深信服NGAF部署案例与上架问题参考手册.docVIP

NGAF典型案例与上架问题快速参考手册 目录 案例部分 1 一、 路由模式部署 1 单线路简单部署by谢辉 1 单线路+专线互联by李绘东 11 多线路+sangfor vpn互联by李宁 22 二、 网桥模式部署by孙阳华 31 三、 功能测试案例by黄翔 42 问题部分 48 一、 断网问题 48 路由模式 48 网桥模式 50 二、 目的地址转换/双向地址转换不通问题 52 目的地址转换 52 双向地址转换 53 三、 经过AF访问公网速度变慢 53 案例部分 路由模式部署 单线路简单部署by谢辉 【网络现状】 Internet——NGAF——内网（PC和服务器） 现有1条外网出口线路，20M出口带宽. 内网lan口接核心交换机，服务器区也在lan区域. 【客户需求】 AF代理内网上网 对外发布服务 双向地址映射 流量控制 【设备配置】 （1）配置lan口，设置为路由口，由于是内网口，固不勾选 wan口 （2）配置WAN口，设置为路由口，选择wan口。 （3）设置区域，一个接口属于一个区域，如图： （4）配置系统路由(添加回包路由和缺省路由，缺省路由必须要添加。) （5）配置源地址转换，即代理上网功能。 源区域选择lan，目标区域选择wan。源地址转换选择出接口地址，如果有多个公网IP可以选择IP范围。 （6）设置目的地址转换（即对外发布服务）。源区域选择wan，目的区域为灰色，不可选，IP组应当设置wan口映射IP，可以通过IP组来发布需要映射的公网IP，客户需要将公网的8080端口映射到内部服务器的80端口，固需要将8080端口转换成80端口，以实现客户需求。 （7）客户需要在内网访问公网地址来访问内部服务器，需要我们做双向映射来实现，源区域和目的区域都选择lan区，应用服务器是通过http://X.X.X.X:7890来访问的,固目标端口设置7890，该端口不需要转换所以目标端口转换选择-不转换，如果是域名，则用dnsmapping即可。 所有映射条目如下图： （8）映射设置完毕后，需要放通相应的应用控制策略。 注意：做双向映射后，应当放通lan-lan的规则。 （9）配置流控模块 1. 先配置虚拟线路，如图所示： 2. 配置正确的线路带宽，将WAN区域的接口设置为外出接口，本例中eth2为WAN口，如下图： 3. 设置流控策略，设置流控策略基本和AC一致。 至此配置完成 单线路+专线互联by李绘东 【网络现状】 现在出口设备为5年前的PIX防火墙，PIX防火墙老化，有时会出现断电后起不来的现象，且PIX不能满足客户对内网安全情况和全网流量的了解和服务器防护的需求。 出口链路有2条，公网电信20M，外加一条2M的专线，电信公网线路上有多个公网IP，用来做内网用户上网的PAT和服务器端口映射用，内网用户访问专线的流量，一部分走路由，一部分在专线上起端口映射。 【客户需求】 AF代理内网上网，实现公网走电信、专网流量走专线等需求。内网有服务器需要在AF上通过端口映射发布出去，部署拓扑图如下： 目前需要通过NGAF下一代应用防火墙保证内网用户访问互联网的安全以及保护内部服务器的安全。 【设备配置】 （1）配置物理接口 Lan口为三层路由口，填上相应的IP地址和掩码，测试的时候不是很赶时间的话，尽量完善描述，方便后面查看。 配置WAN口，这里的WAN口有多个公网地址，但是在pix的wan口只配置了一个公网地址，其他公网地址都是在端口映射里体现出来。这里我们把公网地址一个不漏的都配置上来。还是要提一下，下一跳网关是做链路检测和做策略路由用的，与默认路由没关系。 接下来配置专线的属性。专线也有2个IP地址，一个用来跑路由，一个用来做IP地址映射用的，在翻译PIX的配置时，一定要细心不能漏掉。 还有一点，专线也勾选了“Wan口”属性，我去测试时差点忽视了这一点，后来赶在设备上架前申请到了多线路序列号（默认只有一条线路授权）。如果没有勾wan口属性的话，可能会有如下后果(引用0:5/dedecms/plus/view.php?aid=1078)： 流量控制不生效 策略路由设置有障碍（策略路由出接口无法选择非wan口，实际上直接填写下一跳网关为非wan接口的网关，配置也是生效的。） 脚本过滤、插件过滤不生效 流量审计不生效（网关运行状态-应用流量排行看不到内容） 没有启用wan属性，则启用免费arp功能后，也不会主动广播该接口的mac出去，可能导致前置设备不能更新自己的mac。 （同时启用arp欺骗防御可以解决此问题）。 其他功能如静态路由、NAT、应用识别等不会影响。所以专线还是勾上“w