网康ICG产品部署之内旁模式.docVIP

网康ICG产品部署之串旁模式 一、串旁接入介绍 串旁模式就是在物理串接的前提下,引擎旁路模式，在此模式下，引擎效率相对较高，但部分功能无法实现 三、串旁接入方式 这样做对客户的价值：对于现有网络无需更改任何路由，拓扑。设备就像一个网线接头，很方便。无改造风险，即使设备坏了，可以bypass不影响网络，也可以直接拿下，不用额外的恢复操作 特殊说明：即使网口富裕，网康单个设备最多2个透明桥。 解释：多个线路在一个设备上单点故障的风险过高，2个线路是比较合适的 特殊说明：每个透明桥最多只能2个网口，一入，一出。不能做到单桥多入/出 解释：内容过滤产品通用做法 四、串旁接入机理 一个透明桥实际上就是一个虚拟的交换机（可以看成是一个不对公布VLAN ID的VLAN） 每个透明桥就好象一个2层交换机，完全符合交换机的转发原理。在报文转发过程中，不改变报文的任何信息，例如IP地址，MAC地址等，是完全透明的。 目前设备的透明桥之间是不能相互转发信息的，也就是两个透明桥是完全独立的，可以认为是分别独立的物理线路 通过内外网口的设定，决定哪个口收到外出报文，那个口收到的是回程报文，继而进行报文分析，审计，统计 五、串旁模式前提操作 1、先期准备 - - 每次新机要先能通过浏览器访问设备的控制界 目前版本下新机的默认地址配置在E1口上，地址是3 / 如图连接好设备和计算机网口，将计算机的IP地址配置成为192.168.1.xxx/24 通过3 访问设备即可进行后期的配置 如果不是新机，并且不知道设备的IP地址是什么或不知道接口是怎么配置的，可以通过串口命令行方式进行设备的基础信息获取。 命令行采用超级终端，速率9600方式访问。 进入串口命令行后，用icg_status 命令查看设备的配置，获取透明桥包含的接口，并获取桥的地址。 2、基础操作 - - 配置好管理接口地址，今后无论怎样变更设备，都是用管理口管理设备 目前版本下管理接口默认没有地址 进入设备后选择最左侧的 系统管理”( 网络配置 ( 管理口配置(“勾选”启用管理口( 输入管理口的IP，掩码（注意不要和桥接口在同一个网段，否则配置不成功）( 选择作为管理接口的物理接口 注意：管理口的网口编号确定的方法为面板上工作接口的最后一个网口的编号+1 ，例如面板上有4个工作口 E0-E3,那么MGR接口就是E4，如果面板上有8个工作口E0-E7那么Mgr就是E8） “访问限制”可以限制是否只能从管理口访问这个设备。 - - 配置好管理口的路由，DNS使得设备可以通过管理口外出 在此页面然后点击路由配置进入以下页面 如果是配置具体的网段路由请选择“静态路由”Button，输入静态的目的地址段，掩码，下一跳地址，注意要选择接口为管理口，这样才会从管理口到达该网段。如果是希望配置默认路由，请选择“默认路由”Button，输入下一跳地址，接口选择管理口即可，这样设备自身外联的各种行为，例如升级，被远程管理的报文就都可以通过管理口转发了。（这个配置不影响过滤的报文的处理，不必担心工作接口的流量从管理口流出。但：代理引擎除外） 4、基础操作 - - 重新从管理接口连接设备，进行后续操作 六、串旁模式配制方法 1、单桥配置 A：按照上如红色的椭圆轨迹进行网桥模式的配置，并填写网桥线路所在的网段的IP地址，掩码。 内外网口的图可通过绿色灯表示已经连线，灰色的灯表示还没有连线。 该网桥的接口在界面中是可以自由选择的，但是通常情况下透明桥1 就是E0,E1 。如果确认这两个口有一个不能工作，可以自行选择其他的接口。注意E0 ,E1 是一个bypass对，E2,E3是一个bypass对，如果跨对选择接口，设备故障时将无法实现bypass。 默认网关是必填项，请配置成为ICG桥接口网段向外访问的下一跳。当没有配置管理接口的默认路由时这个默认网关起作用，当配置了管理接口的默认路由后，这个路由优先级没有管理接口的默认路由高，因此不起作用，但是由于是必填项还是要填写的。 B：如果网桥连接的线路所在的网段是30位掩码时，客户将不能给ICG的透明网桥一个合法地址。 由于ICG是透明的，因此可以随便配置一个地址，掩码，网关。以满足配置的合法性检验。 在30位掩码下，如果ICG需要和外部通信，可以通过已经配置的管理接口和管理接口的默认路由实现。 2、双桥配置 A：按照上如红色的椭圆轨迹进行网桥模式的配置，选择“双入双出”并填写网桥线路所在的网段的IP地址，掩码。 内外网口的图可通过绿色灯表示已经连线，灰色的灯表示还没有连线。 该网桥的接口在界面中是可以自由选择的，但是通常情况下透明桥1 就是E0,E1 。如果确认这两个口有一个不能工作，可以自行选择其他的接口。注意E0 ,E1 是一个bypass对，E2,E3是一个bypass对