《1-ICG网络接入培训20100515》由会员分享,可在线阅读,更多相关《1-ICG网络接入培训20100515(34页珍藏版)》请在金锄头文库上搜索。
1、ICG的灵活网络接入产品市场部2010-05-15覆盖的最新版本ICG 5.5.1 维护人张檀威培训提纲ICG的网络接入模式2灵活的网络接入的重要性3 1具体配置方法3 3灵活的网络接入的重要性灵活的网 络接入没有拥有费力:对于已经具备基础网络的客户很可能要为了这 个设备的部署而更改网络拓扑,导致实施复杂度增大 费钱:对于新建或希望更换老旧基础网络设备的客户 和就需要额外购买本应可以避免的基础网络设备,导 致建设投资增加虽然客户的网络复杂多样,但只要具备了足够灵活的网络 接入能力,无论客户希望保持拓扑,还是希望新建网络时 节省投资都可以实现。既省力,又省钱培训提纲ICG的网络接入模式2灵活的网
2、络接入的重要性3 1具体配置方法3 3客户的网络环境千 差万别,我们可不 可以根据某些特点 简单分类呢?小型企业大中型企业金融,航空领域的企业运营商关注业务连续性的企业应用场景网络简单,希望省钱网络复杂,希望有冗余链路关注网络安全性PPPOE接入不希望串接 其它设备ICG的网络接入模式透明网桥模式(单/双网桥)网关模式镜像模式代理模式单网桥模式可以串在这里可以串放这里客户不希望改变网络的拓 扑,ICG可以直接串接在网 络里面。网桥模式下桥口 对经过的报文透明传输可以串在这里P P P O EBAS,提供 PPPOE功能代理服务器可以串 放这里内 口外 口运营商通常提供PPPOE接 入,希望设备
3、能够支持 PPPOE的接入方式金融,航空领域企业的网络中大 多已有代理服务器,ICG需要串 接在代理服务器之前双网桥模式可以放在这里可以放在这里客户网络有两个不同网段的网络,希望同时对两条出 口链路进行管理同样不改变网络拓扑,直接串接在网络里面目前设备的透明桥之间不能相互转发信息,可以认为 是分别独立的物理线路网关模式W A NL A NW A NL A NM G RICGADSL modemW A NL A NW A NL A NISPISPISP客户新建网络的时候,希望节约 成本 客户同时专线和ADSL线路,但 是ADSL一般都闲置不用ICG的网关模式能实现NAT、路 由、防火墙等基本网关
4、功能,能 有效节约成本 网关模式可以利用客户的ADSL 线路作为专线线路的备份,提升 了投资效率只要配置网关模式,ICG自动启 动NAT转换,不可手工调整不NAT 需要连接多条内网线路的时候可 以使用定制的多内网线路网关模 式解决(5.5版本)镜像模式W A NL A NW A NL A NM G R客户关注网络的连续性,不希望在网络 中串接其它设备客户只关心对信息的审计ICG以镜像模式旁路在网络中,不改变 网络拓扑在交换机配置镜像端口,并将交换机进 出的数据包都转发到镜像端口。将ICG 的内网口和交换机的镜像端口相连,用 于接收但不转发交换机镜像端口的数据 ,进出的流量都镜像到同一个线路中交
5、换机的镜像端口会增大交换机的负载分光器在线路中增加一个分光器解决交换机 负载的问题注意:镜像模式下没有配置转发端口的选项,镜像旁 路默认只使用第一个透明网桥作为转发端口,因此连 线时请注意要连接到透明网桥1的内网口代理模式W A NL A NW A NL A NM G T 单臂代理服务器 如果客户原有代理服务器,可以在用户无感知的情况下直接采用ICG代理模式直接替换,除了原有功能还平滑的提供了上网行为管理的功能在单臂代理模式下,出入流 量都从一个接口进入可能超 过接口的速率代理模式W A NL A NW A NL A NM G R该线路处理 非代理业务的报文 非单臂代理服务器培训提纲基本概念和
6、实际应用场景2灵活的网络接入的重要性3 1具体配置方法3 3初次登录ICGICG系统初次安装时的默认地址配置在桥1上,IP是192.168.1.23/24如图连接好设备和计算机网口,将计算机的IP地址配置为192.168.1.xxx/24 (与ICG默认地址同网段) 通过https:/192.168.1.23 访问设备即可进行后期的配置(注意是https而不 是http) 如果不是新机,并且不知道ICG的IP地址,可以通过串口连接计算机并以命 令行方式获取设备的配置信息配置管理口为什么要有管理口: 提供固定的访问ICG的接口,今后无论怎样变更设备,都可以用管理口管 理设备 在某些场景下ICG需
7、要通过管理口才能访问网络(用于ICG本身的升级操 作) 镜像模式下ICG的镜像端口对于报文只收不发,只有通过给管理口才能管 理ICG什么是管理口: 管理口是指不参与设备过滤工作的独立的且仅用于管理设备的网口配置管理口配置步骤: 通过【系统管理】【网络配置】【管理口设置】,进入如下配置界面:配置管理接口的IP地址时,请不要分配与网 桥、网关同一网段的IP 管理口(Mgr)的网口编号为面板上工作接口 的最后一个网口的编号+1 ,例如面板上有4 个工作口 E0-E3,MGR接口就是E4,如果面 板上有8个工作口E0-E7,那么Mgr就是E81、不限制:此时通过管理口和其它接口都可 以访问ICG2、只
8、允许管理接口访问本机:此时只允许从 管理接口访问NS-ICG勾选“启用管理口”配置完毕管理接口后还要配置路由,使得ICG可以通过管理接口访问外网配置管理口点击【系统管理】【网络配置】【网络配置】【路由配置】如果是配置具体的网段路由请选择“静态路由”,输入静态的目的地址段,掩码,下一跳地址,注意要选择接口 为管理口,这样才会从管理口到达该网段。如果是希望配置默认路由,请选择“默认路由”,输入下一跳地址, 接口选择管理口(这个配置不影响过滤的报文的处理,不必担心工作接口的流量从管理口流出)单网桥模式重新从管理接口连接ICG并根据配置的管理口地址登录ICG, 进行后续配置ICGW A NL A NW
9、 A NL A NM G R透明桥1透明桥2单网桥模式通过【系统管理】【网络配置】【网络配置】进入单网桥模式配置界面绿色的灯表示网 口已经物理导通 ,灰色的灯表示 还没有导通。缺省网关配置为ICG桥口向外访问的下一跳 地址。当没有配置管理接口的默认路由时 这个默认网关起作用,当配置了管理接口 的默认路由后,这个路由优先级没有管理 接口的默认路由高,因此不起作用,但是 由于是必填项还是要填写给桥口配置与所处的线路 同网段的地址,这样通过桥 口IP也可以访问ICG 由于ICG是透明的,因此也 可以随便给网桥配置一个地 址,掩码,网关,以满足配 置的合法性检验网桥接口可以自由选择,但通 常桥1就是E
10、0和E1 。如果这两 个口有一个失效,可以选择其 它接口。注意E0和E1 是一个 bypass对,E2和E3是一个 bypass对,以此类推,如果跨 对选择接口则设备故障时将无 法实现bypass三层网络结多IP子网的配置ICG以单网桥模式串接在路由器和三层交换机 之间,内网PC访问被ICG屏蔽的网站的时候, ICG需要向内网PC发送相应的提示信息,怎样 对ICG进行配置使ICG能够访问三台内网的PC ?在ICG中添加回指路由:目的地址:192.168.0.0 IP掩码:255.255.0.0下一跳:192.168.1.2 接口:网桥接口30位掩码网络环境ICG以单网桥模式串接在防火墙和三层交
11、换机之间, 串接的这个网段掩码是30位的,一共4个IP地址分配 给网络地址,广播地址,防火墙的接口地址以及交 换机的接口地址,这时应该怎么配置ICG的桥口地址 ,内网用户怎么访问ICG?桥口地址配置为与192.168.1.1/24不同网段的任 意IP地址,同时给管理口配置一个可用的地址, 内网用户通过管理口访问ICGMGR双网桥模式可以放在这里可以放在这里双网桥模式网关设置规则跟单网桥相同,设为其中一 个桥口向外访问的下一跳地址单网桥模式界面下勾选“双入双出”进入双网桥模式的配置界面IP地址的配置规则跟单网桥相同,注意 两个网桥的IP地址需在不同网段 网桥接口同样可以自由选择,但是为了 实现b
12、ypass功能建议成对选择网关模式W A NL A NW A NL A NM G RICGADSL modemW A NL A NW A NL A NISPISPISP网关模式在【网络配置】界面下勾选“网关模式”进入配置界面,默认存在一个内网口,首先对它进行配置受ICG控制的内 网客户需修改其 网络配置,把默 认网关指向ICG 内网口IP地址选择用于 内网口的 接口,内 网口的接 入方式、 网关和权 重默认不 可更改网关模式点击界面上的”添加“按钮,根据实际情况添加外网口添加对外网口属性的描述选择连接此外网口的ICG接口,接口数量会根据 设备的实际连接的接口数量显示可选择项选择接口的进入方式,
13、接入方式选择“ 静态地址”表示专线方式,选择“ADSL 拨号”表示ADSL线路方式,每个接口只 能选择一种接入方式,但是可以有多个 接口采用不同的方式接入权重是各个外网接口 间负载均衡的配置参 数,最大配置256, 例如有3个外网口, 希望接口分担的流量 为1:2:3,则第一 个接口配置1,第二 个接口配置2,第三 个接口配置3静态地址接入方式 请填写IP地址,掩 码,默认网关ADSL 方式请输入 用户名,密码 (无需默认网关 ,会自动生成)镜像模式W A NL A NW A NL A NM G R镜像模式镜像模式需要通过管理口操作镜像旁路模式会清 空设备的原有配置 ,因此如果希望备 份原有的
14、配置请选 择”立即备份“由于无法通过接口区分内外流量,为了 能够识别报文,必须配置“策略网段” , IP落在策略网段内的作为内网IP,落在 策略网段外的作为外网IP。配置完成后 ,点击切换模式按钮,也可以配置镜像 模式之后再配置策略网段镜像模式点击上个PPT页面中的“切换模式”按钮后将进入下图页面勾选”启用控制口“,配置控制口的IP地址,并选择空闲的接口作 为控制口注意: 如果希望管理接口既 作为管理设备的接口, 又作为旁路情况下发送 阻断报文的接口,则可 以不用配置控制口。( 推荐!)在镜像模式下可以实现一定程度的控制能力,这需要有接口可以发送阻断报文,可以通过配置控制 口来实现镜像模式切换
15、完毕后,再进入网络配置则看到下图所示界面通过路由配置按钮进行控 制口的路由配置,添加控 制口可以发送阻断报文的 静态路由即可(控制口, 管理口只有一个接口可以 配置默认路由)发送阻断报文需要添加控制口或者管理口可以发送阻断报文的静态路由代理模式W A NL A NW A NL A NM G TW A NL A NW A NL A NM G R该线路处理 非代理业务的报文 非单臂代理服务器 单臂代理服务器代理模式代理模式的网络配置是网桥模式或者网关模式启用HTTP代理勾选后 ,端口是指ICG作为代 理服务器对用户开发的 端口,也就是用户浏览 器设置代理时要设置的 端口安全端口用于在非网页 访问的
16、应用程序中使用 的HTTP代理。客户端 使用80端口将报文发送 到ICG,ICG将报文封 装在安全端口中发送到 目的应用服务器单臂代理:勾选后,表示 可以只用一根线连接代理 服务器,进出报文都在这 个线路上,为了区分内外 网用户,需配置策略网段 。如果不勾选单臂,代理 就是前面介绍的非单臂模 式。有内外网口之分启用socks代理:勾选后可以为应用程序提供socks代理功能。 端口1080是socks代理对用户开放的端口认证方式:如果socks 代理认为报文中应该包含认证信息,那么要选择“认证”,这样任 何socks报文必须身份合法才能外出多IP配置配置IP地址,掩码,选择需要绑 定其他IP的网络接口多IP配置用于为ICG配置多个IP地址,便于从多个IP地址访问ICG,点击【系统管理】【网络配置】 【网络配置】【多IP配置】谢 谢
