AF的部署模式
1.AF的部署模式:
路由模式:所有接口都是路由口
透明模式:所有接口都是透明口
虚拟网线模式:所有接口都是虚拟网线口
旁路模式:所有接口都是镜像口
混合模式: AF上同时存在多种接口类型
2.AF的接口类型:
按照接口属性划分:物理口、子接口、VLAN接口、聚合接口(最多支持4个物理口聚合)
按照模式划分:路由口、透明口、虚拟网线口、镜像口
3.接口特征:
路由口:三层接口,可以配置IP地址,连接一个独立的网段
透明口:二层接口,与交换机接口工作模式一致,收到数据帧需要检查MAC地址来判断从哪个接口转发,支持多进多出
虚拟网线口:二层接口,成对出现,从一个接口收到的数据帧一定会从另外一个接口发出,不查表,转发速度快,但只支持单进单出
4.AF的初始配置流程:
1.创建区域,设置区域类型
2.配置接口,选择接口类型,加入到相应区域,并做相关配置
路由口:配置IP、网关
透明口:配置接口类型(Access/Trunk) 、VLAN信息
虚拟网线口:选择与该接口配对的另外一个口
3.如果AF是互联网出口设备,还需要配置SNAT,使内网可以访问互联网
4.如果内网有服务器需要发布到公网,还需要配置DNAT
5.根据网络规划,如果内网有三层环境,需要配置到达终端网段的路由
6.创建相关的放通网络的策略
5.区域类型:
二层区域:只有透明口和镜像口可以加入二层区域
三层区域:只有路由口可以加入三层区域
虚拟网线区域:只有虚拟网线口可以加入该区域
6.混合模式部署的配置:
1.适用于AF部署为互联网出口设备,连接了服务器区,服务器区也部署在公网上,拥有公网地址,同时连接内网使用私有地址
2.连接公网的接口和连接服务器区的接口都配置为透明口,类型是Access, 加入同一个VLAN
3.对该VLAN创建VLAN接口,并配置一个公网地址
4.内网口设置为路由口,配置内网地址
注意:
1.AF的默认管理IP是10.251.251.251/24,该地址无法删除
2.设备支持配置多个WAN属性的路由接口连接多条外网线路,但是需要开通多条线路的授权
3.管理口不支持设置成透明接口或虚拟网线接口,如果要设置2对或2对以上的4.虚拟网线接口,则必须要求设备不少于5个物理接口,预留一个专]的管理口Eth0
5.一个路由接口下可添加多个子接口,路由接口的IP地址不能与子接口的IP地址在同网段
6.一个接口只能属于一个区域
旁路部署时,需要开启"旁路reset"功能,才能对TCP的流量进行封堵(AC默认是开的)
旁路模式只支持一下功能
APT(僵尸网络)
PVS(实时漏洞分析)
WAF(web应用防护)
IPS(入侵防护系统)
DLP(入侵防护系统)
网站防篡改部分功能(客户端保护)
策略路由:可以根据各种条件作为判断标准来决定如何转发数据包的路由
数据包长度 应用行为的不同 就是tm不根据目的IP进行数据转发就叫策略路由
策略路由PBR分类:
源地址策略路由:可指定内网哪些IP走指定线路出公网
多线路负载路由:可指定多条线路进行负载选路
配个图:
|
楼主
发表于 2020-9-21 11:44
技术员2级 
