网康ICG产品部署之内旁模式.doc

网康ICG产品部署之串旁模式一、串旁接入介绍串旁模式就是在物理串接的前提下,引擎旁路模式，在此模式下，引擎效率相对较高，但部分功能无法实现（BYPASS域名功能、网页重定向功能、网页脱机功能）二、串旁接入部署串接模式可部署与以下任何网络中可以串在这里BAS，提供PPPOE功能PPPOE信号的该场景一般在高校，运营商的接入层出现三、串旁接入方式这样做对客户的价值：对于现有网络无需更改任何路由，拓扑。设备就像一个网线接头，很方便。无改造风险，即使设备坏了，可以bypass不影响网络，也可以直接拿下，不用额外的恢复操作特殊说明：即使网口富裕，网康单个设备最多2个透明桥。解释：多个线路在一个设备上单点故障的风险过高，2个线路是比较合适的特殊说明：每个透明桥最多只能2个网口，一入，一出。不能做到单桥多入/出解释：内容过滤产品通用做法四、串旁接入机理一个透明桥实际上就是一个虚拟的交换机（可以看成是一个不对公布VLAN ID的VLAN）每个透明桥就好象一个2层交换机，完全符合交换机的转发原理。在报文转发过程中，不改变报文的任何信息，例如IP地址，MAC地址等，是完全透明的。目前设备的透明桥之间是不能相互转发信息的，也就是两个透明桥是完全独立的，可以认为是分别独立的物理线路通过内外网口的设定，决定哪个口收到外出报文，那个口收到的是回程报文，继而进行报文分析，审计，统计五、串旁模式前提操作1、先期准备 - - 每次新机要先能通过浏览器访问设备的控制界目前版本下新机的默认地址配置在E1口上，地址是3 / 如图连接好设备和计算机网口，将计算机的IP地址配置成为192.168.1.xxx/24 通过3 访问设备即可进行后期的配置如果不是新机，并且不知道设备的IP地址是什么或不知道接口是怎么配置的，可以通过串口命令行方式进行设备的基础信息获取。命令行采用超级终端，速率9600方式访问。进入串口命令行后，用icg_status 命令查看设备的配置，获取透明桥包含的接口，并获取桥的地址。2、基础操作 - - 配置好管理接口地址，今后无论怎样变更设备，都是用管理口管理设备目前版本下管理接口默认没有地址进入设备后选择最左侧的系统管理” 网络配置 管理口配置“勾选”启用管理口 输入管理口的IP，掩码（注意不要和桥接口在同一个网段，否则配置不成功） 选择作为管理接口的物理接口注意：管理口的网口编号确定的方法为面板上工作接口的最后一个网口的编号+1 ，例如面板上有4个工作口 E0-E3,那么MGR接口就是E4，如果面板上有8个工作口E0-E7那么Mgr就是E8）“访问限制”可以限制是否只能从管理口访问这个设备。配置完毕管理接口后还要配置路由，使得设备可以通过管理接口升级，或者使得内部网络可达这个接口3、基础操作 - - 配置好管理口的路由，DNS使得设备可以通过管理口外出在此页面然后点击路由配置进入以下页面如果是配置具体的网段路由请选择“静态路由”Button，输入静态的目的地址段，掩码，下一跳地址，注意要选择接口为管理口，这样才会从管理口到达该网段。如果是希望配置默认路由，请选择“默认路由”Button，输入下一跳地址，接口选择管理口即可，这样设备自身外联的各种行为，例如升级，被远程管理的报文就都可以通过管理口转发了。（这个配置不影响过滤的报文的处理，不必担心工作接口的流量从管理口流出。但：代理引擎除外）4、基础操作 - - 重新从管理接口连接设备，进行后续操作六、串旁模式配制方法1、单桥配置A：按照上如红色的椭圆轨迹进行网桥模式的配置，并填写网桥线路所在的网段的IP地址，掩码。内外网口的图可通过绿色灯表示已经连线，灰色的灯表示还没有连线。该网桥的接口在界面中是可以自由选择的，但是通常情况下透明桥1 就是E0,E1 。如果确认这两个口有一个不能工作，可以自行选择其他的接口。注意E0 ,E1 是一个bypass对，E2,E3是一个bypass对，如果跨对选择接口，设备故障时将无法实现bypass。默认网关是必填项，请配置成为ICG桥接口网段向外访问的下一跳。当没有配置管理接口的默认路由时这个默认网关起作用，当配置了管理接口的默认路由后，这个路由优先级没有管理接口的默认路由高，因此不起作用，但是由于是必填项还是要填写的。B：如果网桥连接的线路所在的网段是30位掩码时，客户将不能给ICG的透明网桥一个合法地址。由于ICG是透明的，因此可以随便配置一个地址，掩码，网关。以满足配置的合法性检验。在30位掩码下，如果ICG需要和外部通信，可以通过已经配置的管理接口和管理接口的默认路由实现。2、双桥配置A：按照上如红色的椭圆轨迹进行网桥模式的配置，选择“双入双出”并填写网桥线路所在的网段的IP地址，掩码。内外网口的图可通过绿色灯表示已经连线，灰色的灯表示还没有连线。该网桥的接口在界面中是可以自由选择的，但是通常情况下透明桥1 就是E0,E1 。如果确认这两个口有一个不能工作，可以自行选择其他的接口。注意E0 ,E1 是一个bypass对，E2,E3是一个bypass对，如果跨对选择接口，设备故障时将无法实现bypass。默认网关是必填项，请配置成为ICG某一个桥接口网段向外访问的下一跳。当没有配置管理接口的默认路由时这个默认路由起作用，当配置了管理接口的默认路由后，这个路由优先级没有管理接口的默认路由高，因此不起作用，但是由于是必填项还是要填写的。B：如果网桥连接的线路所在的网段是30位掩码时，客户将不能给ICG的透明网桥一个合法地址。由于ICG是透明的，因此两个网桥都可以随便配置一个地址，掩码，并总体配置一个网关，以满足配置的合法性检验。在30位掩码下，如果ICG需要和外部通信，可以通过已经配置的管理接口和管理接口的默认路由实现。3、配置时注意事项：A：当用户的线路是Trunk时：由于透明桥自身可以动态的判断报文是否有VLAN标识，因此ICG设备上无需对Trunk的Vlan进行任何配置。（提别注意： 常见情况下大家用的都是串接方式下的内旁引擎，这也是设备默认的引擎模式，在这个模式下上条是成立的。但如果你一定要开启串接模式下的串接引擎时，Trunk的配置是需要进行的） 以下仅在透明桥没有合法地址时 （例如30位掩码环境），ICG的一些和用户的特殊交互报文需要特别注意的Web认证登录页面的弹出页面，只要配置了管理接口和管理口的路由，路由可达用户，就不受影响Web访问阻断页面的弹出，只要配置了管理接口和管理口的路由，路由可达用户，就不受影响Web重定向页面的额弹出，只要配置了管理接口和管理口路由，路由可达用户，就不受影响采用Web认证时下线页面需要特殊配置，需要到系统配置-代理配置页面中输入指定下线地址，才可以实现有效的下线。（机理可以询问产品市场人员）采用客户端认证时，由于设备采用了有一些特殊的安全措施，配置了管理口和路由后，必须在认证的高级配置中指定客户端和设备管理口通信时才不会受到影响，如果不配置将导致客户端认证失败或者审计信息无法得到。B：当串联在