看到的源IP地址都为设备LANIP地址或者DNS-MAp。AF出接口IP。生效；在某些不恰当的接线方式下，开启ARP会导致网络中断。管理IP不能删除。应将manage口只做管理用 网关设备WAN口的地址，并放通前置网关上的规则。AF路由模式（VLAN环境网络拓网交换机的TRUNK口。接线规基本配置规Manage：51/24，默认用户名5、AF路由模式，单线路时，应添加全0的默认路由；当是多线路时，应配置策略6、根据内网的网段来配置源地址转换规则，如果内网有服务器发布到应配置目的地址转换规则，根据需要配置双向NAT规则或DNSmap。8ARPARP（AF）ARP9、设备上架以后，建议通过升级客户端登陆设备，地址，尽可能的验证每个服务器和每个私有网段的连通性，包括tcp、udp和icmp协议，看是否有丢包现象；查看网兼容性问题；查看设备路由表，arp表是否正确。注意事设备、DNAT到内网等场景，应给每条线路配置策略路由。4、做NAT池时，最好把运营商分配的用作NAT的地址都配置在接口上（也有遇到过不配置服务器看到的源IP地址都为设备LANIP地址或者DNS-MAp。AF出接口IP。生效；在某些不恰当的接线方式下，开启ARP会导致网络中断。管理IP不能删除。应将manage口只做管理用 路由模式（内网通过服务器上网网络拓接线规基本配置规2、配ETH2、ETH1为路由口,ETH2接口WAN属性，正确配置AFIP地址和外网IP地址，合理配置区域信息，要求接口、内网接口应属于不同的区域。4AF路由模式，单线路时（单个ISA），应添加全0的默认路由；当是多线路时（多个ISA），应配置策略路由，具体策略路由的配置根据客户需求合理配置，下面有多个网段时，要在AF中添加各个网段的回程路由。换规则，根据需要配置双向NAT规则或DNSmap。7ARPARP（AF）ARP8、设备上架以后，建议通过升级客户端登陆设备，地址，尽可能的验证每个服务器和每个私有网段的连通性，包括tcp、udp和icmp协议，看是否有丢包现象；查看网兼容性问题；查看设备路由表，arp表是否正确。13、内网PC在IE浏览器-INTERNET选项-连接-局域网设置-服务器设置将AF的IP排除，详细设置请参照《SINFOR_AC_案例分析(2009年度技术培训)_ 注意事设备、DNAT到内网等场景，应给每条线路配置策略路由。4、做NAT池时，最好把运营商分配的用作NAT的地址都配置在接口上（也有遇到过不配置5、内网有服务器，内网需要根据方式来的，要注意做双向地址转换保证服务器看到的源IP地址都为设备LANIP地址或者DNS-MAp。AF出接口IP。生效；在某些不恰当的接线方式下，开启ARP会导致网络中断。管理IP不能删除。应将manage口只做管理用。 路由模式（双机热备-主备网络拓接线规ETH1AFETH1基本配置规MANAGE:51/24，默认用户名Admin/sangfor3、配置AF设备的ETH1、ETH2、ETH3口为路由口，ETH3口启WAN属性；其中ETH1口作为高可用性口配置HA属性地址，正确配置AF内网IP地址和IP地址，合理配置区域信息，要求接口、内网接口应属于不同的区域。Modem（106、AF路由模式，单线路时，应添加全0的默认路由；当是多线路时，应配置策略7、根据内网的网段来配置源地址转换规则，如果有内网服务器发布到应配置目的地址转换规则，根据需要配置双向NAT规则或DNSmap。9ARPARP（AF）ARP10、设备上架以后，建议通过升级客户端登陆设备，地址，尽可能的验证每个服务器和每个私有网段的连通性，包括tcp、udpicmp协议，看是否有丢包现象；查看网兼容性问题；查看设备路由表，arp表是否正确。MANAGE:51/24，默认用户名Admin/sangfor由组，虚拟组ID应与主机设备相同；启用配置同步，并选择同步信息。注意事设备、DNAT到内网等场景，应给每条线路配置策略路由。5、做NAT池时，最好把运营商分配的用作NAT的地址都配置在接口上（也有遇到过不配置服务器看到的源IP地址都为设备LANIP地址或者DNS-MAp。AF出接口IP。会生效；在某些不恰当的接线方式下，开启ARP会导致网络中断。管理IP不能删除。应将manage口只做管理用 路由模式（双机热备-主主网络拓环境描述：两台同时工作，正常情况下内网用户A通过路由器A上网；内网用户B内网用户B可以走路由器A上网；当A挂了，内网用户都走B上网；当B挂了，内网用户都走A上网接线规口连接三层交换A，两AFETH4口连接三层交B，AFETH5口使用交叉线对接另一台AF设备ETH5口MANAGE:51/24，默认用户名3、配AFETH1、ETH2、ETH3、ETH4、ETH5口为路由口，ETH1、ETH2WAN性；其中ETH5口作为高可用性口配置HA属性地址，正确配置AF内网IP地址和IP地址，合理配置区域信息，要求接口、内网接口应属于不同的区域。7、AF路由模式，单线路时，应添加全0的默认路由；当是多线路时，应配置策略8、根据内网的网段来配置源地址转换规则，如果有内网服务器发布到，应配置目的地址转换规则，根据需要配置双向NAT规则或DNSmap。10、开ARP能和ARP能，以让前置设备（如AF的网关设备）能更新到AF的11、设备上架以后，建议通过升级客户端登陆设备，地址，尽可能的验证每个服务器和每个私有网段的连通性，包括tcp、udp和icmp协议，看是否有丢包现象；查看在兼容性问题；查看设备路由表，arp表是否正确。13、开放内网服务器和网络设备的全部上网权限，开放主动内网服务器的相关权MANAGE:51/24，默认用户名Admin/sangfor18、配置AFB设备的高可用性，选择本机地址，对端地址；启机热备，并设置HA注意事1、双机配置中，eth0口设置在虚拟路由组的“网口列表”中，否则可能会导致无2、路由模式下，相邻交换机的IP必须在不同网段，因为AF两个互为备份的接口不能配置在同一网段，否则回包路由不明确，上图中即路由器A和路由器B在不同网段，交换机A和交换机B在不同网段。设备、DNAT到内网等场景，应给每条线路配置策略路由。7、做NAT池时，最好把运营商分配的用作NAT的地址都配置在接口上（也有遇到过不配置服务器看到的源IP地址都为设备LANIP地址或者DNS-MAp。AF出接口IP。会生效；在某些不恰当的接线方式下，开启ARP会导致网络中断。管理IP不能删除。应将manage口只做管理用。 基本网桥模式配置网络拓环境描述：ETH2口连接互联网，ETH1口连接局域网交换机，将设备部署在部署设备前后对接线规基本配置规ARP6、设备上架以后，建议通过升级客户端登陆设备，地址，尽可能的验证每个服务器和每个私有网段的连通性，包括tcp、udp和icmp协议，看是否有丢包现象；查看网兼容性问题；查看设备路由表，arp表是否正确。注意事生效；在某些不恰当的接线方式下，开启ARP会导致网络中断。认管理IP不能删除。应将manage口只做管理用 网桥模式（支持链路聚合网络拓环境描述：局域网交换机与出口路由相连的接口启用了链路聚合（hash802.ad，不支持轮询。将设备部署在出口和局域网交换机之间，设备ETH1、ETH2口连接内网接口，设备ETH3、ETH4口连接局域网交换机。部署设备前后对接线规基本配置规Manage：51/24，默认用户名2、配ETH1、ETH2、ETH3、ETH4接口为透明口，并选择连接类access，ETH1ETH3的accessID设置1，ETH2ETH4accessID设置2,ETH1、ETH2口启用WAN属性，合理配置区域信息，要求接口、内网接口应属于不同的区域。3、设备上架前放通相应的应用控制策略并确认放通所有2层协议。AF默认策略是全部5ARPARP（AF）ARP6、设备上架以后，建议通过升级客户端登陆设备，地址，尽可能的验证每个服务器和每个私有网段的连通性，包括tcp、udp和icmp协议，看是否有丢包现象；查看网兼容性问题；查看设备路由表，arp表是否正确。注意事生效；在某些不恰当的接线方式下，开启ARP会导致网络中断。认管理IP不能删除。应将manage口只做管理用。AF网桥模式（支持VLAN网络拓环境描述：局域网交换机与相连的接口启用了TRUNK。将设备部署在和局域网交换机之间，设备ETH2口连接内网接口，设备ETH1口连接局域网交换 部署设备前后对接线规基本配置规1、通过管理IP登录设备，设备管理口默认的IP地址为：2、ETH2、ETH1接口为透明口，并选择连接类trunk，NativeVlan根据客户设备而IPETH2ARP6、设备上架以后，建议通过升级客户端登陆设备，地址，尽可能的验证每个服务器和每个私有网段的连通性，包括tcp、udp和icmp协议，看是否有丢包现象；查看网兼容性问题；查看设备路由表，arp表是否正确。注意事生效；在某些不恰当的接线方式下，开启ARP会导致网络中断。认管理IP不能删除。应将manage口只做管理用。 网桥模式（内网通过服务器上网环境一网络拓环境1描述：服务器路由模式部署在局域网交换机与之间。将设备部署在服务器和局域网交换机之间，设备ETH2口连接服务器内网接口，设备ETH1部署设备前后对比设备WAN口与服务器方向的交换机相连，设备LAN口连接局域网交换机。部署设备前后对比接线规基本配置规1、通过管理IP登录设备，设备管理口默认的IP地址为：2、配置ETH2、ETH1接口为透明口，并选择正确的连接类型，当需要进行vlan时选择trunk，当无需vlan时，选择access并配置同一ID，ETH2口启用WAN属性，合理配置区域信息，要求接口、内网接口应属于不同的区域。ARP7、设备上架以后，建议通过升级客户端登陆设备，地址，尽可能的验证每个服务器和每个私有网段的连通性，包括tcp、udp和icmp协议，看是否有丢包现象；查看网兼容性问题；查看设备路由表，arp表是否正确。注意事生效；在某些不恰当的接线方式下，开启ARP会导致网络中断。 网桥模式（内网通过服务器上网环境二网络拓环境描述：服务器单臂模式部署在局域网交换机与之间。将设备部署在服务器和局域网交换机之间，设备ETH2口连接服务器内网接口，设备ETH1口部署设备前后对接线规基本配置规ARP7、设备上架以后，建议通过升级客户端登陆设备，地址，尽可能的验证每个服务器和每个私有网段的连通性，包括tcp、udp和icmp协议，看是否有丢包现象；查看网兼容性问题；查看设备路由表，arp表是否正确。注意事生效；在某些不恰当的接线方式下，开启ARP会导致网络中断。认管理IP不能删除。应将manage口只做管理用。 网桥模式（VRRP、双机热备环境网络拓环境描述：前置设备启用VRRP协议或双机热备，将设备以网桥多网口的方式部署在前置设备和局域网交换AFETH1口连接路A，两AFETH2口连接路由器B,AFETH3口连接三层交换机AAFETH4口连接三层交换机B，AF设备ETH5口使用交叉线对接另一台AF设备ETH5口部署设备前后对接线规口连接三层交换A，两AFETH4口连接三层交B，AFETH5口使用交叉线对接另一台AF设备ETH5口基本配置规MANAGE:51/24，默认用户名trunkETH2-ETH4为同一IDaccess口或相vlan范围trunk口，启用接要求接口、内网接口应属于不同的区域。5VRRPIP112。AF默认策略是全部的，应放通内网的相关应用，如果内网有服务器发布到公7、设备上架以后，建议通过升级客户端登陆设备，地址，尽可能的验证每个服务器和每个私有网段的连通性，包括tcp、udp和icmp协议，看是否有丢包现象；查看网兼容性问题；查看设备路由表，arp表是否正确。MANAGE:51/24，默认用户名Admin/sangfor。15、B设备关机上架，接好ETH1、ETH2、ETH3、ETH4四根网线，并确认接好HA注意事生效；在某些不恰当的接线方式下，开启ARP会导致网络中断。认管理IP不能删除。应将manage口只做管理用 网桥模式（动态路由网络拓环境描述：交换机和前置之间启用动态路由协议（ospf），将设备以多网桥的方式部署置设备和局域网交换机之间，设备ETH1、ETH2口连接前置设备，设备ETH3、ETH4口连接局域网交换机。部署设备前后对接线规口连接三层交换A，两AFETH4口连接三层交B，AFETH5口使用交叉线对接另一台AF设备ETH5口基本配置规MANAGE:51/24，默认用户名3、配AF设备ETH1ETH2ETH3ETH4口为透明模式接口，ETH5为路由模式，其口，启用接口link状态联动，新增物理接口ETH1-ETH3联动、ETH2-ETH4联动，合理配置区域信息，要求接口、内网接口应属于不同的区域。7、设备上架以后，建议通过升级客户端登陆设备，地址，尽可能的验证每个服务器和每个私有网段的连通性，包括tcp、udp和icmp协议，看是否有丢包现象；查看网兼容性问题；查看设备路由表，arp表是否正确。MANAGE:51/24，默认用户名Admin/sangforHA注意事生效；在某些不恰当的接线方式下，开启ARP会导致网络中断。认管理IP不能删除。应将manage口只做管理用。AF网桥部署（Bypass功能网络拓环境描述：以AF1120为例设备网桥模式部署，将设备部署在和局域网交换机之间，ETH2口连接前置，ETH1口连接局域网交换机，并启用Bypass功能。其他型号设备的bypass口在面板上可见标出。 部署设备前后对接线规基本配置规Manage：51/24，默认用户名接口启WAN设备上需要跑vlan发，则连接类trunkvlan围信息，合理配置区域信息，要求接口、内网接口应属于不同的区域。5、设备上架以后，建议通过升级客户端登陆设备，地址，尽可能的验证每个服务器和每个私有网段的连通性，包括tcp、udp和icmp协议，看是否有丢包现象；查看网兼容性问题；查看设备路由表，arp表是否正确。注意事生效；在某些不恰当的接线方式下，开启ARP会导致网络中断。认管理IP不能删除。应将manage口只做管理用。 mac 混合部署（路由加网桥网络拓路由器走NAT出去上网，不希望将公网ip都配置到路由设备上再做端口映射，而是服务器直接配置公网ip，现在希望AF能代替路由器。接线规基本配置规Manage：51/24，默认用户名用WAN属性；ETH3口为路由模式，正确配置AF内网IP地址到ETH3口，IP地址到新建Vlan接口Veth.1接口，合理配置区域信息，要求接口、内网接口应属于不同4、AF路由模式，单线路时，应添加全0的默认路由；当是多线路时，应配置策略5、根据内网的网段来配置源地址转换规则，如果有内网服务器发布到，应配置目的地址转换规则，根据需要配置双向NAT规则或DNSmap。7ARPARP（AF）ARP8、设备上架以后，建议通过升级客户端登陆设备，地址，尽可能的验证每个服务器和每个私有网段的连通性，包括tcp、udp和icmp协议，看是否有丢包现象；查看网兼容性问题；查看设备路由表，arp表是否正确。注意事设备、DNAT到内网等场景，应给每条线路配置策略路由。5、做NAT池时，最好把运营商分配的用作NAT的地址都配置在接口上（也有遇到过不配置服务器看