SANGFOR_AC_2010年度渠道培训03(AC部署).ppt

《SANGFOR_AC_2010年度渠道培训03(AC部署).ppt》由会员分享，可在线阅读，更多相关《SANGFOR_AC_2010年度渠道培训03(AC部署).ppt（44页珍藏版）》请在三一办公上搜索。

1、AC 部 署,AC 部 署,1、AC部署模式2、AC部署模式设置3、AC部署案例,1、AC部署模式,针对不同的客户网络环境及不同客户的需求，AC有三种部署模式，分别为路由模式、网桥模式和旁路模式。,1.1 路由模式（AC相当于路由器，代理PC上网）,应用环境：客户用AC做访问控制的同时，需要AC当路由器使用，并代理内网上网等。,1.1 路由模式（续）,网络拓朴：,1.1 路由模式（续）,功能特点：（1）可以实现AC所有功能，对客户网络结构改变较大。（2）内外网口不能在同一网段，可以自定义网口。（3）有前置设备情况下，启用网关杀毒、邮件过滤等功能，或AC需要自动升级URL等内置库时，需要正确设置

2、前置设备规则（防火墙、路由等），保证AC设备可访问外网（所有部署模式下均需注意）（4）客户需要使用nat、vpn和dhcp功能时使用路由模式。（5）支持802.1Q vlan协议。,1.2 网桥模式（AC相当于交换机，平滑部署到客户网络）,应用环境：AC网桥模式分为网桥多网口和多网桥，一般适用于客户已经有FW或路由器代理上网，需要用到AC做访问控制和监控，无需用到vpn，nat，dhcp等功能，并且希望不改变客户网络原有结构，AC可以平滑部署到网络中，即使设备宕机，对客户网络影响不大。或客户内网原有VRRP或HSRP环境，架上AC做多网桥实现基本审计控制功能的同时，不影响客户原有主备的切换。建

3、议用网桥模式部署。,1.2 网桥模式（续）,网络拓朴：,多网桥,网桥多网口,又称单网桥,多网桥一般适用于客户内网有VRRP或HSRP环境，架上AC做多网桥实现基本审计控制功能的同时，不影响客户原有主备的切换。,1.2 网桥模式（续）,功能特点：（1）AC做网桥部署，相当于网线，平滑架到网络中，不改变客户网络结构。（2）单网桥模式下，只有lan口和wan1口可用，dmz口为管理口；多网桥部署时，设备所有接口均可做网桥接口。（3）需设置网桥IP，如启用杀毒、邮件过滤等功能，则须配置默认网关和DNS，并保证 AC本身访问外网（可通过升级控制台工具“ping”测试）。（4）如 启用WEB认证、准入规则

4、、URL过滤，同时 内网有多网段时，须添加 到内网非直连网段的路由指向内网路由设备。（5）网桥模式下不能实现NAT（代理上网和端口映射），vpn、dhcp功能不可用，不能自定义网口。（6）设备做多网桥时部署在网关设备与交换机之间，不改动内网环境，相当于多网口二层交换机。可以实现对内网VRRP环境和双机热备环境的支持。（7）支持802.1Q vlan协议。,1.3 旁路模式（主要用作审计功能，不影响客户网络）,应用环境：客户网络已经规划好，且网络很重要，用AC主要做审计及一些简单的控制功能。并且希望如果设备出现故障，不会对正常应用告宬任何影响。,1.3 旁路模式（续）,网络拓朴：,1.3 旁路模

5、式（续）,功能特点：（1）AC连接在内网交换机的镜像口或HUB上，对最整个局域网进行旁路模式的监控与控制。不改动现有网络，即使设备宕机也不会对用户的网络造成影响（2）AC的LAN或WAN接口都可用作旁路接口（不需设置IP），DMZ只能作为管理接口，不能用做旁路接口。（3）如果交换机没有镜像口，可以在交换机前加接HUB，AC连接到HUB上实现旁路。（4）如需部署数据中心可从DMZ口同步日志数据（需配置DMZ网关或相应系统路由）。（5）访问控制仅对TCP类服务有效。（6）AC要自动更新（URL），则必须配置正确dmz口IP地址、网关、DNS，保证AC设备可访问外网。（7）AC在旁路模式下主要实现审

6、计功能，简单的控制功能（TCP类应用），nat，vpn，dhcp，准入无法实现。（8）Ac旁路部署时，如果lan口作为监听口，则网关运行状态不显示流量图，如果wan1口作为监听 口，可以看到接收的流量。,2、AC三种模式设置,2.1 路由模式设置,网关当前所在运行模式配置信息,至此，AC已配成路由模式，并代理192.168.125.0/24网段上网。最后还需要放通防火墙lan-wan规则，默认是放通的。,2.2 网桥模式设置,（1）网桥多网口配置-单网桥配置,（1）网桥多网口配置（续）-单网桥配置,（2）多网桥配置（以双网桥为例）,多网桥一般适用于客户内网有VRRP或HSRP环境，架上AC做多

7、网桥实现基本审计控制功能的同时，不影响客户原有的主备设备切换。,（2）多网桥配置（续）,网桥1和网桥2的vlan配置，如果内网无trunk环境，此处保持默认禁用即可。,2.3 旁路模式设置,配置管理口地址及设备网关等信息,填写需要监控的网段,填写需要监控的服务器地址,排除不需要监控的地址,3、AC三种模式案例,3.1、简单网络3.2、内网多网段3.3、内网划分VLAN3.4、使用代理服务器3.5、VRRP环境下的支持3.6、特殊环境（应用）,客户环境：路由器（FW）NAT代理上网，单一网络，无多网段,客户需求：1、URL过滤、IM监控、上网行为记录,可选部署方式：路由、网桥、旁路,3.1、简单

8、网络,部署方法：1、网关运行模式切换为路由模式；2、配置内、外网IP信息；3、添加NAT规则,替换原网关，路由模式部署,部署方法：1、更改路由器内网IP，同时修改NAT规则、防火墙过滤规则；2、网关运行模式切换为路由模式；3、配置内、外网IP信息；4、WAN口连接路由器，LAN口连接交换机,注意事项：1、需要改变原网络环境；2、AC可启用NAT代理。如AC不启用NAT代理，则路由器上需保留路由器原NAT规则，同时添加对192.168.2.x网段的NAT规则、防火墙过滤规则（保证AC可以连接外网进行更新、网关杀毒可用），并在添加回包路由。3、前置设备上的DHCP、IP/MAC绑定不可用,保留原网

9、关，路由模式部署,部署方法：1、将网关运行模式切换为“网桥模式”；2、配置网桥IP，网关指向前置设备；3、WAN1口连接路由器，LAN口连接交换机,注意事项：1、如不需要启用网关杀毒、准入规则等功能，网桥IP可设置与内网不同网段；2、启用杀毒等功能则网桥IP必须配置为同网段，网关、DNS配置正确，前置设备须放行AC上网数据（保证AC本身可以访问外网）启用这类功能时实际是AC代理访问。,保留原网关，网桥模式部署,部署方法：1、将网关运行模式切换为“旁路模式”；2、配置管理接口“DMZ”IP信息，添加需监控的内网网段；3、将AC LAN或WAN1接口接到交换机的镜像口或HUB上,注意事项：1、DM

10、Z口不可用于监控。2、缺省不监控内网间的数据。3、WAN1口不要接HUB，否则容易导致异常。,旁路部署?,客户环境：内网划分多网段，（非VLAN），路由器绑定多IP。,客户需求用户上网认证、分组访问控制、网关杀毒、邮件审计,可选部署方式：路由、网桥、旁路,3.2、内网多网段（极特殊）,部署方法1、将网关运行模式切换为“路由模式”；2、配置内、外网接口，在LAN接口设置中配置多IP绑定,注意事项：1、多网段之间需要互访，需设置AC防火墙LANLAN规则，放行相应数据（也可通过LANLAN 规则实现多网段之间的访问控制）2、要代理多网段上网，需在NAT设置中添加相应代理信息。,替换原网关，路由模式

11、部署?,部署方法：1、将网关运行模式切换为“网桥模式”；2、配置网桥IP，网桥IP可设置为任意子网地址；3、WAN1口连接路由器、LAN口连接交换机,注意事项：1、如启用网关杀毒、邮件过滤等功能需将网关指向前置设备、配置正确的DNS，并保证AC本身能够上网（前置设备上需放行AC数据）；2、如启用URL、准入规则，需设置多IP绑定。3、网桥模式下DMZ不可用（只能作为管理接口）4、VPN功能不可用,保留原网关，网桥模式部署?,部署方法：1、将网关运行模式切换为“旁路模式”；2、配置管理接口“DMZ”IP信息，添加需监控的内网网段；3、将AC LAN或WAN1接口接到交换机的镜像口或HUB上；,注

12、意事项：1、DMZ口不可用于监控。2、缺省不监控内网间的数据。3、WAN1口不要接HUB，否则容易导致异常。,旁路模式部署,？,讨论：其他多网段环境,客户环境：内网二层交换机上划分了多个 VLAN，通过网关路由器实现NAT代理上网和VLAN之间路由,客户需求：URL过滤、P2P控制、邮件过滤,可选部署模式：路由，网桥，旁路,3.3、内网划分VLAN,部署方法1、将网关运行模式切换为“路由模式”；2、配置内、外网接口IP信息；3、LAN接口启用VLAN并添加相应VLAN信息,注意事项：1、LAN口需配置一个不属于任意VLAN的IP。例如：LAN口地址设置为1.1.1.1（此IP不属任何VLAN)

13、2、在VLAN设置中需要添加每个VLAN的IP和ID。,替换原网关，路由模式部署!,替换原网关，路由模式部署（续）,第一步：按照2.1介绍的将设备配置成路由模式。第二步：lan口启用vlan设置，配置各Vlan的IP地址等信息，见下图。,部署方法：1、将网关运行模式切换为“网桥模式”；2、配置网桥IP；3、点击VLAN设置，勾选“启用VLAN”并添加各VLAN信息；4、WAN口连接路由器，LAN口连接交换机,注意事项：1、网桥IP需配置一个不属于任意VLAN的IP。例如：LAN口地址设置为1.1.1.1（此IP不属任何VLAN)2、在VLAN设置中需要添加每个VLAN的IP和ID。,保留原网关

14、，网桥模式部署,保留原网关，网桥模式部署（续）,配置网桥模式过程中启用vlan配置，见下图所示：,部署方法：1、将网关运行模式切换为“旁路模式”；2、配置管理接口“DMZ”IP信息，添加需监控的内网网段；3、将AC LAN或WAN1接口接到交换机的镜像口或HUB上；,保留原网关，旁路模式部署,用户环境：路由器作为NAT代理网关，有专门的代理服务器，客户端配置的使用代理方式上网,用户需求：IM监控、访问记录、流控,可选部署方式：路由、网桥、旁路,3.4、使用代理服务器,部署方法：1、将网关运行模式切换为“路由模式”；2、配置内、外网接口IP信息；3、在AC控制台-高级选项-“代理服务器设置”中添

15、加代理服务器IP,注意事项：1、使用路由模式部署可能涉及内网改动较大，建议使用网桥部署2、必须正确配置代理服务器列表。3、把AC的IP在IE的代理排除列表里排除掉。,路由模式部署,部署方法：1、将网关运行模式切换为“网桥模式”；2、配置网桥IP信息；3、在AC控制台-高级-“代理服务器设置”中添加代理服务器IP。,注意事项：1、代理服务器设置与路由模式部署相同；2、必须正确配置代理服务器列表。3、把AC网桥IP在IE的代理排除列表里排除掉。4、如果AC本身要通过代理服务器上网更新内置库，只支持HTTP代理的方式（只有AC 1.8版本才支持）。,网桥模式部署,部署方法：1、将网关运行模式切换为“

16、旁路模式”；2、配置管理接口“DMZ”IP信息，添加需监控的内网网段；3、在AC控制台-高级选项-“代理服务器设置”中添加代理服务器IP4、将AC LAN接口接到交换机的镜像口或HUB上,旁路模式部署,客户需求：需要AC做审计、上网行为管理、网关杀毒、IPS、流量管理等；并且前面防火墙链路出现问题或者出现宕机之后，网络还能够切换,3.5、VRRP环境下的支持,客户环境：内网两台CISCO交换机做HSRP部署，前面是两台CISCO防火墙做双出口。两台CISCO交换机，PC段（百兆链路）的通过路由指向192.168.14.240；而服务器段（千兆链路）指向右侧防火墙IP。当一个出口出现问题的时候，

17、交换机能通过探测包来检测出口状态，做到断路自动切换。,部署方法：多网桥部署，配置两个网口为LAN口区网口，两个网口为WAN口区网口，放通允许数据方向lanwan1和dmzwan2，并配置网桥1和网桥2的IP地址，网关等信息。,3.5、VRRP环境下的支持（续）,客户环境：内部多网段，有独立的服务器区，同时有分公司或移动用户使用VPN登录、访问服务器区。,客户需求：保护服务器群数据，进行身份验证并分配不同访问权限，对服务器区的访问进行监控，日志记录,3.6、特殊环境（应用）,部署方法：1、将网关运行模式切换为l路由（网桥)模式，配置内、外网IP（网桥IP）信息；2、设备内网（LAN）连接交换机，

18、外网（WAN）连接服务器区,注意事项：1、如使用路由模式部署，需添加相应路由，AC上可不启用NAT2、服务器如需连接外网（eg：病毒库更新）则AC上需放行（WAN-LAN）相应规则，3、网关杀毒并不会拦截上传到服务器区的病毒；4、正确配置防DOS，防范来自内网的DOS攻击（误配置可能导致访问不正常）5、推荐使用网桥部署（路由部署可能对内网改动较大。,路由、网桥部署,部署方法：1、将网关运行模式切换为旁路模式，配置管理接口“DMZ”IP；2、在“监控网段列表”中添加内网各网段；3、将设备LAN或WAN1口连接至交换机的镜像口上；,注意事项：1、访问控制仅限TCP类服务；,旁路部署,谢 谢,20090210,