深信服-AC-部署模式课件.ppt

SINFOR TECHNOLOGIES CO.,LTD.,Page,*,AC,部 署,AC,部 署,1,、,AC,部署模式,2,、,AC,部署模式设置,3,、,AC,部署案例,1,、,AC,部署模式,针对不同的客户网络环境及不同客户的需求，,AC,有三种部署模式，分别为路由模式、网桥模式和旁路模式1.1,路由模式,（,AC,相当于路由器，代理,PC,上网）,应用环境：客户用,AC,做访问控制的同时，需要,AC,当路由器使用，并代理内网上网等1.1,路由模式（续）,网络拓朴：,1.1,路由模式（续）,功能特点：,（,1,）可以实现,AC,所有功能，对客户网络结构改变较大2,）内外网口不能在同一网段，可以自定义网口3,）有前置设备情况下，启用网关杀毒、邮件过滤等功能，或,AC,需要自动升级,URL,等内置库时，需要正确设置前置设备规则（防火墙、路由等），保证,AC,设备可访问外网,（,所有部署模式下均需注意）,（,4,）客户需要使用,nat,、,vpn,和,dhcp,功能时使用路由模式5,）支持,802.1Q vlan,协议1.2,网桥模式,（,AC,相当于交换机，平滑部署到客户网络）,应用环境：,AC,网桥模式分为网桥多网口和多网桥，一般适用于客户已经有,FW,或路由器代理上网，需要用到,AC,做访问控制和监控，无需用到,vpn,，,nat,，,dhcp,等功能，并且希望不改变客户网络原有结构，,AC,可以平滑部署到网络中，即使设备宕机，对客户网络影响不大。

或客户内网原有,VRRP,或,HSRP,环境，架上,AC,做多网桥实现基本审计控制功能的同时，不影响客户原有主备的切换建议用网桥模式部署1.2,网桥模式（续）,网络拓朴：,多网桥,网桥多网口,又称单网桥,多网桥一般适用于客户内网有,VRRP,或,HSRP,环境，架上,AC,做多网桥实现基本审计控制功能的同时，不影响客户原有主备的切换1.2,网桥模式（续）,功能特点：,（,1,）,AC,做网桥部署，相当于网线，平滑架到网络中，不改变客户网络结构2,）单网桥模式下，只有,lan,口和,wan1,口可用，,dmz,口为管理口；多网桥部署时，设备所有接口均可做网桥接口3,）需设置网桥,IP,，如启用杀毒、邮件过滤等功能，则须配置默认网关和,DNS,，并保证,AC,本身访问外网（可通过升级控制台工具“,ping”,测试）4,）如 启用,WEB,认证、准入规则、,URL,过滤，同时 内网有多网段时，须添加 到内网非直连网段的路由指向内网路由设备5,）网桥模式下不能实现,NAT,（代理上网和端口映射），,vpn,、,dhcp,功能不可用，不能自定义网口6,）设备做多网桥时部署在网关设备与交换机之间，不改动内网环境，相当于多网口二层交换机。

可以实现对内网,VRRP,环境和双机热备环境的支持7,）,支持,802.1Q vlan,协议1.3,旁路模式（,主要用作审计功能，不影响客户网络,）,应用环境：客户网络已经规划好，且网络很重要，用,AC,主要做审计及一些简单的控制功能并且希望如果设备出现故障，不会对正常应用告宬任何影响1.3,旁路模式（续）,网络拓朴：,1.3,旁路模式（续）,功能特点：,（,1,）,AC,连接在内网交换机的镜像口或,HUB,上，对最整个局域网进行旁路模式的监控与控制不改动现有网络，即使设备宕机也不会对用户的网络造成影响,（,2,）,AC,的,LAN,或,WAN,接口都可用作旁路接口（不需设置,IP,），,DMZ,只能作为管理接口，不能用做旁路接口3,）如果交换机没有镜像口，可以在交换机前加接,HUB,，,AC,连接到,HUB,上实现旁路4,）如需部署数据中心可从,DMZ,口同步日志数据（需配置,DMZ,网关或相应系统路由）5,）访问控制仅对,TCP,类服务有效6,）,AC,要自动更新（,URL,），则必须配置正确,dmz,口,IP,地址、网关、,DNS,，保证,AC,设备可访问外网,7,）,AC,在旁路模式下主要实现审计功能，简单的控制功能（,TCP,类应用），,nat,，,vpn,，,dhcp,，准入无法实现。

8,）,Ac,旁路部署时，如果,lan,口作为监听口，则网关运行状态不显示流量图，如果,wan1,口作为监听 口，可以看到接收的流量2,、,AC,三种模式设置,2.1,路由模式设置,网关当前所在运行模式配置信息,至此，,AC,已配成路由模式，并代理,192.168.125.0/24,网段上网最后还需要放通防火墙,lan-wan,规则，默认是放通的2.2,网桥模式设置,（,1,）网桥多网口配置,-,单网桥配置,（,1,）网桥多网口配置（续）,-,单网桥配置,如果交换机和前置设备走非,trunk,协议，此处禁用即可,单网桥模式下配置管理口,IP,地址,（,2,）多网桥配置（,以双网桥为例,）,多网桥一般适用于客户内网有,VRRP,或,HSRP,环境，架上,AC,做多网桥实现基本审计控制功能的同时，不影响客户原有的主备设备切换2,）多网桥配置（续）,多网桥链路同步设置当网桥的一个接口,down,时，另一接口状态自动转换，以适应,vrrp,环境配置网桥,1,的,IP,地址等信息,配置网桥,2,的,IP,地址等信息,网桥,1,和网桥,2,的,vlan,配置，如果内网无,trunk,环境，此处保持默认禁用即可。

2.3,旁路模式设置,配置管理口地址及设备网关等信息,填写需要监控的网段,填写需要监控的服务器地址,排除不需要监控的地址,3,、,AC,三种模式案例,3.1,、简单网络,3.2,、内网多网段,3.3,、内网划分,VLAN,3.4,、使用代理服务器,3.5,、,VRRP,环境下的支持,3.6,、特殊环境（应用）,客户环境：,路由器（,FW,）,NAT,代理,上网，单一网络，无多,网段,客户需求：,1,、,URL,过滤、,IM,监控、,上网行为记录,可选部署方式：路由、网桥、旁路,3.1,、简单网络,部署方法：,1,、网关运行模式切换为路由模式；,2,、配置内、外网,IP,信息；,3,、添加,NAT,规则,替换原网关，路由模式部署,部署方法：,1,、更改路由器内网,IP,，同时修改,NAT,规则、防火墙过滤规则；,2,、网关运行模式切换为路由模式；,3,、配置内、外网,IP,信息；,4,、,WAN,口连接路由器，,LAN,口连接交换机,注意事项：,1,、需要改变原网络环境；,2,、,AC,可启用,NAT,代理如,AC,不启用,NAT,代理，则路由器上需保留路由器原,NAT,规则，同时添加对,192.168.2.x,网段的,NAT,规则、防火墙过滤规则（保证,AC,可以连接外网进行更新、网关杀毒可用），并在添加回包路由。

3,、前置设备上的,DHCP,、,IP/MAC,绑定不可用,保留原网关，路由模式部署,部署方法：,1,、将网关运行模式切换为“网桥模式”；,2,、配置网桥,IP,，网关指向前置设备；,3,、,WAN1,口连接路由器，,LAN,口连接交换机,注意事项：,1,、如不需要启用网关杀毒、准入规则等功能，网桥,IP,可设置与内网不同网段；,2,、启用杀毒等功能则网桥,IP,必须配置为同网段，网关、,DNS,配置正确，前置设备须放行,AC,上网数据（保证,AC,本身可以访问外网）,启用这类功能时实际是,AC,代理访问保留原网关，网桥模式部署,部署方法：,1,、将网关运行模式切换为,“旁路模式”；,2,、配置管理接口“,DMZ”IP,信息，添加需监控的内网网段；,3,、将,AC LAN,或,WAN1,接口接到交换机的镜像口或,HUB,上,注意事项：,1,、,DMZ,口不可用于监控2,、缺省不监控内网间的数据3,、,WAN1,口不要接,HUB,，否则容易导致异常旁路部署,客户环境：,内网划分多网段，（非,VLAN,），路由器绑定多,IP,客户需求,用户上网认证、分组访问控制、网关杀毒、邮件审计,可选部署方式：路由、网桥、旁路,3.2,、,内网多网段（极特殊）,部署方法,1,、将网关运行模式切换为“路由模式”；,2,、配置内、外网接口，在,LAN,接口设置中配置多,IP,绑定,注意事项：,1,、多网段之间需要互访，需设置,AC,防火墙,LANLAN,规则，放行相应数据（也可通过,LANLAN,规则实现多网段之间的访问控制）,2,、要代理多网段上网，需在,NAT,设置中添加相应代理信息。

替换原网关，路由模式部署,部署方法：,1,、将网关运行模式切换为“网桥模式”；,2,、配置网桥,IP,，网桥,IP,可设置为任意子网地址；,3,、,WAN1,口连接路由器、,LAN,口连接交换机,注意事项：,1,、如启用网关杀毒、邮件过滤等功能需将网关指向前置设备、配置正确的,DNS,，并保证,AC,本身能够上网（前置设备上需放行,AC,数据）；,2,、如启用,URL,、准入规则，需设置多,IP,绑定3,、网桥模式下,DMZ,不可用（只能作为管理接口）,4,、,VPN,功能不可用,保留原网关，网桥模式部署,部署方法：,1,、将网关运行模式切换为“旁路,模式”；,2,、配置管理接口“,DMZ”IP,信息，添加需监控的内网网段；,3,、将,AC LAN,或,WAN1,接口接到交换机的镜像口或,HUB,上；,注意事项：,1,、,DMZ,口不可用于监控2,、缺省不监控内网间的数据3,、,WAN1,口不要接,HUB,，否则容易导致异常旁路模式部署,？,讨论：其他多网段环境,客户环境：内网二层交换机上划分了多个,VLAN,，通过网关路由器实现,NAT,代理上网和,VLAN,之间路由,客户需求：,URL,过滤、,P2P,控制、邮,件过滤,可选部署模式：路由，网桥，旁路,3.3,、内网划分,VLAN,部署方法,1,、将网关运行模式切换为“路由模式”；,2,、配置内、外网接口,IP,信息；,3,、,LAN,接口启用,VLAN,并添加相应,VLAN,信息,注意事项：,1,、,LAN,口需配置一个不属于任意,VLAN,的,IP,。

例如：,LAN,口地址设置为,1.1.1.1,（此,IP,不属任何,VLAN),2,、在,VLAN,设置中需要添加每个,VLAN,的,IP,和,ID,替换原网关，路由模式部署,替换原网关，路由模式部署,（续）,第一步：按照,2.1,介绍的将设备配置成路由模式第二步：,lan,口启用,vlan,设置，配置各,Vlan,的,IP,地址等信息，见下图LAN,口,IP,地址配置不属于任何一个,vlan,的,IP,地址部署方法：,1,、将网关运行模式切换为“网桥模式”；,2,、配置网桥,IP,；,3,、点击,VLAN,设置，勾选“启用,VLAN”,并添加各,VLAN,信息；,4,、,WAN,口连接路由器，,LAN,口连接交换机,注意事项：,1,、网桥,IP,需配置一个不属于任意,VLAN,的,IP,例如：,LAN,口地址设置为,1.1.1.1,（此,IP,不属任何,VLAN),2,、在,VLAN,设置中需要添加每个,VLAN,的,IP,和,ID,保留原网关，网桥模式部署,保留原网关，网桥模式部署（续）,配置网桥模式过程中启用,vlan,配置，见下图所示：,网桥,IP,地址配置不属于任何一个,vlan,的,IP,地址,设备网关配置属于任何一个,vlan,的网关,部署方法：,1,、将网关运行模式切换为“旁路模式”；,2,、配置管理接口“,DMZ”IP,信息，添加需监控的内网网段；,3,、将,AC LAN,或,WAN1,接口接到交换机的镜像口或,HUB,上；,保留原网关，旁路模式部署,用户环境：路由器作为,NAT,代理网关，有专门的代理服务器，客户端配置的使用代理方式上网,用户需求：,IM,监控、访问记录、流控,可选部署方式：路由、网桥、旁路,3.4,、,。