力控网闸配置示例

1、目录1TCP协议31.1 同网段配置实例31.2不同网段配置实例72UDP协议112.1同网段配置实例112.2不同网段配置实例153定制访问193.1映射模式194双机热备231 TCP协议1.1 同网段配置实例图6-1-1 网络拓扑图实现目的：此配置实例主要包含TCP协议相关基本功能配置及特殊应用配置的详细操作步骤，其中TCP协议模块主要包含以下两个功能点。l TCP协议基本功能配置l 特殊点配置 内网配置为正向传输配置，外网配置为反向传输配置 由于正、反向配置相同，故此配置仅以正向操作为示例1.1.1 TCP协议基本功能配置目的：通过基本功能配置，实现TCP数据的正常传输；以PC1（1）

2、向PC2（1）发送数据为例；配置步骤:Ø 搭建如图6-1-1网络环境；Ø 通过配置机1，登陆系统管理员账户（用户名：admin，密码：cyberadmin），在控制台网络配置-地址配置中添加数据口eth0地址(内网->eth0->192.168.10.100）；Ø 通过配置机2，登陆系统管理员账户（用户名：admin 密码:cyberadmin），在控制台网络配置-地址配置中添加数据口eth0地址（外网->eth0->192.168.10.200）；Ø 进入TCP协议，添加一条任务配置如，图6-1-2；任务号：此任务的标识，范围为

3、：12048；本地IP：网闸代理IP地址，此IP地址可选，需在设备上板网络设置中添加；端口：网闸本地代理地址监听端口；绑定网闸IP：选择网闸下板发出数据的地址，此地址可视为数据通过网闸后的源地址；实际服务器IP：实际目的地址，此为真实的目的地址；实际服务器端口：实际服务器监听端口，设置网闸接收到数据后，发给真实目的的监听端口；DSCP：数据优先级。图6-1-2任务配置 Ø 选择TCP协议-访问控制，默认规则选择“允许”，如图6-1-3；图6-1-3 访问控制（允许）预期结果：Ø PC1：目的端口：12345发送的目的地址：Ø PC2：监听端口：12345Ø

4、; PC2能够正常接收PC1发来的数据。 访问控制 默认允许目的：访问控制是对TCP数据源进行限制，选择数据源是否能够通过网闸进行数据的发送。PC1（1）和PC4（1）向PC2（1）发送数据；端口：12345；PC1可正常发送数据给PC2，但PC4不能够发送数据给PC2。 配置步骤：Ø 根据以上基本功能配置，进入控制台-TCP协议-访问控制，选择默认规则为允许，如图6-1-4所示；图6-1-4 访问控制（允许）Ø 添加一条“源IP地址”为1的访问控制，选择拒绝，如图6-1-5所示；图6-1-5 访问控制（拒绝）Ø 访问控制配置完成，验证策略配置是否生效预期结果：&

5、#216; PC1：目的端口：12345发送目的地址：Ø PC4：目的端口：12345发送目的地址：Ø PC2：监听端口：12346Ø PC2接收到PC1发来的TCP数据，PC4无法发送TCP数据。 默认拒绝目的：访问控制是对TCP数据源进行限制，选择数据源是否能够通过网闸进行数据的发送。PC1（）和PC4（）向PC2（）发送数据；端口：12345；PC4可正常发送数据给PC2，但PC1不能够发送数据给PC2。配置步骤：Ø 根据以上基本功能操作，进入控制台-TCP协议-访问控制，选择默认规则为拒绝，如图6-1-6所示图6-1-6 访问控制（默认拒绝）&#

6、216; 添加一条“源IP地址”为1的访问控制，选择允许，如图6-1-7所示；图6-1-7 访问控制（允许）Ø 访问控制配置完成，验证策略配置是否生效预期结果：Ø PC1：目的端口：12345发送目的地址：Ø PC4：目的端口：12345发送目的地址：Ø PC2：监听端口：12346Ø PC2接收到PC4发来的TCP数据，PC1无法发送TCP数据。1.2 不同网段配置实例图6-2-1网络拓扑图实现目的：主要实现不同网段的TCP传输，其中主要包含以下两个功能点。l TCP协议基本功能配置l 特殊点配置 内网配置为正向传输配置，外网配置为反向传输配

7、置 由于正、反向配置相同，故此配置仅以正向操作为示例1.2.1 TCP协议基本功能配置目的：通过基本功能配置，实现TCP数据的正常传输；以PC1（1）向PC3（1）发送数据为例；配置步骤:Ø 搭建如图6-2-1网络环境；Ø 通过配置机1，登陆系统管理员账户（用户名：admin，密码：cyberadmin），在控制台网络配置-地址配置中添加数据口eth0地址(内网->eth0->192.168.20.100）；Ø 在控制台网络配置-路由配置中添加静态路由，如图6-2-2所示；图6-2-2内网路由配置Ø 通过配置机2，登陆系统管理员账户（用户名：

8、admin 密码:cyberadmin），在控制台网络配置-地址配置中添加数据口eth0地址（外网->eth0->192.168.30.200）；Ø 在控制台网络配置-路由配置中添加静态路由，如图6-2-3所示；图6-2-3外网路由配置Ø 进入TCP协议，添加一条任务配置如，图6-2-4；任务号：此任务的标识，范围为：12048；本地IP：网闸代理IP地址，此IP地址可选，需在设备上板网络设置中添加；端口：网闸本地代理地址监听端口；绑定网闸IP：选择网闸下板发出数据的地址，此地址可视为数据通过网闸后的源地址；实际服务器IP：实际目的地址，此为真实的目的地址；实际

9、服务器端口：实际服务器监听端口，设置网闸接收到数据后，发给真实目的的监听端口；DSCP：数据优先级。图6-2-4任务配置Ø 选择TCP协议-访问控制，默认规则选择“允许”，如图6-2-5所示；图6-2-5访问控制预期结果：Ø PC1：目的端口：12345发送的目的地址：Ø PC3：监听端口：12345Ø PC3能够正常接收PC1发来的数据。1.2.2 访问控制1.2.2.1 默认允许目的：访问控制是对TCP数据源进行限制，选择数据源是否能够通过网闸进行数据的发送。PC1（1）和PC2（1）向PC3（1）发送数据；端口：12345；PC1可正常发送数据给P

10、C3，但PC2不能够发送数据给PC3。 配置步骤：Ø 根据以上基本功能配置，进入控制台-TCP协议-访问控制，选择默认规则为允许，如图6-2-6所示；图6-2-6访问控制（默认允许）Ø 添加一条“源IP地址”为1的访问控制，选择拒绝，如图6-2-7所示；图6-2-7访问控制（拒绝）Ø 访问控制配置完成，验证策略配置是否生效预期结果：Ø PC1：目的端口：12345发送目的地址：Ø PC2：目的端口：12345发送目的地址：Ø PC3：监听端口：12346Ø PC3接收到PC1发来的TCP数据，PC2无法发送TCP数据。1.2

11、.2.2 默认拒绝目的：访问控制是对TCP数据源进行限制，选择数据源是否能够通过网闸进行数据的发送。PC1（）和PC2（）向PC3（）发送数据；端口：12345；PC2可正常发送数据给PC2，但PC1不能够发送数据给PC3。配置步骤：Ø 根据以上基本功能操作，进入控制台-TCP协议-访问控制，选择默认规则为拒绝，如图6-2-8所示图6-2-8访问控制（默认拒绝）Ø 添加一条“源IP地址”为1的访问控制，选择允许，如图6-2-9所示；图6-2-9访问控制（允许）Ø 访问控制配置完成，验证策略配置是否生效预期结果：Ø PC1：目的端口：12345发送目的地址

12、：Ø PC2：目的端口：12345发送目的地址：Ø PC3：监听端口：12346Ø PC3接收到PC2发来的TCP数据，PC1无法发送TCP数据。2 UDP协议2.1同网段配置实例图7-1-1网络拓扑图实现目的：此配置实例主要包含UDP协议相关基本功能配置及特殊应用配置的详细操作步骤，其中UDP协议模块主要包含以下两个功能点。l UDP协议基本功能配置l 特殊点配置2.1.1 UDP协议基本功能配置目的：通过基本功能配置，实现UDP数据的正常传输；以PC1（1）向PC2（1）发送数据为例；配置步骤:Ø 搭建如图7-1-1网络环境；Ø 通过配置机

13、1，登陆系统管理员账户（用户名：admin，密码：cyberadmin），在控制台网络配置-地址配置中添加数据口eth0地址(内网->eth0->192.168.10.100）；Ø 通过配置机2，登陆系统管理员账户（用户名：admin 密码:cyberadmin），在控制台网络配置-地址配置中添加数据口eth0地址（外网->eth0->192.168.10.200）；Ø 进入UDP协议，添加一条任务配置如，图7-1-2；任务号：此任务的标识，范围为：12048；本地IP：网闸代理IP地址，此IP地址可选，需在设备上板网络设置中添加；端口：网闸本地代理

14、地址监听端口；绑定网闸IP：选择网闸下板发出数据的地址，此地址可视为数据通过网闸后的源地址；实际服务器IP：实际目的地址，此为真实的目的地址；实际服务器端口：实际服务器监听端口，设置网闸接收到数据后，发给真实目的的监听端口；DSCP：数据优先级。图7-1-2任务配置Ø 选择UDP协议-访问控制，默认规则选择“允许”，如图7-1-3；图7-1-3访问控制预期结果：Ø PC1：目的端口：12345发送的目的地址：Ø PC2：监听端口：12345Ø PC2能够正常接收PC1发来的数据。2.1.2 访问控制默认允许目的：访问控制是对UDP数据源进行限制，选择数据

15、源是否能够通过网闸进行数据的发送。PC1（1）和PC4（1）向PC2（1）发送数据；端口：12345；PC1可正常发送数据给PC2，但PC4不能够发送数据给PC2。 配置步骤：Ø 根据以上基本功能配置，进入控制台-UDP协议-访问控制，选择默认规则为允许，如图7-1-4所示；图7-1-4访问控制（默认允许）Ø 添加一条“源IP地址”为1的访问控制，选择拒绝，如图7-1-5所示；图7-1-5访问控制（拒绝）Ø 访问控制配置完成，验证策略配置是否生效预期结果：Ø PC1：目的端口：12345发送目的地址：Ø PC4：目的端口：12345发送目的地址

16、：Ø PC2：监听端口：12346Ø PC2接收到PC1发来的UDP数据，PC4无法发送UDP数据。默认拒绝目的：访问控制是对UDP数据源进行限制，选择数据源是否能够通过网闸进行数据的发送。PC1（）和PC4（）向PC2（）发送数据；端口：12345；PC4可正常发送数据给PC2，但PC1不能够发送数据给PC2。配置步骤：Ø 根据以上基本功能操作，进入控制台-UDP协议-访问控制，选择默认规则为拒绝，如图7-1-6所示图7-1-6访问控制（默认拒绝）Ø 添加一条“源IP地址”为1的访问控制，选择允许，如图7-1-7所示；图7-1-7访问控制（允许）

17、16; 访问控制配置完成，验证策略配置是否生效预期结果：Ø PC1：目的端口：12345发送目的地址：Ø PC4：目的端口：12345发送目的地址：Ø PC2：监听端口：12346Ø PC2接收到PC4发来的UDP数据，PC1无法发送UDP数据。2.2不同网段配置实例图7-2-1网络拓扑图实现目的：主要实现不同网段的UDP传输，其中主要包含以下两个功能点。l UDP协议基本功能配置l 特殊点配置 内网配置为正向传输配置，外网配置为反向传输配置 由于正、反向配置相同，故此配置仅以正向操作为示例2.2.1 UDP协议基本功能配置目的：通过基本功能配置，实现U

18、DP数据的正常传输；以PC1（1）向PC3（1）发送数据为例；配置步骤:Ø 搭建如图7-2-1网络环境；Ø 通过配置机1，登陆系统管理员账户（用户名：admin，密码：cyberadmin），在控制台网络配置-地址配置中添加数据口eth0地址(内网->eth0->192.168.20.100）；Ø 在控制台网络配置-路由配置中添加静态路由，如图7-2-2所示；图7-2-2内网路由配置Ø 通过配置机2，登陆系统管理员账户（用户名：admin 密码:cyberadmin），在控制台网络配置-地址配置中添加数据口eth0地址（外网->eth0

19、->192.168.30.200）；Ø 在控制台网络配置-路由配置中添加静态路由，如图7-2-3所示；图7-2-3外网路由配置Ø 进入UDP协议，添加一条任务配置如，图7-2-4；任务号：此任务的标识，范围为：12048；本地IP：网闸代理IP地址，此IP地址可选，需在设备上板网络设置中添加；端口：网闸本地代理地址监听端口；绑定网闸IP：选择网闸下板发出数据的地址，此地址可视为数据通过网闸后的源地址；实际服务器IP：实际目的地址，此为真实的目的地址；实际服务器端口：实际服务器监听端口，设置网闸接收到数据后，发给真实目的的监听端口；DSCP：数据优先级。图7-2-4任务

20、配置Ø 选择UDP协议-访问控制，默认规则选择“允许”，如图7-2-5；图7-2-5访问控制预期结果：Ø PC1：目的端口：12345发送的目的地址：Ø PC3：监听端口：12345Ø PC3能够正常接收PC1发来的数据。访问控制默认允许目的：访问控制是对UDP数据源进行限制，选择数据源是否能够通过网闸进行数据的发送。PC1（1）和PC2（1）向PC3（1）发送数据；端口：12345；PC1可正常发送数据给PC3，但PC2不能够发送数据给PC3。 配置步骤：Ø 根据以上基本功能配置，进入控制台-UDP协议-访问控制，选择默认规则为允许，如图7-

21、2-6所示；图7-2-6访问控制（默认允许）Ø 添加一条“源IP地址”为1的访问控制，选择拒绝，如图7-2-7所示；图7-2-7访问控制（拒绝）Ø 访问控制配置完成，验证策略配置是否生效预期结果：Ø PC1：目的端口：12345发送目的地址：Ø PC2：目的端口：12345发送目的地址：Ø PC3：监听端口：12346Ø PC3接收到PC1发来的UDP数据，PC2无法发送UDP数据。默认拒绝目的：访问控制是对UDP数据源进行限制，选择数据源是否能够通过网闸进行数据的发送。PC1（）和PC2（）向PC3（）发送数据；端口：12345；P

22、C2可正常发送数据给PC2，但PC1不能够发送数据给PC3。配置步骤：Ø 根据以上基本功能操作，进入控制台-UDP协议-访问控制，选择默认规则为拒绝，如图7-2-8所示图7-2-8访问控制（默认拒绝）Ø 添加一条“源IP地址”为1的访问控制，选择允许，如图7-2-9所示；图7-2-9访问控制（允许）Ø 访问控制配置完成，验证策略配置是否生效预期结果：Ø PC1：目的端口：12345发送目的地址：Ø PC2：目的端口：12345发送目的地址：Ø PC3：监听端口：12346Ø PC3接收到PC2发来的UDP数据，PC1无法发送

23、UDP数据。3 定制访问3.1映射模式同网段配置实例图9-1-1网络拓扑图实现目的:此实例主要是为了展示在相同网段的环境中网闸定制访问功能的实现，主要包含同网段映射模式下的TCP、UDP数据传输。（以接收端口10000为例）PC1：192.168.100.10 映射地址：PC2：192.168.100.40 映射地址： 正反向任务配置都在内网；配置步骤：Ø 搭建如图9-1-1网络环境；Ø 通过配置机访问内网管理地址，登陆系统管理员账户（用户名：admin 密码:cyberadmin），在控制台定制访问-映射模式中添加地址映射，模式状态为开启，如图9-1-2所示；图9-1-2

24、映射模式Ø 配置完成后，选择定制访问-访问控制界面添加访问控制，默认规则为拒绝，如图9-1-3所示；以图9-1-1环境为例：1. PC1发送数据，PC2接收数据l 源端IP地址配置为PC1的地址，目的端IP地址为PC2的地址；l 协议可选择：TCP和UDP；l 端口配置为：10000；l 数据发送源在内网，源端位置选择内网；l 允许数据传输；2. PC2发送数据，PC1接收数据l 源端IP地址配置为PC2的地址，目的端IP地址为PC1的地址；l 协议可选择：TCP和UDP；l 端口配置为：10000；l 数据发送源在外网，源端位置选择外网；l 允许数据传输；图9-1-3访问控制配置&

25、#216; 映射模式定制访问配置完成；预期结果：Ø PC1发送数据，目的地址为0.11，端口为10000，协议TCP，PC2接收TCP数据接收成功；Ø PC1发送数据，目的地址为0.11，端口为10000，协议UDP，PC2接收UDP数据接收成功；Ø PC2发送数据，目的地址为0.41，端口为10000，协议TCP，PC1接收TCP数据接收成功；Ø PC2发送数据，目的地址为0.41，端口为10000，协议UDP，PC1接收UDP数据接收成功；不同网段配置实例图9-1网络拓扑图实现目的:此实例主要是为了展示在相同网段的环境中网闸定制访问功能的实现，主要包

26、含不同网段映射模式下的TCP、UDP数据传输。PC1：192.168.10.10 映射地址：192.168.30.10PC2：192.168.40.20 映射地址：192.168.20.20 正反向任务配置都在内网； 以接收端口10000为例；配置步骤：Ø 搭建如图9-1网络环境；Ø 通过配置机访问内网管理地址，登陆系统管理员账户（用户名：admin 密码:cyberadmin），在控制台定制访问-映射模式中添加地址映射，模式状态为开启，如图9-1-4所示；图9-1-4映射模式Ø 配置完成映射后，选择网络配置-路由配置，添加内网路由，如图9-1-5所示；图9-1-

27、5上板路由设置Ø 通过配置机2，登陆系统管理员账户（用户名：admin 密码:cyberadmin），在控制台网络配置-路由配置外网路由，如图9-1-6所示；图9-1-6下板路由设置Ø 路由配置完成后，再次登录内网管理地址，登陆系统管理员账户（用户名：admin 密码:cyberadmin），选择定制访问-访问控制界面添加访问控制，默认规则为拒绝，如图9-1-7所示；以图9-1-1环境为例：1. PC1发送数据，PC2接收数据l 源端IP地址配置为PC1的地址，目的端IP地址为PC2的地址；l 协议可选择：TCP和UDP；l 端口配置为：10000；l 数据发送源在内网，源

28、端位置选择内网；l 允许数据传输；2. PC2发送数据，PC1接收数据l 源端IP地址配置为PC2的地址，目的端IP地址为PC1的地址；l 协议可选择：TCP和UDP；l 端口配置为：10000；l 数据发送源在外网，源端位置选择外网；l 允许数据传输；图9-1-7访问控制配置Ø 映射模式定制访问配置完成；预期结果：Ø PC1发送数据，目的地址为192.168.20.20，端口为10000，协议TCP，PC2接收TCP数据接收成功；Ø PC1发送数据，目的地址为192.168.20.20，端口为10000，协议UDP，PC2接收UDP数据接收成功；Ø PC2发送数据，目的地址为192.168.30.10，端口为10000，协议TCP，PC1接收TCP数据接收成功；Ø PC2发送数据，目的地址为192.168.30.10，端口为10000，协议UDP，PC1接收UDP数据接收成功；4 双机热