下载文档原格式
np学习——7个典型的RIP配置案例⽂章⽬录案例1:RIPv2基础配置R1的配置如下:[R1]int g0/0/2[R1-GigabitEthernet0/0/2]ip address 172.16.1.254 24[R1-GigabitEthernet0/0/2]int g0/0/1[R1-GigabitEthernet0/0/1]ip address 192.168.1.1 30[R1-GigabitEthernet0/0/1]q[R1]rip 1[R1-rip-1]version 2[R1-rip-1]network 192.168.1.0[R1-rip-1]network 172.16.0.0R2的配置如下:[R2]int g0/0/1[R2-GigabitEthernet0/0/1]ip address 192.168.1.2 30[R2-GigabitEthernet0/0/1]int g0/0/2[R2-GigabitEthernet0/0/2]ip address 192.168.1.5 30[R2]rip 1[R2-rip-1]version 2[R2-rip-1]network 192.168.1.0R3的配置如下:[R3]int g0/0/1[R3-GigabitEthernet0/0/1]ip address 192.168.1.6 30[R3-GigabitEthernet0/0/1]int g0/0/2[R3-GigabitEthernet0/0/2]ip address 172.16.31.254 24.[R3]rip 1[R3-rip-1]version 2[R3-rip-1]network 192.168.1.0[R3-rip-1]network 172.16.0.0使⽤display rip 1 interface 查看路由器的那些接⼝激活了RIP,以R1为例:<R1>display rip 1 interface--------------------------------------------------------------------------Interface IP Address State Protocol MTU--------------------------------------------------------------------------GE0/0/2 172.16.1.254 UP RIPv2 Multicast 500GE0/0/1 192.168.1.1 UP RIPv2 Multicast 500使⽤display rip 1 database查看RIP进程1的数据库,以R1为例:<R1>display rip 1 database---------------------------------------------------Advertisement State : [A] - Advertised[I] - Not Advertised/Withdraw---------------------------------------------------172.16.0.0/16, cost 0, ClassfulSumm172.16.1.0/24, cost 0, [A], Rip-interface172.16.31.0/24, cost 2, [A], nexthop 192.168.1.2192.168.1.0/24, cost 0, ClassfulSumm192.168.1.0/30, cost 0, [A], Rip-interface192.168.1.4/30, cost 1, [A], nexthop 192.168.1.2使⽤display ip routing-table protocol rip查看学习到的RIP路由,以R1为例:<R1>display ip routing-table protocol ripRoute Flags: R - relay, D - download to fib------------------------------------------------------------------------------Public routing table : RIPDestinations : 2 Routes : 2RIP routing table status : \<Active\>Destinations : 2 Routes : 2Destination/Mask Proto Pre Cost Flags NextHop Interface172.16.31.0/24 RIP 100 2 D 192.168.1.2 GigabitEthernet0/0/1192.168.1.4/30 RIP 100 1 D 192.168.1.2 GigabitEthernet0/0/1RIP routing table status : \<Inactive\>Destinations : 0 Routes : 0案例⼆:Slient-Interface基本的IP配置省略。
目 录第1章 安装IP切换网络安全隔离卡1-1 安装NS-908网络安全隔离卡 (03)1-2 安装NS-908W网络安全隔离器 (05)1-3 安装GS-208网络安全隔离卡 (06)附录1 故障排除 (08)附录2 产品包装清单 (09)版权所有,翻印必究如有变动,恕不另行通知2008年6月版安装隔离卡安全提示㈠ 为了保护您的计算机信息安全,请您在隔离卡安装和使用中注意以下事项:1、在为新硬盘安装操作系统时,严禁将内网硬盘资料通过克隆等方式拷贝到外网硬盘。
2、隔离卡是一机两用设备,使用时请认准内外网标记,按照保密要求操作,严禁在外网状态下起草、编辑内部文件资料。
3、为了保护移动介质中的涉密信息,请不要在外网状态时插入光盘或USB盘。
4、任何时候都不要将内部资料通过软盘、U盘、光盘、移动硬盘等方法拷贝到外网硬盘中使用。
5、若电脑需要升级,应将内网硬盘交当地保密局指定的销毁单位清除涉密信息,或作为内网硬盘继续使用,千万不得将内网硬盘当作外网硬盘使用。
6、任何保密技术手段都需要操作人员的配合才能保证不出现泄密事件,因此,不能认为安装了隔离卡就万事大吉。
必须严格按照保密规定,确保涉密信息的安全。
㈡ 安装网络安全隔离卡之前,请先做好以下准备工作:1、打开包装盒,检查产品配件是否与附录2所列的对应型号产品包装清单相符。
如有不符,请与经销商或厂家联系。
2、为安全起见,在安装隔离卡之前请先备份好原有数据。
3、安装网络安全隔离卡需满足以下配置要求基于奔腾系列或IBM 586以上的PC机;16MB以上的内存;500MB以上的IDE或SATA接口硬盘;安装有WINDOWS 操作系统。
声明:在安装使用隔离卡时,请严格按照操作规范,请做好数据备份,本公司不承担因人为操作不当造成的泄密或任何数据丢失责任。
第1章 安装IP切换网络安全隔离卡1-1 安装NS-908网络安全隔离卡1、NS-908网络安全隔离卡的硬件安装⑴ 关闭计算机电源,打开机箱⑵ 固定隔离卡将隔离卡插至主板空置扩展插槽内,固定螺丝。
联想网御网闸数据库访问功能配置案例2006-1-17目录1 网络拓扑 (1)2 客户需求 (1)3 网络配置 (2)3.1 内网网络端口配置 (2)3.2 内网管理端口地址 (2)3.3 外网网络端口配置 (3)3.4 外网网关配置 (3)3.5 外网管理端口地址 (4)4 网闸具体配置 (5)4.1 需求一配置 (5)4.1.1 内网模块配置 (5)4.1.1.1 添加Oracle 数据库客户端任务 (5)4.1.1.2 新建访问用户配置 (6)4.1.1.3 访问控制生效 (6)4.1.2 外网模块配置 (7)4.1.2.1 添加Oracle 数据库服务端任务 (7)4.1.2.2 新建访问用户配置 (7)4.1.2.3 访问控制生效 (8)4.1.3 内网客户端主机配置 (9)4.1.3.1 内网主机运行客户端软件并将数据库添加到树 (9)4.1.3.2 内网用户成功登录外网数据库 (9)4.2 需求二配置 (10)4.2.1 内网模块配置 (10)4.2.1.1 添加SQL Server 数据库客户端任务 (10)4.2.1.2 新建访问用户配置 (10)4.2.1.3 访问控制生效 (11)4.2.2 外网模块配置 (12)4.2.2.1 添加SQL Server 数据库服务端任务 (12)4.2.2.2 修改访问用户配置 (12)4.2.2.3 访问控制生效 (13)4.2.3 内网客户端主机配置 (14)4.2.3.1 内网主机数据库客户端配置 (14)4.2.3.2 内网主机成功登录外网SQL Server数据库 (14)1网络拓扑说明:1 网闸的内外网管理端口地址分别默认为:内网:10.0.0.1,外网:10.0.0.2,建议不要进行更改,如果与已有网络冲突可以在管理界面上进行更改。
2 PC5为管理主机,其地址要求与网闸的管理端口地址在同一个网段。
3 管理主机与网闸的内外网管理端口相连接,分别以https://10.0.0.1和https://10.0.0.2访问,用户名和密码为:admin。
隔离网闸的分析与应用计算机网络已经成为企业、政府和其它各种组织的重要信息平台和传输渠道。
由网络带来的信息数字化使得各领域的工作效率有了大幅提高,并使海量的信息存储和处理成为了现实。
但是,因为网络安全问题带来的损失也是非常巨大的,国家的利益、人民的财产都因网络安全问题而面临严重的威胁。
因此,全方位、多层次的发展信息安全技术,有针对性的开发信息安全产品,才能确保网络信息的安全。
网络之间始终要面临两个问题:信任和安全。
有如人与人之间的关系一样,我们希望多交朋友的时候,就需要给予他人足够的信任,可是如果一味的信任他人,遇到小人时,就容易被小人欺骗,如果遇到不法之徒,自己的生命、财产都面临威胁。
人在面对不同面孔时会做出自己的判断,然而因为对方的伪装和自己经验的局限,这种判断是不准确的,网络间的关系与此类似,因此,要维护网络的安全,就要预先根据网络的性质,来建设网络安全防护体系,分而治之,才能使网络在安全的前提下有条不紊的运行。
对于许多涉密网络,因为含有大量机密信息,通常会被要求与互联网或其他网络隔离,但是在现实中,大多数涉密网络都有与其他网络的通讯需求,由此,“安全隔离,适度交换”就成了涉密网络的基本要求。
为了实现这一要求,通常可以有以下两种办法:1)物理隔离,人工拷贝数据。
将要保护的网络与其他网络完全断开,物理上没有任何连接,甚至保持一定距离,避免电磁辐射,这就是物理隔离。
在需要交换数据时,用人工拷盘的方法,先将数据拷贝到U盘等存储介质上,再拷到其他网络上去。
这是最古老的隔离办法,显然效率非常低下,而且中间存储介质交叉使用,容易感染病毒。
为了达到物理隔离的效果,除了使用独立的两套终端以外,还可以使用物理隔离卡。
物理隔离卡是一个网络电子开关,它可以让两个硬盘分别对应两个网络,其上的数据完全独立,不能交叉使用,新型的TIPTOP隔离卡还能够控制终端计算机的USB等外设,解决了USB交叉使用可能感染病毒的问题。
v1.0 可编辑可修改TIPTOP隔离网闸映射访问配置案例2009-4-7版权声明本手册中的内容是TIPTOP隔离网闸映射访问配置案例。
本手册的相关权力归深圳市利谱信息技术有限公司所有。
手册中的任何部分未经本公司许可,不得转印、影印或复印。
© 2005-2007 深圳市利谱信息技术有限公司Shenzhen Tiptop Information Technology Co., Ltd.All rights reserved.TIPTOP隔离网闸映射访问配置案例本手册将定期更新,如欲获取最新相关信息,请访问公司网站:您的意见和建议请发送至深圳市利谱信息技术有限公司地址:深圳市福田区泰然工业园泰然四路210栋东座7B电话:0 邮编:518040传真:8网址:电子信箱目录1网络拓扑 (1)2客户需求 (1)3网络配置 (2)3.1内网网络端口一配置 (2)3.2外网网络端口一配置 (2)4网闸具体配置 (3)4.1需求一FTP服务器的访问配置 (3)4.1.1FTP访问规则配置 (3)4.1.1.1透明方式访问FTP (5)4.1.1.2网关模式访问数据库 (7)4.1.1.3映射模式访问数据库 (10)4.2需求二WEB访问端口自定义协议转换配置 (13)4.2.1WEB访问配置规则 (13)4.2.1.1透明方式访问数据库 (15)4.2.1.2网关模式访问数据库 (17)4.2.1.3映射模式访问数据库 (20)1 网络拓扑WEB 服务器94.4.19.103客户端94.4.19.12/24客户端94.4.19.13/24FTP 服务器94.4.19.123说明:1 网闸的内网管理端口地址默认为:,如果与已有网络冲突可以在管理界面上进行更改。
2 管理主机为PC3,其地址要求与网闸的管理端口(内端网口一)地址在同一个网段。
3 管理主机与网闸的内网管理端口相连接,其管理登陆地址为: 用户名为:admin 密码为:admin注意:管理主机要使用管理端口进行管理时必须使用加密key 才可以使用。
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持. 网闸FTP访问功能配置案例目录1 网络拓扑....................................................................................................错误!未定义书签。
2客户需求....................................................................................................错误!未定义书签。
3网络配置....................................................................................................错误!未定义书签。
3.1内网网络端口配置....................................................................错误!未定义书签。
3.2内网管理端口地址....................................................................错误!未定义书签。
3.3外网网络端口配置....................................................................错误!未定义书签。
3.4外网网关配置............................................................................错误!未定义书签。
3.5外网管理端口地址....................................................................错误!未定义书签。
目录1TCP协议21.1同网段配置实例21.2不同网段配置实例62UDP协议102.1同网段配置实例102.2不同网段配置实例143定制访问183.1映射模式184双机热备221TCP 协议1.1 同网段配置实例图6-1-1网络拓扑图实现目的:此配置实例主要包含TCP 协议相关基本功能配置及特殊应用配置的详细操作步骤,其中TCP 协议模块主要包含以下两个功能点。
•TCP 协议基本功能配置 •特殊点配置A 网配置为正向传输配置,外网配置为反向传输配置 A 由于正、反向配置相同,故此配置仅以正向操作为示例1.1.1 TCP 协议基本功能配置目的:通过基本功能配置,实现TCP 数据的正常传输;以PC1(192.168.10.10)向PC2(192.168.10.20)发送数据为例; 配置步骤:> 搭建如图6-1-1网络环境;> 通过配置机访问网管理地址192.168.0.201,登陆系统管理员账户(用户名:admin ,密码:cyberadmin),在控制台网络配置-地址配置中添加数据口eth0地址(网->eth0->192.168.10.100);> 通过配置机访问外网管理地址192.168.0.202,登陆系统管理员账户(用户名:admin 密码:cyberadmin),在控制台网络配置-地址配置中添加数据口eth0阳IQ,1阳.W.e 阳叫m 喀喻,口皿通世LUiMO :L!龙IB!IQ LOO配置机 J923JEWih 口的J 的源物通坦LL92.ItS.Lil2MI 外网地址(外网->eth0->192.168.10.200);> 进入TCP协议,添加一条任务配置如,图6-1-2;任务号:此任务的标识,围为:1〜2048;本地IP:网闸代理IP地址,此IP地址可选,需在设备上板网络设置中添加;端口:网闸本地代理地址监听端口;绑定网闸IP:选择网闸下板发出数据的地址,此地址可视为数据通过网闸后的源地址;实际服务器IP:实际目的地址,此为真实的目的地址;实际服务器端口:实际服务器监听端口,设置网闸接收到数据后,发给真实目的的监听端口;DSCP:数据优先级。
医疗行业网闸解决方案(1)随着近年来全国各大医院信息化工作的迅速发展,大多医院基本完成了以医院信息系统(HIS)为中心,以检验科信息系统(LIS)、影像归档和通信系统(PACS)、电子病历系统等为支撑的核心业务系统建设,医院医疗工作全面进入信息化时代。
与此同时,医院为了开展便民工程及办公信息化工作还建设了网上挂号系统、OA办公系统、终端上网平台等,这些互联网业务应用与医院核心业务系统交叉混合,使得核心业务系统面临着病毒入侵、非法访问、非法外联、DDOS攻击等重大威胁。
为保护核心业务系统的安全,TIPTOP利谱根据业务、职能、信息安全级别的不同,将医院网络划分为:医院业务网和医院办公网。
业务网支撑医院的HIS、LIS、PACS等业务系统,办公网支撑医院OA系统、网上挂号系统及满足工作人员连接互联网需求。
网络划分如下图所示:▲图1医院网络划分医院网络划分隔离后,业务网和办公网之间又要进行实时或定时的数据交换,如网上挂号,OA系统文件流传,业务网病毒库升级等。
如何保证业务网和办公网在安全隔离的前提下,进行业务系统间安全可控的信息交换,是医院信息化安全面临的又一个问题。
TIPTOP利谱公司网闸产品基于对医院网络和业务系统的深入研究,通过“2+1”产品架构设计,即内外主机加隔离交换部件(隔离交换部件基于DTP隔离通道控制技术专,实现主机系统间隔离和自有协议数据摆渡),确保医院办公网和业务网络之间任何连接的断开,彻底阻断TCP/IP协议及其他网络协议。
医院办公网络与业务网安全隔离的同时还要实现两网业务系统间的数据实时、双向安全交换,以深圳某三甲医院为例,部署TIPTOP利谱安全隔离网闸于业务网和办公网之间,如下图所示:图2医疗信息系统网间安全解决方案拓扑根据该院业务的需求,TIPTOP利谱网闸在两网安全隔离的前提下,实现如下业务系统的数据交换:1、网上挂号系统:网上挂号业务系统是医院便民工程的一个重要系统,需要将互联网用户提交的挂号信息同步到医院业务网中,实现病人的远程挂号需求。
有关网闸配置的案例1.1配置网闸的基本步骤有哪些?答:1)在PC上安装客户端;本地IP为192.168.1.1/24,用交叉线与仲裁机相连(默认无法ping);2)通过客户端连接仲裁机(192.168.1.254)用户名/口令superman/talent123登录;3)设置内端机IP地址,设置外端机地址(一般均为eth0)4)为了调试方便,通过命令行的方式允许ping 通内外端机;5)设置TCP应用通道,启用通道6)配置安全策略1.2通过一个案例来说明如何配置网闸来保证内外数据安全交换1.2.1拓扑图如下:1.2.2基本说明:1.在OA区域里有服务器,安全管理和终端,边界由网闸来隔离,只允许有限的访问。
2.目前具体的要求是只允许外部的终端10.10.1.1访问OA服务器,内部机器可以访问外部的WEB 10.10.1.53.不能泄漏内(外)部的网络结构。
1.2.3基本配置:设置内外端地址1.2.4测试验证:由于是端口转发,客户端的IE无需作代理设置,只是将访问的目的设为外(内)端机地址10.10.1.2(10.10.0.1)即可。
1.2.5效果用户只需访问本地的服务器,通过网站作代理映射,就可以到达从内部(外部)访问外部(内部)的目的。
以下为链接:http: //10.10.0.1 (可以访问到10.10.1.5)http://10.10.1.2(可以访问到10.10.0.109)1.3 对于级联的网闸的配置如何来做在等级保护的实际案例中,需要两个或以上的网闸来配置一条完整的通道,如以下图1.3.1基本要求OA区域(10.10.*.*)可以访问位于门户网站区域的web_door 192.168.2.3 门户网站区域()可以访问位于OA区域的OA服务器10.10.0.109 1.3.2基本配置1.3.2.1 OA区域网闸配置说明:从内到外的访问目的就是门户网闸的外端机地址(192.168.4.2)从外到内的访问目的是真实的服务器地址10.10.0.1091.3.2.2门户区域网闸配置说明:从内到外的访问目的就是OA网闸的外端机地址(10.10.1.2)从外到内的访问目的是真实的服务器地址192.168.2.31.3.3测试验证:OA和门户的终端只需访问自己的网闸的内端机地址就可以访问到对端的服务器资源,这样做到了隐藏内部拓扑的目的OA区域(10.10.*.*)可以访问位于门户网站区域的web_door 192.168.2.3OA访问门户:http: //10.10.0.1门户网站区域(192.168.*.*)可以访问位于OA区域的OA服务器10.10.0.109门户访问OA:http: //192.168.3.2。
网闸FTP访问功能配置案例目录1 网络拓扑 (1)2 客户需求 (2)3 网络配置 (2)3.1 内网网络端口配置 (2)3.2 内网管理端口地址 (2)3.3 外网网络端口配置 (3)3.4 外网网关配置 (3)3.5 外网管理端口地址 (3)4 网闸具体配置 (4)4.1 代理模式配置 (4)4.1.1 内网模块配置 (4)4.1.2 外网模块配置 (5)4.1.3 内网客户端主机访问FTP服务器设置 (6)4.2 透明模式配置 (8)4.2.1 内网模块配置 (8)4.2.2 外网模块配置 (9)4.2.3 内网客户端主机访问FTP服务器设置 (9)1网络拓扑说明:1 网闸的内外网管理端口地址分别默认为:内网:10.0.0.1,外网:10.0.0.2,建议不要进行更改,如果与已有网络冲突可以在管理界面上进行更改。
2 PC5为管理主机,其地址要求与网闸的管理端口地址在同一个网段。
3 管理主机与网闸的内外网管理端口相连接,分别以https://10.0.0.1和https://10.0.0.2访问,用户名和密码为:admin。
网闸FTP工作原理:FTP是常用的文件传输手段,我们只是分别在内外网的FTP客户端模块中设置了监听网闸接口的IP地址和端口号,就可以通过代理方式访问内网或外网的FTP服务器,还可以用LeapFTP、FlashFXP等FTP软件和命令行方式,顺利进行访问和数据操作;在百兆网络的测试环境中,FTP的平均传输速率可达91.2 Mbps;对于FTP服务端所在网络只是FTP 代理服务器的情况,提供了很好的解决方案,仅需添加代理FTP服务器的IP地址和端口即可。
2客户需求内网做为客户端,外网做为服务器端,实现内网用户可通过网闸访问到外网的FTP服务器,并且内网用户对FTP服务器的上传、下载等操作正常运行。
1、在网闸内网配置FTP代理监听并启用FTP客户端服务2、在网闸外网启用FTP服务3、内网用户可通过DOS命令行方式和使用FTP客户端软件方式实现对外网FTP服务器的正常访问及操作3网络配置3.1 内网网络端口配置修改地址为:192.168.2.1003.2 内网管理端口地址如与网络接口不冲突,可以为默认。
网闸具体配置步骤(以内蒙赤峰为例)具体的配置步骤:输入密码:ZHHRSOFT。
进入以下画面:如果这个时候,配置用的电脑没有用串口线链接到网闸上的话,就会出现这种情况。
可能你连上了,也会出现这种情况。
(可以直接点确定就可以,然后进去设置下,关闭这个程序,然后再次重新进入就可以了。
)点击确定后,出现下面的画面:这个时候我们点击确定后,然后找到工具栏上的“系统”选项,里面有“基本参数设置”,其中的内网MAC地址与外网MAC地址不用更改,都是虚拟出来的。
我们需要做的就是选择“通信端口”,当我们连接上串口线后,点击下拉箭头,里面会出现一个COM1,选择这个后,点击确定,然后退出软件,再次重新进入,就可以了。
选择好端口后,确定,然后退出软件。
按照上面的步骤,重新进入!然后就是开始配置了:工具栏---规则---智能设置信息。
如果有必要使用到NAT功能的话,还会需要设置NAT地址。
添加链路:给这个链路起一个名字,容易记忆。
选择协议,一般就是TCP,不用去更改。
接下来就是设置IP地址,其中的输出端配置中有一个端口需要填写,就是9090。
默认的就可以了。
点击确定,出现下面的画面:点击确定,出现下面的画面:设置好了规则后,还得需要设“系统”中的“IP与MAC地址”,点击“IP与MAC地址”选项,出现下面的画面:上述图片中出现的IP地址与MAC地址的对应关系,是系统中自带的,我们根据自己的需要进行更改。
需要填写的就是刚才在设置智能规则的时候,那个输入端与输出端的IP地址与他们分别对应的网卡的MAC地址。
如下图:然后点击“保存”,“关闭”。
接下来的工作就是将这些我们已经配置的信息导入到网闸设备中,犹如下图操作:最后会显示一个成功导入的信息。
这个时候将串口线从网闸的一个控制口上拔下来,然后插在另外一个控制口上,再传输一次。
且保证,这个时候网闸背面的防写开关,是拨向右边的(即靠向控制口1那边),这个时候配置是可以写入的。
当我们将配置信息完全导入后,重新启动网闸,这些配置就会生效,并且记得将防写开关拨向左边,这个状态下,配置信息就不会被写入了,增加了安全性。
网闸FTP访问功能配置案例目录1 网络拓扑 (1)2 客户需求 (2)3 网络配置 (2)3.1 内网网络端口配置 (2)3.2 内网管理端口地址 (2)3.3 外网网络端口配置 (3)3.4 外网网关配置 (3)3.5 外网管理端口地址 (3)4 网闸具体配置 (4)4.1 代理模式配置 (4)4.1.1 内网模块配置 (4)4.1.2 外网模块配置 (5)4.1.3 内网客户端主机访问FTP服务器设置 (6)4.2 透明模式配置 (8)4.2.1 内网模块配置 (8)4.2.2 外网模块配置 (9)4.2.3 内网客户端主机访问FTP服务器设置 (9)1网络拓扑说明:1 网闸的内外网管理端口地址分别默认为:内网:10.0.0.1,外网:10.0.0.2,建议不要进行更改,如果与已有网络冲突可以在管理界面上进行更改。
2 PC5为管理主机,其地址要求与网闸的管理端口地址在同一个网段。
3 管理主机与网闸的内外网管理端口相连接,分别以https://10.0.0.1和https://10.0.0.2访问,用户名和密码为:admin。
网闸FTP工作原理:FTP是常用的文件传输手段,我们只是分别在内外网的FTP客户端模块中设置了监听网闸接口的IP地址和端口号,就可以通过代理方式访问内网或外网的FTP服务器,还可以用LeapFTP、FlashFXP等FTP软件和命令行方式,顺利进行访问和数据操作;在百兆网络的测试环境中,FTP的平均传输速率可达91.2 Mbps;对于FTP服务端所在网络只是FTP 代理服务器的情况,提供了很好的解决方案,仅需添加代理FTP服务器的IP地址和端口即可。
2客户需求内网做为客户端,外网做为服务器端,实现内网用户可通过网闸访问到外网的FTP服务器,并且内网用户对FTP服务器的上传、下载等操作正常运行。
1、在网闸内网配置FTP代理监听并启用FTP客户端服务2、在网闸外网启用FTP服务3、内网用户可通过DOS命令行方式和使用FTP客户端软件方式实现对外网FTP服务器的正常访问及操作3网络配置3.1 内网网络端口配置修改地址为:192.168.2.1003.2 内网管理端口地址如与网络接口不冲突,可以为默认。
TIPTOP隔离网闸映射访问配置案例2009-4-7版权声明本手册中的内容是TIPTOP隔离网闸映射访问配置案例。
本手册的相关权力归深圳市利谱信息技术有限公司所有。
手册中的任何部分未经本公司许可,不得转印、影印或复印。
© 2005-2007 深圳市利谱信息技术有限公司Shenzhen Tiptop Information Technology Co., Ltd.All rights reserved.TIPTOP隔离网闸映射访问配置案例本手册将定期更新,如欲获取最新相关信息,请访问公司网站:您的意见和建议请发送至深圳市利谱信息技术有限公司地址:深圳市福田区泰然工业园泰然四路210栋东座7B电话:0 邮编:518040传真:8网址:电子信箱目录1 网络拓扑..................................................错误!未定义书签。
2 客户需求..................................................错误!未定义书签。
3 网络配置..................................................错误!未定义书签。
内网网络端口一配置................................错误!未定义书签。
外网网络端口一配置................................错误!未定义书签。
4 网闸具体配置..............................................错误!未定义书签。
需求一FTP服务器的访问配置........................错误!未定义书签。
FTP访问规则配置..............................错误!未定义书签。
透明方式访问FTP ......................错误!未定义书签。
网关模式访问数据库....................错误!未定义书签。
映射模式访问数据库....................错误!未定义书签。
需求二WEB访问端口自定义协议转换配置..............错误!未定义书签。
WEB访问配置规则..............................错误!未定义书签。
透明方式访问数据库....................错误!未定义书签。
网关模式访问数据库....................错误!未定义书签。
映射模式访问数据库....................错误!未定义书签。
1 网络拓扑WEB 服务器94.4.19.103客户端94.4.19.12/24客户端94.4.19.13/24FTP 服务器94.4.19.123说明:1 网闸的内网管理端口地址默认为:,如果与已有网络冲突可以在管理界面上进行更改。
2 管理主机为PC3,其地址要求与网闸的管理端口(内端网口一)地址在同一个网段。
3 管理主机与网闸的内网管理端口相连接,其管理登陆地址为: 用户名为:admin 密码为:admin注意:管理主机要使用管理端口进行管理时必须使用加密key 才可以使用。
2 客户需求TCP 访问需求一: FTP 服务器的访问。
内网主机通过访问规则不使用代理方式可以直接访问外网的FTP 服务器。
需求二: WEB 服务器浏览端口自定义协议转换内网主机通过IE 浏览器,,访问到外网的服务器基于tcp80端口的WEB 服务3网络配置3.1内网网络端口一配置默认IP地址为:子网掩码:如需修改按如下方法配置:在左边窗口中选择“网闸网络设置”->“内网网络参数设置”,系统显示以下界面内网网络端口配置在上面的相应项输入网闸内网网络的IP地址及其它网络设置,网闸内端机上有三个网络接口(标准配置),可连接三个不同的内网网段。
如果内端机还有更多的网络接口,可以继续添加。
(注:设置的该内端机IP必须是合法的未被占用的IP)3.2外网网络端口一配置默认IP地址为:子网掩码:如需修改按如下方法配置:在左边窗口中选择“网闸网络设置”->“外网网络参数设置”,系统显示以下界面:在上面的相应项输入网闸外网网络的IP地址,外网网络的IP地址与内网网络的IP 地址没有关联, 外端机上也有三个网络接口(标准配置),可连接三个不同的外网网段。
4网闸具体配置4.1需求一FTP服务器的访问配置4.1.1FTP访问规则配置网闸其他服务设置→网络映射与路由设置系统显示如下界面:该项功能提供各种复杂环境下内外网之间的数据库访问。
网络映射和路由设置有三种工作方式:透明模式、网关模式和映射方式:透明模式:提供内(外)网到外(内)网的透明代理(Transparent Proxy)访问,这种模式下保留源地址的真实IP,访问时访问真实目的IP。
网关模式:提供内(外)网到外(内)网通过网关模式(NAT)访问,这种模式下所有的源地址经过了SNAT(源地址转换)。
映射方式:提供内(外)网到外(内)网通过映射方式(PNAT)访问,这种模式把目的ip和端口转化外网闸外(内)端的虚拟IP,访问时访问映射的虚拟IP。
注释:(透明模式:提供内(外)网到外(内)网的透明访问,这种模式下网闸对内外网的主机是透明的。
映射方式:提供内(外)网到外(内)网的都通过内网或外网的接口的访问或接受服务,这种模式下,对内外网的主机相互之间都是不可见的。
通过网闸来提供或者接受服务。
网关模式:提供内(外)网到外(内)网的统一接口的访问,这种模式下内网的主机对外网来说都是不可见的,内(外)网(即访问源)都通过网闸向外访问服务。
)4.1.1.1透明方式访问FTP网闸其他服务设置→网络映射与路由设置→添加新任务协议类型:FTP设置方式如下图表示:在内网机器上,使用已有的FTP用名密码直接访问外网FTP的服务器注意:此方式访问时内网机器的网关必须指向网闸的内网口一,外网的机器的网关必须指向外网口一。
解释:访问过程数据包走向为:源IP(内网客户端主机,可缺省)→入口设备(即为网闸的内网网卡一,不可缺省)→出口设备(即为网闸的外网网卡一,不可缺省)→目的IP(所要访问的外网数据库IP,不可缺省)1.源IP若加了限定则表明访问时只能限定在IP 为(掩码根据需要也可不加)这一个段的机器上对目的IP 为的FTP进行访问,可缺省。
2.源端口是指限定访问机器的源访问端口,可缺省。
3.内网网关接口是指当内网的客户端(源IP主机)与入口设备不在同一个网段需要经过路由时添加的如下图:表明为一个连接10.0.0.3与网闸的内网端的路由设备IP .4.入口设备表示数据包进入网闸的网络接口,不可缺省。
5.入口设备IP为数据包进入网闸入口设备时使用的IP,可缺省。
6.入口设备端口表示数据包经过网闸入口设备是走的端口,可缺省。
7.出口设备表示数据包转发出网闸的网络接口,不可缺省。
8.出口设备IP为数据包转发出网闸出口设备时使用的IP,可缺省。
9.出口设备端口表示数据包经过网闸出口设备是走的端口,可缺省。
10.外网网关接口指当外网的目的端(目的IP主机)与出口设备(即网闸外端IP )不在同一个网段需要经过路由时添加的如下图:表明为一个连接目的IP为与网闸的外网端的路由设备的IP 。
11.目的端口为访问目的主机的数据库端口,如FTP服务端口为21,不可缺省12.目的IP为访问的目的数据库IP,不可缺省。
4.1.1.2网关模式访问数据库网闸其他服务设置→网络映射与路由设置→添加新任务协议类型:FTP设置方式如下图表示:在内网机器上,使用已有的FTP用户名密码直接访问外网FTP的服务器注意:此方式访问时内网机器的网关必须指向网闸的内网口一解释:访问过程数据包走向为:源IP(内网客户端主机,可缺省)→入口设备(即为网闸的内网网卡一,不可缺省)→出口设备(即为网闸的外网网卡一,不可缺省)→目的IP(所要访问的外网FTP服务器IP,不可缺省)1.源IP若加了限定则表明访问时只能限定这一个段的机器上对目的IP 为的数据库进行访问,可缺省。
2.源端口是指限定访问机器的源访问端口,可缺省。
3.内网网关接口是指当内网的客户端(源IP主机)与入口设备不在同一个网段需要经过路由时添加的如下图:表明为一个连接10.0.0.3与网闸的内网端的路由设备IP .4.入口设备表示数据包进入网闸的网络接口,不可缺省。
5.入口设备IP为数据包进入网闸入口设备时使用的IP,不可缺省。
6.入口设备端口表示数据包经过网闸入口设备是走的端口,不可缺省。
7.出口设备表示数据包转发出网闸的网络接口,不可缺省。
8.出口设备IP为数据包转发出网闸出口设备时使用的IP,可缺省。
9.出口设备端口表示数据包经过网闸出口设备是走的端口,可缺省。
10.外网网关接口指当外网的目的端(目的IP主机)与出口设备(即网闸外端IP )不在同一个网段需要经过路由时添加的如下图:表明为一个连接目的IP为与网闸的外网端的路由设备的IP 。
11.目的端口为访问目的主机的数据库端口,如FTP为21,不可缺省12.目的IP为访问的目的数据库IP,不可缺省。
4.1.1.3映射模式访问数据库网闸其他服务设置→网络映射与路由设置→添加新任务协议类型:FTP设置方式如下图表示在内网机器上,使用已有的FTP用户名密码直接访问映射后的IP ,就相当于访问的是外网FTP的服务器。
解释:访问过程数据包走向为:源IP(内网客户端主机,可缺省)→入口设备(即为网闸的内网网卡一,不可缺省)→出口设备(即为网闸的外网网卡一,不可缺省)→目的IP(所要访问的外网数据库IP,不可缺省)1.源IP若加了限定则表明访问时只能限定IP与之相同的机器上对目的IP 为的FTP进行访问,可缺省。
2.源端口是指限定访问机器的源访问端口,可缺省。
3.内网网关接口是指当内网的客户端(源IP主机)与入口设备不在同一个网段需要经过路由时添加的如下图:表明为一个连接10.0.0.3与网闸的内网端的路由设备IP .4.入口设备表示数据包进入网闸的网络接口,即也就是将目的IP地址映射到入口IP地址上,访问的目的IP的时候实际上是访问入口设备IP这个地址,不可缺省。
5.入口设备IP为数据包进入网闸入口设备时使用的IP,也就是将目的IP映射到内网的入口设备IP上,不可缺省。
6.入口设备端口表示数据包经过网闸入口设备是走的端口,也就是将目的端口映射到内网的入口设备端口,不可缺省。
7.出口设备表示数据包转发出网闸的网络接口,不可缺省。
8.出口设备IP为数据包转发出网闸出口设备时使用的IP,不可缺省。
9.出口设备端口表示数据包经过网闸出口设备是走的端口,可缺省。
