网闸配置注意事项20140910

网闸调试注意事项
1、笔记本装上控制台也连接到了设备的管理口却搜索不到设备
可能笔记本存在多个网卡，首先确认一下安装完控制台后选择的通信网卡是否正确，如果选择的网卡正确，再确认下笔记本正确的连接到了网闸内网的管理口。

选择网卡界面如下：可以根据网卡存在的IP地址区分哪一块是物理网卡
2、能搜索到设备却怎么都无法登录
先查看出错信息，如果信息提示未知错误，可能是设备密码输入错误，或者上次登录没有退出控制台就拔掉了网线，确认一下密码输入的是否正确，如果输入正确，重启一下设备尝试重新登录。

3、对象定义注意事项：定义对象以及对象组时，名称和备注等信息不能使用IP/MAC/MASK等关键字。

4、对象定义注意：定义一个地址范围要用“-”来间隔，如（192.168.1.1-192.168.1.253）如果要定义所有客户端都可以访问内网服务器，IP地址MAC地址和子网掩码全为0。

5、修改对象或者对象组，要点击确定，而不是添加。

否则会提示相应的修改栏目已存在提示。

6、定义服务时注意：如果存在相应的处理模块要选择处理模块或者不选。

选择处理模块可以控制的更加细密，如果用户的服务不属于内置模块的服务，勾选“此应用中未定义的命令允许执行”选框。

7、安全通道选择要注意：默认存在两个安全通道，内网到外网的LAN1通道和外网到内网的LAN1方向，分别用InToOut和OutToIn来表示。

如果部署模式没有使用默认的这两个接口，可以自己修改或者重新建立安全通道。

8、定义系统规则：系统规则把系统模版和安全通道绑定在一起，确保通过网闸的数据符合系统模版和安全通道的规定。

9、设备规则应用注意：在应用规则前要确认你定义的规则是正确的，可以到设备规则栏下边双击当前系统规则栏内相应的规则名称，查看定义规则的全部信息。

10确认规则配置没有错误之后，在应用规则之前要确认设备中没有运行相同的规则，在当前运行规则处右击选择读取当前运行的规则。

如果不存在相同的规则，则可以在当前系统规则栏，右击规则名称选择应用指定规则
12、规则审查报告：如果此处出现错误，请确认网线的连接。

规则发送成功后还可以通过查看当前运行的规则查看是否在应用规程中出现了通信错误。

13、基本属性设置：热备设置以及日志设置，工作模式都在此页设置。

如果要设置双机热备，要记住主设备的序列号（当前设备处显示），然后到从设备处把主设备的序列号填写进去。

心跳线的接线方法是主设备的管理口与从设备的热备口进行心跳检测，以此实现多级热备。

管理口和热备口可直连，也可接入交换机的同一VLAN里。

从设备不间断的监测主设备的工作状态，当发现主设备策略更新，从设备会将主设备的规则同步到从设备。

从设备监测到主设备发生故障时，会立刻启动，并进行报警。

启动切换
时间一般小于1秒（看规则的复杂度）。

注意：当从设备在告警时，代表从设备已经启动工作。

如果网闸两端接的是交换机，交换机IP、MAC的对应一般不能实时切换，一般交换机需要5分钟左右的延迟。

为了实现实时的切换，可在规则中增加PING两端服务器的功能，当从设备切换时，能及时的通知交换机和客户端MAC地址和交换机端口的变换。

如在内网路由列表处输入ping –c 3 192.168.10.3&（表示PING192.168.10.3这个IP3个包）
14、工作模式：支持透明代理、代理模式和路由模式三种工作模式。

透明代理设备无任何IP地址，部署方便。

代理模式隐藏内部网络信息，用户通过访问网闸，通过网闸代理访问内部服务器。

路由模式就像一个路由器一样工作。

15、网络接口：通过设备的工作模式以及客户网络环境决定是否设置和怎么设置网络接口。

如果设备工作在透明模式，则网络接口不须设置。

如果工作在代理模式，且的IP地址与客户端和服务器段不在同一个网段，或者有很多个网段要访问网闸代理的服务器，此时要设置IP地址和网关。

而路由模式则需要保证网闸有访问网络所有设备的路由。

通过这个实例添加路由表：左侧客户端有三个网段，通过三层交换机与网闸相连，右侧直接连接到内网服务器。

网络的互通是所有服务运行的基础。

首先要保证访问网闸的数据能找到返回的路由。

在网闸外网口添加默认路由（默认路由只能添加一个）。

route add default gw 192.168.100.254。

如果还内网有多个网段，应该用另外一种方式添加路由route add –net 192.168.103.0 netmask 255.255.255.0 gw 192.168.102.254。

由于右侧直接与服务器相连，所属同一网络，不需要添加路由。

16、为什么控制台没有以前配置的策略？
软件的重新安装、被删除等原因都会造成本地策略丢失，可以连接到设备，在设备规则栏右部上侧那栏右击读取当前运行的规则，然后双击打开该策略，点击右下角添加到本地系统规则按钮把设备读取到本地控制台。

17、网闸配置好了，但是服务无法访问，ping网闸接口也ping不通
这个问题应该先确认客户网络的问题，可以把自己的笔记本接入到网络，IP地址设置为网闸的地址，然后再ping一下分配的网关。

如果IP地址、网关都正常，并且交换机没有特殊的安全设置，再从网闸找原因，查看网闸接口的IP地址、网关是否正确。

从液晶屏可以看出来工作状态，IP地址信息。

也可以通过控制台登录设备，在设备状态栏右击选择刷新时间为3秒，查看设备的工作状态，流量信息，确认网闸内部状态为Normal。

设备的硬件一般情况下不容易出现故障，但是在运输过程中磕磕碰碰也不可避免。

如果想确认设备是否已启动，开机听声音，如果可以听到两声“滴”的声音，则说明设备启动正常，也可以用串口线登录设备查看。

18、网闸接口ping不通？
设备默认外网接口可以ping通，内网口不可ping通，如果想测试内网接口是否正常，可以通过接入到网闸内网口所在的VLAN，ping内网口IP地址，然后再运行Windows命令提示符，输入arp–a 查看是否能获取到对应的MAC地址，如果可以获取到MAC地址则说明通信正常
19、网闸接口地址可以ping通，但是服务无法访问？
一般是出在配置上，请再次确认配置已正确，通过设备规则栏读取出当前运行的策略，
然后双击打开查看详细配置信息。

确认源对象目标对象、系统模版、安全通道的信息已配置无误。

20、设备工作在代理模式，代理内网的数据库和FTP服务，端口可以telnet通，但是却无法登录。

如果内网数据库为运行在Windows环境下的ORACLE，则需要更改系统注册表，使数据可以透过网闸传输。

在系统注册表中，HKEY_LOCAL_MACHINE SOFTWARE ORACLE HOME0下加入字符串值：USE_SHARED_SOCKET 值为TRUE。

然后数据库重启服务器，使更改生效。

FTP服务器在使用代理模式时需要绑定FTP处理模块，在定义服务是要注意绑定，否则就会出现可以telnet端口，但无论如何都无法登录服务器的情况。

21、双机热备详细设置步骤，及故障切换缓慢怎么解决？
首先登录到主设备，在基本属性栏记下设备的序列号（热备设置、当前设备处显示序列号）。

记下该序列号，然后登录到从设备，到基本属性栏，把设备模式改为从设备，然后再填入主设备序列号，点击设置按钮就会听到设备“滴”“滴”的报警声，因为设备的热备线没有连接才会报警。

连接上之后就不会报警了。

关于主设备down掉从设备接管网络的切换时间。

因为交换机是一个二层设备，需要通过MAC地址来转发数据，主设备突然down机，而交换机MAC地址表的内容却不会改变，需要等待老化时间过后从新学习MAC地址，所以会造成切换缓慢的问题。

如果切换缓慢，可以在网络接口下边的路由列表内写入命令，ping一下两边网络内的IP地址。

例如：网闸内网网关为192.168.1.254 外网网关为192.168.2.254则可以这样写
Ping –c 1 192.168.1.254&
Ping –c 1 192.168.2.254&
向各个网关各ping一个包，通过这个ping包交换机就能学到从设备的MAC地址，然后通过从设备来传输数据。

这样就能解决主从切换缓慢的问题。

22、设备该如何记录日志呢？
在基本属性栏勾选记录日志选框，然后选择记录日志的格式，设备支持两种日志格式，一种为私有格式，使用控制台安装时附带的日志服务器程序接收日志，另外一种为通用的syslog日志。

选用syslog日志需要有一台syslog日志服务器，然后选择syslog日志格式，指定日志接收服务器IP地址以及通信端口。

然后在网络接口处把管理口设置一个IP地址，这个IP地址必须可以跟日志接收服务器通信。

23、如果是内到外的应用，并且内网口无法ping通，如果测试配置呢？
如果应用为内到外的，可以通过测试相应的服务端口来判断是否正常，可以在cmd输入telnet 网闸网口IP端口测试，如果网闸内网口为192.168.1.100 服务为http tcp80端口。

则应该输入telnet 192.168.1.100 80 如果回车后可以看到插入点光标闪烁，则说明配置正常。

24、用路由模式实现代理效果或半代理效果时，在定制策略时为什么需要把网闸内网口IP 归到外网的IP组中？
如果使用路由模式实现代理效果，则发起方可能是外网某一个IP地址，访问网闸外网口来实现访问内网服务器的效果，也可能是通过路由直接访问原始IP来访问。

由于通过访问网闸来访问服务器，则网闸会代理客户端向服务器发起连接请求，请求时使用网闸内网口来发起请求，网闸要检测安全策略，如果配置的外网组中没有没有包含网闸内网口IP，网闸则判断该数据流量不符合规则，网闸会切断数据连接。

这样就无法访问了，所以要在外网IP 组中加入网闸内网IP地址。

25、选用OPC模块时，设备只能采用路由模式或透明代理模式OPC才能正常通信
由于OPC是一个动态的协议，通过随机的端口来传输数据，而路由模式和透明模式可
以结合OPC模块动态的放行OPC数据端口。

但是代理模式需要知道通信的所有端口，然后根据端口做策略，OPC使用的端口是随机的，所以无法使用代理模式。

26、通过SNMP监控、管理设备
在网络接口设置管理口IP地址，通过该地址进行SNMP的管理和监控。