收藏
下载资源 优惠套餐

深信服-AC-部署模式课件.ppt

上传人(卖家):晟晟文业 文档编号:5151502 上传时间:2023-02-15 格式:PPT 页数:44 大小:14.91MB
下载 相关 举报
深信服-AC-部署模式课件.ppt_第1页
第1页 / 共44页
深信服-AC-部署模式课件.ppt_第2页
第2页 / 共44页
深信服-AC-部署模式课件.ppt_第3页
第3页 / 共44页
深信服-AC-部署模式课件.ppt_第4页
第4页 / 共44页
深信服-AC-部署模式课件.ppt_第5页
第5页 / 共44页
点击查看更多>>
资源描述

1、SINFOR TECHNOLOGIES CO.,LTD.Page1AC 部部 署署SINFOR TECHNOLOGIES CO.,LTD.Page2AC 部部 署署1、AC部署模式部署模式2、AC部署模式设置部署模式设置3、AC部署案例部署案例SINFOR TECHNOLOGIES CO.,LTD.Page31、AC部署模式部署模式针对不同的客户网络环境及不同客户的需求,针对不同的客户网络环境及不同客户的需求,AC有三种部署模式,分别为路由模式、网桥模式和旁有三种部署模式,分别为路由模式、网桥模式和旁路模式。路模式。1.1 路由模式路由模式(AC相当于路由器,代理相当于路由器,代理PC上网)上

2、网)应用环境:客户用应用环境:客户用AC做访问控制的同时,需要做访问控制的同时,需要AC当当路由器使用,并代理内网上网等。路由器使用,并代理内网上网等。SINFOR TECHNOLOGIES CO.,LTD.Page41.1 路由模式(续)路由模式(续)网络拓朴:网络拓朴:SINFOR TECHNOLOGIES CO.,LTD.Page51.1 路由模式(续)路由模式(续)功能特点:功能特点:(1)可以实现)可以实现AC所有功能,对客户网络结构改变较大。所有功能,对客户网络结构改变较大。(2)内外网口不能在同一网段,可以自定义网口。)内外网口不能在同一网段,可以自定义网口。(3)有前置设备情况

3、下,启用网关杀毒、邮件过滤等)有前置设备情况下,启用网关杀毒、邮件过滤等功能,或功能,或AC需要自动升级需要自动升级URL等内置库时,需要正确设等内置库时,需要正确设置前置设备规则(防火墙、路由等),保证置前置设备规则(防火墙、路由等),保证AC设备可访设备可访问外网问外网(所有部署模式下均需注意)所有部署模式下均需注意)(4)客户需要使用)客户需要使用nat、vpn和和dhcp功能时使用路由模功能时使用路由模式。式。(5)支持)支持802.1Q vlan协议。协议。SINFOR TECHNOLOGIES CO.,LTD.Page61.2 网桥模式网桥模式(AC相当于交换机,平滑部署到客户网络

4、)相当于交换机,平滑部署到客户网络)应用环境:应用环境:AC网桥模式分为网桥多网口和多网桥,网桥模式分为网桥多网口和多网桥,一般适用于客户已经有一般适用于客户已经有FW或路由器代理上网,需或路由器代理上网,需要用到要用到AC做访问控制和监控,无需用到做访问控制和监控,无需用到vpn,nat,dhcp等功能,并且希望不改变客户网络原有结构,等功能,并且希望不改变客户网络原有结构,AC可以平滑部署到网络中,即使设备宕机,对客可以平滑部署到网络中,即使设备宕机,对客户网络影响不大。或客户内网原有户网络影响不大。或客户内网原有VRRP或或HSRP环境,架上环境,架上AC做多网桥实现基本审计控制功能的做

5、多网桥实现基本审计控制功能的同时,不影响客户原有主备的切换。建议用网桥模同时,不影响客户原有主备的切换。建议用网桥模式部署。式部署。SINFOR TECHNOLOGIES CO.,LTD.Page71.2 网桥模式(续)网桥模式(续)网络拓朴:网络拓朴:多网桥多网桥网桥多网口网桥多网口又又称称单单网网桥桥多网桥一般适用于客户内网有多网桥一般适用于客户内网有VRRP或或HSRP环境,架上环境,架上AC做多网做多网桥实现基本审计控制功能的同时,不影响客户原有主备的切换。桥实现基本审计控制功能的同时,不影响客户原有主备的切换。SINFOR TECHNOLOGIES CO.,LTD.Page81.2

6、网桥模式(续)网桥模式(续)功能特点:功能特点:(1)AC做网桥部署,相当于网线,平滑架到网络中,不改变客户网络做网桥部署,相当于网线,平滑架到网络中,不改变客户网络结构。结构。(2)单网桥模式下,只有)单网桥模式下,只有lan口和口和wan1口可用,口可用,dmz口为管理口;多网口为管理口;多网桥部署时,设备所有接口均可做网桥接口。桥部署时,设备所有接口均可做网桥接口。(3)需设置网桥)需设置网桥IP,如启用杀毒、邮件过滤等功能,则须配置默认网关,如启用杀毒、邮件过滤等功能,则须配置默认网关和和DNS,并保证,并保证 AC本身访问外网(可通过升级控制台工具本身访问外网(可通过升级控制台工具“

7、ping”测测试试)。)。(4)如)如 启用启用WEB认证认证、准入规则、准入规则、URL过滤过滤,同时,同时 内网有多网段时,内网有多网段时,须添加须添加 到内网非直连网段的路由指向内网路由设备。到内网非直连网段的路由指向内网路由设备。(5)网桥模式下不能实现)网桥模式下不能实现NAT(代理上网和端口映射),(代理上网和端口映射),vpn、dhcp功功能不可用,不能自定义网口。能不可用,不能自定义网口。(6)设备做多网桥时部署在网关设备与交换机之间,不改动内网环境,)设备做多网桥时部署在网关设备与交换机之间,不改动内网环境,相当于多网口二层交换机。可以实现对内网相当于多网口二层交换机。可以实

8、现对内网VRRP环境和双机热备环境的环境和双机热备环境的支持支持。(7)支持支持802.1Q vlan协议。协议。SINFOR TECHNOLOGIES CO.,LTD.Page91.3 旁路模式(旁路模式(主要用作审计功能,不影响客户网络主要用作审计功能,不影响客户网络)应用环境:应用环境:客户网络已经规划好,且网络很重要,客户网络已经规划好,且网络很重要,用用AC主要做审计及一些简单的控制功能。并且希望主要做审计及一些简单的控制功能。并且希望如果设备出现故障,不会对正常应用告宬任何影响。如果设备出现故障,不会对正常应用告宬任何影响。SINFOR TECHNOLOGIES CO.,LTD.P

9、age101.3 旁路模式(续)旁路模式(续)网络拓朴:网络拓朴:SINFOR TECHNOLOGIES CO.,LTD.Page111.3 旁路模式(续)旁路模式(续)功能特点:功能特点:(1)AC连接在内网交换机的镜像口或连接在内网交换机的镜像口或HUB上,对最整个局域网进上,对最整个局域网进行旁路模式的监控与控制。不改动现有网络,即使设备宕机也不会行旁路模式的监控与控制。不改动现有网络,即使设备宕机也不会对用户的网络造成影响对用户的网络造成影响(2)AC的的LAN或或WAN接口都可用作旁路接口(不需设置接口都可用作旁路接口(不需设置IP),),DMZ只能作为管理接口,不能用做旁路接口。只

10、能作为管理接口,不能用做旁路接口。(3)如果交换机没有镜像口,可以在交换机前加接)如果交换机没有镜像口,可以在交换机前加接HUB,AC连接连接到到HUB上实现旁路。上实现旁路。(4)如需部署数据中心可从)如需部署数据中心可从DMZ口同步日志数据(需配置口同步日志数据(需配置DMZ网网关或相应系统路由)。关或相应系统路由)。(5)访问控制仅对)访问控制仅对TCP类服务有效。类服务有效。(6)AC要自动更新(要自动更新(URL),则必须配置正确),则必须配置正确dmz口口IP地址、网地址、网关、关、DNS,保证,保证AC设备可访问外网设备可访问外网。(7)AC在旁路模式下主要实现审计功能,简单的控

11、制功能(在旁路模式下主要实现审计功能,简单的控制功能(TCP类应用),类应用),nat,vpn,dhcp,准入无法实现。,准入无法实现。(8)Ac旁路部署时,如果旁路部署时,如果lan口作为监听口,则网关运行状态不显口作为监听口,则网关运行状态不显示流量图,如果示流量图,如果wan1口作为监听口作为监听 口,可以看到接收的流量。口,可以看到接收的流量。SINFOR TECHNOLOGIES CO.,LTD.Page122、AC三种模式设置三种模式设置2.1 路由模式设置路由模式设置网关当前所在运网关当前所在运行模式配置信息行模式配置信息至此,至此,AC已配成已配成路由模式,并代理路由模式,并代

12、理192.168.125.0/24网段上网。最后还网段上网。最后还需要放通防火墙需要放通防火墙lan-wan规则,规则,默认是放通的。默认是放通的。SINFOR TECHNOLOGIES CO.,LTD.Page132.2 网桥模式设置网桥模式设置(1)网桥多网口配置)网桥多网口配置-单网桥配置单网桥配置SINFOR TECHNOLOGIES CO.,LTD.Page14(1)网桥多网口配置(续)网桥多网口配置(续)-单网桥配置单网桥配置如果交换机和前置设备走非如果交换机和前置设备走非trunk协议,此处禁用即可协议,此处禁用即可单网桥模式下配单网桥模式下配置管理口置管理口IP地址地址SINF

13、OR TECHNOLOGIES CO.,LTD.Page15(2)多网桥配置()多网桥配置(以双网桥为例以双网桥为例)多网桥一般适用多网桥一般适用于客户内网有于客户内网有VRRP或或HSRP环境,环境,架上架上AC做多网桥做多网桥实现基本审计控实现基本审计控制功能的同时,制功能的同时,不影响客户原有不影响客户原有的主备设备切换。的主备设备切换。SINFOR TECHNOLOGIES CO.,LTD.Page16(2)多网桥配置(续)多网桥配置(续)多网桥链路同步设置当网桥的多网桥链路同步设置当网桥的一个接口一个接口down时,另一接口状时,另一接口状态自动转换,以适应态自动转换,以适应vrrp

14、环境。环境。配置网桥配置网桥1的的IP地址等地址等信息信息配置网桥配置网桥2的的IP地址等地址等信息信息网桥1和网桥2的vlan配置,如果内网无trunk环境,此处保持默认禁用即可。SINFOR TECHNOLOGIES CO.,LTD.Page172.3 旁路模式设置旁路模式设置配置管理口地址及配置管理口地址及设备网关等信息设备网关等信息填写需要监控的填写需要监控的网段网段填写需要监控的填写需要监控的服务器地址服务器地址排除不需要监控排除不需要监控的地址的地址SINFOR TECHNOLOGIES CO.,LTD.Page183、AC三种模式案例三种模式案例3.1、简单网络、简单网络3.2、

15、内网多网段、内网多网段3.3、内网划分、内网划分VLAN3.4、使用代理服务器、使用代理服务器3.5、VRRP环境下的支持环境下的支持3.6、特殊环境(应用)、特殊环境(应用)SINFOR TECHNOLOGIES CO.,LTD.Page19客户环境:路由器(FW)NAT代理上网,单一网络,无多网段客户需求:1、URL过滤、IM监控、上网行为记录可选部署方式:路由、网桥、旁路可选部署方式:路由、网桥、旁路3.1、简单网络、简单网络SINFOR TECHNOLOGIES CO.,LTD.Page20部署方法:1、网关运行模式切换为路由模式;2、配置内、外网IP信息;3、添加NAT规则替换原网关

16、,路由模式部署替换原网关,路由模式部署SINFOR TECHNOLOGIES CO.,LTD.Page21部署方法:1、更改路由器内网IP,同时修改NAT规则、防火墙过滤规则;2、网关运行模式切换为路由模式;3、配置内、外网IP信息;4、WAN口连接路由器,LAN口连接交换机注意事项:1、需要改变原网络环境;2、AC可启用NAT代理。如AC不启用NAT代理,则路由器上需保留路由器原NAT规则,同时添加对192.168.2.x网段的NAT规则、防火墙过滤规则(保证AC可以连接外网进行更新、网关杀毒可用),并在添加回包路由。3、前置设备上的DHCP、IP/MAC绑定不可用保留原网关,路由模式部署保

17、留原网关,路由模式部署SINFOR TECHNOLOGIES CO.,LTD.Page22部署方法:1、将网关运行模式切换为“网桥模式”;2、配置网桥IP,网关指向前置设备;3、WAN1口连接路由器,LAN口连接交换机注意事项:1、如不需要启用网关杀毒、准入规则等功能,网桥IP可设置与内网不同网段;2、启用杀毒等功能则网桥IP必须配置为同网段,网关、DNS配置正确,前置设备须放行AC上网数据(保证AC本身可以访问外网)启用这类功能时实际是AC代理访问。保留原网关,网桥模式部署保留原网关,网桥模式部署SINFOR TECHNOLOGIES CO.,LTD.Page23部署方法:1、将网关运行模式

18、切换为“旁路模式”;2、配置管理接口“DMZ”IP信息,添加需监控的内网网段;3、将AC LAN或WAN1接口接到交换机的镜像口或HUB上注意事项:1、DMZ口不可用于监控。2、缺省不监控内网间的数据。3、WAN1口不要接HUB,否则容易导致异常。旁路部署旁路部署SINFOR TECHNOLOGIES CO.,LTD.Page24客户环境:内网划分多网段,(非VLAN),路由器绑定多IP。客户需求用户上网认证、分组访问控制、网关杀毒、邮件审计可选部署方式:路由、网桥、旁路可选部署方式:路由、网桥、旁路3.2、内网多网段(极特殊)、内网多网段(极特殊)SINFOR TECHNOLOGIES CO

19、.,LTD.Page25部署方法1、将网关运行模式切换为“路由模式”;2、配置内、外网接口,在LAN接口设置中配置多IP绑定注意事项:1、多网段之间需要互访,需设置AC防火墙LANLAN规则,放行相应数据(也可通过LANLAN 规则实现多网段之间的访问控制)2、要代理多网段上网,需在NAT设置中添加相应代理信息。替换原网关,路由模式部署替换原网关,路由模式部署SINFOR TECHNOLOGIES CO.,LTD.Page26部署方法:1、将网关运行模式切换为“网桥模式”;2、配置网桥IP,网桥IP可设置为任意子网地址;3、WAN1口连接路由器、LAN口连接交换机注意事项:1、如启用网关杀毒、

20、邮件过滤等功能需将网关指向前置设备、配置正确的DNS,并保证AC本身能够上网(前置设备上需放行AC数据);2、如启用URL、准入规则,需设置多IP绑定。3、网桥模式下DMZ不可用(只能作为管理接口)4、VPN功能不可用保留原网关,网桥模式部署保留原网关,网桥模式部署SINFOR TECHNOLOGIES CO.,LTD.Page27部署方法:1、将网关运行模式切换为“旁路模式”;2、配置管理接口“DMZ”IP信息,添加需监控的内网网段;3、将AC LAN或WAN1接口接到交换机的镜像口或HUB上;注意事项:1、DMZ口不可用于监控。2、缺省不监控内网间的数据。3、WAN1口不要接HUB,否则容

21、易导致异常。旁路模式部署旁路模式部署SINFOR TECHNOLOGIES CO.,LTD.Page28讨论:其他多网段环境讨论:其他多网段环境SINFOR TECHNOLOGIES CO.,LTD.Page29客户环境:内网二层交换机上划分了多个 VLAN,通过网关路由器实现NAT代理上网和VLAN之间路由客户需求:URL过滤、P2P控制、邮件过滤可选部署模式:路由,网桥,旁路3.3、内网划分、内网划分VLANSINFOR TECHNOLOGIES CO.,LTD.Page30部署方法1、将网关运行模式切换为“路由模式”;2、配置内、外网接口IP信息;3、LAN接口启用VLAN并添加相应VL

22、AN信息注意事项:1、LAN口需配置一个不属于任意VLAN的IP。例如:LAN口地址设置为1.1.1.1(此IP不属任何VLAN)2、在VLAN设置中需要添加每个VLAN的IP和ID。替换原网关,路由模式部署替换原网关,路由模式部署SINFOR TECHNOLOGIES CO.,LTD.Page31替换原网关,路由模式部署(续)替换原网关,路由模式部署(续)第一步:按照2.1介绍的将设备配置成路由模式。第二步:lan口启用vlan设置,配置各Vlan的IP地址等信息,见下图。LAN口口IP地址配地址配置不属于任何一置不属于任何一个个vlan的的IP地址。地址。SINFOR TECHNOLOGI

23、ES CO.,LTD.Page32部署方法:1、将网关运行模式切换为“网桥模式”;2、配置网桥IP;3、点击VLAN设置,勾选“启用VLAN”并添加各VLAN信息;4、WAN口连接路由器,LAN口连接交换机注意事项:1、网桥IP需配置一个不属于任意VLAN的IP。例如:LAN口地址设置为1.1.1.1(此IP不属任何VLAN)2、在VLAN设置中需要添加每个VLAN的IP和ID。保留原网关,网桥模式部署保留原网关,网桥模式部署SINFOR TECHNOLOGIES CO.,LTD.Page33保留原网关,网桥模式部署(续)保留原网关,网桥模式部署(续)配置网桥模式过程中启用vlan配置,见下图

24、所示:网桥网桥IP地址配置不地址配置不属于任何一个属于任何一个vlan 的的IP地址地址设备网关配置属于任设备网关配置属于任何一个何一个vlan的网关的网关SINFOR TECHNOLOGIES CO.,LTD.Page34部署方法:1、将网关运行模式切换为“旁路模式”;2、配置管理接口“DMZ”IP信息,添加需监控的内网网段;3、将AC LAN或WAN1接口接到交换机的镜像口或HUB上;保留原网关,旁路模式部署保留原网关,旁路模式部署SINFOR TECHNOLOGIES CO.,LTD.Page35用户环境:路由器作为NAT代理网关,有专门的代理服务器,客户端配置的使用代理方式上网用户需求

25、:IM监控、访问记录、流控 可选部署方式:路由、网桥、旁路3.4、使用代理服务器、使用代理服务器SINFOR TECHNOLOGIES CO.,LTD.Page36部署方法:1、将网关运行模式切换为“路由模式”;2、配置内、外网接口IP信息;3、在AC控制台-高级选项-“代理服务器设置”中添加代理服务器IP注意事项:1、使用路由模式部署可能涉及内网改动较大,建议使用网桥部署2、必须正确配置代理服务器列表。3、把AC的IP在IE的代理排除列表里排除掉。路由模式部署路由模式部署SINFOR TECHNOLOGIES CO.,LTD.Page37部署方法:1、将网关运行模式切换为“网桥模式”;2、配

26、置网桥IP信息;3、在AC控制台-高级-“代理服务器设置”中添加代理服务器IP。注意事项:1、代理服务器设置与路由模式部署相同;2、必须正确配置代理服务器列表。3、把AC网桥IP在IE的代理排除列表里排除掉。4、如果AC本身要通过代理服务器上网更新内置库,只支持HTTP代理的方式(只有AC 1.8版本才支持)。网桥模式部署网桥模式部署SINFOR TECHNOLOGIES CO.,LTD.Page38部署方法:1、将网关运行模式切换为“旁路模式”;2、配置管理接口“DMZ”IP信息,添加需监控的内网网段;3、在AC控制台-高级选项-“代理服务器设置”中添加代理服务器IP4、将AC LAN接口接

27、到交换机的镜像口或HUB上 旁路模式部署旁路模式部署SINFOR TECHNOLOGIES CO.,LTD.Page39客户需求:需要AC做审计、上网行为管理、网关杀毒、IPS、流量管理等;并且前面防火墙链路出现问题或者出现宕机之后,网络还能够切换 3.5、VRRP环境下的支持环境下的支持客户环境:内网两台CISCO交换机做HSRP部署,前面是两台CISCO防火墙做双出口。两台CISCO交换机,PC段(百兆链路)的通过路由指向192.168.14.240;而服务器段(千兆链路)指向右侧防火墙IP。当一个出口出现问题的时候,交换机能通过探测包来检测出口状态,做到断路自动切换。SINFOR TEC

28、HNOLOGIES CO.,LTD.Page40部署方法:多网桥部署,配置两个网口为LAN口区网口,两个网口为WAN口区网口,放通允许数据方向lanwan1和dmzwan2,并配置网桥1和网桥2的IP地址,网关等信息。3.5、VRRP环境下的支持(续)环境下的支持(续)SINFOR TECHNOLOGIES CO.,LTD.Page41客户环境:内部多网段,有独立的服务器区,同时有分公司或移动用户使用VPN登录、访问服务器区。客户需求:保护服务器群数据,进行身份验证并分配不同访问权限,对服务器区的访问进行监控,日志记录3.6、特殊环境(应用)、特殊环境(应用)SINFOR TECHNOLOGI

29、ES CO.,LTD.Page42部署方法:1、将网关运行模式切换为l路由(网桥)模式,配置内、外网IP(网桥IP)信息;2、设备内网(LAN)连接交换机,外网(WAN)连接服务器区注意事项:1、如使用路由模式部署,需添加相应路由,AC上可不启用NAT2、服务器如需连接外网(eg:病毒库更新)则AC上需放行(WAN-LAN)相应规则,3、网关杀毒并不会拦截上传到服务器区的病毒;4、正确配置防DOS,防范来自内网的DOS攻击(误配置可能导致访问不正常)5、推荐使用网桥部署(路由部署可能对内网改动较大。路由、网桥部署路由、网桥部署SINFOR TECHNOLOGIES CO.,LTD.Page43部署方法:1、将网关运行模式切换为旁路模式,配置管理接口“DMZ”IP;2、在“监控网段列表”中添加内网各网段;3、将设备LAN或WAN1口连接至交换机的镜像口上;注意事项:1、访问控制仅限TCP类服务;旁路部署旁路部署SINFOR TECHNOLOGIES CO.,LTD.Page44谢谢 谢谢20090210

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 办公、行业 > 各类PPT课件(模板)
版权提示 | 免责声明

1,本文(深信服-AC-部署模式课件.ppt)为本站会员(晟晟文业)主动上传,163文库仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。
2,用户下载本文档,所消耗的文币(积分)将全额增加到上传者的账号。
3, 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(发送邮件至3464097650@qq.com或直接QQ联系客服),我们立即给予删除!


侵权处理QQ:3464097650--上传资料QQ:3464097650

【声明】本站为“文档C2C交易模式”,即用户上传的文档直接卖给(下载)用户,本站只是网络空间服务平台,本站所有原创文档下载所得归上传人所有,如您发现上传作品侵犯了您的版权,请立刻联系我们并提供证据,我们将在3个工作日内予以改正。


163文库-Www.163Wenku.Com |网站地图|