深信服AF学习笔记汇总.docVIP

深服气AF学习笔录汇总 深服气AF学习笔录汇总 PAGE / NUMPAGES 深服气AF学习笔录汇总 第 1章 设施管理 1.1. 管理 1、NGAF 设施经过 MANAGE 口登录进行管理， MANAGE 口 IP：51 MANAGE 口 IP 地点 51 不可以改正 (能够在 MANAGE 口添 加多个 IP 地点 )。因此即便忘掉了其余接口的 IP，仍旧能够经过 MANAGE 口出厂 IP 登录 NGAF 设施。 2、升级包答复密码， U 盘恢复（只恢复密码，不会恢复网络配置） U 盘格式必 须为 FAT32 3、开启直通以后，认证系统、防火墙、内、 容安全、服务器保护、流量管理等主要功能模块  (DOS/DDOS 防备中的鉴于数据 包攻击和异样数据报文检测、 NAT、流量审计、连结数控制除外 ) 均无效。 4、物理接口三种种类：路由接口、透明接口和虚构网线接口三种种类 第 2章 基本网络配置 2.1. 路由接口 5、接口 WAN 属性：部分功能 要求出接口是 WAN 属性，比方流控、策略路由、 VPN 外网接口 等。 6、增添下一跳网关其实不会产生 默认路由，需要手动增添路由 7、接口带宽设置于流控没关，主要用于策略路由依据带宽占用比率选路，流控 的需要从头设定。 8、及时检测接口的链路状态功能，以及多条外网线路状况下，某条线路故障， 流量自动切换到其余线路功能，均需开启链路故障检测 。 9、WAN 属性的接口 一定开启 链路故障检测功能，非 WAN 属性无需开启。 10、路由接口是 ADSL 拨号方式，需要勾选“增添默认路由 ”选项 11、Eth0 为固定的管理口，接口种类为路由口，且没法改正。  Eth0  可增添管理 IP 地点，默认的管理 没法删除。 2.2. 透明接口 12、透明接口相当于一般的互换网口，不需要配置  IP  地点，不支持路由转发， 依据  MAC  地点表转发数据。 部分功能要求接口是  WAN  属性，当接口设置成透 明 WAN 口时，注意设施上架时接线方向，内外网口接反会致使部分功能无效。 2.3. 虚构网线接口 13、虚构网线接口也是一般的互换接口， 不需要配置 IP 地点，不支持路由转发，转发数据时， 无需检查 MAC 表，直接从虚构网线配对的接口转发。 14、虚构网线接口的转发性能高于透明接口， 单进单出网桥 的环境下，介绍使用 虚构网线接口部署。 2.4. 聚合口 15、聚合口：将多个以太网接口捆绑在一同所形成的逻辑接口， 创立的聚合接口 成为一个逻辑接口，而不是基层的物理接口。 AF 最多绑定  4 个口聚合 ，聚合口 不支持镜像旁路 2.5. 子接口 16、子接口：子接口应用于 路由接口需要启用 VLAN TRUNK 的场景。 17、子接口是逻辑接口， 只好在路由口下增添子接口 。 18、设施支持配置多个 WAN 属性的路由接口连结多条外网线路， 可是需要开 通多条线路的受权。 19、管理口不支持设置成透明接口或虚构网线接口，假如要设置 2 对或 2 对以 上的虚构网线接口， 则一定要求设施许多于 5 个物理接口，预留一个特意的管理 口 Eth0。 20、一个路由接口下可增添多个子接口， 路由接口的 IP 地点不可以与子接口的 IP 地点在同网段。 2.6. 地区 21、一个接口只好属于一个地区。 二层地区只好选择透明接口， 虚构网线地区只 能选择虚构网线接口 2.7. 策略路由 22、AF 策略路由分源地点策略路由和多线路负载路由， 源地点策略路由 ：依据 源 IP 地点和协议选择接口或下一跳，实现用户接见数据的分流。可实现不一样网 23、 策略路由配置完成最后一步增添静态路由是为了防备策略路由无效的状况 下，内网用户还能够经过静态路由接见公网。 24、路由优先级：静态路由优先于策略路由， 策略路由优先于默认路由 （）。 25、源地点策略路由选择接口时，只好选择 WAN 属性的路由接口。经过直接填 写路由的下一跳，能够实现从设施非 WAN 属性的接口转发数据。 26、多条策略路由， 依据从上往下的次序般配， 一旦般配到某条策略路由后， 不 再往下般配。 第 3章 常有的网络环境部署 3.1. 接口 依据网口属性分为：物理接口、子接口、 vlan 接口； 依据网口工作地区区分为： 2 层地区口、 3 层地区口； 此中物理口可选择为：路由口、透明口、虚构网线口、镜像口； 3.2. 旁路模式 2、旁路模式部署 AF ，AF 只是支持的功能有 WAF（web 应用防备），IPS（入侵防备系统），和 DLP （数据库泄密防备，属于 WAF 内，其余功能均不可以实现，比如 Vpn 功能，网关 (smtp/pop3/http)杀毒， DOS 防守，网站防窜