1、SANGFOR NGAF 基本網絡環境部署培訓內容培訓目標NGAF接口和區域設置了解物理接口的應用場景，掌握物理接口的配置。了解子接口的應用場景，掌握子接口的配置。了解VLAN接口的應用場景，掌握VLAN接口的配置。了解區域的用途，掌握二層區域、三層區域和虛擬網線區域的配置。NGAF靜態路由和策略路由功能了解靜態路由功能的應用場景，掌握靜態路由功能的配置。 了解策略路由功能的應用場景，掌握源地址策略路由和多線路負載路由的配置。 SANGFOR NGAF 接口和區域設置SANGFOR NGAF 基本網絡環境部署案例深信服公司簡介SANGFOR NGAF 靜態路由和策略路由SANGFOR NGAF

2、 策略路由應用案例SANGFOR NGAF1.1 物理接口1.2 子接口1.3 VLAN接口1.4 區域NGAF 接口和區域設置1.1 物理接口 物理接口與NGAF設備面板上的接口一 一對應，根據網口數據轉發特性的不同，可選擇路由接口、透明接口和虛擬網線接口三種類型，每種接口又可設置WAN 或非WAN屬性。物理接口無法刪除或新增，物理接口的數目由硬件型號決定。1.1.1 路由接口路由接口：如果設置為路由接口，則需要給該接口配置IP地址，且該接口具有路由轉發功能。部分功能要求出接口是WAN屬性，比如流控、策略路由等。設置接口的下一跳網關，用于鏈路故障檢測，并不會自動生成的缺省路由，需手動添加缺省

3、路由。接口的線路帶寬設置與流量管理無關，用于策略路由根據接口帶寬占用比例選路。實時檢測接口的鏈路狀態，以及多條外網線路情況下，某條線路故障，流量自動切換到其它線路，均需開啟鏈路故障檢測。WAN屬性的接口必須開啟鏈路故障檢測功能。1.1.1 路由接口管理口：Eth0為固定的管理口，接口類型為路由口，且無法修改。Eth0可增加管理IP地址，默認的管理IP 51/24無法刪除。1.1.2 透明接口透明接口：透明接口相當于普通的交換網口，不需要配置IP地址，不支持路由轉發，根據MAC地址表轉發數據。部分功能要求接口是WAN屬性，當接口設置成透明WAN口時，注意設備上架時不要接反了線，導致部分功能失效。

4、1.1.3 虛擬網線接口虛擬網線接口：虛擬網線接口也是普通的交換接口，不需要配置IP地址，不支持路由轉發，轉發數據時，無需檢查MAC表，直接從虛擬網線配對的接口轉發。虛擬網線接口的轉發性能高于透明接口，單進單出網橋的環境下，推薦使用虛擬網線接口部署。配置虛擬網線接口后，還需配置虛擬網線，將虛擬網線接口對應起來。1.1.3 虛擬網線接口在負載均衡網絡中，透明部署NGAF設備，要求eth1和eth3這對網口，與eth2和eth4這對網口二層隔離，即從eth1口進入的數據必須從eth3口轉發，eth2口進入的數據必須從eth4口轉發。我們通過配置虛擬網線接口來滿足部署的需求。1.2 子接口子接口：子

5、接口應用于路由接口需要啟用VLAN TRUNK的場景。選擇在哪個路由口下添加子接口。設置此子接口的VLAN ID設置子接口的IP地址子接口是邏輯接口，只能在路由口下添加子接口。子接口的下一跳網關和鏈路故障檢測根據實際環境進行配置。1.3 VLAN接口VLAN接口：為VLAN定義IP地址，則會產生VLAN接口。VLAN接口也是邏輯接口。填寫對應的VLAN ID。設置對應VLAN網段的IP地址VLAN接口的下一跳網關和鏈路故障檢測根據實際環境進行配置。接口設置注意事項當設備有多個路由接口時，多個路由接口可設置同網段的IP地址，通過靜態路由決定數據從哪個網口轉發數據。3. 管理口不支持設置成透明接口

6、或虛擬網線接口，如果要設置2對或2對以上的虛擬網線接口，則必須要求設備不少于5個物理接口，預留一個專門的管理口Eth0。2. 設備支持配置多個WAN屬性的路由接口連接多條外網線路，但是需要開通多條線路的授權。4. 一個路由接口下可添加多個子接口，路由接口的IP地址不能與子接口的IP地址在同網段。1.4 區域區域：用于定義和歸類接口，以供防火墻、內容安全、服務器保護、流量管理等模塊調用。只能選擇所有的透明接口只能選擇所有的三層接口只能選擇所有的虛擬網線接口定義區域時，需根據控制的需求來規劃，可以將一個接口劃分到一個區域，或將幾個相同需求的接口劃分到同一個區域。一個接口只能屬于一個區域。可以在區域

7、中選擇接口；也可以預先設置好區域名稱，在接口中選擇區域。基本網絡環境部署案例用戶需求：某用戶內網有服務器群，服務器均配置公網IP地址，提供所有用戶直接通過公網IP地址接入訪問。 內網用戶使用私有地址，通過NAT轉換上網。希望將NGAF設備部署在公網出口的位置，保護服務器群和內網上網數據的安全。部署方式推薦：使用混合模式部署，NGAF設備連接公網和服務器群的2個接口使用透明access口，連接內網網段使用路由接口。基本網絡環境部署案例基本網絡環境部署案例NGAF部署分析：由于服務器均有公網IP地址，所以AF設備連接公網線路的接口eth1與連接服務器群接口eth2使用透明access接口，并設置相

8、同的VLAN ID。即可實現所有用戶通過公網IP直接訪問到服務器群。新增VLAN1接口，分配一個公網IP地址。AF設備與內網相連的接口eth3使用路由接口，設置與內網交換機同網段的IP地址，并設置靜態路由與內網通信。（靜態路由配置省略）內網用戶上網時，轉換源IP地址為VLAN1接口的IP地址。（NAT配置省略）根據需求，劃分為一個二層區域選擇網口eth1和eth2；劃分兩個三層區域，其中“外網區域”選擇VLAN接口vlan1；“內網區域”選擇接口eth3。基本網絡環境部署案例配置截圖：1. 設置物理接口eth1、eth2和eth3：基本網絡環境部署案例2. 設置VLAN接口：基本網絡環境部署案

9、例3. 區域設置：2.1 靜態路由2.2 策略路由2.3 策略路由應用案例NGAF 靜態路由和策略路由功能2.1 靜態路由NGAF的靜態路由用于手動添加路由條目，可新增單個靜態路由或新增多個靜態路由。當接口設置為“自動選擇”時，設備將根據下一跳IP地址自動匹配路由出接口。當AF設備有多個路由接口設置了同網段的IP地址時，通過手動指定接口來匹配路由從哪個接口轉發。按照示例格式填寫，一行對應一條靜態路由，接口和度量值可省略。2.2 策略路由NGAF的策略路由功能主要用于設備有多個接口和多條外網線路時，根據源/目的IP、源/目的端口、協議等條件進行出接口和線路選擇，以實現不同的數據走不同的外網線路的

10、自動選路功能。策略路由常用的應用場景：1. 源地址策略路由：根據源IP地址和協議選擇接口或下一跳，實現用戶訪問數據的分流。可實現不同網段的內網用戶，分別通過不同的線路接口訪問公網。2. 多線路負載路由：設備上有多條外網線路，通過策略路由的輪詢，帶寬比例，加權最小流量，優先使用前面的線路的接口策略，動態的選擇線路，實現線路帶寬的有效利用、備份和負載均衡。2.2 策略路由源地址策略路由：根據源IP地址和協議選擇接口或下一跳只能選擇WAN屬性的路由接口可直接填寫下一跳，設備將自動匹配出接口（不限于接口LAN/WAN屬性）。2.2 策略路由多線路負載路由：選擇WAN屬性的路由口可選擇輪詢、帶寬比例、加

11、權最小流量、優先使用前面線路四種策略。2.3 策略路由應用案例用戶環境：某用戶網絡環境如圖所示，公網出口有兩條電信線路，內網用戶訪問教育網資源必須通過專線才能訪問到。用戶需求：1. 內網所有用戶訪問網上銀行TCP 443端口的數據全部走10M電信線路。2. 內網用戶訪問公網時按照帶寬比例自動選擇線路。3. 訪問教育網的所有資源均走專線。2.3 策略路由應用案例配置思路：1. 接口和區域設置：1.1 連接公網電信線路的兩個接口eth1和eth2必須設置成WAN屬性的路由口，且正確配置下一跳網關，線路帶寬，開啟鏈路故障檢測。（配置省略）1.2 定義“內網區域”，將eth3接口劃分到“內網區域”。（

12、配置省略）策略路由設置：2.1 添加源地址策略路由，來自于“內網區域”，目標IP選擇全部，目標端口為TCP 443的數據，選擇接口eth2。2.2 添加源地址策略路由，來自于“內網區域”，目標ISP為教育網，填寫下一跳地址為。2.3 添加多線路負載路由，來自于“內網區域”，目標IP選擇全部，選擇接口eth1和eth2，接口選擇策略為帶寬比例。2.3 策略路由應用案例靜態路由設置3.1 添加靜態路由/ ,下一跳指向eth2接口的網關 。 添加靜態路由是為了防止策略路由失效的情況下，內網用戶還可以通過靜態路由訪問公網。2.3 策略路由應用案例策略路由配置步驟： 添加源地址策略路由2.3 策略路由應

13、用案例策略路由配置步驟： 添加源地址策略路由2.3 策略路由應用案例策略路由配置步驟： 添加多線路負載路由2.3 策略路由應用案例靜態路由配置：靜態路由和策略路由功能注意事項策略路由優先于靜態路由。每一條外網線路必須至少有一條策略路由與之對應，源地址策略路由或多線路負載路由均可。源地址策略路由選擇接口時，只能選擇WAN屬性的路由接口。源地址策略路由，通過直接填寫路由的下一跳，可以實現從設備非WAN屬性的接口轉發數據。多線路負載路由選擇的接口，必須是WAN屬性的路由接口，必須開啟鏈路故障檢測功能，才能實現線路故障自動切換。多條策略路由，按照從上往下的順序匹配，一旦匹配到某條策略路由后，不再往下匹配。練練手某客戶原來的網絡拓撲如右圖所示， 公網出口為電信和網通雙線路。現需要部署SANGFOR NGAF設備用來保護服務器和內網用戶上網的安全，此外還需要實現內網用戶