AF 部署模式

1.实验概述

• 
  
  1.1实验背景
  
  

某客户有AF组网需求，需要在客户网络环境中部署我司AF完成AF组网。

• 
  
  1.2实验目标
  
  

本次实验需要完成以下配置：

设备	目标	注意事项
总部AF-1 总部AF-2	路由模式部署。
	完成高可用性配置，主备模式。
	配置策略路由，达成目标： 用户访问8.8.8.8通过电信出口。 用户访问114.114.114.114通过联通出口。
	配置SNAT，用户通过出口地址进行上网。	如未配置SNAT，总部用户无法访问互联网。
	配置DNAT，外部用户可以通过地址 10.10.0.200 访问到总部业务系统。	业务系统由总部PC登录xhack提供。
总部AF-3 总部AF-4	透明模式部署。
	完成高可用性配置，主主模式。

• 
  
  1.3实验说明
  
  

本实验主要包含以下操作具体实验场景，AF 部署模式配置（路由、透明和混合模式部署）、AF 高可用性配置（主备部署和主主部署）、路由配置。在进行这些实验时，本手册会简单的操作步骤指引及简单原理说明。

• 
  
  1.4实验环境
  
  

IP地址及端口规划：

设备名称	端口类型	端口描述	IP地址	备注
总部AF1	管理	eth0	192.168.0.20/24	admin/Sxf@2022
	路由	eth1	172.16.10.1/24
	路由	eth2	10.10.0.200	电信出口
	路由	eth3	45.96.0.200/24	联通出口 网关地址： 45.96.0.1
	心跳	eth4	5.5.5.1/30
		eth5	6.6.6.1/30
总部AF2	管理	eth0	192.168.0.21/24	admin/Sxf@2022
	心跳	eth4	5.5.5.2/30
		eth5	6.6.6.2/30
总部AF3	管理	eth0	192.168.0.22	admin/Sxf@2022
	透明	eth1（vlan1）	172.16.10.4/24
		eth2（vlan1）
	心跳	eth3	2.2.2.1/30
		eth4	3.3.3.1/30
总部AF4	管理	eth0	192.168.0.23/24	admin/Sxf@2022
	透明	eth1（vlan1）	172.16.10.5/24
		eth2（vlan1）
	心跳	eth3	2.2.2.2/30
		eth4	3.3.3.2/30
总部PC	远程	/	192.168.0.105	user/Win#@desk
	业务	/	172.16.10.100

2.实验场景

• 
  
  2.1部署模式配置
  
  
  2.1.1路由模式
  
  

• 登录总部AF-1（192.168.0.20），配置接口地址，并定义接口对应的区域：在【网络】－【接口】－【物理接口】中，选择eth3作为外网接口，选择路由类型，区域选择自定义的外网区，勾选WAN口属性，配置IP ，选择eth1作为内网接口，选择路由类型，区域选择自定义的内网区，配置IP。
  
  

• 
  
  
  
  2.1.2透明模式
  
  

• 登录总部AF-4（192.168.0.23）配置接口地址，并定义接口对应的区域：在【网络】－【接口】－【物理接口】中，配置eth1/eth2，选择透明类型，连接类型为Access 1。
  
  

• 配置管理接口：在【网络】-【接口】-【VLAN接口】中，配置vlan接口的逻辑接口做为管理接口，VLAN ID为1，并分配管理地址（若没有所属区域：内部区，需要自己创建）
  。
  
  

• 配置路由：在【网络】－【路由】-【静态路由】中，新增静态路由，配置默认路由目的地址/掩码为 0.0.0.0/0，下一跳地址 172.16.10.1。
  
  

• 
  
  2.2高可用性配置
  
  
  2.2.1主备部署
  
  

• 主机（总部AF-1）（192.168.0.20）配置心跳口。进入【网络】-【接口】-【物理接口】选择eth4口配置心跳口IP地址，本实验中设置为5.5.5.1/30。eth5口配置数据同步接口地址，本实验中设置为6.6.6.1/30。
  
  

• 主机（192.168.0.20）配置心跳线路。在【系统】-【高可用性】-【双机热备】选择[配置]勾选<启用>，运行模式勾选<主备备份>，填写规划好的对端心跳口IP地址5.5.5.2和数据同步接口地址6.6.6.2。
  
  
  

• 主机配置监视网口。在【系统】-【高可用性】-【双机热备】选择[配置]，点击<展开监视对象>，接口监视点击<新增>。填写名称，检测模式选择<任一满足>，接口选择<物理接口>，勾选<eth1>和<eth2>，点击<确定>。在[组0]中选择创建的<监视对象>随后点击保存。
  
  

• 接着来到主机配置同步信息。在【系统】-【高可用性】-【配置同步】查看到自动同步的[同步对象]，点击<确定>。
  
  

• 备机（AF-2）（192.168.0.21）配置心跳口。备控配置心跳口。进入【网络】-【接口】-【物理接口】选择eth4口配置心跳口IP地址，本实验中设置为5.5.5.2/30。eth5口配置数据同步接口地址，本实验中设置为6.6.6.2/30。
  
  
  
  

• 备机配置心跳线路。在【系统】-【高可用性】-【双机热备】选择[配置]勾选<启用>，运行模式勾选<主备备份>，填写对端心跳口IP地址5.5.5.1和数据同步接口地址6.6.6.1。
  
  
  
  

• 随后分别到主机和备机首页查看系统双机状态。
  
  

• 
  
  
  
  2.2.2主主部署
  
  

• 注意：在客户真实场景中不建议使用透明主主部署。
• 主控（AF-3）（192.168.0.22）配置心跳口。进入【网络】-【接口】-【物理接口】选择eth3口配置心跳口IP地址，本实验中设置为2.2.2.1/30。eth4口配置数据同步接口地址，本实验中设置为3.3.3.1/30。
  
  

• 主控配置接口联动，在【网络】-【接口】-【接口联动】勾选<启用接口LINK状态联动>，点击【新增】选择上下联接口进行联动。
  
  

• 主控（AF-3:192.168.0.22）配置心跳线路，在【系统】-【高可用性】-【双机热备】选择[配置]勾选<启用>，运行模式勾选<主主负载>，填写规划好的对端心跳口IP地址2.2.2.2和数据同步接口地址3.3.3.2。
  
  
• 配置主控配置同步信息，在【系统】-【高可用性】-【配置同步】，可查看到同步对象，配置同步角色为<主控>，点击<保存>。
  
  

• 备控（AF-4）（192.168.0.23）配置心跳口。进入【网络】-【接口】-【物理接口】选择eth3口配置心跳口IP地址，本实验中设置为2.2.2.2/30。eth4口配置数据同步接口地址，本实验中设置为3.3.3.2/30。
  
  
  
  
  

• 备控（AF-4）（192.168.0.23）配置心跳线路，在【系统】-【高可用性】-【双机热备】选择[配置]勾选<启用>，运行模式勾选<主主负载>，填写对端心跳口IP地址2.2.2.1和数据同步接口地址3.3.3.1。
  
  
• 配置备控配置同步信息，在【系统】-【高可用性】-【配置同步】，可查看到同步对象，配置同步角色为<主控>，点击<保存>。
  
  

• 主控手动同步配置。进入【系统】-【高可用性】-【配置同步】，点击<手动同步配置>。
  
  

• 
  
  2.3路由配置
  
  
  2.3.1静态路由
  
  

    参见2.1.2透明模式配置。

• 
  
  
  
  2.3.2策略路由
  
  

• 登录总部AF-1(192.168.0.20)，配置链路检测，在【对象】-【链路检测】点击新增，检测方式选择[Ping]，勾选<启用Ping启用>，目标地址填写电信/联通出口地址，选择对应出接口，完成链路故障检测，分别添加电信出口和联通出口的链路检测。
  
  

• 配置访问电信资源走电信线路出口，在【网络】→【路由】→ 【策略路由】，点击新增。
  
  

• 配置访问联通资源走联通线路出口，在【网络】→【路由】→ 【策略路由】，点击新增，选择源地址策略路由。
  
  

• 
  
  2.4地址转换
  
  
  2.4.1源地址转换
  
  

• AF-1（192.168.0.20）在【策略】-【地址转换】-【IPv4地址转换】点击【新增】。
• AF-1（192.168.0.20）在【策略】-【地址转换】中，新增NAT，配置源地址转换，源区域选择自定义的内网区，源地址选择自定义的内网（也可以选择全部），目的区域选择出口区域，目的地址为全部，服务为any，源地址转换为出接口地址。
  
  

• 
  
  
  
  2.4.2目的地址转换
  
  

• AF-1（192.168.0.20）在【策略】-【地址转换】-【IPv4地址转换】点击【新增】。
• AF-1（192.168.0.20）在【新增NAT】中选择<目的地址转换>，配置原始数据包源为定义好的外网区域，源地址为全部，目的地址为AF外网接口IP 10.10.0.200，服务为http，转换后数据包指定IP为服务器172.16.10.100，端口转换为80。
  
  

3.注意事项

• 
  
  3.1部署模式
  
  
  3.1.1路由部署
  
  

• 在路由模式部署时，防火墙位于内部网络和外部网络之间，负责在内部网络、外部网络中进行路由寻址，相当于路由器。其与内部网络、外部网络相连的上下行业务接口均工作在三层，需要分别配置不同网段的IP地址。
• 路由模式部署支持更多的安全特性，如NAT、策略路由选择，动态路由协议（OSPF、BGP、RIP等）等。
• 需要修改原网络拓扑，对现有环境改动较大。
• 一般部署在需要进行路由转发的位置，如出口路由器或替换已有路由器、老防火墙等场景。
  
  

• 
  
  
  
  3.1.2透明部署
  
  

• 透明模式部署不支持NAT、策略路由选择、动态路由协议（OSPF、BGP、RIP等）等。
• 需要了解上联和下联的方向，以免策略方向出错。
• 一般部署在出口路由设备下联方向，不会改动原有网络环境。
  
  

• 
  
  
  
  3.1.3混合模式
  
  

• 在混合模式部署时，接公网和服务器的两个接口要在同一个VLAN下，同时三层VLAN接口也在这个VLAN下，并配置公网IP。
• 混合模式部署相应的安全功能都支持，如IPS、WEB应用防护、僵尸网络、应用控制、内容安全、实时漏洞分析等都支持。
• 需要修改原网络拓扑，对现有环境改动较大。
  
  

• 
  
  3.2高可用性配置
  
  
  3.2.1主备部署
  
  

• 双机热备页面中抢占与链路检测不能同时开启。
• MANAGE口可做心跳口，但不能做双机的业务口。
• 只有主主负载透明模式下可以手动切换主、备控。
• 不要使用两个成对的bypass接口做双机业务口，避免广播风暴。（8.0.51暂时不支持bypass）
• 心跳口建议使用聚合接口。
• 网口监视和链路监视的切换条件有组的概念，即多个接口可以配置在同组中，同组中任一接口检测故障即判定该组故障，任意一组故障，即双机发生切换。
• 主机强制是主控，备机强制是备控。
  
  

• 
  
  
  
  3.2.2主主部署
  
  

• 需将实际业务口接口联动，防止链路故障导致业务中断。
• 数据同步口的接口带宽要大于等于业务口。
• MANAGE口可做心跳口，但不能做双机的业务口。
• 不要使用两个成对的bypass接口做双机，避免广播风暴。（8.0.51暂时不支持bypass）
• 心跳口建议使用聚合接口，如无条件做聚合接口，也可以单线路。
• 透明主主需将实际业务口做接口联动，防止链路故障导致业务中断。
• 双机聚合数据同步接口支持使用双机聚合接口。
• 管理口也可以作为双机同步口或者业务口。
• 路由主主模式的时候，根据组0的情况来判断设备是主控还是备控，组0是主机的时候，在配置同步中就是主机，反之则是备机。
  
  

• 
  
  3.3路由配置
  
  
  3.3.1静态路由
  
  

• AF浮动路由只能配两条静态路由。
• 静态路由度量值越低，优先级越高。
• 当存在两条静态路由且配置不同度量值时，如果值低的路由恢复，则会抢占成为主路由。
• 如果开启关联链路接口，检测到链路故障，则会在路由表中删除该条路由。
  
  

• 
  
  
  
  3.3.2策略路由
  
  

• 存在策略路由的情况下，配置默认路的目的是为了防止策略路由模块失效影响客户网络。
• 源地址策略路由和多线路负载路由都需要设置链路故障检测，否则无法实现链路切换，源地址策略路由是单独设置，而多链路负载路由是调用接口的链路检测。
• 策略路由匹配顺序为从上往下匹配，一旦匹配到则不再向下匹配。
• 子接口和VLAN接口不支持策略路由。
  
  

• 
  
  3.4地址转换
  
  

• 地址转换只适用于路由口。
• 数据包要来回流量都经过AF。
  
  

• 
  
  
  
  3.4.1源地址转换
  
  

• 有两种模式分为动态转换和静态转换，动态转换是将多个源地址转换为一个地址，静态转换是一对一转换。
  
  

• 
  
  
  
  3.4.2目的地址转换
  
  

• 确保AF与内网服务器发布的端口能通信，而不是只要AF能ping通服务器就行。
• 确保运营商对映射出来的端口没有做封堵，验证方法可以在AF的外网接口抓包，看测试的源IP地址发起请求的数据包有没有到达外网接口。4.测试效果
  
  
  4.1部署模式配置
  配置无误策略路由可出现效果。
  
  
  
  
  4.2高可用性配置
  
  
  4.2.1主备部署
  
  
  在【首页】里面【设备和系统运营】选项中可以看到本机的双机状态。
  
  
  手动关闭主机的下行链路，主机会自动切换为备机。（可以选择在备机上配置主机的网络配置，也可以选择手动切回主机）
  
  
  
  
  
  
  4.2.2主主部署
  
  
  在【首页】里面【设备和系统运营】选项中可以看到本机的双机状态。
  
  
  
  
  4.3路由配置
  
  
  4.3.1静态路由
  配置无误用户可以正常上网。
  
  
  
  
  
  
  4.3.2策略路由
  
  
  总部PC访问电信地址8.8.8.8，查看路径为电信路径。
  注意：双机部署时，备机不转发数据。因此，进行以下验证时，需要保证AF-1和AF-3都为主控状态
  
  
  
  PC访问联通地址114.114.114.114，查看路径为联通路径。
  
  
  
  
  4.4地址转换
  
  
  4.4.1源地址转换
  
  
  配置无误用户可以正常上网。
  总部PC通过命令行工具持续Ping 分支业务系统，通过抓包工具【在AF上的系统/排障/分析工具】抓取总部AF-1 eth1和eth2接口数据。
  
  
  抓取部分数据后，点击<停止抓包>，并分别下载抓包文件。
  
  
  通过抓包工具分别查看抓包文件，在 eth1口的抓包文件中看到，访问分支业务系统的IP为内部IP。在 eth2口的抓包文件中查看到，访问分支业务系统的IP为转换后的IP。
  
  
  
  
  
  
  4.4.2目的地址转换
  
  
  登录总部PC-1，运行桌面xhack，启用靶机。
  
  
  
  mstsc远程登录互联网PC（192.168.0.103 user/Win#@desk），可以通过地址 http://10.10.0.200/DVWA/login.php 访问到总部业务系统。
  
  

很不错，学习了！！！！！！！！！

打赏鼓励作者，期待更多好文！

打赏鼓励作者，期待更多好文！

打赏鼓励作者，期待更多好文！

学习一下实验过程，了解一下

有助于工作，多谢分享。

感谢分享，有助于工资和学习