SANGFORNGAFV度渠道初级认证培训常见网络环境部署.ppt

培训内容 培训目标 NGAF各种部署模式 掌握路由部署配置及场景 掌握透明模式部署配置及场景 掌握虚拟网线模式部署配置及场景 4. 了解旁路模式部署配置及场景 5. 掌握混合模式部署配置及场景 部署说明 AF部署能力的提高，让工程师了解在各种环境下，选择最优的部署 模式。为了让AF适应各种环境的部署能力，和可扩展性，NGAF没有单 独的部署模式可以选择，AF的部署模式是由各个网口的属性决定的； 根据网口属性分为：物理接口、子接口、vlan接口； 根据网口工作区域划分为：2层区域口、3层区域口； 其中物理口可选择为：路由口、透明口、虚拟网线口、镜像口； 1、路由模式（lan对端路由口） 路由口部署思路：　　 1、lan口对端是路由口，直接设置lan口为路由口即可 2、路由模式（lan对端trunk口） 路由模式下，对端是trunk口 Trunk口部署思路2： 1、设置lan口为trunk口，并设置对应的vlan号的vlan接口，这种模式类似3层虚拟接口交换机。 2、路由模式（lan对端trunk口） 3、透明模式（access环境） 透明模式部署也是最常见的部署模式 access部署思路： 1、网口设置成透明口，设置对应的vlan号即可，如果线路传输的数据不包含vlan标签，选择默认的vlan1。 2、可以配置eth0可作为管理口外，也可以使用新建vlan1对应的3层口veth1来管理设备，需要确保AF的veth1接口的IP与前后端设备接口属于同网段。 3、透明模式（access环境） 4、透明模式（trunk环境） 如果链路是承载着多个vlan的trunk链路，可以采用透明trunk模式部署。与AF对接的其他网络设备的接口一般也都是配置了trunk模式，或者是路由子接口模式。 Trunk部署思路： 1、把2个网口配置成trunk口接口，trunk所有vlan。 2、配置相对应的任何vlan虚拟接口给AF设备，以用于管理和上网更新规则库，也可以用manager口。 4、透明模式（trunk环境） 5、虚拟线路 　　虚拟网线部署是最常见的部署模式，也是适用范围最广，最提倡的一种部署模式。 部署思路： 1、采用虚拟网线方式部署时不需要考虑AF前后设备接口属性和链路属性，直接把网口配置成了虚拟线路口后，配对部署即可。 2、需要给默认管理口eth0分配一个可用的IP，该IP可以用于管理设备，更新规则库，防篡改模块更新缓存等。 5、虚拟线路 6、路由模式（wan口路由口，内网服务器有公网IP，启用ARP代理） 上文提及需求是公网IP必须配置在服务器上面的另外一种配置方法，这就是全路由模式部署。 部署思路： 1、接口都配置为路由口，然后采用arp代理的方式实现服务器区域和公网网关的互相通讯。 6、路由模式（wan口路由口，内网服务器有公网IP，启用ARP代理） arp代理功能，该拓扑图，必须选择eth3 7、旁路模式 　　旁路模式部署AF，AF仅仅支持的功能有WAF（web应用防护），IPS（入侵防护系统），和DLP（数据库泄密防护，属于WAF内，其余功能均不能实现，例如Vpn功能，网关(smtp/pop3/http)杀毒，DOS防御，网站防篡改，Web过滤等都不能实现。 部署思路： 1、连接旁路口eth3到邻接核心交换机设备 2、连接管理口并配置管理ip 3、启用管理口reset功能 7、旁路模式 支持带vlan标记数据 旁路部署支持阻断功能，通过查找系统路由选择接口发送tcp reset包 为旁路区域配置IPS/WAF策略 1、当源区域配置为旁路镜像区域时，目的区域自动填写为所有区域 2、目的IP组不能填写所有 7、旁路模式 8、混合模式（wan口交换口，内网服务器有公网IP） 混合模式部署，主要指AF的各个网口，既有2层口，又有3层口的情况。特别是当DMZ区域服务器集群需要配置公网IP地址的时候 部署思路： 1、服务器eth3和公网区域接口eth2配置成2层口，放到2层区域 2、内网口eth1配置为路由口 3、新建一个和eth2以及eth3对应vlan的3层区域接口并配置公网ip地址。 用于代理内网方向上网及内网区域与服务器区域、外网区域策略控制 8、混合模式（wan口交换口，内网服务器有公网IP） 9、混合模式部署案例 用户需求： 某用户内网有服务器群，服务器均配置公网IP地址，提供所有用户直接通过公网IP地址接入访问。 内网用户使用私有地址，通过NAT转换上网。希望将NGAF设备部署在公网出口的位置，保护服务器群和内网上网数据的安全。 部署方式推荐： 使用混合模式部署，NGAF设备连接公网和服务器群的2个接口使用透明access口， 连接内网网段使用路由接口。 9、混合模式部署案例 NGAF