网康ICG_多环境部署示例
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
29
场景十二:镜像模式
• 步骤:
– 1.启用管理口,并从管理口登录设备;管理口地址可以 为内网任一Vlan的地址,如192.168.10.23; – 2.配置网桥地址为内网任一Vlan的地址,但必须与管理 口不同网段,如192.168.20.23; – 3.将内网口与已经配置完毕的交换机镜像口相连; – 4.切换镜像模式,并按需要备份当前配置数据; – 5.设置内网地址段为策略网段; – 6.如需控制Web访问行为,则需配置控制口,控制口地 址应与网关IP同网段,且不能与管理口、网桥口IP同网 段;
总部内网IP:192.168.1.0/24
总部ICG:192.168.1.23 总部集中管理平台:192.168.1.100
33
场景十三:集团综合部署ICG-CM
• 集团总部与各分公司间有专线或VPN线路连接,或 各分公司具备固定公网IP地址,则直接在集中管理 平台上添加各分公司的ICG设备; • 集团总部与各分公司间无专线或VPN线路连接,且 各分公司不具备固定公网IP地址,则需要启用集中 管理平台VPN功能,步骤:
6
场景二:单网桥二层环境B
ICG添加多ip目的:让192.168.1.0/24和192.168.2.0/24两个网段均能访问管理ICG。
7
场景三:单网桥二层环境C
• 单网桥模式 – 二层网络环境
Trunk链路
场景三:内网有3个Vlan(Vlan100:192.168.1.0/24、Vlan200:192.168.2.0/24 和Vlan300:192.168.3.0/24),防火墙和交换机之间为Trunk链路,防火墙LAN口 地址为192.168.1.1、192.168.2.1和192.168.3.1
22
场景九:网关模式-静态公网地址
• 静态公网地址
场景九: 用户通过电信分配的静态公网IP上网,公网IP为211.123.132.231,掩码为 255.255.255.248,网关为211.123.132.230,内网地址为192.168.1.0/24
23
场景九:网关模式-静态公网地址
**静态路由配置步骤略。
24
场景十:网关模式- ADSL拨号
• Adsl拨号
场景十: 用户通过电信Adsl拨号上网,账号为ad62670909,密码为4006783600,内网地 址为192.168.1.0/24
25
场景十:网关模式- ADSL拨号
**静态路由配置步骤略。
26
场景十一:网关模式-多ISP链路备份
• 多ISP链路备份
• 串接引擎工作模式
1.启用管理口,配置为内网任一Vlan的地址,并连接到核心交换机该Vlan的端口上; 2. 将网桥地址配置为Vlan1的广播地址,掩码调整为24位,缺省网关指向防火墙; 3.在ICG受限shell绑定防火墙和交换机的IP和MAC; 4.添加网桥接口静态路由; 5.添加管理口静态路由,指定DNS地址和升级服务器地址由管理口经交换机出站; 6.管理员通过管理口地址访问设备。
2
目录
•
•
旁路模式
场景十二:镜像模式
•
•
集团部署
场景十三:集团综合部署ICG-CM
3
场景一:单网桥二层wenku.baidu.com境A
• 单网桥模式 – 二层网络环境
1. Access链路
场景一:内网只有一个网段(192.168.1.0/24),防火墙和交换机之间为 Access链路,防火墙LAN口地址为192.168.1.1 客户要求:内网用户均能上网,且可管理ICG;下同。 注:防火墙可替换为路由器,全文通用。
14
场景六:单网桥外部单臂代理
注意:外部单 臂代理网络环 境,无需配置 静态路由。 如ICG上网也必 须通过代理服 务器,则需设 置“升级代理 配置”选项, 否则可能造成 ICG更新障碍。
15
场景七:网桥无可用桥口ip
• 特殊网络环境的部署 – 无可用IP分配给网桥
场景七:内网有3个Vlan Vlan100:192.168.10.0/24,网关192.168.10.1; Vlan200:192.168.20.0/24,网关192.168.20.1; Vlan300:192.168.30.0/24,网关192.168.30.1; 防火墙Lan口和对端核心交换机端口处于同一Vlan(Vlan1:192.168.1.0/30),防火 墙Lan口地址为192.168.1.1,对端交换机地址为192.168.1.2
不同网络环境 之部署配置
目录
•
• •
网桥模式
场景一:单网桥二层环境A 场景二:单网桥二层环境B
•
• • • • •
场景三:单网桥二层环境C
场景四:单网桥三层环境 场景五:单网桥外部串接代理 场景六:单网桥外部单臂代理 场景七:网桥无可用桥口ip 场景八:双网桥模式
•
• • •
网关模式
场景九:网关模式-静态公网地址 场景十:网关模式- ADSL拨号 场景十一:网关模式-多ISP链路备份
30
场景十二:镜像模式
31
场景十二:镜像模式
注意:控制口为可选配置,如用户仅需旁路审计,则可不启用控制口; ICG内网口与交换机镜像口相连;控制口、管理口均连接到对应的交换 机以太网口;管理员通过管理口登录设备管理界面。
32
场景十三:集团综合部署ICG-CM
场景十三:用户在北京、上海和广州 设立了分公司,希望通过总部对全公 司进行集中管理。
场景十一: 用户主要通过电信分配的静态公网IP上网,公网IP为211.123.132.231,掩码为 255.255.255.248,网关为211.123.132.230 ,另外还有一条Adsl拨号备份线路, 账号为ad62670909,密码为4006783600,内网地址为192.168.1.0/24
4
场景一:单网桥二层环境A
界面配置
5
场景二:单网桥二层环境B
• 单网桥模式 – 二层网络环境
场景二:内网有两个网段(192.168.1.0/24和192.168.2.0/24),防火墙和交 换机之间为Access链路,防火墙LAN口地址为192.168.1.1和192.168.2.1
(FireWall的LAN口有多Ip或子地址等)
19
场景七:网桥无可用桥口ip
20
场景八:双网桥模式
• 双网桥模式
场景八: 用户有2个独立的内部网络,线路一为192.168.1.0/24,网关192.168.1.1;线路二 为192.168.2.0/24,网关192.168.2.1;
21
场景八:双网桥模式
注意:需配置正确的静 态路由,以确保返回的 数据包被送往正确的交 换机,否则可能造成访 问障碍。
8
场景三:单网桥二层环境C
配置管理口,默认路由配置为走管理口。
9
场景四:单网桥三层环境
• 单网桥模式 – 三层网络环境
场景四:内网有3个Vlan(192.168.10.0/24、192.168.20.0/24和192.168.30.0/24), 防火墙Lan口和对端核心交换机端口处于同一Vlan(192.168.1.0/24),防火墙Lan口 地址为192.168.1.1,对端交换机地址为192.168.1.254
12
场景五:单网桥外部串接代理
• 除常规网络配置外,需开启“外部代理”并设置 相应代理端口。
注意:如ICG上网也必须通过代理服务器,则需设置“升级代理配置”选项, 否则可能造成ICG更新障碍。
13
场景六:单网桥外部单臂代理
• 单网桥模式 – 外部单臂代理网络环境
场景六:内网用户通过一台单臂部署的代 理服务器访问互联网,代理服务器地址为 192.168.100.100,对端交换机地址为 192.168.100.1,代理端口为8080。
16
场景七:网桥无可用桥口ip
• 旁路引擎工作模式
1.启用管理口,配置为内网任一Vlan的地址,并连接到核心交换机该Vlan的端口上; 2.添加管理口默认路由; 3.将网桥地址和默认网关配置为假地址; 4.管理员通过管理口地址访问设备。
17
场景七:网桥无可用桥口ip
18
场景七:网桥无可用桥口ip
10
场景四:单网桥三层环境
仅针对用户上外网时 旁路引擎工作模式可不配置静态 路由; 串接引擎工作模式必须配置静态 路由。 管理网康时,则两者全加静态路 由。
11
场景五:单网桥外部串接代理
• 单网桥模式 – 外部串接代理网络环境
场景五:内网用户通过一台串接代理服务器访问互联网,代理服务器Lan口地址 为192.168.0.2,对端核心交换机地址为192.168.0.254,代理端口为8080。
注意:VPN地址段不得与总部或分公司内网地址段相同。
35
场景十三:集团综合部署ICG-CM
ICG端配置VPN服务
36
谢谢!
37
– 为集中管理平台配置一个公网IP,或在出口路由设备上 配置地址映射; – 在集中管理平台【系统管理】—【网络配置】页面启用 VPN服务,并设定客户端地址段; – 在ICG端【系统管理】—【网络配置】页面启用VPN服 务,并设定集中管理端公网IP地址。
34
场景十三:集团综合部署ICG-CM
集中管理端配置VPN服务
27
场景十一:网关模式-多ISP链路备份
**静态路由配置步骤略。
28
场景十二:镜像模式
场景十二: 防火墙Lan口地址192.168.1.1,内部网络包含3个Vlan: Vlan100:192.168.10.0/24 Vlan200:192.168.20.0/24 Vlan300:192.168.30.0/24 ICG镜像旁路部署作上网行为审计用。
场景十二:镜像模式
• 步骤:
– 1.启用管理口,并从管理口登录设备;管理口地址可以 为内网任一Vlan的地址,如192.168.10.23; – 2.配置网桥地址为内网任一Vlan的地址,但必须与管理 口不同网段,如192.168.20.23; – 3.将内网口与已经配置完毕的交换机镜像口相连; – 4.切换镜像模式,并按需要备份当前配置数据; – 5.设置内网地址段为策略网段; – 6.如需控制Web访问行为,则需配置控制口,控制口地 址应与网关IP同网段,且不能与管理口、网桥口IP同网 段;
总部内网IP:192.168.1.0/24
总部ICG:192.168.1.23 总部集中管理平台:192.168.1.100
33
场景十三:集团综合部署ICG-CM
• 集团总部与各分公司间有专线或VPN线路连接,或 各分公司具备固定公网IP地址,则直接在集中管理 平台上添加各分公司的ICG设备; • 集团总部与各分公司间无专线或VPN线路连接,且 各分公司不具备固定公网IP地址,则需要启用集中 管理平台VPN功能,步骤:
6
场景二:单网桥二层环境B
ICG添加多ip目的:让192.168.1.0/24和192.168.2.0/24两个网段均能访问管理ICG。
7
场景三:单网桥二层环境C
• 单网桥模式 – 二层网络环境
Trunk链路
场景三:内网有3个Vlan(Vlan100:192.168.1.0/24、Vlan200:192.168.2.0/24 和Vlan300:192.168.3.0/24),防火墙和交换机之间为Trunk链路,防火墙LAN口 地址为192.168.1.1、192.168.2.1和192.168.3.1
22
场景九:网关模式-静态公网地址
• 静态公网地址
场景九: 用户通过电信分配的静态公网IP上网,公网IP为211.123.132.231,掩码为 255.255.255.248,网关为211.123.132.230,内网地址为192.168.1.0/24
23
场景九:网关模式-静态公网地址
**静态路由配置步骤略。
24
场景十:网关模式- ADSL拨号
• Adsl拨号
场景十: 用户通过电信Adsl拨号上网,账号为ad62670909,密码为4006783600,内网地 址为192.168.1.0/24
25
场景十:网关模式- ADSL拨号
**静态路由配置步骤略。
26
场景十一:网关模式-多ISP链路备份
• 多ISP链路备份
• 串接引擎工作模式
1.启用管理口,配置为内网任一Vlan的地址,并连接到核心交换机该Vlan的端口上; 2. 将网桥地址配置为Vlan1的广播地址,掩码调整为24位,缺省网关指向防火墙; 3.在ICG受限shell绑定防火墙和交换机的IP和MAC; 4.添加网桥接口静态路由; 5.添加管理口静态路由,指定DNS地址和升级服务器地址由管理口经交换机出站; 6.管理员通过管理口地址访问设备。
2
目录
•
•
旁路模式
场景十二:镜像模式
•
•
集团部署
场景十三:集团综合部署ICG-CM
3
场景一:单网桥二层wenku.baidu.com境A
• 单网桥模式 – 二层网络环境
1. Access链路
场景一:内网只有一个网段(192.168.1.0/24),防火墙和交换机之间为 Access链路,防火墙LAN口地址为192.168.1.1 客户要求:内网用户均能上网,且可管理ICG;下同。 注:防火墙可替换为路由器,全文通用。
14
场景六:单网桥外部单臂代理
注意:外部单 臂代理网络环 境,无需配置 静态路由。 如ICG上网也必 须通过代理服 务器,则需设 置“升级代理 配置”选项, 否则可能造成 ICG更新障碍。
15
场景七:网桥无可用桥口ip
• 特殊网络环境的部署 – 无可用IP分配给网桥
场景七:内网有3个Vlan Vlan100:192.168.10.0/24,网关192.168.10.1; Vlan200:192.168.20.0/24,网关192.168.20.1; Vlan300:192.168.30.0/24,网关192.168.30.1; 防火墙Lan口和对端核心交换机端口处于同一Vlan(Vlan1:192.168.1.0/30),防火 墙Lan口地址为192.168.1.1,对端交换机地址为192.168.1.2
不同网络环境 之部署配置
目录
•
• •
网桥模式
场景一:单网桥二层环境A 场景二:单网桥二层环境B
•
• • • • •
场景三:单网桥二层环境C
场景四:单网桥三层环境 场景五:单网桥外部串接代理 场景六:单网桥外部单臂代理 场景七:网桥无可用桥口ip 场景八:双网桥模式
•
• • •
网关模式
场景九:网关模式-静态公网地址 场景十:网关模式- ADSL拨号 场景十一:网关模式-多ISP链路备份
30
场景十二:镜像模式
31
场景十二:镜像模式
注意:控制口为可选配置,如用户仅需旁路审计,则可不启用控制口; ICG内网口与交换机镜像口相连;控制口、管理口均连接到对应的交换 机以太网口;管理员通过管理口登录设备管理界面。
32
场景十三:集团综合部署ICG-CM
场景十三:用户在北京、上海和广州 设立了分公司,希望通过总部对全公 司进行集中管理。
场景十一: 用户主要通过电信分配的静态公网IP上网,公网IP为211.123.132.231,掩码为 255.255.255.248,网关为211.123.132.230 ,另外还有一条Adsl拨号备份线路, 账号为ad62670909,密码为4006783600,内网地址为192.168.1.0/24
4
场景一:单网桥二层环境A
界面配置
5
场景二:单网桥二层环境B
• 单网桥模式 – 二层网络环境
场景二:内网有两个网段(192.168.1.0/24和192.168.2.0/24),防火墙和交 换机之间为Access链路,防火墙LAN口地址为192.168.1.1和192.168.2.1
(FireWall的LAN口有多Ip或子地址等)
19
场景七:网桥无可用桥口ip
20
场景八:双网桥模式
• 双网桥模式
场景八: 用户有2个独立的内部网络,线路一为192.168.1.0/24,网关192.168.1.1;线路二 为192.168.2.0/24,网关192.168.2.1;
21
场景八:双网桥模式
注意:需配置正确的静 态路由,以确保返回的 数据包被送往正确的交 换机,否则可能造成访 问障碍。
8
场景三:单网桥二层环境C
配置管理口,默认路由配置为走管理口。
9
场景四:单网桥三层环境
• 单网桥模式 – 三层网络环境
场景四:内网有3个Vlan(192.168.10.0/24、192.168.20.0/24和192.168.30.0/24), 防火墙Lan口和对端核心交换机端口处于同一Vlan(192.168.1.0/24),防火墙Lan口 地址为192.168.1.1,对端交换机地址为192.168.1.254
12
场景五:单网桥外部串接代理
• 除常规网络配置外,需开启“外部代理”并设置 相应代理端口。
注意:如ICG上网也必须通过代理服务器,则需设置“升级代理配置”选项, 否则可能造成ICG更新障碍。
13
场景六:单网桥外部单臂代理
• 单网桥模式 – 外部单臂代理网络环境
场景六:内网用户通过一台单臂部署的代 理服务器访问互联网,代理服务器地址为 192.168.100.100,对端交换机地址为 192.168.100.1,代理端口为8080。
16
场景七:网桥无可用桥口ip
• 旁路引擎工作模式
1.启用管理口,配置为内网任一Vlan的地址,并连接到核心交换机该Vlan的端口上; 2.添加管理口默认路由; 3.将网桥地址和默认网关配置为假地址; 4.管理员通过管理口地址访问设备。
17
场景七:网桥无可用桥口ip
18
场景七:网桥无可用桥口ip
10
场景四:单网桥三层环境
仅针对用户上外网时 旁路引擎工作模式可不配置静态 路由; 串接引擎工作模式必须配置静态 路由。 管理网康时,则两者全加静态路 由。
11
场景五:单网桥外部串接代理
• 单网桥模式 – 外部串接代理网络环境
场景五:内网用户通过一台串接代理服务器访问互联网,代理服务器Lan口地址 为192.168.0.2,对端核心交换机地址为192.168.0.254,代理端口为8080。
注意:VPN地址段不得与总部或分公司内网地址段相同。
35
场景十三:集团综合部署ICG-CM
ICG端配置VPN服务
36
谢谢!
37
– 为集中管理平台配置一个公网IP,或在出口路由设备上 配置地址映射; – 在集中管理平台【系统管理】—【网络配置】页面启用 VPN服务,并设定客户端地址段; – 在ICG端【系统管理】—【网络配置】页面启用VPN服 务,并设定集中管理端公网IP地址。
34
场景十三:集团综合部署ICG-CM
集中管理端配置VPN服务
27
场景十一:网关模式-多ISP链路备份
**静态路由配置步骤略。
28
场景十二:镜像模式
场景十二: 防火墙Lan口地址192.168.1.1,内部网络包含3个Vlan: Vlan100:192.168.10.0/24 Vlan200:192.168.20.0/24 Vlan300:192.168.30.0/24 ICG镜像旁路部署作上网行为审计用。