Jan,2017SANGFORNGAF根本網(wǎng)絡(luò)配置介紹123SANGFORNGAF接口和區(qū)域設(shè)置SANGFORNGAF靜態(tài)路由和策略路由SANGFORNGAF策略路由應(yīng)用案例Contents1.1物理接口1.2子接口1.3VLAN接口1.4區(qū)域NGAF接口和區(qū)域設(shè)置1.1物理接口物理接口與NGAF設(shè)備面板上的接口一一對應(yīng)〔eth0為manage口〕，根據(jù)網(wǎng)口數(shù)據(jù)轉(zhuǎn)發(fā)特性的不同，可選擇路由、透明、虛擬網(wǎng)線和旁路鏡像4種類型，前三種接口又可設(shè)置WAN或非WAN屬性。物理接口無法刪除或新增，物理接口的數(shù)目由硬件型號決定。1.1.1路由接口路由接口：如果設(shè)置為路由接口，那么需要給該接口配置IP地址，且該接口具有路由轉(zhuǎn)發(fā)功能。部分功能要求出接口是WAN屬性，比如流控、VPN、策略路由等。設(shè)置接口的下一跳網(wǎng)關(guān)，用于鏈路故障檢測，并不會自動生成0.0.0.0的缺省路由，需手動添加缺省路由。接口的線路帶寬設(shè)置與流量管理無關(guān)，用于策略路由根據(jù)接口帶寬占用比例選路。實時檢測接口的鏈路狀態(tài)，以及多條外網(wǎng)線路情況下，某條線路故障，流量自動切換到其它線路，均需開啟鏈路故障檢測。WAN屬性的接口必須開啟鏈路故障檢測功能。1.1.1路由接口ADSL撥號：如果設(shè)置為路由接口，并且是ADSL撥號，需要選上添加默認路由選項，默認勾選。1.1.1路由接口管理口：Eth0為固定的管理口，接口類型為路由口，且無法修改。Eth0可增加管理IP地址，默認的管理無法刪除。1.1.2透明接口透明接口：透明接口相當(dāng)于普通的交換網(wǎng)口，不需要配置IP地址，不支持路由轉(zhuǎn)發(fā)，根據(jù)MAC地址表轉(zhuǎn)發(fā)數(shù)據(jù)。部分功能要求接口是WAN屬性，當(dāng)接口設(shè)置成透明WAN口時，注意設(shè)備上架時接線方向，內(nèi)外網(wǎng)口接反會導(dǎo)致部分功能失效。1.1.3虛擬網(wǎng)線接口在負載均衡網(wǎng)絡(luò)中，透明部署NGAF設(shè)備，要求eth1和eth3這對網(wǎng)口，與eth2和eth4這對網(wǎng)口二層隔離，即從eth1口進入的數(shù)據(jù)必須從eth3口轉(zhuǎn)發(fā)，eth2口進入的數(shù)據(jù)必須從eth4口轉(zhuǎn)發(fā)。我們通過配置虛擬網(wǎng)線接口來滿足部署的需求。1.1.3虛擬網(wǎng)線接口虛擬網(wǎng)線接口：虛擬網(wǎng)線接口也是普通的交換接口，不需要配置IP地址，不支持路由轉(zhuǎn)發(fā)，轉(zhuǎn)發(fā)數(shù)據(jù)時，無需檢查MAC表，直接從虛擬網(wǎng)線配對的接口轉(zhuǎn)發(fā)。虛擬網(wǎng)線接口的轉(zhuǎn)發(fā)性能高于透明接口，單進單出網(wǎng)橋的環(huán)境下，推薦使用虛擬網(wǎng)線接口部署。1.1.4聚合接口聚合接口：將多個以太網(wǎng)接口捆綁在一起所形成的邏輯接口，創(chuàng)立的聚合接口成為一個邏輯接口，而不是底層的物理接口。最多支持4個聚合接口不支持旁路鏡像負載均衡--hash:按數(shù)據(jù)包源目的IP/MAC的hash值均分負載均衡--RR:直接按數(shù)據(jù)包輪轉(zhuǎn)均分到每個接口主備模式--取eth最大號為主接口收發(fā)包，其余為備接口1.2子接口子接口：子接口應(yīng)用于路由接口需要啟用VLAN或TRUNK的場景。選擇在哪個路由口下添加子接口。設(shè)置此子接口的VLANID設(shè)置子接口的IP地址子接口是邏輯接口，只能在路由口下添加子接口。子接口的下一跳網(wǎng)關(guān)和鏈路故障檢測根據(jù)實際環(huán)境進行配置。1.3VLAN接口VLAN接口：為VLAN定義IP地址，那么會產(chǎn)生VLAN接口。VLAN接口也是邏輯接口。填寫對應(yīng)的VLANID。設(shè)置對應(yīng)VLAN網(wǎng)段的IP地址VLAN接口的下一跳網(wǎng)關(guān)和鏈路故障檢測根據(jù)實際環(huán)境進行配置。接口設(shè)置本卷須知2.管理口不支持設(shè)置成透明接口或虛擬網(wǎng)線接口，如果要設(shè)置2對或2對以上的虛擬網(wǎng)線接口，那么必須要求設(shè)備不少于5個物理接口，預(yù)留一個專門的管理口Eth0。1.設(shè)備支持配置多個WAN屬性的路由接口連接多條外網(wǎng)線路，但是需要開通多條線路的授權(quán)。3.一個路由接口下可添加多個子接口，路由接口的IP地址不能與子接口的IP地址在同網(wǎng)段。1.4區(qū)域區(qū)域：用于定義和歸類接口，以供防火墻、內(nèi)容平安、效勞器保護等模塊調(diào)用。只能選擇所有的透明接口只能選擇所有的三層接口只能選擇所有的虛擬網(wǎng)線接口定義區(qū)域時，需根據(jù)控制的需求來規(guī)劃，可以將一個接口劃分到一個區(qū)域，或?qū)讉€相同需求的接口劃分到同一個區(qū)域。一個接口只能屬于一個區(qū)域?？梢栽趨^(qū)域中選擇接口；也可以預(yù)先設(shè)置好區(qū)域名稱，在接口中選擇區(qū)域。2.1靜態(tài)路由2.2策略路由2.3策略路由應(yīng)用案例NGAF靜態(tài)路由和策略路由功能2.1靜態(tài)路由NGAF的靜態(tài)路由用于手動添加路由條目，可新增單個靜態(tài)路由或新增多個靜態(tài)路由。當(dāng)接口設(shè)置為“自動選擇”時，設(shè)備將根據(jù)下一跳IP地址自動匹配路由出接口。當(dāng)AF設(shè)備有多個路由接口不支持配置同網(wǎng)段的IP地址。按照例如格式填寫，一行對應(yīng)一條靜態(tài)路由，接口和度量值可省略。2.2策略路由NGAF的策略路由功能主要用于設(shè)備有多個接口和多條外網(wǎng)線路時，根據(jù)源/目的IP、源/目的端口、協(xié)議以及應(yīng)用等條件進行出接口和線路選擇，以實現(xiàn)不同的數(shù)據(jù)走不同的外網(wǎng)線路的自動選路功能。策略路由常用的應(yīng)用場景：1.源地址策略路由：根據(jù)源IP地址和協(xié)議選擇接口或下一跳，實現(xiàn)用戶訪問數(shù)據(jù)的分流?？蓪崿F(xiàn)不同網(wǎng)段的內(nèi)網(wǎng)用戶，分別通過不同的線路接口訪問公網(wǎng)。2.多線路負載路由：設(shè)備上有多條外網(wǎng)線路，通過策略路由的輪詢，帶寬比例，加權(quán)最小流量，優(yōu)先使用前面的線路的接口策略，動態(tài)的選擇線路，實現(xiàn)線路帶寬的有效利用、備份和負載均衡。2.2策略路由源地址策略路由：根據(jù)源IP地址和協(xié)議選擇接口或下一跳可直接填寫下一跳，設(shè)備將自動匹配出接口（不限于接口LAN/WAN屬性）?；趹?yīng)用選擇2.2策略路由多線路負載路由：選擇路由口可選擇輪詢、帶寬比例、加權(quán)最小流量、優(yōu)先使用前面線路四種策略。2.2策略路由 特別強調(diào)：源地址策略路由和多線路負載路由都要設(shè)置鏈路故障檢測，否那么鏈路故障時無法實現(xiàn)鏈路切換，源地址策略路由是單獨設(shè)置，而多線路負載路由是調(diào)用接口的鏈路檢測源地址策略路由設(shè)置鏈路檢測2.3策略路由應(yīng)用案例用戶環(huán)境：某用戶網(wǎng)絡(luò)環(huán)境如下圖，公網(wǎng)出口有一條電信線路，內(nèi)網(wǎng)用戶訪問教育網(wǎng)資源必須通過專線才能訪問到。用戶需求：內(nèi)網(wǎng)所有用戶訪問網(wǎng)上銀行TCP443端口的數(shù)據(jù)全部走10M電信線路。內(nèi)網(wǎng)所有P2P應(yīng)用走10M電信線路。3.內(nèi)網(wǎng)用戶訪問公網(wǎng)時按照帶寬比例自動選擇線路。4.訪問教育網(wǎng)的所有資源均走專線。2.3策略路由應(yīng)用案例配置思路：1.接口和區(qū)域設(shè)置：1.1連接公網(wǎng)電信線路的兩個接口eth0和eth2正確配置下一跳網(wǎng)關(guān)，線路帶寬，開啟鏈路故障檢測?！才渲檬÷浴?.2定義“內(nèi)網(wǎng)區(qū)域”，將eth3接口劃分到“內(nèi)網(wǎng)區(qū)域”。〔配置省略〕策略路由設(shè)置：2.1添加源地址策略路由，來自于“內(nèi)網(wǎng)區(qū)域”，目標(biāo)ISP為教育網(wǎng)，目標(biāo)端口為TCP443的數(shù)據(jù)，填寫下一跳地址為192.168.1.2。2.2添加源地址策略路由，來自于“內(nèi)網(wǎng)區(qū)域”，目標(biāo)IP選擇全部，目標(biāo)端口為TCP443的數(shù)據(jù)，選擇接口eth2。2.3添加源地址策略路由，來自于“內(nèi)網(wǎng)區(qū)域”，目標(biāo)ISP為教育網(wǎng)，填寫下一跳地址為。2.4添加源地址策略路由，來自于“內(nèi)網(wǎng)區(qū)域”，屬于P2P應(yīng)用的選擇接口eth2。2.5添加多線路負載路由，來自于“內(nèi)網(wǎng)區(qū)域”，目標(biāo)IP選擇全部，選擇接口eth1和eth2，接口選擇策略為帶寬比例。2.3策略路由應(yīng)用案例靜態(tài)路由設(shè)置3.1添加靜態(tài)路由〔默認路由〕,下一跳指向eth2接口的網(wǎng)關(guān)。添加此默認路由是為了確保策略路由失效的情況下，內(nèi)網(wǎng)用戶還可以通過默認的靜態(tài)路由訪問公網(wǎng)。2.3策略路由應(yīng)用案例策略路由配置步驟：添加源地址策略路由2.3策略路由應(yīng)用案例策略路由配置步驟：添加源地址策略路由2.3策略路由應(yīng)用案例策略路由配置步驟：添加源地址策略路由2.3策略路由應(yīng)用案例策略路由配置步驟：添加源地址策略路由2.3策略路由應(yīng)用案例策略路由配置步驟：需要配置源地址策略路由中的鏈路故障檢測2.3策略路由應(yīng)用案例策略路由配置步驟：添加多線路負載路由鏈路檢測一定要配置2.3策略路由應(yīng)用案例靜態(tài)路由配置：靜態(tài)路由和策略路由功能

本卷須知路由優(yōu)先級：VPN路由>靜態(tài)路由>策略路由>默認路由。每一條外網(wǎng)線路必須有一條策略路由與之對應(yīng)，源地址策略路由或多線路負載路由均可。源地址策略路由選擇接口時，只能選擇WAN屬性的路由接口。源地址策略路由，通過直接填寫路由的下一跳，可以實現(xiàn)從設(shè)備非WAN屬性的接口轉(zhuǎn)發(fā)數(shù)據(jù)。多線路負載路由選擇的接口，必須是WAN屬性的路由接口，必須開啟鏈路故障檢測功能，才能實現(xiàn)線路故障自動切換。多條策略路由，按照從上往下的順序匹配，一旦匹配到某條策略路由后，不再往下匹配。練練手某客戶原來的網(wǎng)絡(luò)拓撲如右圖所示，公網(wǎng)出口為電信和網(wǎng)通雙線路?，F(xiàn)需要部署SANGFORNGAF設(shè)備用來保護效勞器和內(nèi)網(wǎng)用戶上網(wǎng)的平安，此外還需要實現(xiàn)內(nèi)網(wǎng)用戶上網(wǎng)，訪問電信效勞器走電信線路，訪問網(wǎng)通效勞器走網(wǎng)通線路，如果任意線路故障，能實現(xiàn)自動切換。如何部署和配置來實現(xiàn)客戶的需求？問題思考透明接口與虛擬網(wǎng)線接口有何共同點？這兩種接口在哪些