- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-基本功能配置举例
本章节下载: 01-基本功能配置举例 (1.43 MB)
目 录
本文档介绍了H3C SecPath GAP2000的配置举例。
H3C SecPath GAP2000用于隔离网络数据交换。提供HTTP、HTTP PROXY、SMTP、POP3、FTP、ORACLE、SIP-28181、RTSP等应用级检测通道。使用户可以在两边网络隔离的前提下,即底层TCP/IP协议彻底阻断的情况下,实现上述应用的互访。专用于解决医院、工商、税务、金融等行业隔离网络信息交换问题。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。本文档中所配置举例中,NETA、HOSTB、NETC到网闸外端口路由可达,网闸内端口到ServerA和ServerB路由可达。
本文假设您已了解H3C SecPath GAP2000特性。
如图1所示,NETA、HOSTB、NETC代表外网允许访问的终端。ServerA和ServerB属于内网对外开放服务器。部署网闸后,配置2条应用通道,使得仅允许外网NETA、HOSTB、NETC可以访问到内网的这两台FTP服务器。
图1 H3C SecPath GAP2000基本功能配置举例组网图
· 首先统计过网闸的应用有哪些,在此测试环境中仅FTP应用
· 调查这些应用分别部署在哪些服务器上,在此环境上FTP服务部署在内网ServerA和ServerB上
· 将所有需要被访问服务器的IP以及服务端口PORT统计全,设计服务映射列表。 申请内外端需要的IP地址。在此测试环境中网闸外端分配2个IP分别为内网2台服务器做映射。
· 当应用存在使用动态端口的情况,添加业务通道时,需分配与应用数量相同的监听IP来防止端口冲突。OPC、SIP、ORACLE和此举例中的FTP均是如此。
表1 业务梳理:
|
访问源IP (源端发起访问的主机地址) |
监听地址 (连接客户端侧的网闸接口地址) |
连接地址 (连接服务器侧的网闸接口地址) |
目的地址 (FTP服务器IP) |
|
172.16.1.0/24 172.16.11.250 188.33.0.0/24 |
172.16.1.11 |
192.168.1.10 |
192.168.10.30 |
|
172.16.1.12 |
192.168.99.30 |
本举例是在H3C i-Ware Software, Version 3.1, ESS 6702P02版本进行配置和验证的。
通过网闸内端机MAN管理口登录网闸,打开浏览器输入https://192.168.0.1,(MAN口为内端机专用管理口)
系统管理员默认账号:admin;默认密码:adminh3c
安全管理员默认账号:secrecy;默认密码:secrecyh3c
图2 内端机登录界面
该配置在系统管理员admin下操作。
点击“网络管理”→“网卡绑定”,选择GE0/1和GE0/2。
图3 网卡绑定
点“+”后会弹出“工作模式”和“连接状态检测方式”选项框,如下图:
图4 添加网卡绑定
表2 工作模式
|
选项 |
描述 |
备注 |
|
主备 |
同一时间只有一个接口处于活动状态,当主接口掉线时,即处于LINK-DOWN状态时,另一个接口立即由备份状态转变为活动状态 |
主备模式下,对端设备需要将对接的2个网口设置在一个vlan或一个桥中,切勿配置端口聚合 |
|
负载均衡 |
同一汇聚组里所有接口同时处于活动状态,按会话数负载流量。该模式可扩展网络设备带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性 |
LACP模式下,对端设备需要配置端口聚合,且对端设备需配置动态LACP,不支持静态LACP聚合模式 |
|
LACP |
根据LACP协议与对端协商端口工作状态。LACP是基于IEEE802.3ad标准的一种实现链路动态汇聚的协议。 |
LACP模式下,对端设备需要配置聚合口,且对端交换机需配置动态模式,不支持静态LACP聚合模式 |
表3 连接状态检测方式表
|
选项 |
监测方式 |
备注 |
|
MII |
仅监测物理连接是否正常 |
|
|
ARP |
借助ARP响应机制,检测链路层是否可达 |
需要设置同网段其它设备的IP,通常设置网关IP HA环境下,bond口不能使用ARP探测方式 |
配置工作模式、连接状态监测方式完成后,点击“保存”后完成网卡绑定。
图5 完成网卡绑定
点击“网络管理”→“IP地址管理”,选中新增的绑定网卡,设置网闸内端系统的IP。
图6 设置网闸内端系统的IP
点击“+”,设置完后点“保存”退出。
图7 新建IP
图8 配置IP和掩码
点击“网络管理”>“路由配置”设置内端机的路由,如下图。
图9 路由管理
点击“新增路由”按钮添加路由。设置完毕后点“保存”退出。
图10 添加、保存内端路由
通过网闸外端机MAN管理口登录网闸,打开浏览器输入https://192.168.0.2,(MAN口为外端机专用管理口)
系统管理员默认账号:admin;默认密码:adminh3c
安全管理员默认账号:secrecy;默认密码:secrecyh3c
图11 外端机登录页面
点击“网络管理”>“IP地址管理”,选中GE0/0,点击“+”设置网闸外端系统的IP。
图12 设置外端系统IP
设置完后点“保存”退出。
图13 添加、保存外端IP设置
如果需要配置多个IP,可以继续添加,如下图:
图14 添加IP
点击“网络管理”>“路由配置”设置外端机的路由,如下图。
图15 路由管理
点击“新增路由”按钮添加路由。由于网闸是多机体系,请注意所添加的路由是在哪一端系统上的。设置完毕后点“保存”退出。
图16 添加、保存外端路由
网闸上只能配置一条默认路由。
该配置在内、外端系统的安全管理员secrecy下操作
针对需要开放的服务,配置网闸通道,点击“通道管理”,如下图:
图17 外端机系统-通道管理
点击“添加通道”
图18 添加通道
图19 设置ServerA监听通道参数1
表4 必填参数说明:
|
参数 |
说明 |
注意事项 |
|
通道ID |
由用户自定义一个1~2000的自然数,将两侧的监听通道和连接通道关联上,形成一条完整的转发规则。 |
内外端同一个应用的通道需要配置相同的ID。部分通道类型只有监听通道,没有连接通道。这类通道配置后,可能会导致两侧自增长的ID错位,后续通道保存前请谨慎核对。 |
|
类型 |
应用类型:配置应用时请选择对应协议类型 |
内外端同一个应用的协议类型必须一致 |
|
通道方向 |
监听通道指入口规则 连接通道指出口规则 |
本端靠近访问源,则选择监听通道 本端靠近访问目标,则选择连接通道 |
|
端口类型 |
选择单个端口或者多个端口 |
内外端同一个应用的端口类型必须一致 |
|
监听地址 |
映射IP和映射端口。监听地址是连接客户端侧的网闸接口地址。这2个参数用于入口规则监听通道上。当访问的请求,其目标IP、目标端口符合监听地址、监听端口时,受理其访问请求,转发到另一端上。 |
同一个监听IP和监听端口的组合只能对应一个服务 |
|
监听端口 |
表5 必填参数说明:
|
参数 |
说明 |
注意事项 |
|
通道ID |
由用户自定义一个1~2000的自然数,将两侧的监听通道和连接通道关联上,形成一条完整的转发规则。 |
内外端同一个应用的通道需要配置相同的ID。部分通道类型只有监听通道,没有连接通道。这类通道配置后,可能会导致两侧自增长的ID错位,后续通道保存前请谨慎核对。 |
|
类型 |
应用类型:配置应用时请选择对应协议类型 |
内外端同一个应用的协议类型必须一致 |
|
通道方向 |
监听通道指入口规则 连接通道指出口规则 |
靠近访问源,则选择监听通道 靠近访问目标,则选择连接通道 |
|
端口类型 |
选择单个端口或者多个端口 |
内外端同一个应用的端口类型必须一致 |
|
连接地址 |
出口地址即连接服务器侧的网闸接口地址,重新封装数据包时,会以此IP作为源地址发出。 |
选择连接IP,即选择出口地址。请确保出口地址到目标服务器路由可达。 |
|
目的地址 |
另一端实际服务器的IP地址 |
|
|
目的端口 |
另一端实际服务器的服务端口 |
|
图20 设置ServerA连接通道参数2
该通道的作用是,内网服务器Server A 192.168.10.30,其21端口的FTP服务映射到网闸外端172.16.1.11的21端口上。当外网的用户访问ftp://172.16.1.11时,网闸会将请求摆渡到内网。随后以192.168.1.10这个连接IP作为源地址,192.168.10.30作为目标地址重新封装数据包,发送给Server A。
图21 设置ServerB监听通道参数1
图22 设置ServerB连接通道参数2
如果监听通道不需要挂载策略,直接点击保存并启用即可,或保存后手动启用,如下图:
图23 启用通道
网闸默认不主动释放连接,若有业务存在客户端不释放连接的情况,需根据业务情况配置通道空闲超时时间,在连接无数据传输时,网闸主动释放连接。否则会导致连接不释放占用系统并发连接,影响业务使用。
该配置在安全管理员secrecy下操作
每条端口类型的通道都可以对访问源IP进行限制。或者根据所选通道类型对相应内容进行过滤。这些都需要通过配置策略和挂载策略来实现。
点击“策略管理”→“客户端地址”配置源地址限制,如下图:
图24 策略-客户端地址
点击“策略管理”中的“新增”添加策略集,如下图:
图25 新增策略集
策略集有两种过滤类型,分别是“白名单”和“黑名单”,设置完后点“保存”退出。
图26 配置、保存策略集
每个策略集可以容纳多条策略,点击策略中的“新增”,设置具体策略,如下图:
图27 新增策略
图28 保存策略
按照测试环境要求,创建了一个“客户端地址”白名单策略集,其中包含网段172.16.1.0/24、188.33.0.0/24,以及终端172.16.11.250/32,如下图:
图29 策略集-允许访问源1
将策略集挂载到通道上。停用通道后,编辑通道,如下图:
图30 策略集挂载通道
选择需要挂载的策略集,在此测试环境中,仅“允许访问源1”中的三条策略对象访问此通道,即通过网闸访问内网Server A的FTP服务,Server B的FTP通道配置类似。保存后启用通道。
使用Host A、Net B、Net C分别访问FTP应用时,就需要访问网闸的监听172.16.1.11和172.16.1.12,来实现FTP应用的访问。
图31 访问监听地址172.16.1.11来访问FTP应用
图32 172.16.1.11界面
图33 访问监听地址172.16.1.12来访问FTP应用
图34 172.16.1.12界面
应用都能正常访问。
通过其它访问源访问ftp://172.16.1.11和ftp://172.16.1.12。
图35 其它访问源访问ftp://172.16.1.11
图36 其它访问源访问ftp://172.16.1.12
通过其它访问源,应用都无法正常访问。
不同于普通路由交换设备。网闸连通性不能用单纯的ping或telnet来测试连通性。由于网闸摆渡的仅仅是应用层数据,所以只能通过应用来测试。网闸配置完后需要根据不同的业务来进行测试和验证其连通性。
数据库访问通道配置需要注意若数据库侧部署为集群部署或者负载均衡部署模式,需要将实地址和虚地址均配置到网闸上,且需要使用透明映射的方式(监听地址与目的地址配置一致,客户端需要配置到网闸监听地址的路由)配置通道。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
