力控网闸配置示例.doc

目录 1 TCP协议 3 1.1 同网段配置实例 3 1.2 不同网段配置实例 7 2 UDP协议 11 2.1同网段配置实例 11 2.2不同网段配置实例 15 3 定制访问 19 3.1映射模式 19 4 双机热备 23 1 TCP协议 1.1 同网段配置实例 图6-1-1 网络拓扑图 实现目的： 此配置实例主要包含TCP协议相关基本功能配置及特殊应用配置的详细操作步骤，其中TCP协议模块主要包含以下两个功能点。 l TCP协议基本功能配置 l 特殊点配置 内网配置为正向传输配置，外网配置为反向传输配置 由于正、反向配置相同，故此配置仅以正向操作为示例 1.1.1 TCP协议基本功能配置 目的： 通过基本功能配置，实现TCP数据的正常传输；以PC1（192.168.10.10）向PC2（192.168.10.20）发送数据为例； 配置步骤: Ø 搭建如图6-1-1网络环境； Ø 通过配置机访问内网管理地址192.168.0.201，登陆系统管理员账户（用户名：admin，密码：cyberadmin），在控制台网络配置-地址配置中添加数据口eth0地址(内网->eth0->192.168.10.100）； Ø 通过配置机访问外网管理地址192.168.0.202，登陆系统管理员账户（用户名：admin 密码:cyberadmin），在控制台网络配置-地址配置中添加数据口eth0地址（外网->eth0->192.168.10.200）； Ø 进入TCP协议，添加一条任务配置如，图6-1-2； 任务号：此任务的标识，范围为：1～2048； 本地IP：网闸代理IP地址，此IP地址可选，需在设备上板网络设置中添加； 端口：网闸本地代理地址监听端口； 绑定网闸IP：选择网闸下板发出数据的地址，此地址可视为数据通过网闸后的源地址； 实际服务器IP：实际目的地址，此为真实的目的地址； 实际服务器端口：实际服务器监听端口，设置网闸接收到数据后，发给真实目的的监听端口； DSCP：数据优先级。 图6-1-2任务配置 Ø 选择TCP协议-访问控制，默认规则选择“允许”，如图6-1-3； 图6-1-3 访问控制（允许） 预期结果： Ø PC1： 192.168.10.10 目的端口：12345 发送的目的地址：192.168.10.100 Ø PC2： 192.168.10.20 监听端口：12345 Ø PC2能够正常接收PC1发来的数据。 1.1.2 访问控制 1.1.2.1 默认允许 目的： 访问控制是对TCP数据源进行限制，选择数据源是否能够通过网闸进行数据的发送。 PC1（192.168.10.10）和PC4（192.168.10.40）向PC2（192.168.10.20）发送数据；端口：12345；PC1可正常发送数据给PC2，但PC4不能够发送数据给PC2。 配置步骤： Ø 根据以上基本功能配置，进入控制台-TCP协议-访问控制，选择默认规则为允许，如图6-1-4所示； 图6-1-4 访问控制（允许） Ø 添加一条“源IP地址”为192.168.10.40的访问控制，选择拒绝，如图6-1-5所示； 图6-1-5 访问控制（拒绝） Ø 访问控制配置完成，验证策略配置是否生效 预期结果： Ø PC1： 192.168.10.10 目的端口：12345 发送目的地址：192.168.10.100 Ø PC4： 192.168.10.40 目的端口：12345 发送目的地址：192.168.10.100 Ø PC2： 192.168.10.20 监听端口：12346 Ø PC2接收到PC1发来的TCP数据，PC4无法发送TCP数据。 1.1.2.2 默认拒绝 目的： 访问控制是对TCP数据源进行限制，选择数据源是否能够通过网闸进行数据的发送。 PC1（192.168.10.10）和PC4（192.168.10.40）向PC2（192.168.10.20）发送数据；端口：12345；PC4可正常发送数据给PC2，但PC1不能够发送数据给PC2。 配置步骤： Ø 根据以上基本功能操作，进入控制台-TCP协议-访问控制，选择默认规则为拒绝，如图6-1-6所示 图6-1-6 访问控制（默认拒绝） Ø 添加一条“源IP地址”为192.168.10.40的访问控制，选择允许，如图6-1-7所示； 图6-1-7 访问控制（允许） Ø 访问控制配置完成，验证策略配置是否生效 预期结果： Ø PC1： 192.168.10.10 目的端口：12345 发送目的地址：192.168.10.100 Ø PC4： 192.168.10.40 目的端口：12345 发送目的地址：192.168.10.100 Ø PC2： 192.168.10.20 监听端口：12346 Ø PC2接收到PC4发来的TCP数据，PC1无法发送TCP数据。 1.2 不同网段配置实例 图6-2-1网络拓扑图 实现目的： 主要实现不同网段的TCP传输，其中主要包含以下两个功能点。 l TCP协议基本功能配置 l 特殊点配置 内网配置为正向传输配置，外网配置为反向传输配置 由于正、反向配置相同，故此配置仅以正向操作为示例 1.2.1 TCP协议基本功能配置 目的： 通过基本功能配置，实现TCP数据的正常传输；以PC1（192.168.10.10）向PC3（192.168.40.10）发送数据为例； 配置步骤: Ø 搭建如图6-2-1网络环境； Ø 通过配置机访问内网管理地址192.168.0.201，登陆系统管理员账户（用户名：admin，密码：cyberadmin），在控制台网络配置-地址配置中添加数据口eth0地址(内网->eth0->192.168.20.100）； Ø 在控制台网络配置-路由配置中添加静态路由，如图6-2-2所示； 图6-2-2内网路由配置 Ø 通过配置机访问外网管理地址192.168.0.202，登陆系统管理员账户（用户名：admin 密码:cyberadmin），在控制台网络配置-地址配置中添加数据口eth0地址（外网->eth0->192.168.30.200）； Ø 在控制台网络配置-路由配置中添加静态路由，如图6-2-3所示； 图6-2-3外网路由配置 Ø 进入TCP协议，添加一条任务配置如，图6-2-4； 任务号：此任务的标识，范围为：1～2048； 本地IP：网闸代理IP地址，此IP地址可选，需在设备上板网络设置中添加； 端口：网闸本地代理地址监听端口； 绑定网闸IP：选择网闸下板发出数据的地址，此地址可视为数据通过网闸后的源地址； 实际服务器IP：实际目的地址，此为真实的目的地址； 实际服务器端口：实际服务器监听端口，设置网闸接收到数据后，发给真实目的的监听端口； DSCP：数据优先级。 图6-2-4任务配置 Ø 选择TCP协议-访问控制，默认规则选择“允许”，如图6-2-5所示； 图6-2-5访问控制 预期结果： Ø PC1： 192.168.10.10 目的端口：12345 发送的目的地址：192.168.20.100 Ø PC3： 192.168.40.10 监听端口：12345 Ø PC3能够正常接收PC1发来的数据。 1.2.2 访问控制 1.2.2.1 默认允许 目的： 访问控制是对TCP数据源进行限制，选择数据源是否能够通过网闸进行数据的发送。 PC1（192.168.10.10）和PC2（192.168.10.40）向PC3（192.168.40.10）发送数据；端口：12345；PC1可正常发送数据给PC3，但PC2不能够发送数据给PC3。 配置步骤： Ø 根据以上基本功能配置，进入控制台-TCP协议-访问控制，选择默认规则为允许，如图6-2-6所示； 图6-2-6访问控制（默认允许） Ø 添加一条“源IP地址”为192.168.10.40的访问控制，选择拒绝，如图6-2-7所示； 图6-2-7访问控制（拒绝） Ø 访问控制配置完成，验证策略配置是否生效 预期结果： Ø PC1： 192.168.10.10 目的端口：12345 发送目的地址：192.168.20.100 Ø PC2： 192.168.10.40 目的端口：12345 发送目的地址：192.168.20.100 Ø PC3： 192.168.40.10 监听端口：12346 Ø PC3接收到PC1发来的TCP数据，PC2无法发送TCP数据。 1.2.2.2 默认拒绝 目的： 访问控制是对TCP数据源进行限制，选择数据源是否能够通过网闸进行数据的发送。 PC1（192.168.10.10）和PC2（192.168.10.40）向PC3（192.168.10.20）发送数据；端口：12345；PC2可正常发送数据给PC2，但PC1不能够发送数据给PC3。 配置步骤： Ø 根据以上基本功能操作，进入控制台-TCP协议-访问控制，选择默认规则为拒绝，如图6-2-8所示 图6-2-8访问控制（默认拒绝） Ø 添加一条“源IP地址”为192.168.10.40的访问控制，选择允许，如图6-2-9所示； 图6-2-9访问控制（允许） Ø 访问控制配置完成，验证策略配置是否生效 预期结果： Ø PC1： 192.168.10.10 目的端口：12345 发送目的地址：192.168.20.100 Ø PC2： 192.168.10.40 目的端口：12345 发送目的地址：192.168.20.100 Ø PC3： 192.168.40.10 监听端口：12346 Ø PC3接收到PC2发来的TCP数据，PC1无法发送TCP数据。 2 UDP协议 2.1同网段配置实例 图7-1-1网络拓扑图 实现目的： 此配置实例主要包含UDP协议相关基本功能配置及特殊应用配置的详细操作步骤，其中UDP协议模块主要包含以下两个功能点。 l UDP协议基本功能配置 l 特殊点配置 2.1.1 UDP协议基本功能配置 目的： 通过基本功能配置，实现UDP数据的正常传输；以PC1（192.168.10.10）向PC2（192.168.10.20）发送数据为例； 配置步骤: Ø 搭建如图7-1-1网络环境； Ø 通过配置机访问内网管理地址192.168.0.201，登陆系统管理员账户（用户名：admin，密码：cyberadmin），在控制台网络配置-地址配置中添加数据口eth0地址(内网->eth0->192.168.10.100）； Ø 通过配置机访问外网管理地址192.168.0.202，登陆系统管理员账户（用户名：admin 密码:cyberadmin），在控制台网络配置-地址配置中添加数据口eth0地址（外网->eth0->192.168.10.200）； Ø 进入UDP协议，添加一条任务配置如，图7-1-2； 任务号：此任务的标识，范围为：1～2048； 本地IP：网闸代理IP地址，此IP地址可选，需在设备上板网络设置中添加； 端口：网闸本地代理地址监听端口； 绑定网闸IP：选择网闸下板发出数据的地址，此地址可视为数据通过网闸后的源地址； 实际服务器IP：实际目的地址，此为真实的目的地址； 实际服务器端口：实际服务器监听端口，设置网闸接收到数据后，发给真实目的的监听端口； DSCP：数据优先级。 图7-1-2任务配置 Ø 选择UDP协议-访问控制，默认规则选择“允许”，如图7-1-3； 图7-1-3访问控制 预期结果： Ø PC1： 192.168.10.10 目的端口：12345 发送的目的地址：192.168.10.100 Ø PC2： 192.168.10.20 监听端口：12345 Ø PC2能够正常接收PC1发来的数据。 2.1.2 访问控制 2.1.2.1默认允许 目的： 访问控制是对UDP数据源进行限制，选择数据源是否能够通过网闸进行数据的发送。 PC1（192.168.10.10）和PC4（192.168.10.40）向PC2（192.168.10.20）发送数据；端口：12345；PC1可正常发送数据给PC2，但PC4不能够发送数据给PC2。 配置步骤： Ø 根据以上基本功能配置，进入控制台-UDP协议-访问控制，选择默认规则为允许，如图7-1-4所示； 图7-1-4访问控制（默认允许） Ø 添加一条“源IP地址”为192.168.10.40的访问控制，选择拒绝，如图7-1-5所示； 图7-1-5访问控制（拒绝） Ø 访问控制配置完成，验证策略配置是否生效 预期结果： Ø PC1： 192.168.10.10 目的端口：12345 发送目的地址：192.168.10.100 Ø PC4： 192.168.10.40 目的端口：12345 发送目的地址：192.168.10.100 Ø PC2： 192.168.10.20 监听端口：12346 Ø PC2接收到PC1发来的UDP数据，PC4无法发送UDP数据。 2.1.2.2默认拒绝 目的： 访问控制是对UDP数据源进行限制，选择数据源是否能够通过网闸进行数据的发送。 PC1（192.168.10.10）和PC4（192.168.10.40）向PC2（192.168.10.20）发送数据；端口：12345；PC4可正常发送数据给PC2，但PC1不能够发送数据给PC2。 配置步骤： Ø 根据以上基本功能操作，进入控制台-UDP协议-访问控制，选择默认规则为拒绝，如图7-1-6所示 图7-1-6访问控制（默认拒绝） Ø 添加一条“源IP地址”为192.168.10.40的访问控制，选择允许，如图7-1-7所示； 图7-1-7访问控制（允许） Ø 访问控制配置完成，验证策略配置是否生效 预期结果： Ø PC1： 192.168.10.10 目的端口：12345 发送目的地址：192.168.10.100 Ø PC4： 192.168.10.40 目的端口：12345 发送目的地址：192.168.10.100 Ø PC2： 192.168.10.20 监听端口：12346 Ø PC2接收到PC4发来的UDP数据，PC1无法发送UDP数据。 2.2不同网段配置实例 图7-2-1网络拓扑图 实现目的： 主要实现不同网段的UDP传输，其中主要包含以下两个功能点。 l UDP协议基本功能配置 l 特殊点配置 内网配置为正向传输配置，外网配置为反向传输配置 由于正、反向配置相同，故此配置仅以正向操作为示例 2.2.1 UDP协议基本功能配置 目的： 通过基本功能配置，实现UDP数据的正常传输；以PC1（192.168.10.10）向PC3（192.168.40.10）发送数据为例； 配置步骤: Ø 搭建如图7-2-1网络环境； Ø 通过配置机访问内网管理地址192.168.0.201，登陆系统管理员账户（用户名：admin，密码：cyberadmin），在控制台网络配置-地址配置中添加数据口eth0地址(内网->eth0->192.168.20.100）； Ø 在控制台网络配置-路由配置中添加静态路由，如图7-2-2所示； 图7-2-2内网路由配置 Ø 通过配置机访问外网管理地址192.168.0.202，登陆系统管理员账户（用户名：admin 密码:cyberadmin），在控制台网络配置-地址配置中添加数据口eth0地址（外网->eth0->192.168.30.200）； Ø 在控制台网络配置-路由配置中添加静态路由，如图7-2-3所示； 图7-2-3外网路由配置 Ø 进入UDP协议，添加一条任务配置如，图7-2-4； 任务号：此任务的标识，范围为：1～2048； 本地IP：网闸代理IP地址，此IP地址可选，需在设备上板网络设置中添加； 端口：网闸本地代理地址监听端口； 绑定网闸IP：选择网闸下板发出数据的地址，此地址可视为数据通过网闸后的源地址； 实际服务器IP：实际目的地址，此为真实的目的地址； 实际服务器端口：实际服务器监听端口，设置网闸接收到数据后，发给真实目的的监听端口； DSCP：数据优先级。 图7-2-4任务配置 Ø 选择UDP协议-访问控制，默认规则选择“允许”，如图7-2-5； 图7-2-5访问控制 预期结果： Ø PC1： 192.168.10.10 目的端口：12345 发送的目的地址：192.168.20.100 Ø PC3： 192.168.40.10 监听端口：12345 Ø PC3能够正常接收PC1发来的数据。 2.2.2访问控制 2.2.2.1默认允许 目的： 访问控制是对UDP数据源进行限制，选择数据源是否能够通过网闸进行数据的发送。 PC1（192.168.10.10）和PC2（192.168.10.40）向PC3（192.168.40.10）发送数据；端口：12345；PC1可正常发送数据给PC3，但PC2不能够发送数据给PC3。 配置步骤： Ø 根据以上基本功能配置，进入控制台-UDP协议-访问控制，选择默认规则为允许，如图7-2-6所示； 图7-2-6访问控制（默认允许） Ø 添加一条“源IP地址”为192.168.10.40的访问控制，选择拒绝，如图7-2-7所示； 图7-2-7访问控制（拒绝） Ø 访问控制配置完成，验证策略配置是否生效 预期结果： Ø PC1： 192.168.10.10 目的端口：12345 发送目的地址：192.168.20.100 Ø PC2： 192.168.10.40 目的端口：12345 发送目的地址：192.168.20.100 Ø PC3： 192.168.40.10 监听端口：12346 Ø PC3接收到PC1发来的UDP数据，PC2无法发送UDP数据。 2.2.2.2默认拒绝 目的： 访问控制是对UDP数据源进行限制，选择数据源是否能够通过网闸进行数据的发送。 PC1（192.168.10.10）和PC2（192.168.10.40）向PC3（192.168.10.20）发送数据；端口：12345；PC2可正常发送数据给PC2，但PC1不能够发送数据给PC3。 配置步骤： Ø 根据以上基本功能操作，进入控制台-UDP协议-访问控制，选择默认规则为拒绝，如图7-2-8所示 图7-2-8访问控制（默认拒绝） Ø 添加一条“源IP地址”为192.168.10.40的访问控制，选择允许，如图7-2-9所示； 图7-2-9访问控制（允许） Ø 访问控制配置完成，验证策略配置是否生效 预期结果： Ø PC1： 192.168.10.10 目的端口：12345 发送目的地址：192.168.20.100 Ø PC2： 192.168.10.40 目的端口：12345 发送目的地址：192.168.20.100 Ø PC3： 192.168.40.10 监听端口：12346 Ø PC3接收到PC2发来的UDP数据，PC1无法发送UDP数据。 3 定制访问 3.1映射模式 3.1.1同网段配置实例 图9-1-1网络拓扑图 实现目的: 此实例主要是为了展示在相同网段的环境中网闸定制访问功能的实现，主要包含同网段映射模式下的TCP、UDP数据传输。（以接收端口10000为例） PC1：192.168.100.10 映射地址：192.168.100.41 PC2：192.168.100.40 映射地址：192.168.100.11 正反向任务配置都在内网； 配置步骤： Ø 搭建如图9-1-1网络环境； Ø 通过配置机访问内网管理地址192.168.0.201，登陆系统管理员账户（用户名：admin 密码:cyberadmin），在控制台定制访问-映射模式中添加地址映射，模式状态为开启，如图9-1-2所示； 图9-1-2映射模式 Ø 配置完成后，选择定制访问-访问控制界面添加访问控制，默认规则为拒绝，如图9-1-3所示； 以图9-1-1环境为例： 1. PC1发送数据，PC2接收数据 l 源端IP地址配置为PC1的地址，目的端IP地址为PC2的地址； l 协议可选择：TCP和UDP； l 端口配置为：10000； l 数据发送源在内网，源端位置选择内网； l 允许数据传输； 2. PC2发送数据，PC1接收数据 l 源端IP地址配置为PC2的地址，目的端IP地址为PC1的地址； l 协议可选择：TCP和UDP； l 端口配置为：10000； l 数据发送源在外网，源端位置选择外网； l 允许数据传输； 图9-1-3访问控制配置 Ø 映射模式定制访问配置完成； 预期结果： Ø PC1发送数据，目的地址为192.168.100.11，端口为10000，协议TCP，PC2接收TCP数据接收成功； Ø PC1发送数据，目的地址为192.168.100.11，端口为10000，协议UDP，PC2接收UDP数据接收成功； Ø PC2发送数据，目的地址为192.168.100.41，端口为10000，协议TCP，PC1接收TCP数据接收成功； Ø PC2发送数据，目的地址为192.168.100.41，端口为10000，协议UDP，PC1接收UDP数据接收成功； 3.1.2不同网段配置实例 图9-1网络拓扑图 实现目的: 此实例主要是为了展示在相同网段的环境中网闸定制访问功能的实现，主要包含不同网段映射模式下的TCP、UDP数据传输。 PC1：192.168.10.10 映射地址：192.168.30.10 PC2：192.168.40.20 映射地址：192.168.20.20 正反向任务配置都在内网； 以接收端口10000为例； 配置步骤： Ø 搭建如图9-1网络环境； Ø 通过配置机访问内网管理地址192.168.0.201，登陆系统管理员账户（用户名：admin 密码:cyberadmin），在控制台定制访问-映射模式中添加地址映射，模式状态为开启，如图9-1-4所示； 图9-1-4映射模式 Ø 配置完成映射后，选择网络配置-路由配置，添加内网路由，如图9-1-5所示； 图9-1-5上板路由设置 Ø 通过配置机访问内网管理地址192.168.0.202，登陆系统管理员账户（用户名：admin 密码:cyberadmin），在控制台网络配置-路由配置外网路由，如图9-1-6所示； 图9-1-6下板路由设置 Ø 路由配置完成后，再次登录内网管理地址192.168.0.201，登陆系统管理员账户（用户名：admin 密码:cyberadmin），选择定制访问-访问控制界面添加访问控制，默认规则为拒绝，如图9-1-7所示； 以图9-1-1环境为例： 1. PC1发送数据，PC2接收数据 l 源端IP地址配置为PC1的地址，目的端IP地址为PC2的地址； l 协议可选择：TCP和UDP； l 端口配置为：10000； l 数据发送源在内网，源端位置选择内网； l 允许数据传输； 2. PC2发送数据，PC1接收数据 l 源端IP地址配置为PC2的地址，目的端IP地址为PC1的地址； l 协议可选择：TCP和UDP； l 端口配置为：10000； l 数据发送源在外网，源端位置选择外网； l 允许数据传输； 图9-1-7访问控制配置 Ø 映射模式定制访问配置完成； 预期结果： Ø PC1发送数据，目的地址为192.168.20.20，端口为10000，协议TCP，PC2接收TCP数据接收成功； Ø PC1发送数据，目的地址为192.168.20.20，端口为10000，协议UDP，PC2接收UDP数据接收成功； Ø PC2发送数据，目的地址为192.168.30.10，端口为10000，协议TCP，PC1接收TCP数据接收成功； Ø PC2发送数据，目的地址为192.168.30.10，端口为10000，协议UDP，PC1接收UDP数据接收成功； 4 双机热备 图10-1-1双机热备环境 实现目的: 此实例主要是为了展示网闸双机热备功能的实现，本次以传输UDP端口为10000的数据为例。 双击热备只能够在设备上板配置； 心跳线连接主备设备上板HA口； 定制访问选择路由模式可看做在网络中添加了一个路由，需在本身网络环境中更改其它路由的网络设置；（本条仅在定制访问中有效） 配置步骤： Ø 搭建如图10-1-1网络环境； Ø 通过配置机访问内网管理地址192.168.0.201（设备1），登陆系统管理员账户（用户名：admin 密码:cyberadmin），在控制台热备服务-基本设置中添加热备策略，选择模式为“非抢占”，主备设置为“主机”，添加设备热备口IP地址，选择需要健康检查的网口（健康检查网口可选一个，也可多选），如图10-1-2所示； 图10-1-2设备1热备策略设置 Ø 通过配置机访问内网管理地址192.168.0.203（设备2），登陆系统管理员账户（用户名：admin 密码:cyberadmin），在控制台热备服务-基本设置中添加热备策略，选择模式为“非抢占”，主备设置为“备机”，添加设备热备口IP地址（此IP和设备1的热备口IP设置为同网段不同IP），选择需要健康检查的网口（健康检查网口可选一个，也可多选），如图10-1-3所示； 图10-1-3设备2热备策略设置 Ø 设备1和设备2双机热备基本配置完成后，分别启动设备1和设备2的热备服务，如图10-1-4所示； 图10-1-4热备服务启动界面 Ø 热备服务启动完成后，在启动设置界面当前服务状态分别为主设备和备设备，则双机热备设置完成后，如图10-1-5所示； 图10-1-5启动设置界面 Ø 双机热备配置完成后，需检验是否配置成功，本次以UDP传输为例，UDP配置详见UDP协议章节，UDP配置如图10-1-6所示； 图10-1-6 UDP任务配置 Ø UDP任务配置完成后，再次点击热备服务中的基本配置，点击“同步业务配置文件”，将主设置的配置同步到备设备； Ø UDP任务配置完成后，PC1、PC2发送接收UDP数据，并对设备1和设备2进行插拔网线、设备重启、设备关机等的操作，查看是否正常切换，数据是否正常传输； 预期结果： 设备正常切换，UDP数据切换后正常传输。