AC+AF+AD组合产品最佳实践分享（AC网桥旁路部署）

一、项目背景

        某大型企业为了加强边界安全防护，关于边界安全设备部署方案，客户对于技术非常喜欢专研，考虑了很多细节问题，反复多次找各厂商和总集技术、BU及市场多次上门沟通最佳实践方案，但是沟通多次还是存在很多客观问题导致方案迟迟无法定下来。

二、需求和矛盾点

1、客户需要边界安全设备都采用冗余设计，需要实现交叉连接，确保实现斜向挂掉2台设备不影响业务；---我司最佳实践无法实现AC串接后做到交叉连接；

2、希望安全设备都采用旁路部署，确保2台设备挂掉后不影响业务；---最佳实践没有类似案例；

3、总某公司站在华为角度，推荐将安全设备全部旁挂，通过交换机引流控制数据流走向实现；---但是客户也不太懂技术，可能存在后续出问题扯皮的现象，而且该方案也不是我司最佳实践；

4、由于出现谁都不能说服谁的问题，多次上门也无法达成最终结论，客户限期各方尽快完成。

三、需求梳理与规划

       通过和华为代理商反复沟通，明确我司最佳实践和风险，已经下一步计划，最终达成如下方案：

1、规划拓扑图

2、方案汇报及明确风险

     如果后续此方案有问题，理解切换成我司最佳实践，AC双网桥主主串接，客户和渠道均表示认可；

四、方案思考和建议

     1、安全设备旁路串接部署，通过VRF技术引流方式的方案（万一所有安全设备挂掉都不影响业务），已经在各行业广泛运用，特别是银行，建议将旁路部署的方案纳入最佳实践中；

     2、遇到相关与最佳实践相违背的风险，一定要能识别风险，并且和客户明确风险；

     3、在与客户、渠道、BU多方专家沟通中，要表现出专业，把自己当成专家，不要被其他人带偏，同时还要让干系人认可。

感谢楼主分享，AD-AF-AC是常见的部署模式，在此模式的部署中，如果AF是路由部署，建议要开启双机配置的链路故障检测，这样可以随时通过ping或者arp的方式检测到上下联设备是否切换，如果切换也会随之马上切换，不会出现大面积影响业务的情况。

AC放在旁路是否可以安装准入插件？

感谢分享

此AC安全设备旁路串接部署方案学习了，给楼主点赞。

楼主专业了，这个项目下来也不算小啊。主要是设备种类多样，各项技术都可以用到。这套下来，初学者一下就可以进阶专业人员了。

现在也碰到一样的情况 同样的设备 也要交叉，还没敲定最终咋接线

AC网桥旁路部署这个需要学习下，是否有资料可以共享下，或者专门分享下AC这种部署模式