深信服AC技术文档

内网口接交换机

外网口接防火墙

AC部署

路由

1.用户必须用到AC的VPN，NAT(代理上网和端口映射)，DHCP等功能

2.在新规划建设的网络中部署AC，想把AC当作一台网关设备部署在网络出口处

3.网络中已有防火墙或者路由器，但出于某方面的原因想用AC替换原有的防火墙或者路由器并代理内网用户上网

配置思路

1. 确定网络拓扑：了解网络拓扑和结构，包括网络设备（交换机、路由器等）的位置和连接方式。确定需要在深信服AC上进行路由的网络段和子网。

2. 配置接口和IP地址：在深信服AC上配置接口和相应的IP地址，以便与其他网络设备进行通信。这些接口将用于连接到其他网络设备或子网。

3. 配置静态路由：根据您的网络拓扑和路由需求，在深信服AC上配置静态路由。静态路由指定了将数据包从一个网络发送到另一个网络的路径。您可以配置默认路由或特定目标网络的路由。

4. 配置动态路由协议（可选）：如果您的网络采用动态路由协议（如OSPF、BGP等），您可以在深信服AC上配置相应的路由协议。这样，深信服AC可以与其他路由器交换路由信息并自动学习和更新路由表。

5. 路由策略配置：根据您的需求，配置路由策略来控制数据包的转发和选择路径。您可以设置策略来优化网络性能、实现负载均衡、实现路由冗余等。

6. 路由验证和故障排除：在完成路由配置后，进行验证和测试确保路由正常工作。发送数据包并验证其正确的路径和到达目标网络。如果出现问题，进行故障排除，并检查配置和网络连通性。

网桥

1.配置设备网桥地址，网关地址，DNS地址

2.确定内网是否为多网段网络环境，是的话，需要添加相应的回包路由，将到内网各网段的数据回指给设备下三层设备

3.检查并通放防火墙规则

配置思路

1. 确定网络拓扑：了解网络拓扑和结构，包括需要连接的网络设备和子网。确定需要在深信服AC上进行网桥的网络段和子网。

2. 配置接口和IP地址：在深信服AC上配置接口和相应的IP地址，以便与其他网络设备进行通信。这些接口将用于连接到其他网络设备或子网。

3. 创建网桥：在深信服AC上创建网桥实例，为要进行网桥的接口分配相应的网桥ID。网桥ID是用于标识网桥实例的唯一标识符。

4. 添加接口到网桥：将要进行网桥的接口添加到相应的网桥实例中。这样，接口之间的数据包将通过网桥进行转发和交换。

5. 配置网桥策略：根据需求，配置网桥策略来控制数据包的转发和处理。您可以设置策略来实现不同接口之间的隔离、实现流量控制、配置MAC地址表等。

6. 网桥验证和故障排除：在完成网桥配置后，进行验证和测试以确保网桥正常工作。发送数据包并验证其正确的转发和交换。如果出现问题，进行故障排除，并检查配置和网络连通性。

旁路

1.配置各网口地址，如果是固定IP，则填写运营商给的IP地址及网关，如果是ADSL拨号上网，则填写完运营商给的拨号账号和密码，确定内网口的IP

2.确定内网是否为多网段网络环境，如果是，需要添加相应的回包路由，将到内网各网段的数据回指给设备下接的三层设备

3.是否需要通过AC设备上网，如果是，需要设置地址转换规则

4.检查并通放防火墙规则

配置思路

1. 确定旁路需求：了解网络环境和需求，确定是否需要在深信服AC中实施旁路功能。旁路功能通常用于在设备故障或电源中断时绕过AC，确保网络连通性。

2. 购买支持旁路的设备：确保深信服AC设备支持旁路功能，并购买相应的旁路模块或设备。

3. 网络连接准备：准备好将旁路设备与深信服AC连接的网络接口。通常，旁路设备与深信服AC之间会有两个网络接口连接，一个用于正常流量传输，另一个用于旁路功能。

4. 配置旁路模式：在深信服AC上配置旁路模式，以启用旁路功能。深信服AC通常提供不同的旁路模式，如物理旁路模式和虚拟旁路模式。根据您的需求选择合适的旁路模式。

5. 连接旁路设备：将旁路设备连接到深信服AC的旁路接口上。确保连接正确，按照指定的方式将流量传递给旁路设备。

6. 测试和验证：在完成旁路配置后，进行测试以确保旁路功能正常工作。测试正常流量经过深信服AC时，旁路设备不会干扰数据传输；而在深信服AC故障或电源中断时，旁路设备可以顺利绕过AC保持网络连通性。

SG部署

单臂

部署只适用于SG产品，当客户哟代理需求，又不希望影响网络中的其他设备部署或者替换原有代理服务器考虑单臂部署

配置思路

1. 确定单臂部署需求：了解网络环境和需求，确定是否需要使用单臂部署方式。单臂部署通常用于实现网络流量监测、访问控制或代理转发等功能。

2. 确定网络拓扑：了解网络拓扑和结构，包括网络设备（交换机、路由器等）的位置和连接方式。确定深信服SG的部署位置和要监测或控制的网络流量。

3. 配置接口和IP地址：在深信服SG上配置接口和相应的IP地址。至少需要一个接口用于连接到外部网络或上游设备，另一个接口用于连接到内部网络或下游设备。根据需要，您可以配置更多的接口。

4. 配置网络流量转发：配置深信服SG上的流量转发规则，以便将网络流量从一个接口转发到另一个接口。这样，SG可以在流量经过时进行监测、分析、访问控制等操作。

5. 配置访问控制策略：根据需求，配置访问控制策略来限制、过滤或控制流经SG的网络流量。您可以设置规则来允许或禁止特定的协议、端口、源IP/目的IP等。

6. NAT配置（可选）：如果需要在单臂部署中执行网络地址转换（NAT），您可以在深信服SG上配置相应的NAT规则，以转换源IP或目的IP地址。

7. 配置其他功能和服务（可选）：深信服SG还提供其他安全功能和服务，如防火墙、VPN、反病毒、反垃圾邮件等。根据需要，配置和启用这些功能。

8. 测试和验证：在完成单臂部署配置后，进行测试以确保SG正常工作。验证流量转发、访问控制规则和其他配置是否按预期工作。

总结：

1.路由模式可以实现设备所有功能，网桥模式其次，旁路模式多用于审计，只能对tcp应用控制，控制功能最弱。

2.路由模式对客户原有网络改造影响最大，网桥模式其次，旁路模式对客户原有网络改造无影响，即使设备宕机也不会影响客户断网

3.设备路由模式最多支持32条外网线路（需要足够的授权），网桥模式最多支持32对网桥，旁路模式除了管理口，其他网口均可作为监听口，可以同时选择多个网口作为监听口

4.千兆口和万兆口不能组成一对网桥；千兆口和千兆口可以组成一对网桥