标准文档实用大全NGAF典型案例与上架问题快速参考手册目录案例部分............................................................1一、路由模式部署.............................................1单线路简单部署by谢辉.......................................1单线路+专线互联by李绘东...................................11多线路+sangforvpn互联by李宁.............................22二、网桥模式部署by孙阳华...................................31三、功能测试案例by黄翔.....................................42问题部分...........................................................48一、断网问题................................................48路由模式...................................................48网桥模式...................................................50二、目的地址转换/双向地址转换不通问题.......................52目的地址转换...............................................52双向地址转换...............................................53三、经过AF访问公网速度变慢.................................53案例部分一、路由模式部署单线路简单部署by谢辉【网络现状】Internet——NGAF——内网(PC和服务器)现有1条外网出口线路,20M出口带宽.内网lan口接核心交换机,服务器区也在lan区域.【客户需求】AF代理内网上网标准文档实用大全对外发布服务双向地址映射流量控制【设备配置】(1)配置lan口,设置为路由口,由于是内网口,固不勾选wan口(2)配置WAN口,设置为路由口,选择wan口。(3)设置区域,一个接口属于一个区域,如图:标准文档实用大全(4)配置系统路由(添加回包路由和缺省路由,缺省路由必须要添加。)标准文档实用大全(5)配置源地址转换,即代理上网功能。源区域选择lan,目标区域选择wan。源地址转换选择出接口地址,如果有多个公网IP可以选择IP范围。标准文档实用大全(6)设置目的地址转换(即对外发布服务)。源区域选择wan,目的区域为灰色,不可选,IP组应当设置wan口映射IP,可以通过IP组来发布需要映射的公网IP,客户需要将公网的8080端口映射到内部服务器的80端口,固需要将8080端口转换成80端口,以实现客户需求。标准文档实用大全(7)客户需要在内网访问公网地址来访问内部服务器,需要我们做双向映射来实现,源区域和目的区域都选择lan区,应用服务器是通过http://X.X.X.X:7890来访问的,固目标端口设置7890,该端口不需要转换所以目标端口转换选择-不转换,如果是域名,则用dnsmapping即可。标准文档实用大全标准文档实用大全所有映射条目如下图:(8)映射设置完毕后,需要放通相应的应用控制策略。注意:做双向映射后,应当放通lan-lan的规则。标准文档实用大全(9)配置流控模块1.先配置虚拟线路,如图所示:标准文档实用大全2.配置正确的线路带宽,将WAN区域的接口设置为外出接口,本例中eth2为WAN口,如下图:3.设置流控策略,设置流控策略基本和AC一致。至此配置完成标准文档实用大全单线路+专线互联by李绘东【网络现状】现在出口设备为5年前的PIX防火墙,PIX防火墙老化,有时会出现断电后起不来的现象,且PIX不能满足客户对内网安全情况和全网流量的了解和服务器防护的需求。出口链路有2条,公网电信20M,外加一条2M的专线,电信公网线路上有多个公网IP,用来做内网用户上网的PAT和服务器端口映射用,内网用户访问专线的流量,一部分走路由,一部分在专线上起端口映射。【客户需求】AF代理内网上网,实现公网走电信、专网流量走专线等需求。内网有服务器需要在AF上通过端口映射发布出去,部署拓扑图如下:目前需要通过NGAF下一代应用防火墙保证内网用户访问互联网的安全以及保护内部服务器的安全。【设备配置】(1)配置物理接口Lan口为三层路由口,填上相应的IP地址和掩码,测试的时候不是很赶时间的话,尽量完善描述,方便后面查看。标准文档实用大全配置WAN口,这里的WAN口有多个公网地址,但是在pix的wan口只配置了一个公网地址,其他公网地址都是在端口映射里体现出来。这里我们把公...
