- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
11-域名访问配置举例
本章节下载: 11-域名访问配置举例 (701.84 KB)
目 录
本文档介绍了H3C SecPath GAP2000 域名访问的配置举例。
H3C SecPath GAP2000用于隔离网络数据交换。提供HTTP、HTTP PROXY、SMTP、POP3、FTP、ORACLE、SIP、RTSP等应用级检测通道。使用户可以在两边网络隔离的前提下,即底层TCP/IP协议彻底阻断的情况下,实现上述应用的互访。专用于解决医院、工商、税务、金融等行业隔离网络信息交换问题。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。本文档中所配置举例中,Host A到网闸内端口路由可达,网闸外端口到DNS、域名应用服务器路由可达。
本文假设您已了解H3C SecPath GAP2000特性。
如图1所示,Host A为允许访问server的终端。server是对内开放的服务器。部署网闸后,配置应用通道,使得Host A可以直接输入server的域名,来访问此域名应用。
· 调查这些应用访问时是否存在域名跳转。部分站点在访问子页面时会重定向到其他域名,这些重定向的域名也需要一同纳入配置范围。
· 将所有需要被访问的域名及其端口PORT统计全,设计通道映射列表。
· 如果多个域名应用使用到了相同端口,网闸源端侧需要申请多个监听IP,分别为不同的目标域名做映射。配置通道时,目标地址直接填写域名。
· 源端主机配置HOSTS文件,将域名指向网闸源端监听IP。
· 网闸目标侧(通常是外端机)的网络设置中,必须配置有效DNS,帮助通道解析目标域名。
· 源端访问时,在客户端的配置文件中,或者访问地址栏直接填写域名,访问这些域名应用。
本举例是在E6701版本上进行配置和验证的。
通过网闸内端机MAN管理口登录网闸,打开浏览器输入https://192.168.0.1,(MAN口为内端机专用管理口)
系统管理员默认账号:admin;默认密码:adminh3c
安全管理员默认账号:secrecy;默认密码:secrecyh3c
图2 内端机登录页面
点击“网络管理”>“IP地址管理”,选中GE0/0,点击“+”设置网闸内端系统的IP。
图3 设置内端系统IP
设置完后点“保存”退出。
图4 添加、保存内端IP设置
通过网闸外端机MAN管理口登录网闸,打开浏览器输入https://192.168.0.2,(MAN口为外端机专用管理口)
系统管理员默认账号:admin;默认密码:adminh3c
安全管理员默认账号:secrecy;默认密码:secrecyh3c
图5 外端机登录页面
点击“网络管理”>“IP地址管理”,选中GE0/0,点击“+”设置网闸外端系统的IP。
图6 设置外端系统IP
设置完后点“保存”退出。
图7 添加、保存外端IP设置
点击“网络管理”>“路由配置”设置外端机的路由,如下图。
图8 路由管理
点击“新增路由”按钮添加路由。注意“端机口”参数,由于网闸是多机体系,请注意所添加的路由是在哪一端系统上的。设置完毕后点“保存”退出。
图9 添加、保存外端路由
配置外端机DNS,点击<DNS配置>-<添加按钮>
图10 添加、保存外端DNS
该配置在内、外端系统的安全管理员secrecy下操作
添加TCP监听通道
图11 TCP监听通道配置界面
保存并启用TCP通道
图12 已保存的内端TCP通道
添加TCP连接通道
图13 TCP连接通道配置界面
保存并启用TCP连接通道
图14 已保存的外端TCP连接通道
根据上图组网案列,访问应用为www.baidu.com,应用及环境信息统计如下表所示
表1 信息表
|
应用 |
域名 |
端口 |
|
百度网站 |
www.baidu.com |
443 |
表2 内端外端机表
|
内端机 |
外端机 |
||
|
IP |
172.16.11.10/24 |
IP |
192.168.1.10/24 |
|
网关 |
172.16.11.1 |
网关 |
192.168.1.1 |
|
|
|
DNS |
114.114.114.114 |
表3 规划通道映射表
|
协议类型 |
监听IP |
监听端口 |
访问方向 |
目标IP |
目标端口 |
|
TCP |
172.16.11.10/24 |
443 |
内到外 |
www.baidu.com |
443 |
以windows为例,打开“C:\WINDOWS\system32\drivers\etc”以文本文档格式打开hosts。
图15 添加相应参数
通过Host A访问www.baidu.com,都可以成功访问服务。
图16 访问服务器页面
· 目的地址配置成网址只适用于tcp、http、ftp和邮件的两种协议。
· 如果源端有独立的DNS服务器,可以通过修改DNS,将域名指向网闸监听IP。这样可以省略3.4.6中源端主机HOSTS文件的修改。当访问源较多时,适用此方案。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
