内部资料
注意保密
电脑单网卡双IP双网关处理方式
拟制:张国强日期:2011年5月13日
审核:日期:
批准:日期:
北京佳讯飞鸿电气股份有限公司
本文档是佳讯飞鸿电气股份有限公司的机密文档,文档的版权属于佳讯飞鸿电气股份有限公司任何使用、复制、公开此文档的行为都必须经过佳讯飞鸿电气股份有限公司的书面允许
电脑双IP双网关处理方式
前言:
本方式适用windows xp系统、sever2003系统及其以前操作系统。Win7版本系统不稳定。
1、描述:
一台XP操作系统电脑,配置单网卡,连接在办公网的二层交换机上,二层交换机分别连接着专用网络,办公网络;办公网上级网络配置路由器,防火墙,对外上互联网;专网主要用于办公,访问视频软件,对各个下属单位下发文件等。专网IP规划为192.168.x.x网段,本地网关为192.168.x.254;办公网络为172.16.24.x;
单网卡时,单独配置办公网的IP网管及DNS时,能正常访问网络及办公,单独设置专网的IP时也正常访问专网网络,但是在网络高级添加中设置双网络时,这两个网络无法同时使用。
2、问题判断:
在DOS系统下跟踪路由,发现数据包无法正常发送到高级配置的第二个网关上。
3、问题处理方法:
以沪昆南昌公司为例举例说明:
(1)、IP规划情况
专网IP规划:
IP: 192.168.xx.xx
掩码:255.255.255.0
网关:192.168.xx.254
办公网IP规划:
IP: 10.5.14.xx
掩码:255.255.255.128
网关:10.74.49.1
DNS:202.101.74.68
网络结构图如下所示:
视频服务器
IP:192.168.XX.XX
Gateway:192.168.xx.254
(2)单网卡实现双网络的实现方法
1)、打开网络连接→本地连接→属性→TCP/IP协议→属性,进入IP设置页面,选择“使用下面IP地址”,配置规划的IP(一般配
置为办公网络规划的IP地址),配置完成界面如下所示。
2)、点击属性框中高级进入高级TCP/IP设置页面,点击添加,输入规划的IP地址(配置为专网规划IP地址及掩码),配置完成界面如下:
3)、如果第二网络有DNS,则需要高级TCP/IP设置中,点击DNS项,点击添加,添加DNS服务器地址,配置页面如下所示
4)配置电脑静态路由,点击电脑开始→运行,对话框中输入“CMD”,点击“确认”,进入DOS进程中。界面如下:
在DOS操作命令行提示符中输入:
route -p add 192.168.0.0 mask 255.255.0.0 192.168.11.254
然后回车确认(解释:route是静态路由命令;-P表示永久添加在注册表中;add表示添加;delete表示删除;192.168.0.0表示目标地址192.168.X.X网段所有数据包;mask255.255.0.0表示子网掩码,子网掩码处理要和目标地址一致;192.168.11.254表示目标地址数据包发送的网关)。具体操作界面如下:
添加静态路由完成后,输入route print 后回车,查看本机路由表。如下图所示:
添加路由前电脑路由列表
添加静态路由后路由情况表
(红框中为添加数据)
5)查看路由列表中有新添加路由信息后,重新启动电脑,确认添加信息成功,测试本机内外网功能即可。
注:在使用自动IP的办公终端时,办公网必须全网做IP规划,否则会有电脑ip冲突(或者在设置固定IP时尽量设置在最大的那部分)。
双网卡上网;网络带宽叠加。 前言: 越来越多的用户拥有双网卡,可是默认情况下只能使用一张网卡上internet网,我们应该如何设置才能把多网卡利用起来,达到尽其物用其材!以下方法适合2张及2张以上网卡。当然这里的双网卡可包含任意的两张及两张网卡以上,如100MB以太网+宽带拔号网卡;双100MB以太网卡;100MB以太网卡+54MB无线网卡等任意组合。 实例一:网卡A上internet网,网卡B上内部网络。 两张自适应1000\100\10MB,网卡A+网卡B,网卡A接宽带路由器,网卡B接局域网设备(router\switch)。 网卡A地址:192.168.11.222 mask 255.255.255.0 gateway 192.168.11.1 网卡B地址:192.168.1.111 mask 255.255.255.0 gateway 192.168.1.1 接上网线后,进入系统,打开“开始”-“运行”输入CMD ,此时打开了命令行窗口。 输入以下命令:(注:每行输完按回车键,每次开机都需要手动输入;您也可以写bat文件每次开机自动运行) route add 192.168.1.0 mask 255.255.255.0 192.168.1.1 route delete 0.0.0.0 route add 0.0.0.0 mask 0.0.0.0 192.168.11.1 当然,如果您不想麻烦,您也可以让命令永久生效,在add前面加个“-p” 格式如下。route -p add 192.168.1.0..... 实例二:网卡A+网卡B,网卡A接宽带modem,需要拔号上网,网卡B接局域网设备。网卡A地址:动态拔号。 网卡B地址:192.168.1.111 mask 255.255.255.0 gateway 192.168.1.1 系统默认情况下将是以拔号为主网络,即当你拔号后,你是无法通过网卡B去访问局域网的。所以这里需要 输入一条命令即可实现: route add 192.168.1.0 mask 255.255.255.0 192.168.1.1 以上两实例均实现了既可上带宽又可访问局域网网络。 ------------------------------ 实例三:双网卡共享上网,让其它PC\notebook都能上网。 网卡A:192.168.11.222 无线网卡B:空闲 目的是让朋友的notebook能通过我的电脑上internet网。 1、共享网卡A,将外网卡设置为"允许网络用户通过我的连接上internet网".在你的外网卡的属性--高级那里.打勾.此时你的内网卡将会被重置为192.168.0.1 255.255.255.0 您如果不想这个IP为内网,可以手动改变.这样所有的PC接到你的内网卡的网络上就可以共享你的外网网络。
FC-6804/08HV 免域名DVR远程设置指导 一、首先进入录像机的:主菜单-》系统设置-》网络设置,把IP地址,子网掩码,默认网关,首选DNS,TCP端口,HTTP端口,根据网络要求进行设置。 IP地址:给录像机分配的一个独立的内网IP地址,用户可根据情况来分配; 子网掩码:255.255.255.0 大部分都是这个,一般不用改 网关:是指路由器的IP地址,TPLINK的是192.168.1.1,DLINK的是192.168.0.1 首选DNS:这个是当地的DNS服务器的地址,在路由器上可以查到 TCP端口:录像机的通信端口,默认是34567 HTTP端口:是指网页端口,这里建议改成81,因为80中国已经封了
二、.在系统设置--》网络服务---》UPNP 中把录像机的UPNP功能打开,
三、在系统设置--》网络服务---》ARSP中,按下面的要求,把服务器地址,用户名,密码,输入到录像机中,此处的用户名和密码,由供应商负责分配给用户,如没有可联系供应商。 服务器地址:https://www.doczj.com/doc/ef12580192.html, 这个是固定的域名,必须使用这个 端口:15000 这是系统默认,不要修改 用户名:这是供应商分配的用户名 密码:供应商分配的密码
四、再进入路由器中(以TPLINK路由器为例)-->转发规则--》UPNP设置中,把UPNP功能启用,这样设置就完成了。
五、在IE的地址栏里,输入:https://www.doczj.com/doc/ef12580192.html,:8080,即可出现登录的界面,在此处,输入我们提供的用户名和密码,就可以看到你的DVR!第一次使用的话,必须把下角的:下载WEB控件,下载下来,然后进行安装,否则是不能用的
●版权声明 Copyright ? 2006-2011 网御神州科技(北京)有限公司(“网御神州”)版权所有,侵权必究。 未经网御神州书面同意,任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。 ●文档信息 ●版本变更记录
目录 1产品概述 (5) 2产品功能说明 (7) 2.1SSL 应用发布 (7) 2.1.1B/S软件的应用 (7) 2.1.2企业站点的应用 (7) 2.1.3单点登录功能(SSO) (8) 2.1.4C/S应用发布 (8) 2.1.5TCP端口应用 (10) 2.1.6SSL 隧道模式 (10) 2.2LAN TO LAN 的解决方案 (11) 2.3远程用户安全性检查 (11) 2.4远程用户访问认证 (12) 2.5用户访问策略 (12) 2.6日志审计功能 (12) 2.7防火墙功能 (13) 2.8支持动态IP接入 (13) 2.9完美的个性化定制 (14) 3产品技术优势 (14) 3.1将C/S应用转成B/S访问 (14)
3.2Web应用功能 (15) 3.3访问的安全性 (15) 3.4稳定性及高可用性 (17) 3.5低带宽运行特性 (17) 3.6部署灵活,维护简单 (18) 4典型应用 (18)
1产品概述 网御神州作为国家密码管理局批准的商用密码产品生产定点单位和销售许可单位,推出了自主研发的网神SecSSL 3600 安全接入网关(简称:“网神SSL VPN”)产品。该系列VPN安全网关采用国家密码管理局指定的加密算法,,基于成熟可靠的专用硬件平台,在保证数据通信安全的同时提供了高性能的访问控制能力,可以有效实现数据传输的安全、用户接入的安全和对内网资源的访问安全。该级别VPN产品已广泛应用于各类小型企业、大型企业/单位分支机构。 网神SSL VPN产品是以国际标准SSL协议为基础的、自主研发的、专为企业定制的、基于应用层设计的远程接入产品,网神SSL VPN为企业远程接入提供了最好的解决方案,它使传统的VPN 解决方案得到了升华,能让用户无论在世界的任何地方,只要使用浏览器就能够访问到公司总部的资源,如WINDOWS、LIUIX、UNIX等系统的商业文件和应用程序,而不需要安装任何客户端软件,网神SSL VPN可以集中管理企业内部的应用布置,配置细粒度的访问策略,可以更安全地实现权限控制,可以让不同级别的用户使用不同的应用。 网神SSL VPN 的C/S转B/S功能,让用户能够远程安全使用企业的ERP系统,而无需安全客户端软件,Web代理技术可以让用户访问企业内部的OA,网站或邮件系统,SSO 功能让用户能够安全而方便地使用企业内部资源,从而实现了统一应用,统一管理,网御神州加密的SSL协议可以保护通过因特网的信息、交易、和电子商务的安全,SSL 防止直接的网络连接,与IPSec VPN不同,
网关访问监控配置方法 QQ: 602438628 6/29/2011 原理 1.通过iptables的LOG功能打印日志 2.通过syslog记录iptables日志 3.通过logrotate以及contab进行日志回滚以及日志处理 方案所需文件请看附件。 部署步骤: 1)请更新sysklogd至最新版本。 # yum install sysklogd 2)把附件的脚本存放于下面位置 /usr/local/bin/gen_forward_report.sh /usr/local/bin/ip_log_fm.py /usr/local/bin/rotate_gateway_forward_log /etc/logrotate.d/kern.debug 确认文件权限正确 # chmod 755 /usr/local/bin/gen_forward_report.sh # chmod 755 /usr/local/bin/ip_log_fm.py # chmod 755 /usr/local/bin/rotate_gateway_forward_log # chmod 644 /etc/logrotate.d/kern.debug 3)编辑/etc/syslog.conf 追加内容如下 # use for forward audit kern.debug /var/log/kern.debug 初始化kern.debug文件 # touch /var/log/kern.debug
4)编辑计划任务 # crontab -e 追加内容如下 58 * * * * /usr/local/bin/gen_forward_report.sh 2 0 * * * /usr/local/bin/rotate_gateway_forward_log 5)重启syslog使配置生效 # service syslog restart 6)插入iptables规则并保存 # iptables -I FORWARD -p tcp -m state --state NEW -j LOG --log-level DEBUG # iptables -I FORWARD -p udp -m state --state NEW -j LOG --log-level DEBUG # service iptables save 配置完毕,请观察/var/log/ 下文件,查看配置是否生效。 关键点: 1)确保syslog 及iptable为启动状态,可以通过以下命令分别启动syslog及iptable. service syslog start service iptables start 启动该项服务。 2) iptables中的规则,确保有以下2条, # iptables -I FORWARD -p tcp -m state --state NEW -j LOG --log-level DEBUG # iptables -I FORWARD -p udp -m state --state NEW -j LOG --log-level DEBUG 可以通过命令iptables –L –n查看 3)logrotate 功能解析:logrotate服务器默认每天04:00-04:03期间对日志进行回滚处理,此监控系统中/etc/logrotate.d/kern.debug 如下配置: /var/log/kern.debug { size 600M daily rotate 1 } 设置后的结果: 系统将在每天04:00-04:03检查/var/log/kern.debug是否大于等于600M,如大于600M则压缩备份为kern.debug.1,同时新建kern.debug,由于rotate1即只保留一个备份,所以当第二次生成压缩备份时,将覆盖之前的kern.debug.1。
海康威视自带域域名录像机远程监控设置方法 DS-7800SH 系列海康DDNS 配置和设备访问 适用型号:DS-7800SH 系列 网络环境:通过路由器拨号模式 1 设备配置 第一步:DVR 的相关设置,确认以下几点是否全部填写
第二步:端口映射(以下提供两种配置方法,两种选择一种就可以了) 1、UPnP自动端口映射 说明: 该设置有一个要求,需要路由器支持UPnP这个功能,所以请先确认自己使用 的路由器是否支持该功能,如果支持UPnP的,可以参考以下设置,如果不支 持UPnP的请严格按照第2点中的端口映射来操作。 操作步骤如下: 登陆路由器配置界面,开启UPnP功能
进入设备本地配置界面,启用UPnP 刷新端口,看状态显示为“生效”即可。 2、路由器端口映射 登陆路由器的配置界面,找到虚拟服务器(或者是端口映射),映射端口(设备默认80、8000、554三个端口,可在设备上修改,三个端口必须同时映射,缺一不可)
如果在同一台路由器上有多台监控设备,请使用端口号来区分,不能重复使用端口。 第三步:配置自定义域名 1、快捷配置 点击鼠标右键,选择快捷配置->快捷上网配置
勾选启用DDNS,设置设备域名(自定义,只支持小写字母、数字以及“—”且必须以小写字母开头,必填),手机号码(后续增值服务使用,必填)。当设备状态显示在线时可以使用自动生成的访问地址来访问设备。
注意:配置海康DDNS前,需保证设备正常接入公网。 注意: 1.如果设备通过路由器接入公网,需要开启路由器的UPnP功能并配置设备的UPnP参数或者在路由器上做端口映射。 2.如果配置失败,可能原因是网络不通或者域名冲突,请先检查网络,若网络正常则尝试修改其他域名。 2 设备访问 打开IE浏览器,在地址栏直接输入https://www.doczj.com/doc/ef12580192.html,/自定义域名,例如配置了设备域名为test12345,则直接输入
海康威视录像机远程监控设置方法 DS-7800SH 系列海康DDNS 配置和设备访问 适用型号:DS-7800SH 系列 网络环境:通过路由器拨号模式 1 设备配置 第一步:DVR 的相关设置,确认以下几点是否全部填写
第二步:端口映射(以下提供两种配置方法,两种选择一种就可以了) 1、UPnP自动端口映射 说明: 该设置有一个要求,需要路由器支持UPnP这个功能,所以请先确认自己使用的路由器是否支持该功能,如果支持UPnP的,可以参考以下设置,如果不支持UPnP的请严格按照第2点中的端口映射来操作。 操作步骤如下: 登陆路由器配置界面,开启UPnP功能
进入设备本地配置界面,启用UPnP 刷新端口,看状态显示为“生效”即可。 2、路由器端口映射 登陆路由器的配置界面,找到虚拟服务器(或者是端口映射),映射端口(设备默认80、8000、554三个端口,可在设备上修改,三个端口必须同时映射,缺一不可)
如果在同一台路由器上有多台监控设备,请使用端口号来区分,不能重复使用端口。 第三步:配置自定义域名 1、快捷配置 点击鼠标右键,选择快捷配置->快捷上网配置
勾选启用DDNS,设置设备域名(自定义,只支持小写字母、数字以及“—”且必须以小写字母开头,必填),手机号码(后续增值服务使用,必填)。当设备状态显示在线时可以使用自动生成的访问地址来访问设备。
注意:配置海康DDNS前,需保证设备正常接入公网。 注意: 1.如果设备通过路由器接入公网,需要开启路由器的UPnP功能并配置设备的UPnP参数或者在路由器上做端口映射。 2.如果配置失败,可能原因是网络不通或者域名冲突,请先检查网络,若网络正常则尝试修改其他域名。 2 设备访问 打开IE浏览器,在地址栏直接输入https://www.doczj.com/doc/ef12580192.html,/自定义域名,例如配置了设备域名为test12345,则直接输入
网神设置指南 1. 资料准备 需从备件中找齐网神资料,主要有:《第一次使用注意须知》、《装箱单》、光盘和USBKey。其中,《第一次使用注意须知》有《网神信息安全产品Licence信息申请表》,须参考《装箱单》中商品编号和出厂编号填入申请表内,发送到指定邮箱以获取许可号。 2. 网神设置 2.1. 主机设置 将本机IP设置为10.50.10.44,子网掩码为255.255.255.0。将光盘中的Admin Cert文件夹打开,安装,双击SecGateAdmin程序安装许可证,安装过程中需要输入密码,默认密码为123456。安装结束后将网线连接网神网口FEGE1,通过浏览器连接(注意,IE和goole chrome浏览器都可能会阻止连接,可使用360浏览器)。在IE地址栏中敲入:https://10.50.10.45:8889 进行登入,默认密码为:firewall。即可进入网神设置画面。 2.2. 防火墙设置 2.2.1. 导入许可证 初次进入防火墙设置界面需要将网神公司发来的许可License导入,才可以对其设置。具体方法为:点击系统配置升级许可导入许可证,点击“浏览”,将网神发来的许可证导入即可。如下图:
2.2.2. 网络接口 对需要设置透明桥的网口设置成混合模式,具体方法如下:点击网络配置网络接口点击右边“操作”将“工作模式”选择为“混合”点击“保存配置”。 2.2. 3. 透明桥设置 须将一、二区连接的网口设置成透明桥,如需将网口2和网口3设置成透明桥,设置如下:点击“网络设置”透明桥点击“添加”将需要连接的网口添加到右边点击确定点击“启动透明桥监控”点击确定点击“保存配置”。
广义上的“网关”指一个网络连接到另一个网络的“接口”,比如一个企业的内部网与外部互联网相连结,就需要一个网关加以管理和控制.它是一种复杂的网络连接设备,可以支持不同协议之间的转换,实现不同协议网络之间的互连. 而所谓的无线网关,是指集成有简单路由功能的无线AP.从某种意义上来说,无线网关方案与宽带路由器方案完全相同;即是说无线网关通过不同设置可完成无线网桥和无线路由器的功能,也可以直接连接外部网络,如WAN,同时实现AP功能. 一、产品选择 目前市面上无线网关产品,种类还是很多的.总的说来,市场中的产品都具有小巧、便携、多功能、实用等特点.而且有些产品在产品设计上也充分考虑了用户的需要. 有的产品背后设有挂孔,可以很方便地挂在墙上.作为接收端设备操作,可以将XBOX、PS2、机顶盒、笔记本电脑和网络打印机等设备连接到已有的无线网络上.有些产品有接口连接打印机,可以变成打印机无线服务器.还有些产品支持摄像头,可以成为无线监控设备.具体采购的时候,就要根据自己的需求来选择. 下面通过一款具体的产品来详细认识无线网关. SMC 无线网关SMCWTVG 产品名称:SMC 无线网关SMCWTVG 产品简介:拥有无线AP、VoIP功能,支持无线AP、无线客户端或者无线桥接三种模式,内置一个WAN端口、一个LAN端口、两个RJ-11的电话界面接孔,并且支持802.11b/g无线网络连接功能.在无线网络方面的收讯能力方面,因为SMCWTVG没有外接天线,采用的是隐藏式无线天线,所以收讯范围并不广. 提示:VoIP,Voice over Internet Protocol,俗称IP电话,或者网络IP电话,是利用互联网实现语音通信的一种先进通信手段,是基于IP网络的语音传输技术. 二、产品配置 通过前面的介绍,其实大家应该明白,无线网关本身就是一台IP共享器,内置PPPoE自动拨号,及DHCP功能,可提供无线及有线连接功能;因此其配置与无线路由器并无太大区别,
联系编辑删除 海康硬盘录像机远程监控方法(外网)以及路由器设置 外网访问的几种方法: 1.公网静态IP接入 如果您可以联系电信或者网通运营商提供静态的公网IP那么只需要将相关的网络IP,掩码,网关参数填写进然后重新启动设备,就可以通过客户端软件或者IE输入IP来实现对于设备的远程访问了. 2.pppoe 接入 DVS支持PPPOE自动拨号的功能可以连接Modem进行ADSL拨号获取公网IP地址进行访问,方法是:一:将设备ip 、掩码、网关均设置为0.0.0.0 二:开启PPPOE 输入ADSL拨号的用户名密码然后重起机器。 三:设备重起后等待一段时间那么会在IP地址处显示拨号获得的IP地址,然后通过拨号的公网IP地址进
但是通过这种方式获得的ip 地址是动态的,那么会给用户访问时造成困扰,IP总是会改变。 一种解决的方法是,在一台具有公网静态IP地址的电脑上运行我们公司提供的IPSERVER软件,将电脑IP地址填DNS地址处,这时就可以在IPSERVER软件中发现这台DVR的IP地址,产品序列号等,通过客户端软件进行访问,册模式选择为“私有域名解析”
通过这种域名解析的方式,来访问设备;然而用户使用比较多的方式还是第三种方式,请看3。 3.路由器方式接入。 DVS/DVR连接路由器,设置DVS ip地址、掩码、网关(设置为路由器内网IP )与硬盘录像机在一个网段,路号或者
别的方式获得公网IP在路由器中做端口映射,路由器如果是动态IP可以通过路由器的DDNS功能来绑定域名,通件或者 IE直接输入域名的方式来访问。
以上方式均为设备接入外网的方式,至于访问方式可以通过两种方式来进行访问: 一:通过IE 输入设备的IP地址或者域名(不管是局域网还是内网),只要知道设备IP地址或域名,并且通过查看网络连接正常,那么都可以在IE 地址处输入设备IP地址域名访问,只是第一次通过IE访问时需要从DVR/个控件,请减低您IE的安全级别,控件顺利安装后,就可以进入登陆界面输入DVR/DRS用户名密码(出厂为a 访问了。 二:通过客户端访问,请先在配置的中间的白色区域上点击右键创建一个区域,再单击区域名称,选择添加设备
双线路双网卡双网关如何设置 经常遇到一台计算机要同时访问两个网络(一个是互联网,一个是企业内部网)的要求 以本单位为例:地址是虚构的^_^ 机器有两块网卡,接到两台交换机上 internet地址:218.22.123.123,子网掩码:255.255.255.0,网关:218.22.123.254 企业内部网地址:10.128.123.123,子网掩码:255.255.255.0,网关:10.128.123.254 如果按正常的设置方法设置每块网卡的ip地址和网关,再cmd下使用route print查看时会看到 Network Destination Netmask Gateway Interface Metric 0.0.0.0 0.0.0.0 218.22.123.254 218.22.123.123 20 0.0.0.0 0.0.0.0 10.128.123.254 10.128.123.123 1 即指向0.0.0.0的有两个网关,这样就会出现路由冲突,两个网络都不能访问。要实现同时访问两个网络就要用到route命令 第一步:route delete 0.0.0.0 "删除所有0.0.0.0的路由" 第二步:route add 0.0.0.0 mask 0.0.0.0 218.22.123.254 "添加0.0.0.0网络路由" 第三步:route add 10.0.0.0 mask 255.0.0.0 10.128.123.254 "添加10.0.0.0网络路由" 这时就可以同时访问两个网络了,但碰到一个问题,使用上述命令添加的路由在系统重新启动后会自动丢失,怎样保存现有的路由表呢? 在win2000 下可以使用route add -p 添加静态路由,即重启后,路由不会丢失。注意使用前要在tcp/ip设置里去掉接在企业内部网的网卡的网关 在win98下没有-p 参数,可以把以上命令存入到一个.bat文件中,然后在启动时调用即可 =============================================== WINDOWS系统下双网卡设置路由 本文主要涉及到静态路由。 二、WINDOWS系统下设置路由
VRRP的演示试验 fw1 fw2 pc1pc2 172.16.30.2 172.16.30.3 172.16.30.4 fe2 fe2 fe3 fe3 fe4 fe4 192.168.1.3 192.168.1.4 192.168.1.2 1.1.1.1 1.1.1.2 172.16.30.1192.168.1.1 链路1 链路2 拓扑说明:PC1通过HUB连接到fw1和fw2(172.16.30.1这个地址是虚拟IP,下面将会在配置防火墙的过程中讲到),PC2也是通过HUB连接到fw1和fw2。 实验要求:PC1和PC2能够互相ping通,当链路1或者链路2断开时,照样可以互相PING,并且可以在两个防火墙上抓包分析,ICMP包是通过哪个防火墙。 实验步骤: 我们设fw1为主墙,下面我们首先为主墙进行配置。 1、配置IP
2、配置安全规则 P1这条规则允许双向同步secgate_ha_conf服务,必须加的。其中P2这条规则是允许VRRP组播报告,可加可不加,不会影响实验过程。 P3、P4两个包过滤想必不说也应该清楚吧。 3、HA基本配置 同步网口为fe4,同步IP为1.1.1.1,主墙一定要设置为控制节点。
注意实例名称和VRID和备墙一一对应起来。
把两个接口关联起来点启启动。 下面我们再来配置下备墙。 1、配置IP 2、HA基本配置 需要手动同步的话可以在从安全网关那输入网关地址1.1.1.1,然后点击同步所有配置,这样就能实现手动同步。 注:同步完后需重启备墙才能生效,备墙不能选择为控制节点。 3、添加VRRP实例
4、添加VRRP关联 添加完后点击启动
双网卡上网的设置方法 一台电脑装有两个网卡,同时开启网卡分别连接不同网段的网络,我们希望当访问不同的网段时,能自动从相应的网卡发送接收数据,但是默认情况下会有路由冲突。 通过ipconfig /all命令能看到两个网卡的mac地址、ip地址、网关等信息 电脑里也存在着路由表,通过DOS下使用命令route print可以看到路由表里的相关信息
Interface List 接口列表:包括环回口、物理网口、虚拟网口的信息。 0x1 0x2 0x10004是接口索引号后面跟mac地址、网卡名称 Active Routes 活动路由通过自动学习到的路由信息。 Network Destination Netmask Gateway Interface Metric 目的网络子网掩码下一跳地址(网关)出口地址度量值(越小 优先级越 高)Default Gateway 默认网关 因此,当两个网卡同时启用且不在同一网段时,如果設置有网关,则路由表里会有两条度量值一样的默认路由,0.0.0.0 0.0.0.0 172.17.128.2 0.0.0.0 0.0.0.0 192.17.18.2 且只能存在一个默认网关,这样会造成路由冲突。 Persistent Routes 固定路由:route –p add 与add 命令共同使用时,指定路由被添加到注册表并在启动TCP/IP 协议的时候初始化IP 路由表。默认情况下,启动TCP/IP 协议时不会保存添加的路由。与print 命令一起使用时,则显示永久路由列表。所有其它的命令都忽略此参数。永久路由存储在注册表中的位置是 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Persi stentRoutes。 Route命令详解 route [-f] [-p] [Command [Destination] [mask Netmask] [Gateway] [metric Metric]] [if Interface]] route add目的网络号mask目的网络的子网掩码本地网关metric 20 if 网卡标识符 Route -f 清除所有不是主路由(网掩码为255.255.255.255 的路由)、环回网络路由(目标为127.0.0.0,网掩码为255.255.255.0的路由)或组播路由(目标为224.0.0.0,网掩码为240.0.0.0 的路由)的条目的路由表。 route add 添加路由metric参数缺省为1 route change 更改现存路由 route delete 删除路由 route print 显示全部路由 如果是print 或delete 命令,可以忽略Gateway 参数,并且可以使用通配符来表示目的网络和网关。
D9004/D9008/D9216硬盘录像机网络设置详细步骤 硬盘录像机网络设置 一.点击电脑左下方的→→→输入:ipconfig /all (这一步主要是通过电脑获取网络参数,为接下来硬盘录像机网络设置提供网络参数) 注释: IP Address(IP地址):192.168.1.8←这个IP地址是电脑的IP地址,录像机IP请设为 192.168.1.XXX(XXX取值范围2~254,但不能设置为 8,否则录像机IP会和电脑IP冲突,导致硬盘录像机无 法网络远程登录)。在这里我们硬盘录像机的IP地址是 用:192.168.1.100(硬盘录像机出厂默认设置)Subnet Mask(子网掩码):255.255.255.0 ←录像机的子网掩码和这个设置一样。 Default Gateway(网关): 192.168.1.1 ←录像机的网关和这个参数一样。 DNS Servers(DNS):202.96.128.68 ←录像机的DNS和这个参数一样。 202.96.128.166 ←这个是备用DNS可以设也可以不设。 有时候这里的DNS不是正确的。如不确定,请通过IE浏览器输入网关, 登进路由器,在运行状态里进行查看正确的DNS。
二.打开硬盘录像机,进入“主菜单”——>“网络设置”。选取联网方式,一般都选择手动配置。客户端端口号(也称媒体端口号)和WEB端口号可以根据自己需求进行设置,这里设置是9000和80。IP地址、子网掩码、网关和DNS根据硬盘录像机所在局域网实际情况进行设置。(具体设置请参考第一步骤)设置好后点击确定。 注释联网方式: 1.采用手动配置方式(因稳定性和调试方便的原因,推荐采用这种方式),需要网络营运商配的猫支持共享拨号上网(一般都支持共享拨号上网),如果配的猫不支持共享上网,可自行购买 一个带路由功能的MODEM接在猫下边,再接硬盘录像机。 2.采用PPPOE方式,需要输入网络营运商提供宽带的账号和密码。采用这种方式连接网络需要点时间,连接时候请稍微等待一下。 3.采用DHCP方式,也就是自动获取局域网IP,如果自动获取的IP改变了,请及时去路由器里的虚拟服务器把IP也更新一下。 硬盘录像机动态域名设置 三.点击DDNS设置,启用DDNS,服务器地址选择3322,然后将之前在https://www.doczj.com/doc/ef12580192.html, 申请的动态域名、用户名和密码分别输入。【具体动态域名申请请参考《域名注册详细步骤》】主机名:https://www.doczj.com/doc/ef12580192.html, (之前去https://www.doczj.com/doc/ef12580192.html,新建的动态域名) 用户名:testrraysharp (之前去https://www.doczj.com/doc/ef12580192.html,申请账号的用户名) 密码:670632 (之前去https://www.doczj.com/doc/ef12580192.html,申请账号的密码) 四.设置好后点确定进行保存,退出所有菜单界面,会提示重启硬盘录像机使设置生效。
网神工业控制安全网关系统 产品白皮书 ?2019奇安信集团■版权声明 奇安信集团及其关联公司对其发行的或与合作伙伴共同发行的产品享有版权,本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程描述等内容,除另有特别注明外,所有版权均属奇安信集团及其关联公司所有;受各国版权法及国际版权公约的保护。对于上述版权内容,任何个人、机构未经奇安信集团或其关联公司的书面授权许可,不得以任何方式复制或引用本文的任何片断;超越合理使用范畴、并未经上述公司书面许可的使用行为,奇安信集团或其关联公司均保留追究法律责任的权利。
网神工业控制安全网关系统产品白皮书目录|Contents 一.引言 (1) 1.1概述 (1) 1.2传统防火墙不适用工业环境 (1) 二.网神工业控制安全网关系统 (2) 2.1产品概述 (2) 2.2产品架构 (2) 2.3主要功能 (3) 2.3.1四重白名单的一体化纵深防护 (3) 2.3.2符合工控网络特点的三段式工作模式 (4) 2.3.3基于精准工控协议指令级控制的白名单☆ (4) 2.3.4基于工控服务的一体化安全策略配置 (5) 2.3.5基于应用层的综合攻击防护功能 (5) 2.3.6完善的工控网络数据防泄漏 (6) 2.3.7全方位风险信息展示及分析、审计 (6) 2.3.8管理员权限三权分立 (6) 2.3.9高性能高可靠的软硬件一体化架构 (6) 2.4产品优势 (7) 2.4.1专有硬件适用工业环境 (7) 2.4.2工控协议深度解析 (7) 2.4.3IT、OT一体化防护 (7) 2.5典型部署 (8) 三.客户价值 (9) 3.1边界隔离防御,提升工业网络稳定性 (9) 3.2满足政策合规要求,降低安全责任风险 (9) 3.3集中式的统一运维,降低运维成本,提升运维效率 (9)
双网卡同时上网;双网卡共享上网;网络带宽叠加。 前言: 越来越多的用户拥有双网卡,可是默认情况下只能使用一张网卡上internet网,我们应该如何设置才能把多网卡利用起来,达到尽其物用其材!以下方法适合2张及2张以上网卡。当然这里的双网卡可包含任意的两张及两张网卡以上,如100MB以太网+宽带拔号网卡;双100MB以太网卡;100MB以太网卡+54MB无线网卡等任意组合。 实例一:网卡A上internet网,网卡B上内部网络。 两张自适应1000\100\10MB,网卡A+网卡B,网卡A接宽带路由器,网卡B接局域网设备(router\switch)。 网卡A地址:192.168.11.222 mask 255.255.255.0 gateway 192.168.11.1 网卡B地址:192.168.1.111 mask 255.255.255.0 gateway 192.168.1.1 接上网线后,进入系统,打开“开始”-“运行”输入CMD ,此时打开了命令行窗口。 输入以下命令:(注:每行输完按回车键,每次开机都需要手动输入;您也可以写bat文件每次开机自动运行) route add 192.168.1.0 mask 255.255.255.0 192.168.1.1 route delete 0.0.0.0 route add 0.0.0.0 mask 0.0.0.0 192.168.11.1 当然,如果您不想麻烦,您也可以让命令永久生效,在add前面加个“-p” 格式如下。route -p add 192.168.1.0..... 实例二:网卡A+网卡B,网卡A接宽带modem,需要拔号上网,网卡B接局域网设备。网卡A地址:动态拔号。 网卡B地址:192.168.1.111 mask 255.255.255.0 gateway 192.168.1.1 系统默认情况下将是以拔号为主网络,即当你拔号后,你是无法通过网卡B去访问局域网的。所以这里需要 输入一条命令即可实现: route add 192.168.1.0 mask 255.255.255.0 192.168.1.1 以上两实例均实现了既可上带宽又可访问局域网网络。 ------------------------------ 实例三:双网卡共享上网,让其它PC\notebook都能上网。 网卡A:192.168.11.222 无线网卡B:空闲 目的是让朋友的notebook能通过我的电脑上internet网。 1、共享网卡A,将外网卡设置为"允许网络用户通过我的连接上internet网".在你的外网卡的属性--高级那里.打勾.此时你的内网卡将会被重置为192.168.0.1 255.255.255.0 您如果不想这个IP为内网,可以手动改变.这样所有的PC接到你的内网卡的网络上就可以共享你的外网网络。
C B Z8000监控系统N W J-801网关使用说 明
CBZ-8000变电站自动化系统NWJ-801网关使用说明 许继电气股份有限公司 2004年6月整理
目录 NWJ-801网关调试使用说明 (4) 1简介 (4) 2 接线说明 (4) 2.1 网络接线 (4) 2.2串口接线 (5) 2.3 串口跳线说明 (5) 2.4 接地 (5) 3 GW Tools软件包使用说明 (6) 3.1 Monitor (6) 3.2 GW Manager (8) 4 网关程序下载及调试说明 (11) 4.1 调试所需配件清单 (11) 4.2 网关程序下载步骤 (11) 4.3 常见问题及排错 (15) 附录:RJ45头网线制作 (15) 1 水晶头及双绞线介绍: (15) 2 10M、100M网线的做法(国标) (17)
NWJ-801网关调试使用说明 1简介 NWJ-801以太网关接口是许继公司CBZ8000变电站自动化系统中后台计算机与保护装置之间的规约转换器,在整个8000系统的网络通讯系统中起着至关重要的作用。它把不具备以太网接口,而只有RS232/485接口的继电保护装置接入以太网,同时把不同装置的通讯协议转化为符合国际标准的IEC104规约和继保工程师站使用的TCP/103规约。 2 接线说明 图1 NWJ-801网关内部接线图 2.1 网络接线 如果网关和测试计算机分别连在集线器上,分别使用通用的直通网络线即可。如果网关和测试计算机直接连接,则须使用交叉的网络线。具体定义分别如下表, RJ45头网线制作方法见附录。
2.2串口接线 网关的串口接线采用RJ45接口。根据跳线方式的不同,既可采用RS232接线,也可采用 线脚号定义 1 RS232-GND 2 RS232-RXD 3 RS232-TXD 4 5 6 7 RS485-DATA+ 8 RS485-DATA- * 定义接线。 [注意] 采用RS232接线方式须把两端的RXD和TXD交叉连接。 采用RS485接线方式须把两端的DATA+和DATA-分别连接。 2.3 串口跳线说明 网关的串口可采用RS232、RS485两种接线方式,可用跳线器JP1如图2进行选择。 图2 串口接线图 2.4 接地 网关两端的固定金属片同时可以起到接地作用,请注意使用没有喷漆的裸金属片,否则可能影响接地效果。固定好网关后,测一下固定片与接地铜牌是否短接。
同时使用双网卡进行两个网络上网 如果你电脑同时装了双网卡(包括无线网卡),且分别属于不直接相连的网段,此时如果在两个属性里都设了网关,Windows只认其中一个导致两个网段不能同时上。 所以只能在其中一个网卡的属性中设网关(如两个内网段随便取一个,一个外网一个内网的设外网的方便),另一个网关先留空,然后运行cmd,运行“route -p add 内网网段mask 子网掩码内网网关(刚留空的)”,如果内网网段有多段的则多打几次这个命令就可以了。这个命令目的在于将原内网地址永久性地默认通过内网网关,适用于学校企业等同时存在多个不同网段服务器且接入也不同的。 特别要注意的是网段与子网掩码的对应关系不能输错! example: route -p add 192.168.0.0 mask 255.255.0.0 192.168.180.254 metric 1 route -p add 10.0.0.0 mask 255.0.0.0 192.168.180.254 metric 1 实践中发现该命令非常有用,可以指定任何特定的IP或段指向某网关。 metric Metric 为路由指定所需跃点数的整数值(范围是1 ~ 9999),它用来在路由表里的多个路由中选择与转发包中的目标地址最为匹配的路由。所选的路由具有最少的跃点数。跃点数能够反映跃点的数量、路径的速度、路径可靠性、路径吞吐量以及管理属性。 Metric用于指出路由的成本。通常情况下代表到达目标地址所需要经过的跃点数量,一个跃点代表经过一个路由器。 类似的方法如下: 主要原因是:2个网卡的优先级一致,导致上内网的时候,到不了外网,而上外网的时候,就进不了内网,因为计算机无法识别同样的默认网关。在设置ip的时候系统就会提示2个网卡一起使用,会使计算机网络不能正常使用。 解决办法就是设置不同的默认网关级别。 外网设置:打开tcp/ip协议,高级,编辑默认网关的跃点数为10,默认为自动,值为20,用route print查到的;设置自动跃点数为10。 这样的设置是把外网的优先级提高。内网优先级就比较底了。 用route print 命令来查看:未设置以前的值是有两个默认网关0.0.0.0, network destination netmask gateway interface metric 0.0.0.0 0.0.0.0 192.168.198.66 192.168.198.101 20 0.0.0.0 0.0.0.0 10.172.2.2 10.172.2.222 20 因为两个默认网关的metric 值都是20。 修改后的值是: network destination netmask gateway interface metric 0.0.0.0 0.0.0.0 192.168.198.66 192.168.198.101 10 0.0.0.0 0.0.0.0 10.172.2.2 10.172.2.222 20
Hostmonitor网络监控软件配置及使用方法 一、Hostmonitor软件的使用条件: 可以安装在Windows98/nt/2000/xp等系统,如需要声音报警功能,应安装声卡和音箱。软件占用12M硬盘空间,对内存、CPU 等硬件没有特殊要求,监控的IP地址段建议安装在ab股(VLAN3)网段。 二、Hostmonitor软件的安装过程: 1.将hostmonitor4.rar拷贝到d:,解压缩释放到d:。 2.运行d:\ hostmonitor4\hostmon,,出现图一;按ok 图一 出现图二;按ok
出现图三;按cancel
在图四,位置左键点击add 在图五中,test by 和test method 保持不变,与图五一致,在address 中添入一个要监控的ip地址,左键点击testname 的输入框,添入此ip对应的名字。test every 添入 0 hours 0 mins 10 sec 表示10秒钟扫描一次。然后点击configure
在图六,选中message sound 使其变兰,再选择第一个edit 在图七,点击sound file后边的打开文件夹选项,
之后选择打开d:\hostmonitor4\dead.wav,再点击ok,这样就设定了线路中断时的报警声。回到图六,选第二个edit,同样的点击sound file后边的打开文件夹选项,选择打开d:\hostmonitor4\alive.wav,点击ok,设定线路恢复时的声音。再点ok,回到图五,点击ok成功添加一条监控条目。 再次点击add,依次添加本地网关,本地网通路由器的串口地址,本地联通路由器的串口地址,远端路由器的串口地址,中心端服务器ip,监控条目建立完毕。(要监控的地址另有附表)如果监控点正常,status项显示为host is alive, 如果监控点连接不上,status项显示为no answer,字体颜色变红,并 伴有10秒一次的报警声,可以有效监控网络状况。图八如下: