深信服下一代防火墙入门-2012年度渠道初级认证培训02_基本网络环境部署_20120701.pptVIP

2.3 策略路由应用案例 静态路由配置： 静态路由和策略路由功能注意事项 策略路由优先于静态路由。 每一条外网线路必须至少有一条策略路由与之对应，源地址策略路由或多线路负载路由均可。 源地址策略路由选择接口时，只能选择WAN属性的路由接口。 源地址策略路由，通过直接填写路由的下一跳，可以实现从设备非WAN属性的接口转发数据。 多线路负载路由选择的接口，必须是WAN属性的路由接口，必须开启链路故障检测功能，才能实现线路故障自动切换。 多条策略路由，按照从上往下的顺序匹配，一旦匹配到某条策略路由后，不再往下匹配。 练练手 某客户原来的网络拓扑如右图所示， 公网出口为电信和网通双线路。现需要部署SANGFOR NGAF设备用来保护服务器和内网用户上网的安全，此外还需要实现内网用户上网，访问电信服务器走电信线路，访问网通服务器走网通线路，如果任意线路故障，能实现自动切换。 如何部署和配置来实现客户的需求？ 问题思考 透明接口与虚拟网线接口有何共同点？这两种接口在哪些应用场景下可以通用？ 4. 若要实现外网线路的故障自动切换，需如何配置策略路由？对连接外网线路的接口有何要求？ 3. 策略路由是否可以从一个非WAN属性的接口转发出去？ 如果可以，请问如何配置？ 2. 哪些应用场景下要求接口属性必须是WAN？ * * * * * * 培训内容 培训目标 NGAF接口和区域设置 了解物理接口的应用场景，掌握物理接口的配置。 了解子接口的应用场景，掌握子接口的配置。 了解VLAN接口的应用场景，掌握VLAN接口的配置。 了解区域的用途，掌握二层区域、三层区域和虚拟网线区域的配置。 NGAF静态路由和策略路由功能 了解静态路由功能的应用场景，掌握静态路由功能的配置。 了解策略路由功能的应用场景，掌握源地址策略路由和多线路负载路由的配置。 SANGFOR NGAF 接口和区域设置 SANGFOR NGAF 基本网络环境部署案例 深信服公司简介 SANGFOR NGAF 静态路由和策略路由 SANGFOR NGAF 策略路由应用案例 SANGFOR NGAF 1.1 物理接口 1.2 子接口 1.3 VLAN接口 1.4 区域 NGAF 接口和区域设置 1.1 物理接口 物理接口与NGAF设备面板上的接口一 一对应，根据网口数据转发特性的不同，可选择路由接口、透明接口和虚拟网线接口三种类型，每种接口又可设置WAN 或非WAN属性。 物理接口无法删除或新增，物理接口的数目由硬件型号决定。 1.1.1 路由接口 路由接口： 如果设置为路由接口，则需要给该接口配置IP地址，且该接口具有路由转发功能。 部分功能要求出接口是WAN属性，比如流控、策略路由等。 设置接口的下一跳网关，用于链路故障检测，并不会自动生成的缺省路由，需手动添加缺省路由。 接口的线路带宽设置与流量管理无关，用于策略路由根据接口带宽占用比例选路。 实时检测接口的链路状态，以及多条外网线路情况下，某条线路故障，流量自动切换到其它线路，均需开启链路故障检测。 WAN属性的接口必须开启链路故障检测功能。 1.1.1 路由接口 管理口： Eth0为固定的管理口，接口类型为路由口，且无法修改。Eth0可增加管理IP地址，默认的管理IP 51/24无法删除。 1.1.2 透明接口 透明接口： 透明接口相当于普通的交换网口，不需要配置IP地址，不支持路由转发，根据MAC地址表转发数据。 部分功能要求接口是WAN属性，当接口设置成透明WAN口时，注意设备上架时不要接反了线，导致部分功能失效。 1.1.3 虚拟网线接口 虚拟网线接口： 虚拟网线接口也是普通的交换接口，不需要配置IP地址，不支持路由转发，转发数据时，无需检查MAC表，直接从虚拟网线配对的接口转发。 虚拟网线接口的转发性能高于透明接口，单进单出网桥的环境下，推荐使用虚拟网线接口部署。 配置虚拟网线接口后，还需配置虚拟网线，将虚拟网线接口对应起来。 1.1.3 虚拟网线接口 在负载均衡网络中，透明部署NGAF设备，要求eth1和eth3这对网口，与eth2和eth4这对网口二层隔离，即从eth1口进入的数据必须从eth3口转发，eth2口进入的数据必须从eth4口转发。 我们通过配置虚拟网线接口来满足部署的需求。 1.2 子接口 子接口： 子接口应用于路由接口需要启用VLAN TRUNK的场景。 选择在哪个路由口下添加子接口。 设置此子接口的VLAN ID 设置子接口的IP地址 子接口是逻辑接口，只能在路由口下添加子接口。 子接口的下一跳网关和链路故障检测根据实际环境进行配置。 1.3 VLAN接口 VLAN接口： 为VLAN定义IP地址，则会产生VLAN接口。VLAN接口也是逻