SANGFORACSGv度培训设备部署lfy.ppt

策略路由应用举例 某用户网络拓扑如左图，AC双线路部署在网络出口，内网用户需要访问公网的网上银行，地址是2，网上银行服务器会校验源IP地址，如果同一连接中的源IP发生了改变，网上银行会断开连接，导致无法访问。 解决办法：设置一条策略路由，指定访问到这个目标地址的数据固定走线路一。 策略路由应用举例 配置步骤： 1. 首先设置网络接口及代理上网（详见《防火墙 功能培训》 PPT，此处不再赘述） 2.配置策略路由，在 [网络配置]－[策略路由]中，点击新增，如下图： 源地址即访问网上银行的地址，这里是内网所有用户，可以选择所有IP 配置完成，配置生效后，内网所有用户访问2这个地址时，均走线路1出去，只有当线路1故障时，才会走线路2。 多线路选路应用举例 如图，某用户有两条公网线路，为了提高上网速度，想要实现内网用户上网时，走剩余上行带宽最多的线路出去。 解决方法：配置多线路选路策略，选择“按每条线路的剩余上行带宽优先选择线路” 多线路选路应用举例 配置步骤： 1、首先配网络接口及代理上网（详见《防火墙 功能培训》 PPT，此处不再赘述） 2、配置多线路选路策略，在【网络配置】－【策略路由】下，点击“外网线路分配策略”， 如下图： 多线路选路和策略路由功能注意事项 1. 多线路选路和策略路由功能只在路由模式下有效。 2. 需要使用外网多线路，在序列号中至少开启2条外网线路的授权。 防DOS攻击功能介绍 防DOS攻击功能简介及配置 防DOS攻击功能介绍 1、防DOS攻击即设备对于DOS攻击的防护，通过设备能够阻止此类攻击，不仅能够阻止对设备本身的攻击、也可以阻止内网某些PC对外网发起的攻击。 2、DOS攻击常见类型有：单个主机IP对某个目标IP发起大量的TCP连接握手、单个IP对某个目标IP发送大量的小包。 3、防DOS攻击配置建议：如果客户对安全方面有要求的话可以启用，但需要谨慎配置；如果客户网络中已有安全防护设备，则不建议在设备上再启用该功能。 防DOS攻击功能简介及配置 防DOS攻击配置 1、内网网段要么留空，要配置则必须将内网所有网段填写完整，否则少填的网段将会被设备认为是DOS攻击，从而阻止其与外网通讯。 2、如果内网是三层交换机多网段环境，则左图中红色框选项一定不能勾选，如果内网是二层交换机单网段环境，可以勾选此项，不勾选也不会产生影响。 3、下面三个参数建议使用默认配置即可。如果内网用户使用电驴、迅雷等下载软件，可适当增大“最大TCP连接数”和“最大攻击包次数”，避免出现误判。 练练手 情景1 客户原有网络如右图，在出口位置部署了一台防火墙，下接三层交换机，现在购买了一台AC，客户需要实现流控、审计、网页过滤等功能，请问根据这样的需求，在对原有的环境改动最小的情况 下AC应该如何部署？ 请根据左边拓扑图手动配置一下，完成设备部署。 练练手 情景2 客户原有网络拓扑如右图所示，由于某方面的原因，客户想购买一台AC替换掉原有防火墙，请根据图示拓扑信息动手配置一下，完成设备部署。 练练手 情景3 某大型集团公司网络拓扑如右图所示，客户主要需求是对内网上网行为进行审计和内网用户上网时的URL过滤，并且要求对WEB SERVER的访问进行记录，请根据客户的实际网络讨论以哪种部署方式最适合该客户，并动手完成配置部署。 练练手 情景4 某用户原有网络拓扑如右图所示，现购买一台AC设备，需要实现对内网用户的审计和P2P管控等功能，请问在对用户原有的网络环境改动最小的情况下，AC设备该如何部署才能够满足客户的需求。请分析后画出部署拓扑并动手配置一下完成部署。 1.某客户要使用AC里面的VPN功能，请问AC可以以什么模式部署到客户的网络中？ 2.网桥IP有什么作用，为什么要配置网桥IP？ 3.网桥多网口和多网桥有什么区别，分别适用于什么环境？ 4.客户网络拓扑如下，那么防DOS攻击要怎么配置？ 问题思考 培训内容 培训目标 AC部署模式介绍 掌握AC支持的部署模式 掌握AC各种模式的适用环境和支持的功能。 策略路由和多线路选路介绍 1.掌握策略路由和多线路选路的应用场景 2.掌握策略路由和多线路选路的实现原理和配置步骤 防DOS攻击功能介绍及配置 1.掌握防DOS攻击的作用及配置 AC/SG部署模式介绍 SANGFOR AC部署模式介绍 部署模式_简介 部署模式是指设备以什么样的工作模式部署到客户网络中去，不同的部署模式对客户原有网络的影响各有不同；设备在不同模式下支持的功能也各不一样，设备以何种方式部署需要综合用户具体的网络环境和功能需求而定。 根据工作方式的不同，AC设备支持路由、网桥、单臂（SG）、旁路三种部署模式。 SANGFOR AC部署模式介绍 路由模式_简介 设备以路由模式部署时，AC