网闸配置注意事项20140910

网闸调试注意事项

1、笔记本装上控制台也连接到了设备的管理口却搜索不到设备

可能笔记本存在多个网卡，首先确认一下安装完控制台后选择的通信网卡是否正确，如果选择的网卡正确，再确认下笔记本正确的连接到了网闸内网的管理口。选择网卡界面如下：可以根据网卡存在的IP地址区分哪一块是物理网卡

2、能搜索到设备却怎么都无法登录

先查看出错信息，如果信息提示未知错误，可能是设备密码输入错误，或者上次登录没有退出控制台就拔掉了网线，确认一下密码输入的是否正确，如果输入正确，重启一下设备尝试重新登录。

3、对象定义注意事项：定义对象以及对象组时，名称和备注等信息不能使用IP/MAC/MASK等关键字。

4、对象定义注意：定义一个地址范围要用“-”来间隔，如（192.168.1.1-192.168.1.253）如果要定义所有客户端都可以访问内网服务器，IP地址MAC地址和子网掩码全为0。

5、修改对象或者对象组，要点击确定，而不是添加。否则会提示相应的修改栏目已存在提示。

6、定义服务时注意：如果存在相应的处理模块要选择处理模块或者不选。选择处理模块可以控制的更加细密，如果用户的服务不属于内置模块的服务，勾选“此应用中未定义的命令允许执行”选框。

7、安全通道选择要注意：默认存在两个安全通道，内网到外网的LAN1通道和外网到内网的LAN1方向，分别用InToOut和OutToIn来表示。如果部署模式没有使用默认的这两个接口，可以自己修改或者重新建立安全通道。

8、定义系统规则：系统规则把系统模版和安全通道绑定在一起，确保通过网闸的数据符合系统模版和安全通道的规定。

9、设备规则应用注意：在应用规则前要确认你定义的规则是正确的，可以到设备规则栏下边双击当前系统规则栏内相应的规则名称，查看定义规则的全部信息。

10确认规则配置没有错误之后，在应用规则之前要确认设备中没有运行相同的规则，在当前运行规则处右击选择读取当前运行的规则。

如果不存在相同的规则，则可以在当前系统规则栏，右击规则名称选择应用指定规则

12、规则审查报告：如果此处出现错误，请确认网线的连接。

规则发送成功后还可以通过查看当前运行的规则查看是否在应用规程中出现了通信错误。

13、基本属性设置：热备设置以及日志设置，工作模式都在此页设置。如果要设置双机热备，要记住主设备的序列号（当前设备处显示），然后到从设备处把主设备的序列号填写进去。

心跳线的接线方法是主设备的管理口与从设备的热备口进行心跳检测，以此实现多级热备。管理口和热备口可直连，也可接入交换机的同一VLAN里。

从设备不间断的监测主设备的工作状态，当发现主设备策略更新，从设备会将主设备的规则同步到从设备。从设备监测到主设备发生故障时，会立刻启动，并进行报警。启动切换

时间一般小于1秒（看规则的复杂度）。注意：当从设备在告警时，代表从设备已经启动工作。如果网闸两端接的是交换机，交换机IP、MAC的对应一般不能实时切换，一般交换机需要5分钟左右的延迟。为了实现实时的切换，可在规则中增加PING两端服务器的功能，当从设备切换时，能及时的通知交换机和客户端MAC地址和交换机端口的变换。如在内网路由列表处输入ping –c 3 192.168.10.3&（表示PING192.168.10.3这个IP3个包）

14、工作模式：支持透明代理、代理模式和路由模式三种工作模式。透明代理设备无任何IP地址，部署方便。代理模式隐藏内部网络信息，用户通过访问网闸，通过网闸代理访问内部服务器。路由模式就像一个路由器一样工作。

15、网络接口：通过设备的工作模式以及客户网络环境决定是否设置和怎么设置网络接口。如果设备工作在透明模式，则网络接口不须设置。如果工作在代理模式，且的IP地址与客户端和服务器段不在同一个网段，或者有很多个网段要访问网闸代理的服务器，此时要设置IP地址和网关。而路由模式则需要保证网闸有访问网络所有设备的路由。

通过这个实例添加路由表：左侧客户端有三个网段，通过三层交换机与网闸相连，右侧直接连接到内网服务器。网络的互通是所有服务运行的基础。首先要保证访问网闸的数据能找到返回的路由。在网闸外网口添加默认路由（默认路由只能添加一个）。route add default gw 192.168.100.254。如果还内网有多个网段，应该用另外一种方式添加路由route add –net 192.168.103.0 netmask 255.255.255.0 gw 192.168.102.254。

由于右侧直接与服务器相连，所属同一网络，不需要添加路由。

16、为什么控制台没有以前配置的策略？

软件的重新安装、被删除等原因都会造成本地策略丢失，可以连接到设备，在设备规则栏右部上侧那栏右击读取当前运行的规则，然后双击打开该策略，点击右下角添加到本地系统规则按钮把设备读取到本地控制台。

17、网闸配置好了，但是服务无法访问，ping网闸接口也ping不通

这个问题应该先确认客户网络的问题，可以把自己的笔记本接入到网络，IP地址设置为网闸的地址，然后再ping一下分配的网关。如果IP地址、网关都正常，并且交换机没有特殊的安全设置，再从网闸找原因，查看网闸接口的IP地址、网关是否正确。从液晶屏可以看出来工作状态，IP地址信息。也可以通过控制台登录设备，在设备状态栏右击选择刷新时间为3秒，查看设备的工作状态，流量信息，确认网闸内部状态为Normal。设备的硬件一般情况下不容易出现故障，但是在运输过程中磕磕碰碰也不可避免。如果想确认设备是否已启动，开机听声音，如果可以听到两声“滴”的声音，则说明设备启动正常，也可以用串口线登录设备查看。

18、网闸接口ping不通？

设备默认外网接口可以ping通，内网口不可ping通，如果想测试内网接口是否正常，可以通过接入到网闸内网口所在的VLAN，ping内网口IP地址，然后再运行Windows命令提示符，输入arp–a 查看是否能获取到对应的MAC地址，如果可以获取到MAC地址则说明通信正常

19、网闸接口地址可以ping通，但是服务无法访问？

一般是出在配置上，请再次确认配置已正确，通过设备规则栏读取出当前运行的策略，