SANGFORACSG2011年度8月渠道高级认证培训01特殊网络环境部署课件.ppt

SANGFOR AC&SG特殊特殊网络环境部署网络环境部署培训内容培训目标AC双机环境下的部署1.了解双机维护功能的适用环境2. 掌握设备各种部署模式下的双机部署和配置方法3.了解双机部署下的注意事项AC多机环境下的部署1.了解多机功能的适应环境2.掌握常见网络中的多机部署及配置方法3.了解多机部署的注意事项内网有代理服务器环境下的部署1.了解内网有代理服务器的部署适用环境2. 掌握常见代理环境中的部署和配置方法3. 了解内网代理服务器环境下部署的注意事项AC在TRUNK环境下的部署1. 了解TRUNK环境下部署的适应场景2. 掌握TRUNK环境下的部署和配置方法3. 了解TRUNK环境下部署的注意事项双机维护环境部署多机同步环境部署内网代理环境部署SANGFOR AC&SGTRUNK环境部署双机维护环境部署双机维护环境部署￿￿￿￿双机维护是指两台设备通过双机心跳线连接，实现互为备份正常情况下，只有主设备工作，如果网络失去与主设备的通信，则自动切换到备机，保证客户的业务不受影响，网络不中断￿￿￿￿￿双机维护环境只有一台主设备处于正常工作状态，另一台备设备处于监听状态。

￿￿￿适用环境：对网络稳定性要求较高的￿￿￿客户环境常见网络环境中的双机部署方式（1）路由模式下的双机部署：连接方式：两台SANGFOR AC设备通过双机心跳线（全反线）将CONSOLE口进行连接，设备的内外网口各自连接到内外网的二层交换机或三层交换机的同一个VLAN接口上常见网络环境中的双机部署方式（2）网桥模式下的双机部署两台AC设备之间通过双机心跳线（全反线）将其CONSOLE口进行连接，桥接方式与单台设备网桥模式下类似常见网络环境中的双机部署方式（3）旁路模式下的双机部署：两台AC设备之间通过双机心跳线（全反线）将其CONSOLE口进行连接交换机上需要设置两个相同的镜像口用于连接到两台设备的监听口，另外两台设备的管理口需要连接到交换机同一个VLAN的接口上双机维护配置1.启用双机服务，并设置双机的相关选项用于显示双机通信是否正常用于显示双机通信是否正常用于设置当前设备名称，可以自用于设置当前设备名称，可以自定义方便区分的两台设备的名称定义方便区分的两台设备的名称设置双机自动切换的超时时间，默认为设置双机自动切换的超时时间，默认为10s10s监测以下网口的连接状态，如果断开连接则监测以下网口的连接状态，如果断开连接则自动发生主备切换，保证网络正常。

注意：自动发生主备切换，保证网络正常注意：设备暂时没有用到的接口请不要勾选，因为设备暂时没有用到的接口请不要勾选，因为接口没有用却检测接口状态会导致双机异常接口没有用却检测接口状态会导致双机异常启用串口故障检测后，当串口发生故障，启用串口故障检测后，当串口发生故障，如串口的线掉了，可以通过此处选择的网如串口的线掉了，可以通过此处选择的网口发送网络数据包来检测对端设备的存在口发送网络数据包来检测对端设备的存在如果串口线掉了，很有可能会导致两台设如果串口线掉了，很有可能会导致两台设备同时切换为主机，为避免备同时切换为主机，为避免IPIP冲突，会自冲突，会自动将一台设备切换为备机，恢复一台设备动将一台设备切换为备机，恢复一台设备工作的正常情况，需要注意的是此处选择工作的正常情况，需要注意的是此处选择的网口必须接在同一交换机上，否则无效的网口必须接在同一交换机上，否则无效选择启用的目的是在对设备进行升级时，关闭主备机切换功能，选择启用的目的是在对设备进行升级时，关闭主备机切换功能，避免升级过程中发生主备切换，导致升级失败点击启用后主备避免升级过程中发生主备切换，导致升级失败点击启用后主备机不能自动切换，请慎用此功能，建议只在对主备机器进行升级机不能自动切换，请慎用此功能，建议只在对主备机器进行升级维护的时候才开启此模式，升级完成请后务必关闭升级模式。

维护的时候才开启此模式，升级完成请后务必关闭升级模式用于手动切换到主机或备机，并且用于手动切换到主机或备机，并且显示最后一次主备机切换的时间显示最后一次主备机切换的时间用于手动点击按钮同步配置用于手动点击按钮同步配置双机维护配置（续）￿2.用同样的方法配置另外一台设备 双机维护配置（续） 3. 将主备机按照物理拓扑连接好，用双机心跳线（全反线）将两台设备的CONSOLE口连接起来 4. 选择一台设备做主机先加电开机，主机启动后，备机再加电，正常工作后，主机的配置会通过双机心跳线同步到备机，只需要配置主设备即可双机维护配置注意事项 （4）双机部署的两台设备，可以同步用户的状态，双机切换后内网用户不需要重新认证1）双机部署的两台设备，软件版本和硬件型号要一致2）双机部署的两台设备配置完全一样，包括接口配置，序列号除外3）切换部署模式，恢复备份的配置，修改系统时间等会导致设备重启的操作，建议先开启升级模式，否则可能会在设备重启过程中发生主备切换导致配置同步有问题多机同步环境部署多机同步应用环境 AC的多机同步主要应用于内网设备启用VRRP，确保任一条链路故障，VRRP进行切换时，也能无缝支持。

多机同步功能由多台SANGFOR AC设备通过通信网口同步配置，库文件和用户状态等信息，多机环境下所有的AC设备是同时工作的，实现在VRRP环境下某条线路断掉，无缝切换到另一条线路，策略和用户状态的一致性，用户上网不需要重新认证 适用环境： 内网VRRP，对网络可靠性有较高需求，需要多台AC互为热备的情况常见网络中的多机部署方式多机同步一般应用于内网VRRP环境，常用的部署方式是AC设备网桥模式多机功能，首先需要设置设备的通信网口，通信网口用于处于同一个组播域的多机设备之间的通信通信网口的要求：（1）可用的网口，可以指定正在使用的网口，也可以指定空闲的网口；（2）如果指定正在使用的网口做通信网口，则需要保证这两个网口处于同一广播域，即处于同一个二层环境；（3）如果指定空闲网口做通信网口，则需要将两个空闲网口用交叉线直连4）通信网口不能选择拨号网口或者DHCP获取IP的网口常见网络中的多机部署方式如果左边拓扑图中AC下面接的是三层交换机，那么要使用空闲网口口做为通信网口，采用如图的接线方式多机同步配置1. 启用多机同步，并设置多机的相关选项用于进行设备配置信息同步用于进行设备配置信息同步的网络接口，此例中使用空的网络接口，此例中使用空闲网口闲网口DMZDMZ口做通信网口，口做通信网口，所以此处选择所以此处选择DMZDMZ口。

口用于给通信网口定义一个用于给通信网口定义一个IPIP地址，地址，两台设备通信网口的两台设备通信网口的IPIP地址最好地址最好设置同一网段，注意不要跟现有设置同一网段，注意不要跟现有接口的接口的IPIP地址网段冲突地址网段冲突用于配置设备进行多机同步的组播地址，用于配置设备进行多机同步的组播地址，因为多机同步时通过组播实现的，所以因为多机同步时通过组播实现的，所以通信接口需要属于同一广播域，并且此通信接口需要属于同一广播域，并且此处的的组播地址需要多台设备设置完全处的的组播地址需要多台设备设置完全相同多机同步配置设备组播地址可以相同多机同步配置设备组播地址可以用组播地址范围的任意地址用组播地址范围的任意地址显示同步设备的显示同步设备的IPIP地址多机同步配置 2. 在另外一台设备上开启多机功能并进行相关的配置3.配置完成后，点击向其它设备同步配置，此时设备会发送同步信号，进行设备的配置同步和信息同步点击“查看同步报告”可查看同步信息多机同步配置注意事项￿￿（4）做多机的设备要求硬件型号和软件版本完全一致1）当多机环境中某台设备的配置改变时，设备中会有提示，点击“向其它设备同步配置”则立即向另外一台设备发同步命令进行配置同步。

2）用户状态是实时同步的，也就是一旦有新的用户通过认证，那么多机会立即同步，注意不需要认证的用户（只绑定IP/MAC的用户）的状态是不会同步的3）做多机同步的几台设备网口IP地址是需要设置不一样的，网口IP地址这些配置也不会进行同步内网代理服务器环境部署内网代理服务器环境部署应用场景 内网通过代理的方式上网的网络环境，由于用户所有数据是发往代理服务器的，目标IP是代理服务器的IP，真实的上网数据通过代理服务器封装后转发到公网 在这样的网络环境下，如果要对上网用户采用不同的上网策略，记录真实的访问公网的数据，AC的部署和其他网络环境中的部署就有区别 适用环境：用户通过内网代理服务器上网，并且需要准确识别用户通过代理服务器上网的数据和分权限控制常见代理环境中的部署方式1. 代理服务器双网卡（AC设备路由或网桥模式部署）③在设备“代理服务器设置”选项中填入代理服务器的IP①设备可采取路由模式、网桥模式部署在客户端与代理服务器之间，考虑到内网改动的大小，建议采用网桥模式部署必须保证内网发往代理服务器的数据先经过AC设备，也就是代理服务器应该部署于AC设备的WAN口方向。

②把AC设备的IP在客户端电脑的IE代理排除列表里排除掉常见代理环境中的部署方式2. 代理服务器双网卡（AC设备旁路模式部署）②在设备“代理服务器设置”选项中填入代理服务器的IP①如果仅用于审计或仅控制TCP协议的数据，设备可采取旁路模式部署，用于监听内网发往代理服务器的所有数据常见代理环境中的部署方式3. 代理服务器单网卡（AC设备网桥模式部署）如左图所示，代理服务器以单臂模式接在核心交换机上内网用户上网数据先通过交换机到达代理服务器，再由代理服务器经核心交换机和防火墙出到公网针对这种环境，给出以下两种解决方案：常见代理环境中的部署方式方案一：③在AC设备“代理服务器设置”选项中填入代理服务器的IP3. 代理服务器单网卡（AC设备网桥模式部署）①在防火墙、代理服务器与核心交换机之间再加多一台二层交换机，或者将代理服务器迁移至防火墙的接口上如果原来代理服务器与防火墙内网口不在同一个VLAN，则需要重新规划代理服务器或防火墙网段的IP②将AC|SG网桥模式部署在核心交换机与新增的二层交换机之间，确保上网数据只一次通过设备常见代理环境中的部署方式方案二：③在设备“代理服务器设置”选项中填入代理服务器的IP。

3. 代理服务器单网卡（AC设备网桥模式部署）①将AC|SG网桥模式部署在单臂代理服务器与核心交换机之间②联系深信服800，协助修改系统后台配置因为这样部署，上网数据会两次经过设备，如果不修改后台配置，那么用户列表中会出现公网IP内网代理环境部署配置1. 将设备采用以上各拓扑中的部署方式进行配置，然后接入到网络中关于网关模式配置在初级培训中均已涉及，此处不再赘述2. 在设备“代理服务器设置”选项中填入代理服务器的IP在方框里面填上代理服务器在方框里面填上代理服务器IPIP地址或者地址或者IPIP地址范围地址范围点击提交保存配置生效点击提交保存配置生效内网代理环境部署注意事项（1）必须保证客户端发到代理服务器的数据先经过AC设备，也就是代理服务器应该部署在AC设备的WAN口方向2）设备默认情况下会对所有的代理数据进行检测，也就是说如果“代理服务器设置”列表为空，则对发往任何地址的数据都会进行代理数据的识别，这样会影响设备处理效率 建议在地址列表中填入代理服务器的IP地址，这样的话只有发往此列表地址的数据才会被检测是否为代理数据，并对其进行上网权限控制TRUNK环境部署TRUNK网络环境 Trunk是一种封装技术，它是一条点到点的链路，链路的两端可以都是交换机，也可以是交换机和路由器，还可以是主机和交换机或路由器。

VLAN Trunk(虚拟局域网中继技术)的作用是让连接在不同交换机或路由器上的相同VLAN中的主机互通 SANGFOR AC在路由模式下LAN口支持配置为trunk口，网桥模式（包括多网桥）支持穿透trunk封装数据，不支持在AC设备上划分VLAN 适用环境：内网交换机划分了VLAN，且需要支持并识别trunk封装的数据TRUNK网络环境中的部署（3）若要实现各VLAN之间的数据互访（单臂路由功能），需要将AC设备的LAN<->LAN防火墙规则放通方案一：AC|SG路由模式（1）直接替代原有的路由器（或FW）并配置成路由模式2）将LAN口的VLAN配置启用，LAN口IP不能属于任何VLAN，可随意配置分别填写各个VLAN的ID及IP，此IP即原来路由器（或FW）上各VLAN的网关IPTRUNK网络环境中的部署（3）设备在多网桥模式下，每个网桥均可启用VLAN并配置方案二：AC|SG网桥模式（1）网桥模式部署在路由器与交换机之间，设备穿透trunk2）网桥IP需任意设置一个不在任何VLAN的IP，网桥的网关指向任意一个VLAN的网关网桥配置启用VLAN，并按格式填写每个VLAN的IP。

TRUNK环境部署配置（VLAN配置项）（1）路由模式LANLAN口（口（eth0eth0）填写）填写任一个不存在的任一个不存在的IPIP启用启用VLANVLAN并据实填并据实填写写VLANVLAN地址信息地址信息配置完成后可看到配置汇总信息配置完成后可看到配置汇总信息TRUNK环境部署配置（VLAN配置项）（2）单网桥模式填写任一个不存在的网桥填写任一个不存在的网桥IPIP据实填写其中一个能与互据实填写其中一个能与互联网通信的联网通信的VLANVLAN的网关的网关IPIP和准确的和准确的DNSDNS信息信息启用启用VLANVLAN并填写并填写VLANVLAN信息信息配置完成后可看到汇总信息配置完成后可看到汇总信息TRUNK环境部署配置（VLAN配置项）（3）多网桥模式（各网桥均可启用VLAN）配置网桥配置网桥1 1信息信息配置网桥配置网桥2 2信息信息配置完成后查看网桥配置完成后查看网桥1 1汇总信息汇总信息配置完成后查看网桥2汇总信息TRUNK环境配置注意事项 （3）设备以多网桥部署时，每个网桥均可穿透VLAN并配置VLAN相关项1）路由模式下，LAN口配置802.1Q VLAN地址后，LAN口可以接支持VLAN的2层交换机的TRUNK口，设备可以在VLAN间转发数据（单臂路由），并可做LAN<->LAN方向的防火墙规则，即控制不同VLAN之间的访问。

2）网桥模式下，网桥IP配置802.1Q VLAN地址后，设备内置相关规则库升级只会使用其中一个VLAN的IP，所以在配置网桥IP时注意配置任何一个可以上网用的VLAN网关1.某客户购买两台AC设备路由模式部署双机，一次机房安装设备不小心把主设备的AC内网口不小心碰掉了，结果造成断网，双机并没有切换客户对产品存在质疑，购买两台设备做成双机就是为了避免类似这种现象的发生，请问有可能是什么原因造成？2.多机和双机有什么不一样？3.为什么代理环境部署的时候需要将代理服务器IP填入“代理服务器设置”列表？问题思考。