ICG网络接入培训.ppt

ICG的灵活网络接入,产品市场部2010-05-15,培训提纲,灵活的网络接入的重要性,灵活的网络接入,没有,拥有,费力：对于已经具备基础网络的客户很可能要为了这个设备的部署而更改网络拓扑，导致实施复杂度增大费钱：对于新建或希望更换老旧基础网络设备的客户和就需要额外购买本应可以避免的基础网络设备，导致建设投资增加,虽然客户的网络复杂多样，但只要具备了足够灵活的网络接入能力，无论客户希望保持拓扑，还是希望新建网络时节省投资都可以实现。既省力，又省钱,培训提纲,客户的网络环境千差万别，我们可不可以根据某些特点简单分类呢？,小型企业,大中型企业,金融，航空领域的企业,运营商,关注业务连续性的企业,应用场景,网络简单，希望省钱,网络复杂，希望有冗余链路,关注网络安全性,PPPOE接入,不希望串接其它设备,ICG的网络接入模式,单网桥模式,可以串在这里,可以串放这里,客户不希望改变网络的拓扑，ICG可以直接串接在网络里面。网桥模式下桥口对经过的报文透明传输,可以串在这里,PPPOE,BAS，提供PPPOE功能,代理服务器,可以串放这里,内口,外口,运营商通常提供PPPOE接入，希望设备能够支持PPPOE的接入方式,金融，航空领域企业的网络中大多已有代理服务器，ICG需要串接在代理服务器之前,双网桥模式,可以放在这里,可以放在这里,客户网络有两个不同网段的网络，希望同时对两条出口链路进行管理同样不改变网络拓扑，直接串接在网络里面目前设备的透明桥之间不能相互转发信息，可以认为是分别独立的物理线路,网关模式,ICG,ADSLmodem,ISP,ISP,ISP,客户新建网络的时候，希望节约成本客户同时专线和ADSL线路，但是ADSL一般都闲置不用ICG的网关模式能实现NAT、路由、防火墙等基本网关功能，能有效节约成本网关模式可以利用客户的ADSL线路作为专线线路的备份，提升了投资效率只要配置网关模式，ICG自动启动NAT转换,不可手工调整不NAT需要连接多条内网线路的时候可以使用定制的多内网线路网关模式解决（5.5版本）,镜像模式,客户关注网络的连续性，不希望在网络中串接其它设备客户只关心对信息的审计ICG以镜像模式旁路在网络中，不改变网络拓扑在交换机配置镜像端口，并将交换机进出的数据包都转发到镜像端口。将ICG的内网口和交换机的镜像端口相连，用于接收但不转发交换机镜像端口的数据，进出的流量都镜像到同一个线路中交换机的镜像端口会增大交换机的负载,分光器,在线路中增加一个分光器解决交换机负载的问题,注意：镜像模式下没有配置转发端口的选项，镜像旁路默认只使用第一个透明网桥作为转发端口，因此连线时请注意要连接到透明网桥1的内网口,代理模式,单臂代理服务器,如果客户原有代理服务器，可以在用户无感知的情况下直接采用ICG代理模式直接替换，除了原有功能还平滑的提供了上网行为管理的功能,在单臂代理模式下，出入流量都从一个接口进入可能超过接口的速率,代理模式,该线路处理非代理业务的报文,非单臂代理服务器,培训提纲,初次登录ICG,ICG系统初次安装时的默认地址配置在桥1上，IP是192.168.1.23/24,如图连接好设备和计算机网口，将计算机的IP地址配置为192.168.1.xxx/24（与ICG默认地址同网段）通过https:/192.168.1.23 访问设备即可进行后期的配置（注意是https而不是http）如果不是新机，并且不知道ICG的IP地址，可以通过串口连接计算机并以命令行方式获取设备的配置信息,配置管理口,为什么要有管理口：提供固定的访问ICG的接口，今后无论怎样变更设备，都可以用管理口管理设备在某些场景下ICG需要通过管理口才能访问网络（用于ICG本身的升级操作）镜像模式下ICG的镜像端口对于报文只收不发，只有通过给管理口才能管理ICG,什么是管理口：管理口是指不参与设备过滤工作的独立的且仅用于管理设备的网口,配置管理口,配置步骤：通过【系统管理】【网络配置】【管理口设置】，进入如下配置界面：,配置管理接口的IP地址时，请不要分配与网桥、网关同一网段的IP,管理口（Mgr）的网口编号为面板上工作接口的最后一个网口的编号+1，例如面板上有4个工作口 E0-E3，MGR接口就是E4，如果面板上有8个工作口E0-E7，那么Mgr就是E8,1、不限制：此时通过管理口和其它接口都可以访问ICG2、只允许管理接口访问本机：此时只允许从管理接口访问NS-ICG,勾选“启用管理口”,配置完毕管理接口后还要配置路由，使得ICG可以通过管理接口访问外网,配置管理口,点击【系统管理】【网络配置】【网络配置】【路由配置】,如果是配置具体的网段路由请选择“静态路由”，输入静态的目的地址段，掩码，下一跳地址，注意要选择接口为管理口，这样才会从管理口到达该网段。如果是希望配置默认路由，请选择“默认路由”，输入下一跳地址，接口选择管理口（这个配置不影响过滤的报文的处理，不必担心工作接口的流量从管理口流出）,单网桥模式,重新从管理接口连接ICG并根据配置的管理口地址登录ICG，进行后续配置,ICG,透明桥1,透明桥2,单网桥模式,通过【系统管理】【网络配置】【网络配置】进入单网桥模式配置界面,绿色的灯表示网口已经物理导通，灰色的灯表示还没有导通。,缺省网关配置为ICG桥口向外访问的下一跳地址。当没有配置管理接口的默认路由时这个默认网关起作用，当配置了管理接口的默认路由后，这个路由优先级没有管理接口的默认路由高，因此不起作用，但是由于是必填项还是要填写,给桥口配置与所处的线路同网段的地址，这样通过桥口IP也可以访问ICG由于ICG是透明的，因此也可以随便给网桥配置一个地址，掩码，网关，以满足配置的合法性检验,网桥接口可以自由选择，但通常桥1就是E0和E1。如果这两个口有一个失效，可以选择其它接口。注意E0和E1 是一个bypass对，E2和E3是一个bypass对，以此类推，如果跨对选择接口则设备故障时将无法实现bypass,三层网络结多IP子网的配置,ICG以单网桥模式串接在路由器和三层交换机之间，内网PC访问被ICG屏蔽的网站的时候，ICG需要向内网PC发送相应的提示信息，怎样对ICG进行配置使ICG能够访问三台内网的PC？,在ICG中添加回指路由：目的地址：192.168.0.0 IP掩码：255.255.0.0下一跳：192.168.1.2 接口：网桥接口,30位掩码网络环境,ICG以单网桥模式串接在防火墙和三层交换机之间，串接的这个网段掩码是30位的，一共4个IP地址分配给网络地址，广播地址，防火墙的接口地址以及交换机的接口地址，这时应该怎么配置ICG的桥口地址，内网用户怎么访问ICG？,桥口地址配置为与192.168.1.1/24不同网段的任意IP地址，同时给管理口配置一个可用的地址，内网用户通过管理口访问ICG,MGR,双网桥模式,可以放在这里,可以放在这里,双网桥模式,网关设置规则跟单网桥相同，设为其中一个桥口向外访问的下一跳地址,单网桥模式界面下勾选“双入双出”进入双网桥模式的配置界面,IP地址的配置规则跟单网桥相同，注意两个网桥的IP地址需在不同网段网桥接口同样可以自由选择，但是为了实现bypass功能建议成对选择,网关模式,ICG,ADSLmodem,ISP,ISP,ISP,网关模式,在【网络配置】界面下勾选“网关模式”进入配置界面，默认存在一个内网口，首先对它进行配置,受ICG控制的内网客户需修改其网络配置，把默认网关指向ICG内网口IP地址,选择用于内网口的接口，内网口的接入方式、网关和权重默认不可更改,网关模式,点击界面上的”添加“按钮，根据实际情况添加外网口,添加对外网口属性的描述,选择连接此外网口的ICG接口，接口数量会根据设备的实际连接的接口数量显示可选择项,选择接口的进入方式，接入方式选择“静态地址”表示专线方式，选择“ADSL拨号”表示ADSL线路方式，每个接口只能选择一种接入方式，但是可以有多个接口采用不同的方式接入,权重是各个外网接口间负载均衡的配置参数，最大配置256，例如有3个外网口，希望接口分担的流量为1：2：3，则第一个接口配置1，第二个接口配置2，第三个接口配置3,静态地址接入方式请填写IP地址，掩码，默认网关,ADSL 方式请输入用户名，密码（无需默认网关，会自动生成）,镜像模式,镜像模式,镜像模式需要通过管理口操作,镜像旁路模式会清空设备的原有配置，因此如果希望备份原有的配置请选择”立即备份“,由于无法通过接口区分内外流量，为了能够识别报文，必须配置“策略网段”，IP落在策略网段内的作为内网IP，落在策略网段外的作为外网IP。配置完成后，点击切换模式按钮，也可以配置镜像模式之后再配置策略网段,镜像模式,点击上个PPT页面中的“切换模式”按钮后将进入下图页面,勾选”启用控制口“，配置控制口的IP地址，并选择空闲的接口作为控制口,注意：如果希望管理接口既作为管理设备的接口，又作为旁路情况下发送阻断报文的接口，则可以不用配置控制口。（推荐！）,在镜像模式下可以实现一定程度的控制能力，这需要有接口可以发送阻断报文，可以通过配置控制口来实现,镜像模式,切换完毕后，再进入网络配置则看到下图所示界面,通过路由配置按钮进行控制口的路由配置，添加控制口可以发送阻断报文的静态路由即可（控制口，管理口只有一个接口可以配置默认路由）,发送阻断报文需要添加控制口或者管理口可以发送阻断报文的静态路由,代理模式,该线路处理非代理业务的报文,非单臂代理服务器,单臂代理服务器,代理模式,代理模式的网络配置是网桥模式或者网关模式,启用HTTP代理勾选后，端口是指ICG作为代理服务器对用户开发的端口，也就是用户浏览器设置代理时要设置的端口,安全端口用于在非网页访问的应用程序中使用的HTTP代理。客户端使用80端口将报文发送到ICG，ICG将报文封装在安全端口中发送到目的应用服务器,单臂代理：勾选后，表示可以只用一根线连接代理服务器，进出报文都在这个线路上，为了区分内外网用户，需配置策略网段。如果不勾选单臂，代理就是前面介绍的非单臂模式。有内外网口之分,启用socks代理：勾选后可以为应用程序提供socks代理功能。端口1080是socks代理对用户开放的端口认证方式：如果socks代理认为报文中应该包含认证信息，那么要选择“认证”，这样任何socks报文必须身份合法才能外出,多IP配置,配置IP地址，掩码，选择需要绑定其他IP的网络接口,多IP配置用于为ICG配置多个IP地址，便于从多个IP地址访问ICG，点击【系统管理】【网络配置】【网络配置】【多IP配置】,谢 谢,