深信服NGAF典型部署案例与上架问题参考手册.pdf

NGAF典型案例与上架问题快速参考手册 目录 案例部分 1 一、 路由模式部署 1 单线路简单部署 by 谢辉 1 单线路 +专线互联 by 李绘东 11 多线路 +sangfor vpn 互联 by 李宁 22 二、 网桥模式部署 by 孙阳华 31 三、 功能测试案例 by 黄翔 42 问题部分 48 一、 断网问题 48 路由模式 48 网桥模式 50 二、 目的地址转换 / 双向地址转换不通问题 52 目的地址转换 52 双向地址转换 53 三、 经过 AF访问公网速度变慢 53 案例部分 一、 路由模式部署 单线路简单部署 by 谢辉 【网络现状】 Internet —— NGAF——内网（ PC和服务器） 现有 1 条外网出口线路， 20M出口带宽 . 内网 lan 口接核心交换机，服务器区也在 lan 区域. 【客户需求】 AF代理内网上网 对外发布服务 双向地址映射 流量控制 【设备配置】 （1）配置 lan 口，设置为路由口，由于是内网口，固不勾选 wan 口 （2 ）配置 WAN 口，设置为路由口，选择 wan 口。 （3）设置区域，一个接口属于一个区域，如图： （4）配置系统路由 ( 添加回包路由和缺省路由， 缺省路由必须要添加。 ) （5）配置源地址转换，即代理上网功能。 源区域选择 lan ，目标区域选择 wan。源地址转换选择出接口地址， 如果有 多个公网 IP 可以选择 IP 范围。 （6）设置目的地址转换 （即对外发布服务）。源区域选择 wan，目的区域为灰色， 不可选， IP 组应当设置 wan 口映射 IP ，可以通过 IP 组来发布需要映射的公网 IP ，客户需要将公网的 8080 端口映射到内部服务器的 80 端口，固需要将 8080 端口转换成 80 端口，以实现客户需求。 （7）客户需要在内网访问公网地址来访问内部服务器，需要我们做双向映射来 实现，源区域和目的区域都选择 lan 区，应用服务器是通过 http://X.X.X.X:7890 来访问的 , 固目标端口设置 7890，该端口不需要转换所以目标端口转换选择 - 不 转换， 如果是域名，则用 dnsmapping 即可。 所有映射条目如下图： （8）映射设置完毕后，需要放通相应的应用控制策略。 注意：做双向映射后，应当放通 lan-lan 的规则。 （9）配置流控模块 1. 先配置虚拟线路，如图所示： 2. 配置正确的线路带宽， 将 WAN区域的接口设置为外出接口， 本例中 eth2 为 WAN口，如下图： 3. 设置流控策略，设置流控策略基本和 AC一致