深信服部署模式.pdf

为天地立心，为生民立命，为往圣继绝学，为万世开太平。——张载

一、一、部署模式：

1.1部署模式拓扑图：

1.1.1路由部署

1.1.2网桥部署：

为天地立心，为生民立命，为往圣继绝学，为万世开太平。——张载

1.1.3旁路部署：

1.2部署指导

1.2.1路由模式_部署指导

首选需要了解用户的实际需求，以下几种情况必须使用路由模式部署：

1、用户必须要用到AC的VPN、NAT（代理上网和端口映射）、DHCP这几个功能。

2、用户在新规划建设的网络中来部署AC，想把AC当作一台网关设备部署在网络出口处。

3、用户网络中已有防火墙或者路由器了，但出于某方面的原因想用AC替换掉原有的防火

墙或者路由器并代理内网用户上网。

1.2.2网桥模式_部署指导

1、网桥模式部署相比路由模式对客户的网络影响较小，当客户确定不需要使用AC的VPN、

NAT、DHCP功能，且内网已有相应的网关设备时，建议使用网桥模式部署。

2、根据客户的网络结构决定AC采用多网桥或网桥多网口的方式。

网桥多网口常见应用场景：

a.两条线路分别接FW1和FW2，内网接交换机，设备在交换机和防火墙之间，网桥模

式部署，单进双出做网桥多网口。

b.内网核心交换机和路由器都做双机，加入两台设备，双进单出做网桥多网口。

多网桥常见应用场景:

为天地立心，为生民立命，为往圣继绝学，为万世开太平。——张载

a.设备一进一出做单网桥

b.客户内网有VRRP或HSRP环境

1.2.3旁路模式_部署指导

1、旁路模式是所有部署模式中最简单的一种，但也是功能实现较弱的一种部署方式。当客

户的需求只是上网审计和基于TCP的应用过滤时，可以考虑此种部署方式，常见于高校、大

型国有企业专门用于AC作审计；

2、旁路部署时一般设备是接在核心交换机上，核心交换机通过将镜像功能将需要审计的流

量镜像过来；

3、旁路模式部署时采用管理口（DMZ）配置的IP地址进行管理，其它所有接口均可作为监

听口，可使用一个口或者是多个口同时作为监听口，监听口无需任何配置。

二、AF部署模式：

2.1部署模式拓扑图：

2.1.1路由模式：

为天地立心，为生民立命，为往圣继绝学，为万世开太平。——张载

2.1.2透明模式

为天地立心，为生民立命，为往圣继绝学，为万世开太平。——张载

2.1.3虚拟网线

为天地立心，为生民立命，为往圣继绝学，为万世开太平。——张载

2.1.4旁路模式：

2.1.5混合模式

三、SSLVPN部署模式：

3.1部署模式拓扑图

3.1.1网关部署：

为天地立心，为生民立命，为往圣继绝学，为万世开太平。——张载

3.1.2单臂部署：

为天地立心，为生民立命，为往圣继绝学，为万世开太平。——张载

3.2部署指导

3.2.1网关单线路配置思路

1、网关模式配置：

确定设备外网口（WAN1口）是固定IP或者是ADSL拨号方式，取得相应运营商给的IP地址

信息或者是拨号的帐号密码；确定内网口（LAN口）的IP地址信息；

2、上网配置：