联想网御网闸(SIS-3000)配置过程

联想网御网闸（SIS-3000）设备测试报告

一、设备管理、拓扑结构

1、通过笔记本管理网闸，需要先在笔记本上导入管理证书（光盘——管理证书文件夹下，密码：hhhhhh）,管理IP:10.0.0.200 ，掩码：255.255.255.0 。

2、登录内网：用网线连接内网专用管理口，在IE浏览器输入：https://10.0.0.1:8889

3、输入用户名/密码：administrator/ administrator (超级用户)或输入：admin/admin123(管理员用户)。

4、登录外网：用网线连接外网专用管理口，在IE浏览器输入：https://10.0.0.2:8889或输入用户名/密码：administrator/ administrator (超级用户) 或输入：admin/admin123(管理员用户)。测试拓扑结构：

192.168.20.2内：192.168.20.1外：192.168.10.1

192.168.10.2

FTP客户端网闸客户端网闸服务端

FTP服务端注：网闸的工作模式有两种，普通模式、透明模式。

“访问类别”功能是网闸的主要使用之一，根据外部使用客户端跨网闸访问“目的服务器地址”的不同，分为“透明访问”、“普通访问”两种模式。

两种使用模式具体的比较如下

区别透明访问普通访问

含义外部客户端，“无视”网闸的存在，直接访

问网闸另一侧的真实服务器地址；外部客户端通过访问相连网闸地址，再由网闸连接真实服务器；

原理区别两者相同两者相同

配置区别1）只需配置网闸客户端任务，无需配置网

闸服务端任务；

2）客户端添加一条路由，指向网闸；必须同时配置网闸客户端、服务端任务，且对应任务之间的任务号必须相同；

访问目的地址网闸另一侧的真实服务器地址和客户端相连一侧的网闸地址网闸两侧网络

地址同网段

支持支持

网闸两侧网络

地址不同网段

支持支持

双机热备支持支持

负载均衡不支持支持◆硬件架构原理图如下

二、网闸主要配置抓图

2.1、内网配置抓图：

◆登陆界面

◆登陆首页

◆更改密码（按需求修改）

◆网口配置（按需求修改）

◆配置网闸内侧任务，并启动服务（按需求修改）添加网闸内侧任务，如下图：

若是【普通访问】，该地址为内侧网

口地址【192.168.20.1】；若是【透明访问】，该地址为FTP 服务器地址对象【ftpsvr_192.168.10.2】。

源地址为FTP 客户端地址，可选择any ，亦可自定义范围；但若为【透明访

问】，则与目的地址不能同时选择any 。

若选择【普通访问】，网闸内、外两侧均需配置；若选择【透明访问】，仅需配置网闸内侧。

服务类型可选【tcp_any 】；亦可选【ftp 】，但目的端口可不填。

若是【普通访问】，则任务号与服务端任务号一致

源端口采用默认值即可目的端口【21】

◆ 启动服务，如下图

按下按钮，启动服务

2.2外网配置抓图： ◆ 登陆界面

◆ 登陆首页

◆更改密码（按需求修改）

◆网口配置（按需求修改）

◆ 配置网闸外侧任务，并启动服务（按需求修改） 添加网闸外侧任务，仅对普通访问有效，如下图：

服务器地址为真实FTP 服务器地址【192.168.10.2】

任务号与客户端任务号一致

流出网口IP 指：作为发起方，数据包应从哪个网口流出。

服务类型可选【tcp_any 】；亦可选【ftp 】，但目的端口可不填。

服务器端口【21】

◆ 启动服务，同上。

三、配置测试

◆ 针对普通访问，访问时如下图

普通访问模式下，该地址为网闸内侧地址

普通访问模式下，格式为：用户名

◆针对透明访问，访问时如下图

透明访问模式下，该地

址为真实FTP服务器地址

透明访问模式下，格式为：用户名◆设备外网端的配置导入、导出

◆日志审计

注意：

1、透明访问时，需配置默认网关或添加静态路由，详见FTP（说明手册）访问的“配置步骤”第4步。

2、支持日志访问。

3、支持一些动态端口使用服务，比如：ftp、tns、h.323等等。

4、支持源、目的端口范围。

5、不支持PPTP、IPSec、GRE、IGMP、IGRP及OSPF服务。

6、普通访问时，不支持服务器地址范围。

7、支持ping。

8、支持相同服务多服务器的使用模式。

9、支持用IE浏览器进行FTP访问。

步骤总结：

1、配置客户端任务(针对普通访问和透明访问)，并启动服务。

2、配置服务端任务(仅针对普通访问)，并启动服务。

3、测试。