深信服上网行为管理-安装部署指南

1、深信服上网行为管理安装部署指南特殊网络环境部署培训内容培训目标双机部署了解双机的适用环境 掌握设备各种部署模式下的双机部署和配置方法了解双机部署下的注意事项多机部署了解多机的适用环境掌握常见网络中的多机部署及配置方法了解多机部署的注意事项内网有代理服务器环境部署了解内网有代理服务器时设备的部署适用环境掌握常见代理环境中的部署和配置方法了解内网有代理服务器环境下部署的注意事项TRUNK环境部署了解TRUNK环境下部署的适用场景掌握TRUNK环境下的部署和配置方法了解TRUNK环境下部署的注意事项网桥无可用桥地址环境掌握此环境下设备的配置双机部署多机部署内网代理环境部署SANGFOR AC&SG网

2、桥无可用桥地址环境部署TRUNK环境部署双机部署双机部署环境 双机维护指两台设备通过心跳线连接，实现热备份（保持心跳和配置同步）。正常情况下，只有主设备工作，如果主设备故障，则自动切换到备设备，备设备接替换主设备工作。从而保证客户的业务不受影响，网络不中断。 双机维护环境只有一台主设备处于正常工作状态，另一台备设备处于监听状态。 适用环境：对网络稳定性要求较高的客户环境。两台设备路由、网桥或旁路部署时，都 支持双机，但通常情况双机的两台设备多为路由模式。常见网络环境中的双机部署方式路由模式下的双机部署（常见方式）：连接方式：两台SANGFOR AC/SG设备的CONSOLE口通过双机心跳线相连

3、，设备的内外网口各自连接到内外网的二层交换机或三层交换机的同一个VLAN。常见网络环境中的双机部署方式网桥模式下的双机部署连接方式：两台AC/SG设备的CONSOLE口之间通过双机心跳线连接，桥接方式与单台设备网桥模式类似。常见网络环境中的双机部署方式旁路模式下的双机部署：连接方式：两台AC/SG设备的CONSOLE口之间通过双机心跳线连接。交换机上需要设置两个相同的镜像口用于连接到两台设备的监听口，另外两台设备的管理口连接到交换机同一个VLAN的接口上。双机维护配置1、将一台设备配置好部署模式（路由，网桥或旁路）。2、在同一台设备启用双机服务，并设置双机的相关选项用于显示双机通信是否正常用于

4、设置当前设备名称，可以自定义方便区分的两台设备的名称设置双机自动切换的超时时间，默认为10s监测所选择的网口的连接状态，如果断开连接则自动发生主备切换，保证网络正常。 注意：设备暂时没有用到的接口请不要勾选，因为接口没有用却检测接口状态会导致双机异常。启用串口故障检测后，当串口发生故障，可以通过此处选择的网口发送网络数据包来检测对端设备的存在，维护主备关系（如果串口线掉了，很有可能会导致两台设备同时切换为主机，为避免IP冲突，会自动将一台设备切换为备机，恢复成只有一台设备正常工作的情况）。需要注意的是此处选择的网口必须接在同一交换机上，否则无效。选择启用的目的是在对设备进行升级时，关闭主备机切

5、换功能，避免升级过程中发生主备切换，导致升级失败。点击启用后主备机不能自动切换，请慎用此功能，建议只在对主备机器进行升级维护的时候才开启此模式，升级完成请后务必关闭升级模式。用于手动切换到主机或备机，并且显示最后一次主备机切换的时间。用于手动点击按钮同步配置。双机维护配置 3.用同样的方法配置另外一台设备 双机维护配置 4. 将主备机按照物理拓扑连接好，用双机心跳线（全反线）将两台设备的CONSOLE口连接起来。 5. 选择一台设备做主机先加电开机，主机启动后，备机再加电，正常工作后，主机的配置会通过双机心跳线自动同步到备机，只需要配置主设备即可。双机维护注意事项1、双机部署的两台设备，软件版

6、本和硬件型号要一致。2、双机部署的两台设备配置自动实时同步，完全一样。3、只能2台设备部署为双机，2台以上不支持部署双机。4、双机部署的两台设备，只有一台在工作，另一台在监听。5、双机通过console口维护心跳及同步配置。当console出现故障时，可以通过网口维护主备关系6、主备机版本升级，为确保对客户网络影响最小，建议下架升级，按照下面的顺序进行。备机先下架升级-备机升级完成后上架并切换至主机-观察工作是否正常-原先的主机下架升级-原先的主机升级完成后上架并切换成主机-观察工作是否正常。多机部署多机应用环境 多机部署由多台AC/SG设备通过通信网口同步配置。多机部署的设备同时工作，没有主

7、备之分。如右图所示，当两台交换机或两台路由器主备或主主部署时，AC以多机部署串接在中间。 适用环境： 客户原有网络中有多台交换机，防火墙或路由器主主或主备部署时，AC以网桥串接在中间，建议使用多机部署。部署为多机的设备之间通过通信网口（即空闲的网口）使用组播同步配置。设备的通信网口需要接在同一个网段。多机部署配置1、将需要部署为多机的所有设备均配置为网桥模式。2.、启用多机同步，并设置多机的相关选项。用于进行设备配置信息同步的网络接口，此例中使用空闲网口DMZ口做通信网口，所以此处选择DMZ口。用于给通信网口定义一个IP地址，两台设备通信网口的IP地址最好设置同一网段，注意不要跟现有接口的IP

8、地址网段冲突。用于配置设备进行多机同步的组播地址，因为多机同步配置是通过组播实现的，所以通信接口需要属于同一广播域，并且此处的的组播地址需要多台设备设置完全相同。显示同步设备的IP地址。多机部署配置 3. 按图如下拓扑接线上架4.配置完成后，点击向其它设备同步配置，配置会同步至另一台设备。多机部署注意事项4、多机配置无法实时同步，需要人为点击同步按钮1、多机部署的设备，要求软件版本一致，硬件平台无要求。2、多机部署的设备同时工作，没有主备之分3、两台或两台以上的设备可以部署多机5、多机部署的设备通过网口同步配置内网代理服务器环境部署内网代理服务器环境部署应用场景 内网通过代理服务器上网，由于用

9、户所有数据是发往代理服务器的，目标IP是代理服务器的IP，真实的上网数据通过代理服务器封装后转发到公网。 在这样的网络环境下，如果要对上网用户采用不同的上网策略，记录真实的访问公网的数据，AC/SG的部署和其他网络环境中的部署就有区别 适用环境：用户通过内网代理服务器上网，并且需要准确识别用户通过代理服务器上网的数据和分权限控制。常见代理环境中的部署方式1. 代理服务器双网卡（AC/SG设备路由或网桥模式部署）设备可采取路由模式或网桥模式部署在客户端与代理服务器之间，考虑到内网改动的大小，建议采用网桥模式部署。必须保证内网发往代理服务器的数据先经过AC/SG设备，也就是代理服务器应该部署于AC

10、/SG设备的WAN口方向。常见代理环境中的部署方式2. 代理服务器双网卡（AC/SG设备旁路模式部署）如果主要用于审计，设备可采取旁路模式部署，用于监听内网发往代理服务器的所有数据。常见代理环境中的部署方式3. 代理服务器单网卡（AC/SG设备网桥模式部署）如左图所示，代理服务器以单臂模式接在核心交换机上。内网用户上网数据先通过交换机到达代理服务器，再由代理服务器经核心交换机和防火墙到公网。针对这种环境，给出以下解决方案常见代理环境中的部署方式3. 代理服务器单网卡（AC设备网桥模式部署）这种部署默认不支持，需要提前在后台修改配置。如遇此场景，请联系厂家技术支持处理。内网代理环境部署配置1.

11、将设备采用以上各拓扑中的部署方式（路由，网桥，旁路）进行配置，然后接入到网络中。2. 在设备“代理服务器设置”选项中填入代理服务器的IP。在方框里面填上代理服务器IP地址或者IP地址范围。点击提交保存配置生效3. 在设备“代理服务器设置”选项中填入代理服务器的IP。内网代理环境部署注意事项1、必须保证客户端发到代理服务器的数据先经过AC/SG设备，也就是代理服务器应该部署在AC/SG设备的WAN口方向。TRUNK环境部署TRUNK环境部署 Trunk是一种封装技术，它是一条点到点的链路，链路的两端可以都是交换机，也可以是交换机和路由器，还可以是主机和交换机或路由器。VLAN Trunk(虚拟局

12、域网中继技术)的作用是让连接在不同交换机或路由器上的相同VLAN中的主机互通。 SANGFOR AC/SG在路由模式下LAN口支持配置为trunk口，网桥模式（包括多网桥）支持穿透trunk封装的数据。TRUNK环境部署 拓扑如左图所示，交换机划分了三个VLAN，VLAN ID分别为10，20，30。路由器内网口配置为trunk口，各vlan间的互访通过路由器路由。 需求：部署AC实现上网行为管理 TRUNK环境部署：路由模式直接替代原有的路由器做路由模式部署TRUNK环境部署：路由模式_配置思路3、若要实现各VLAN之间的数据互访，需要将AC设备的LANLAN防火墙规则放通。1、AC路由模式

13、部署直接替代原有的路由器（或FW），并按照路由模式部署配置好设备。2、配置LAN口为trunk口。LAN口IP不能属于任何VLAN，可随意配置。启用vlan接口，分别填写各个VLAN的ID及IP，此IP即原来路由器（或FW）上各VLAN的网关IP。LAN口（eth0）填写任一个不存在的IP启用VLAN并据实填写VLAN地址信息配置完成后可看到配置汇总信息TRUNK环境部署：路由模式_配置步骤TRUNK环境部署：路由模式_配置步骤TRUNK环境部署：网桥模式不改变原有拓扑结构，AC网桥模式串接在交换机和防火墙之间（推荐方案）1、网桥模式部署在路由器与交换机之间，按网桥模式部署配置好设备。2、网桥

14、IP配置为不属于任何VLAN的IP，网桥的网关指向任意一个VLAN的网关。配置启用VLAN，并按格式填写每个VLAN可用的IP。TRUNK环境部署：网桥模式_配置思路填写任一个不存在的网桥IP据实填写其中一个能与互联网通信的VLAN的网关IP和准确的DNS信息启用VLAN并填写VLAN信息配置完成后可看到汇总信息TRUNK环境部署：网桥模式_配置步骤注意AC网桥模式部署在trunk环境中，设备也可以不启用vlan配置，此时为了管理设备，可以将dmz口接到内网交换机的一个vlan，通过dmz口管理设备。网桥无可用桥地址环境部署网桥无可用桥地址环境部署网桥模式部署（单网桥或多网桥），需要考虑AC所串接的防火墙和交换机之间的网段是否存在空闲的IP地址，如果有则分配一个该网段的IP地址给AC作为网桥的IP地址；如果没有（如左图），AC的网桥IP可任意配置，同时将管理口（DMZ口）接到交换机上并配置管理口地址，用于设备管理和设备与外网通信。管理口（DMZ）IP：10.10.10.1/30IP：10.10.10.2/30IP：192.16