安全L1-AD.2-应用交付安装部署

一、部署模式:

AD支持两种部署方式:网关模式和旁路模式。

》不同场景下的部署模式:

应用场景

主要依赖功能模块

支持部署模式

出站链路负载

智能路由

网关模式

入站链路负载

智能DNS

旁路模式、网关模式

服务器负载

应用负载

旁路模式、网关模式

注意:配置AD设备时不需在界面上选择部署模式,以什么方式接入客户的网络就是什么部署模式。

1、网关部署模式:

一般是将AD部署在互联网出口或者是内网服务器前端,逻辑网络层面。

设备有两个或多个接口连接到网络内,数据经过路由转发会穿过设备。

设备配置里,既有WAN属性接口,也有LAN属性的接口。

》优点:AD的功能都能满足(出站负载、全局负载、应用负载等);

》缺点:对网络改动比较大,一般建议在新建网络或者网络进行改造时这样部署;

2、旁路部署模式:

一般是AD旁路在接入或者核心交换机上。

只有需要做负载的流量转发到AD做负载均衡策略,其它业务或者服务器访问外网的流量直接从交换机转发。

在AD逻辑网络层面,只有一个口连接到网络内。所有数据的进出都是通过这个接口完成的,这个接口在设备配置里是WAN口属性,不配置LAN属性的接口。

如果需要外网访问相关业务,需要在边界出口设备上做端口映射给AD设备(全映射或者服务器相关应用端口)。

》优点:无需更改原网络拓扑结构,只需要单臂挂在核心交换机,进行配置即可,对现有网络无影响;

》缺点:没办法实现链路负载,不过AD其他的功能都能满足;

二、典型部署配置案例及配置:

1、网关模式部署案例及配置:

安全L1-AD.2-应用交付安装部署插图

需求:(1)希望实现代理内网上网和智能选路,内网访问联通服务器走联通线路,访问电信服务器走电信线路。

(2)同时要实现外网用户访问内部服务器的时候能够做到自动选路快速访问。

网络环境:两条外网线路,内网有服务器群,防火墙透明部署。

配置思路:

(1)基本网口配置:通过电脑直连设备的MANAGE口,电脑网卡配置10.252.252.0/24或10.254.254.0/24网段的IP地址,打开浏览器通过访问:https://10.252.252.252 或者https://10.254.254.254登录设备控制台,账号密码: admin/admin ,做基本网口配置。

(2)把设备架入网络中。

(3)配置一条内网口(LAN属性接口)线路以及两条外网口(WAN属性接口)地址(电信、网通),都是静态IP地址。

(4)配置静态路由,到内网网段的路由,保证AD与内网互通。

(5)配置源地址转换,由AD代理内网上网(此步骤可在新增外网接口的时候进行配置)。

(6)如果需要单独设置管理口,可再给管理口设置管理IP地址,一般都是使用MANAGE口。

(7)配置链路负载_智能路由。

注意事项:

(1)AD网关(路由)模式适合新建网络或者替代原有出口路由器或者防火墙。部署时改动较大,需内网规划IP段和添加相应的路由。

(2)如果内网二层环境,则不需要添加静态路由,将内网设备的网关指向AD设备的LAN口IP即可。

(3)若为三层环境则需要配置静态路由以保证AD与用户网段能够进行通信。

如果只是简单的PC上网,可不用配置回包路由,设备有对称路由的功能【系统管理】–【通用配置】–【网络参数】。一般建议写上静态路由,AD设备主动跟内网设备通信是需要查路由的,比如:端口映射,节点监视等)。

2、旁路模式部署案例及配置:

安全L1-AD.2-应用交付安装部署插图1

需求:不希望改变原来的网络拓扑结构,内网多台服务器要做服务器负载。

网络环境:网络出口是防火墙设备,外网只有一条公网线路。

配置思路:

(1)基本网口配置。

(2)把设备架入网络中。

(3)配置AD设备的WAN口地址、网关等信息。

(4)若需要通过WAN口的IP地址登录设备控制台,则需要启用远程维护。

(5)配置应用负载。

(6)如果需要单独设置管理口,可再给管理口设置管理IP地址,一般都是使用MANAGE口。

(7)如果需要外网访问业务,需要把AD的VIP以及业务端口映射到公网(出口设备做端口映射)。

注意事项:

(1)单臂(旁路)部署创建网口必须选择WAN属性(一般旁路都是发布虚拟服务,如果使用LAN属性接口,虚拟服务详情会无法显示,所以建议都创建WAN属性接口)。

(2)AD单臂部署接核心交换机,AD接口与服务器不通网段,AD WAN接口有配置网关指向核心,则AD无需配置静态路由,只需保障核心有去往服务器的路由即可。

(3)若服务需要发布到公网,需要在边界出口设备上做的端口映射给AD设备。

(4)若需要通过WAN口的IP地址登录设备控制台,则需要启用远程维护。

补充:

》AD设备默认情况下,WAN属性的接口地址是不允许PING的,需要单独开启。

原文链接:https://blog.csdn.net/qq_42248536/article/details/119797416

© 版权声明
THE END
喜欢就支持一下吧
点赞5 分享