1、SANGFOR WOC 高級部署模式紹培訓內容培訓目標WOC 高級部署模式介紹1.了解網(wǎng)橋vpn模式部署2.了解網(wǎng)橋多線路模式部署。3.了解雙網(wǎng)橋模式部署。4. 了解雙單臂模式部署。WOC高級部署模式選擇1.知道在哪些場景下，選擇這4種高級部署。2.掌握不同部署模式時的注意事項。網(wǎng)橋vpn模式部署網(wǎng)橋多線路模式部署深信服公司簡介雙網(wǎng)橋模式部署雙單臂模式部署SANGFOR ACPPT PPT 模板模板網(wǎng)橋VPN模式5網(wǎng)橋VPN模式部署應用場景：客戶已近擁有了一條專線線路，在原有網(wǎng)絡環(huán)境不變的情況下，需要跑加速應用，為了進一步提高專線中的安全，需要在專線環(huán)境中還需要再建立一次IPSEC-VPN的連

2、接。網(wǎng)橋VPN部署模式選擇選擇啟用啟用VPN和加速和加速服務模式，再選擇部署模式為服務模式，再選擇部署模式為網(wǎng)橋模網(wǎng)橋模式式，如下圖：，如下圖：網(wǎng)橋VPN部署模式網(wǎng)橋網(wǎng)橋VPN部署模式部署模式1、選擇啟用VPN和加速服務模式，再選擇部署模式為網(wǎng)橋模式2、基本配置：正常配置網(wǎng)橋模式的工作IP、掩碼、網(wǎng)關等信息；3、正常配置VPN和加速；網(wǎng)橋VPN部署模式選擇選擇啟用啟用VPN和加速和加速服務模式，再選擇部署模式為服務模式，再選擇部署模式為網(wǎng)橋模式網(wǎng)橋模式，如下，如下圖：圖：9網(wǎng)橋網(wǎng)橋VPN注意事項：注意事項：1、網(wǎng)橋、網(wǎng)橋VPN可以跟可以跟WOC7.5及以上版本的網(wǎng)橋及以上版本的網(wǎng)橋VPN部署模

3、式連接，也能跟部署模式連接，也能跟7.5及及以上版本的其他部署模式設備建立以上版本的其他部署模式設備建立SANGFOR VPN連接連接 。2、網(wǎng)橋、網(wǎng)橋VPN不支持建立標準不支持建立標準IPSEC VPN連接，也不支持跟其他連接，也不支持跟其他WOC版本設備建版本設備建立立SANGFOR VPN連接。連接。3、兩個網(wǎng)橋設備處于同一個網(wǎng)段時不能建立、兩個網(wǎng)橋設備處于同一個網(wǎng)段時不能建立VPN連接。連接。4、在、在Vlan環(huán)境下不可使用網(wǎng)橋環(huán)境下不可使用網(wǎng)橋VPN功能。功能。5、網(wǎng)橋、網(wǎng)橋VPN不支持不支持PDLAN用戶接入。用戶接入。6、不支持在前后、不支持在前后30位掩碼環(huán)境中使用。位掩碼環(huán)境

4、中使用。網(wǎng)橋VPN部署模式注意事項PPT PPT 模板模板網(wǎng)橋多線路模式網(wǎng)橋多線路部署模式應用場景：客戶已經(jīng)擁有了一條專線線路和Internet線路。想實現(xiàn)在專線線路沒有斷的時候數(shù)據(jù)走專線，這樣速度比較快。但是如果專線線路故障的時候可以切換到備用的Internet線路，優(yōu)先恢復業(yè)務。選擇選擇啟用啟用VPN和加速和加速服務模式，再選擇部署模式為服務模式，再選擇部署模式為網(wǎng)橋多線路網(wǎng)橋多線路模式模式，如下圖：，如下圖：網(wǎng)橋多線路部署模式網(wǎng)橋多線路部署網(wǎng)橋多線路部署1、選擇啟用VPN和加速服務模式，再選擇部署模式為網(wǎng)線多線路模式2、基本配置：正常配置網(wǎng)橋模式的工作IP、掩碼、網(wǎng)關等信息；3、正常配置

5、VPN和加速；網(wǎng)橋多線路部署模式14配置步驟：配置步驟：2、配置網(wǎng)橋接口工作、配置網(wǎng)橋接口工作IP、掩碼、網(wǎng)關和備份線路接口信息、掩碼、網(wǎng)關和備份線路接口信息1、選擇、選擇啟用啟用VPN和加速和加速服務模式，再選擇部署模式為服務模式，再選擇部署模式為網(wǎng)橋多線路模網(wǎng)橋多線路模式式，如下圖：，如下圖：備份接口備份接口eth3口用來設置連口用來設置連接接Internet線路線路可以是撥號、可以是撥號、固定固定IP或者接或者接其他路由器其他路由器DHCP分配分配IP地址。地址。注意：網(wǎng)橋多線路部署模式需要開通雙WAN口授權；網(wǎng)橋多線路部署模式151、網(wǎng)橋多線路模式下、網(wǎng)橋多線路模式下SANGFOR V

6、PN只能跟只能跟7.5及以上及以上版本的網(wǎng)橋多線路模式建版本的網(wǎng)橋多線路模式建立立SANGFOR VPN連接。連接。2、網(wǎng)橋多線路模式下、網(wǎng)橋多線路模式下SANGFOR VPN不支持隧道間不支持隧道間NAT、隧道間路由、組播、隧道間路由、組播、廣播等功能，廣播等功能，不支持跟其他版本其他模式不支持跟其他版本其他模式SANGFOR設備建立設備建立SANGFOR VPN連連接，也不支持跟其他設備建立標準接，也不支持跟其他設備建立標準IPSEC VPN連接。連接。3、兩個網(wǎng)橋設備屬于同一個網(wǎng)段時，不能建立、兩個網(wǎng)橋設備屬于同一個網(wǎng)段時，不能建立SANGFOR VPN備份連接。備份連接。4、網(wǎng)橋多線路

7、模式下，流控功能在、網(wǎng)橋多線路模式下，流控功能在VPN線路不生效。線路不生效。5、網(wǎng)橋多線路模式同樣不支持部署在、網(wǎng)橋多線路模式同樣不支持部署在VLAN環(huán)境中。環(huán)境中。6、同樣不支持在前后、同樣不支持在前后30位掩碼環(huán)境中部署。位掩碼環(huán)境中部署。網(wǎng)橋多線路部署模式注意事項PPT PPT 模板模板雙網(wǎng)橋模式加速雙網(wǎng)橋模式客戶網(wǎng)絡環(huán)境中兩個防火墻和兩個核心路由器上跑VRRP做熱備。正常情況下，用戶均通過A1B1訪問分支網(wǎng)段；當網(wǎng)絡切換時，通過A2B2訪問分支網(wǎng)段。SANGFOR WOC雙網(wǎng)橋部署在防火墻和核心路由器之間，在不改動原有網(wǎng)絡結構的同時，對內網(wǎng)訪問服務器的數(shù)據(jù)進行加速。此部署模式可以使用

8、bypass功能，保障設備故障時快速恢復網(wǎng)絡。雙網(wǎng)橋模式部署配置思路雙網(wǎng)橋模式1、服務模式：只啟用加速 部署模式：雙網(wǎng)橋模式A、配置本地子網(wǎng)（先建連接的情況下，服務器與加速設備在不同網(wǎng)段）B、基本配置：正常配置雙網(wǎng)橋IP，網(wǎng)關等，啟用MAC跟蹤；C、加速連接配置（具體見手冊）2、加速配置雙網(wǎng)橋模式部署配置步驟選擇部署模式配置雙網(wǎng)橋IP，兩個網(wǎng)橋IP可以在同網(wǎng)段，也可以在不同網(wǎng)段，具體情況視客戶需求，WOC8.0開始雙網(wǎng)橋去除工作IP配置，默認網(wǎng)橋IP就是加速工作IP；1、系統(tǒng)、系統(tǒng)-部署設置，選擇雙網(wǎng)橋純加速；部署設置，選擇雙網(wǎng)橋純加速；雙網(wǎng)橋模式部署配置步驟1、啟用、啟用MAC跟蹤，保證內網(wǎng)

9、路由可達；跟蹤，保證內網(wǎng)路由可達；雙網(wǎng)橋模式部署注意事項1. 網(wǎng)橋網(wǎng)橋BR0和網(wǎng)橋和網(wǎng)橋BR1的邏輯的邏輯IP地址可以在相同網(wǎng)段，也可以在不同網(wǎng)段。地址可以在相同網(wǎng)段，也可以在不同網(wǎng)段。2. WOC8.0開始雙網(wǎng)橋去除加速工作開始雙網(wǎng)橋去除加速工作IP配置，網(wǎng)橋配置，網(wǎng)橋IP就是加速工作就是加速工作IP。WOC8.0開始，雙網(wǎng)橋默認啟用開始，雙網(wǎng)橋默認啟用MAC跟蹤，保證內網(wǎng)跨三層環(huán)境部署時，能跟蹤，保證內網(wǎng)跨三層環(huán)境部署時，能路由可達。路由可達。WOC8.0開始網(wǎng)橋開始網(wǎng)橋/雙網(wǎng)橋部署模式新增雙網(wǎng)橋部署模式新增30位掩碼環(huán)境，只需要配置工作位掩碼環(huán)境，只需要配置工作IP，保證對端保證對端WO

10、C設備能有正確的路由訪問這個工作設備能有正確的路由訪問這個工作IP即可。（一般為內網(wǎng)網(wǎng)段即可。（一般為內網(wǎng)網(wǎng)段沒有人使用的沒有人使用的IP地址）地址）配置加速IP，保證對端WOC有路由訪問到這個IP即可；PPT PPT 模板模板 雙單臂模式加速雙單臂模式客戶網(wǎng)絡環(huán)境中兩個防火墻和兩個核心路由器上跑VRRP協(xié)議做備份。正常情況下，用戶通過A1B1、A2B2訪問分支網(wǎng)段；當A1B1故障時，會自動切換到A1B2；當A2B2故障時，會自動切換到A2B1，保證整個網(wǎng)絡的穩(wěn)定性。SANGFOR WOC雙單臂部署在兩個防火墻設備之間，在不改動原有網(wǎng)絡結構的同時，對內網(wǎng)訪問服務器的數(shù)據(jù)進行加速。雙單臂模式部署

11、配置思路雙單臂模式1、服務模式：只啟用加速 部署模式：雙單臂模式A、配置本地子網(wǎng)（雙單臂模式下，需要把加速的網(wǎng)段填入本地子網(wǎng)中）B、配置CDP或WCCP或NQA中的一個，防止造成路由環(huán)路C、加速連接配置（具體見手冊）2、加速配置雙單臂模式部署配置截圖工作IP用來與對端加速設備建立加速連接?？梢耘c單臂一和單臂二IP在相同網(wǎng)段，也可以在不同網(wǎng)段。配置單臂一的IP地址，用來與內網(wǎng)服務器通信填寫設備LAN口方向的防火墻接口的IP地址。單臂二的IP地址可以和單臂一在同網(wǎng)段，也可以在不同網(wǎng)段，需根據(jù)實際網(wǎng)絡環(huán)境來設定。設置管理口以及管理口的IP地址如圖所示的環(huán)境，原有的單網(wǎng)橋、雙網(wǎng)橋、如圖所示的環(huán)境，原有

12、的單網(wǎng)橋、雙網(wǎng)橋、網(wǎng)關模式均無法順利部署，雙單臂模式，網(wǎng)關模式均無法順利部署，雙單臂模式，支持在這種環(huán)境下部署。支持在這種環(huán)境下部署。雙單臂只有純加速模式下才有并且不需雙單臂只有純加速模式下才有并且不需要多線路授權！要多線路授權！雙單臂同樣需要設置一個工作雙單臂同樣需要設置一個工作IP（6.0版版本的虛擬本的虛擬IP）雙單臂使用雙單臂使用eth0和和eth1口，無法更改！口，無法更改！雙單臂部署環(huán)境注意事項1、單臂、單臂1、單臂、單臂2和工作和工作IP，可以在相同的網(wǎng)段，也可以在不同的網(wǎng)段；（視網(wǎng)絡，可以在相同的網(wǎng)段，也可以在不同的網(wǎng)段；（視網(wǎng)絡情況而定）情況而定）2、工作、工作IP跟單臂跟單

13、臂1和單臂和單臂2不在同網(wǎng)段時，工作不在同網(wǎng)段時，工作IP最好設置成一個內網(wǎng)網(wǎng)段最好設置成一個內網(wǎng)網(wǎng)段IP且沒且沒有被其他設備占用，同時有被其他設備占用，同時2臺交換機上需要添加一條靜態(tài)路由，目標為工作臺交換機上需要添加一條靜態(tài)路由，目標為工作IP，下，下一跳分別交給單臂一跳分別交給單臂1和單臂和單臂2；3、雙單臂時內網(wǎng)有多個網(wǎng)段，設備上不用添加回包路由，只需要正確填寫每個單、雙單臂時內網(wǎng)有多個網(wǎng)段，設備上不用添加回包路由，只需要正確填寫每個單臂網(wǎng)段的網(wǎng)關臂網(wǎng)段的網(wǎng)關IP地址即可；地址即可；4、雙單臂時，、雙單臂時，2臺交換機上都需要啟用臺交換機上都需要啟用PBR+CDP或者或者WCCP或者或者PBR+NQA，保，保證證TCP數(shù)據(jù)經(jīng)過加速設備；數(shù)據(jù)經(jīng)過加速設備；5、雙單臂時，如果需要使用管理口，注意不要把管理口跟單臂口接同一個交換機、雙單臂時，如果需要使用管理口，注意不要把管理口跟單臂口接同一個交換機（比如（比如eth0+eth2接一個交換機，接一個交換機，eth