1、深信服上網行為管理安裝部署典型環境部署培訓內容培訓目標AC/SG典型部署模式介紹了解AC/SG有幾種部署模式以及每處部署模式適用場景AC/SG典型部署模式配置能根據客戶不同場景選擇恰當的部署模式并獨立完成部署配置AC/SG典型部署模式總結掌握不同部署模式的區分別及注意事項AC/SG典型部署模式介紹SANGFOR AC&SGAC/SG典型部署模式配置AC/SG典型部署模式總結AC/SG典型部署模式介紹SANGFOR AC/SG部署模式介紹部署模式_簡介部署模式是指設備以什么樣的工作模式部署到客戶網絡中去，不同的部署模式對客戶原有網絡的影響各有不同；設備在不同模式下支持的功能也各不一樣，設備以何種

2、方式部署需要綜合用戶具體的網絡環境和功能需求而定。根據客戶需求及環境不同，AC/SG設備支持路由、網橋、旁路、單臂四種部署模式。其中SG支持上述四種部署，AC支持前三種部署。SANGFOR AC/SG部署模式介紹路由模式/網關模式_簡介設備以路由模式部署時，AC的工作方式與路由器相當，具備基本的路由轉發及NAT功能。一般在客戶還沒有相應的網關設備，需要將AC做網關使用時，建議以路由模式部署。 路由模式下支持AC所有的功能。如果需要使用NAT、VPN、DHCP等功能時，AC必須以路由模式部署，其它工作模式沒有這些功能。SANGFOR AC/SG部署模式介紹路由模式部署環境（舉例）：SANGFOR

3、 AC/SG部署模式介紹網橋模式_簡介設備以網橋模式部署時對客戶原有的網絡基本沒有改動。網橋模式部署AC時，對客戶來說AC就是個透明的設備，如果因為AC自身的原因而導致網絡中斷時可以開啟硬件bypass功能，即可恢復網絡通信。網橋模式部署時AC不支持NAT（代理上網和端口映射）、VPN、DHCP等功能。SANGFOR AC/SG部署模式介紹網橋模式部署環境-多網橋（舉例）：單網橋多網橋SANGFOR AC/SG部署模式介紹旁路模式_簡介旁路模式主要用于實現審計功能，完全不需要改變用戶的網絡環境，通過把設備的監聽口接在交換機的鏡像口，實現對上網數據的監控。這種模式對用戶的網絡環境完全沒有影響，即

4、使宕機也不會對用戶的網絡造成中斷。旁路模式部署只用于上網行為的審計和基于TCP應用的控制，對基于UDP協議的應用無法控制。不支持流量管理、NAT、 VPN、 DHCP等功能。監聽口管理口監聽口管理口SANGFOR AC/SG部署模式介紹旁路模式部署環境（舉例）：SANGFOR SG部署模式介紹單臂模式_簡介單臂模式部署只適用于SG產品，當客戶有代理需求，又不希望影響網絡中其它的設備部署或替換原有代理服務器，考慮用單臂部署SANGFOR SG部署模式介紹單臂模式部署環境（舉例）：eth0SANGFOR SG部署模式介紹SG單臂模式部署環境（舉例）：AC/SG典型部署模式配置典型部署模式與配置 路

5、由模式_部署指導首選需要了解用戶的實際需求，以下幾種情況 必須使用路由模式部署：1、用戶必須要用到AC的VPN、NAT（代理上網和端口映射）、DHCP等功能。2、用戶在新規劃建設的網絡中來部署AC，想把AC當作一臺網關設備部署在網絡出口處。3、用戶網絡中已有防火墻或者路由器了，但出于某方面的原因想用AC替換掉原有的防火墻或者路由器并代理內網用戶上網。典型部署模式與配置 路由模式_配置思路1、網口配置：配置各網口地址。如果是固定IP，則填寫運營商給的IP地址及網關；如果是ADSL拔號上網，則填寫運營商給的拔號賬號和密碼；確定內網口的IP地址信息；2、確定內網是否為多網段網絡環境，如果是的話需要添

6、加相應的回包路由，將到內網各網段的數據回指給設備下接的三層設備。3、用戶是否需要通過AC設備上網，如果是的話，需要設置地址轉換規則。4、檢察并放通防火墻規則。典型部署模式與配置需求：某用戶網絡環境如右圖，現將AC部署在網絡出口，實現AC代理內網所有用戶上網。路由模式_應用舉例配置思路： 1.選擇部署模式并配置內/外網口 2.配置代理上網3.檢查lan to wan防火墻規則是否放行，默認放行典型部署模式與配置路由模式_應用舉例_配置步驟定義網絡接口配置外網接口地址，可以自動獲取，手動配置或adsl撥號填寫需要代理上網的網段。此處配置也可以在【防火墻】下的【NAT代理上網】中添加。配置完成，點擊

7、提交，設備重啟典型部署模式與配置 網橋模式_部署指導1、網橋模式部署相比路由模式對客戶的網絡影響較小，當客戶內網已有相應的網關設備時，建議使用網橋模式部署。2、根據客戶的網絡結構決定AC采用多網橋方式，如雙網橋橋常部署在vrrp環境。典型部署模式與配置 網橋模式_配置思路1、配置設備網橋地址，網關地址，DNS地址。2、確定內網是否為多網段網絡環境，如果是的話需要添加相應的回包路由，將到內網各網段的數據回指給設備下接的三層設備。3、檢察并放通防火墻規則。典型部署模式與配置網橋模式-應用舉例需求：某用戶網絡環境如右圖，AC部署在防火墻與交換機之間，實現對內網用戶的上網控制。配置思路：1、選擇部署模

8、式并配置接口地址。2、配置到內網的回指路由3、配置用戶上網策略（此處略，詳見培訓PPT SANGFOR_AC&SG_v6.0_2015年度渠道初級認證培訓09_組織結構與上網策略）4.檢查lan to wan防火墻規則是否放行，默認放行典型部署模式與配置 網橋模式_應用舉例_配置步驟定義網橋列表配置網橋地址，網關和DNS。橋地址應該是FW和交換機所在網段可用的一個地址，設備網關配置前置FW的地址，DNS配置可用DNS配置管理口地址，并啟用“自動放通防火墻規則”。除了橋地址管理設備，dmz口也可以管理設備。配置完成，點擊提交，設備自動重啟典型部署模式與配置 旁路模式_部署指導1、旁路模式對客戶網

9、絡影響最小，主要用于審計。當客戶的需求只是上網審計和基于TCP的應用過濾時，可以考慮此種部署方式。2、旁路部署時設備接在核心交換機上鏡像口，設備監聽鏡像口的流量實現審計。3、旁路模式部署時采用管理口（DMZ）配置的IP地址進行管理，其它所有接口均可作為監聽口，可使用一個口或者是多個口同時作為監聽口，監聽口無需任何配置。典型部署模式與配置 旁路模式_配置思路1、交換機設置鏡像口，并接到監聽口。2、配置需要審計的內網網段和服務器網段。3、配置管理口地址，用于登錄管理設備。典型部署模式與配置旁路模式-應用舉例需求：用戶網絡環境如右圖，AC以旁路模式部署在三層交換機上，用來審計200.200.0.0/

10、16這個網段的用戶上網行為。配置思路：1、配置部署模式2、配置管理口（DMZ）地址3、配置監聽網段。典型部署模式與配置 旁路模式_應用舉例_配置步驟若設備需要跟外網通訊，需配置好網關和DNS填寫需要審計的內網網段配置完成點擊提交典型部署模式與配置 單臂模式_部署指導單臂模式部署只適用于SG產品，當客戶有代理需求，又不希望影響網絡中其它的設備部署或替換原有代理服務器，考慮用單臂部署。典型部署模式與配置 單臂模式_配置思路1、配置設備接口地址，網關地址及DNS地址。2、配置設備代理設置。3、客戶端PC配置SG作為代理服務器。典型部署模式與配置 單臂模式_應用舉例_配置步驟需求：客戶原有使用squi

11、d代理內網PC上網 ，現需要使用SG替換Squid代理服務器，代理內網PC上網。配置思路：1、配置設備接口地址，網關地址及DNS地址。2、配置設備代理設置。3、客戶端PC配置SG作為代理服務器。10.10.2.106/24eth010.10.2.106/24eth0典型部署模式與配置 單臂模式_應用舉例_配置步驟SANGFOR SG部署模式介紹SG單臂模式部署環境（舉例）：AC/SG典型部署模式總結AC/SG典型部署模式總結1、路由模式可以實現設備所有功能，網橋模式其次，旁路模式多用于審計，只能對tcp應用控制，控制功能最弱。2、路由模式對客戶原有網絡改造影響最大，網橋模式其次，旁路模式對客戶

12、原有網絡改造無影響，即使設備宕機也不會影響客戶斷網。3、設備路由模式最多支持4條外網線路（需要足夠的授權），默認最多使用eth0到eth7共8個接口。網橋模式最多支持4對網橋，默認最多使用eth0到eth7共8個接口。旁路模式除了管理口外，其它網口均可作為監聽口。4、若設備面板有10個網口，eth0到eth7為電口，eth8和eth9為光口，現需要部署為四網橋，前三對網橋為電口，第四對網橋為光口。則需要先通過SANGFOR設備升級系統將eth8和eth9兩個光口與eth0到eth7之間的兩個電口交換才能滿足需求練練手場景1客戶原有網絡如右圖，在出口位置部署了一臺防火墻，下接三層交換機，現在購買

13、了一臺AC，客戶需要實現流控、審計、網頁過濾等功能，請問根據這樣的需求，在對原有的環境改動最小的情況 下AC應該如何部署？請根據左邊拓撲圖手動配置一下，完成設備部署。練練手場景2客戶原有網絡拓撲如右圖所示，由于某方面的原因，客戶想購買一臺AC替換掉原有防火墻，請根據圖示拓撲信息動手配置一下，完成設備部署。練練手場景3某大型集團公司網絡拓撲如右圖所示，客戶主要需求是對內網上網行為進行審計和內網用戶訪問網站過濾，并且要求對WEB SERVER的訪問進行記錄，請根據客戶的實際網絡討論以哪種部署方式最適合該客戶，并動手完成配置部署。練練手場景4某用戶原有網絡拓撲如右圖所示，現購買一臺AC設備，需要實現對內網