SANGFOR-NGAF-v7.1-2017年度渠道初级认证培训03-常见网络环境部署.pptVIP

* * Jan, 2017 SANGFOR NGAF 常见网络环境部署 培训内容 培训目标 NGAF各种部署模式 掌握路由部署配置及场景 掌握透明模式部署配置及场景 掌握虚拟网线模式部署配置及场景 4. 了解旁路模式部署配置及场景 5. 掌握混合模式部署配置及场景 部署说明 NGAF部署能力的提高，让工程师了解在各种环境下，选择最优的部署 模式。为了让AF适应各种环境的部署能力，和可扩展性，NGAF没有单 独的部署模式可以选择，AF的部署模式是由各个网口的属性决定的。 根据网口属性分为：物理接口、子接口、vlan接口、聚合接口。 根据网口工作区域划分为：2层区域口、3层区域口、虚拟网线区域口。 其中物理口可选择为：路由口、透明口、虚拟网线口、镜像口。 1、路由模式（lan对端路由口） 路由部署思路：　　 1、设置lan口为路由口即可（lan口对端的接口可以是三层口也可以是access口） 2、路由模式（lan对端trunk口） 路由模式下，对端是trunk口 Trunk口部署思路： 1、设置lan口为trunk口，并设置对应的vlan号的vlan接口，这种模式类似3层虚拟接口交换机。 2、路由模式（lan对端trunk口） 3、透明模式（access环境） 透明模式部署也是最常见的部署模式 access部署思路： 1、网口设置成透明口，设置对应的vlan号即可，如果线路传输的数据不包含vlan标签，选择默认的vlan1。 2、除了可以配置eth0作为管理口外，也可以使用新建vlan1对应的3层口veth1来管理设备，需要确保NGAF的veth1接口的IP与前后端设备接口属于同网段。 3、透明模式（access环境） 4、透明模式（trunk环境） 如果链路是承载着多个vlan的trunk链路，可以采用透明trunk模式部署。与NGAF对接的其他网络设备的接口一般也都是配置了trunk模式，或者是路由子接口模式。 Trunk部署思路： 1、把2个网口配置成trunk口接口，trunk所有vlan。 2、配置相对应的任何vlan虚拟接口给AF设备，以用于管理和上网更新规则库，也可以用manage口。 4、透明模式（trunk环境） 5、虚拟线路 　　虚拟网线部署是最常见的部署模式，也是适用范围最广，最提倡的一种部署模式。 部署思路： 1、采用虚拟网线方式部署时不需要考虑NGAF前后设备接口属性和链路属性，直接把网口配置成了虚拟线路口后，配对部署即可。 2、分配一个可用的IP给设备的任意一个路由口并配置默认路由，该IP可以用于管理设备，更新规则库等。 5、虚拟线路 6、路由模式（wan口路由口，内网服务器有公网IP，启用ARP代理） 在全路由模式下实现此需求的部署思路： 1、接口都配置为路由口，然后采用arp代理的方式实现服务器区域和公网网关的互相通讯。 6、路由模式（wan口路由口，内网服务器有公网IP，启用ARP代理） arp代理功能，该拓扑图，必须选择eth3 7、旁路模式 旁路模式部署NGAF仅支持的功能有： APT（僵尸网络） PVS（实时漏洞分析） WAF（web应用防护） IPS（入侵防护系统） DLP（数据泄密防护） 网站防篡改部分功能（客户端保护） 其余功能均不能实现，例如Vpn功能，网关(smtp/pop3/http)杀毒，DOS防御，Web过滤等都不能实现。 部署思路： 1、连接旁路口eth3到邻接核心交换机设备 2、连接管理口并配置管理ip 3、启用管理口reset功能 7、旁路模式 支持带vlan标记数据 旁路部署支持阻断功能，通过查找系统路由选择接口发送tcp reset包 旁路镜像模式支持流量统计功能： 旁路流量统计为接口配置内网IP组到非内网IP组的流量 内网IP组至内网IP组、非内网IP组至非内网IP组流量不统计 首页流量排行图包含旁路流量统计数据 流量排行功能支持筛选旁路镜像口查看流量数据 7、旁路模式（流量统计） 为旁路区域配置IPS/WAF策略 1、当源区域配置为旁路镜像区域时，目的区域自动填写为所有区域 2、目的IP组不能填写所有 7、旁路模式 8、混合模式（wan口交换口，内网服务器有公网IP） 混合模式部署，主要指NGAF的各个网口，既有2层口，又有3层口的情况。特别是当DMZ区域服务器集群需要配置公网IP地址的时候 部署思路： 1、服务器eth3和公网区域接口eth2配置成2层口，放到2层区域 2、内网口eth1配置为路由口 3、新建一个和eth2以及eth3对应vlan的3层区域接口并配置公网ip地址。 用于代理内网方向上网及内网区域与服务器区域、外网区域策略控制 8、混合模式（wan口交换口，内网服务器有公网IP） 注;APT\