力控网闸配置示例

网闸基本全参数1网闸1.设备参数要求：指标要求系统架构采用“2+1”系统架构，即由两个主机系统和一个隔离交换矩阵组成。

采用安全操作系统平台，隔离交换矩阵基于专用芯片实现主机系统间采用自有协议摆渡数据，确保信任网络和非信任网络之间任何连接的断开，彻底阻断TCP/IP协议及其他网络协议系统要求采用具有自主知识产权的多核多线程ASIC并行操作系统平台，并提供该安全操作系统的软件著作权；接口配置要求不少于6个10/100M自适应电口，内外网主机系统分别具有独立的网络口、管理口、HA口（热备口）、扩展口；内外网主机系统分别具有1个RJ45串口；性能系统吞吐量不小于91Mbps并发连接数不小于 1.2万延时小于1ms交换开关切换小于2ns文件交换支持病毒检测；支持NFS、SMBFS、SAMBA等文件系统；文件服务器可以是Windows、Linux/Unix等系统平台；支持文件传输方向可控，实现单向或双向传输；支持按任务进行分策略过滤；支持一源多目的及多源一目的文件交换；文件交换可以采用客户端方式和无客户端方式的部署；文件传输支持身份认证及加密传输；支持增量传输、发送后删除、发送后转移等发送策略；支持文件格式特征过滤，并且不依赖于文件扩展名；支持文件类型检查可扩展模式，方便用户自主增加特定文件类型，并提供工具帮助用户识别不常见文件类型；（要求功能界面截图）重发策略，在文件发送端设置发送次数支持时间策略；支持文件大小传输限制；重名策略，接收端客户端支持对重名文件的控制策略，提供“覆盖”、“丢弃”、“重命名”等重名策略。

具备详细的日志记录功能，方便日志查询、统计等操作；可根据异常条件进行报警；支持邮件报警方式；数据库同步支持病毒检测；支持Oracle、SQL Server、Sybase、Db2等主流数据库；数据库同步客户端支持Windows、Linux等多种平台；支持Oracle数据库RAC集群同步；支持同种数据间（同构）和不同种数据库间（异构）的同步；支持字段级数据库间的单向或双向同步（不改变用户的库结构）。

总流程：安装-〉测试-〉配置-〉再测试
主界面介绍
技术支持联系人
新建协议（端口）
网闸配置
2006-3-20

300A系列
300A系列
配置前的准备工作：
1) 2)
3) 4) 5) 6)
网闸外观和接口 实施前要知道客户的网络拓扑图，根据客户应用决定网 闸需要安装在哪个节点，和网闸需要的IP地址数 先把用来设置网闸的电脑IP修改成10.119.119.*（119除 外），再安装控制平台，最后用交叉线连上网闸内端口， 外端端口连上客户的网络（交换机或路由器） 开机，控制平台与网闸是否连通 测试ping及telnet 112和221。不通的话，把控制平台电脑 清空arp（arp -d） 控制台的配置

网闸基本配置截图。

网闸管理口MAN口，管理地址192.168.1.168
第一步：
确定网络内外网的IP地址、子网掩码、网关。

第二步：
确定需要经过网闸传输的数据端口，及访问方向（内访外或外访内），确定需要经过网闸访问的目的地址IP。

第三步：
安装管理端：打开安装包，选择Setup.exe双机运行安装，不需要做修改，下一步到完成。

第四步：
本地计算机打开网络和共享中心，配置本地IPV4地址为192.168.1.*网段地址，掩码255.255.255.0 笔记本和网闸MAN口网线直连。

第五步：
开始菜单找到点击管理端登录。

管理地址查看上述，用户名和密码一样，都是admin2003。

第六步：
点击网闸左侧菜单栏服务设置，配置网闸内外端机eth0IP地址。

例：
第七步：
配置TCP应用通道，假如外访内应用，应用通道源就选择外端机。

一律选择转发模式。

通道名称可以根据访问目的服务器来区分，
应用类型选择选择NULL_ TCP
源机IP地址：因为是外访内，选择网闸外端机地址。

目的IP地址：需要经过网闸访问的目的服务器地址。

建立完成应用通道，右键选择应用通道选择启用。

需要在eth0网口添加或者修改IP地址时，需要把通道停用才可以允许修改。

利谱网闸配置
利谱网闸配置
2008-11-11 17:35:33| 分类：网闸配置| 标签：|字号大中小订阅
1、首先配置网闸网络参数:
内网网络参数设置: 设置内网网闸IP.192.168.4.251 MASK:255.255.252.0 网关.* （可以填上去）外网网络参数设置: 设置外网网闸IP.10.0.0.1 MASK:255.255.255.0 网关:*
2、网闸数据库服务设置
数据库端口：1433
远程端口：3389
vpn端口：1723
如果数据从内到外更新，按如下配置
选择映射模式，相当于外网的服务器IP映射到网闸内网网口IP，
反之。

入口设备：内网网卡
出口设备：外网网卡
目的IP：外网服务器IP
入口设备IP：（网闸内网网口ip）
出口设备IP：（网闸外网网口ip）
外到内
3、SQL 数据库同步管理
在数据库内建username：lp password：lp 任务描述(最好写英文,中文不识别)
外到内同步任务
内到内同步（相当于数据库的订阅与发布，不过订阅与发布会在表里添加一个字段）建多一个用户，是为了内网服务器到备份服务器同步时与另一个任务产生触发。

文件共享
外到内远程
备注:
1.可以在配置测试完成后导出配置文件,下次导入的时候注意对于同步任务要每个任务都点击<修改> <保存>, 然后选择发送数据重启.
否则导入不能生效.
2.为网闸程序添加数据库单独用户(权限给予systemadmin)
1.建议在配置过程中注意大小写的区分,以及在字段选择时不要加空格.。

主要内容
一、网闸产品外观 二、网闸配置前的准备工作 三、天融信网闸主要功能模块说明
《信息安全产品配置与应用》之网闸篇
网络卫士安全隔离与信息交换系统
前端面板
外端机接口 仲裁机接口 内端机接口
其中仲裁机接口为管理端口（默认IP为192.168.1.254， 用户名/口令：superman/*****)，内外端机做为不同网络 区域的相连接口。
了解网闸内外端机接入网络的情况，如IP地址段、默 认网关等
了解需要访问的服务器的IP地址、服务类型、服务端 口
《信息安全产品配置与应用》之网闸篇
主要内容
一、网闸产品外观 二、网闸配置前的准备工作 三、天融信网闸主要功能模块说明
《信息安全产品配置与应用》之网闸篇
设备登录
《信息安全产品配置与应用》之网闸篇
重庆电子工程职业学院
《信息安全产品配置与应用》之网闸篇 —上机操作
《信息安全产品配置与应用》之网闸篇
本讲主要任务和学习目标
任务目标
学习天融信网闸产品硬件结构 学习天融信网闸产品的主要功能 学习天融信网闸产品的基本配置
学习目标
熟悉天融信网闸产品各功能模块 掌握天融信网闸的基本配置方法
《信息安全产品配置与应用》之网闸篇
《信息安全产品配置与应用》之网闸篇
内外端机的接口地址设置(3)
如果出现有两个应用服务使用了相同的端口（如http服务的 80端口）还可以点击高级添加多个虚拟地址，如下图：
注意：如果出现内端机或外端机配置接口地址的错误，需要先停 止所有的应用通道或拔掉内外端机接口的网线，然后再行配置。
《信息安全产品配置与应用》之网闸篇
《信息安全产品配置与应用》之网闸篇
Q&A

网闸配置教程上电开机进入初始状态。

内外网接口机要设网关常规操作：1、用户名：admin(回车)，密码：84681142（直接回车），弹出是否查看ros相关信息，输入n。

2、进入最初配置这里输入/int pri查看已经安装的网卡信息3、出现网卡信息，R表示网卡已经激活了，如果是X那还需激活网卡：命令Int回车输入enable 0 表示激活第一张网卡4、我们看到ether1，如果是两张或者是三张，那么出现ether2、ether3...我们把网卡的名改一下便于后面操作。

改网卡名：int set 0(表示第一张网卡) name=Wan(也可以W AN表示外网)、如果还有网通的就命名为：int set 1 name=Lan1、第三张就命名为内网：set 2 name=LAN2。

5、给各网口分配IP命令：ip address add address 192.168.0.1/24 interface=lan回车IP.这里设置为192.168.0.1/24.24表示子网掩码.然后是要设置的网卡名字。

完整的命令是如下图:6、查看配置信息命令：ip add pri查看IP地址配置信息！7、修改密码命令：password8、重启命令：sys reboot9、关机命令：sys shutdown网闸配置脚本：[admin@MikroTik] interface set ether1 name=ether1-lan; set ether2 name= ether2-wan/给网卡1、2命名，1为内网，2为外网[admin@MikroTik] interface set ether3 name= ether3-lan; set ether2 name= ether4-lan/给网卡3、4命名，3为内网，4为外网[admin@MikroTik] ip address add address=192.168.0.1/24 interface=ether1-lan/设置网卡1 IP地址和网关，此处24代表子网掩码是255.255.255.0[admin@MikroTik] ip address add address=192.168.254.250/24 interface=ether2-wan/设置网卡2 IP地址和网关，此处24代表子网掩码是255.255.255.0[admin@MikroTik] ip address add address=192.168.1.1/24 interface=ether3-lan/设置网卡3 IP地址和网关，此处24代表子网掩码是255.255.255.0[admin@MikroTik] ip address add address=192.168.254.253/24 interface=ether4-wan/设置网卡4 IP地址和网关，此处24代表子网掩码是255.255.255.0[admin@MikroTik] ip route add gateway=192.168.254.1/设置网关[admin@MikroTik] ip dns set primary-dns=192.168.254.1/设置首选DNS服务器[admin@MikroTik] ip firewall nat add chain=srcnat action=masqueradeallow-remote-requests=yes/源地址伪装，允许远程响应[admin@MikroTik] ip firewall filter add chain=forward src-address=192.168.0.5 in-interface= ether1-lan dst-address=0.0.0.0 out-interface= ether2-wan action=accept/防火墙过滤，允许源地址192.168.0.5访问任何目的地址，但源端口限制为网口1，目的端口限制为网口2，网口从左往右依次为1、2、3、4。

1.1 配置安全通道◆网络拓扑FTP客户端FTP服务端◆应用概述如上图所示，今以FTP应用服务配置为例，其他应用服务类似(只要该C/S模式底层符合标准的TCP/UDP协议)。

此应用要求实现内网FTP客户端主机通过安全隔离网闸安全地访问外网FTP服务器，通过安全通道模块达到对文件上传/下载的目的。

该应用环境使用要点如下：1、网闸内、外网络口各直连一台装有WindowsXP Professional系统的主机，与网闸外侧相连的是FTP服务器(端口：21)，与网闸内侧相连的是访问客户端主机；2、今要求以透明和普通两种方式访问；3、IP地址设置见网络拓扑图；◆配置步骤网闸WEB配置部分，下面以FTP应用为例展开叙述，其他应用与之类似，不再赘述。

1、配置网闸内侧任务，并启动服务添加网闸内侧任务，如下图：启动服务，如下图：按下按钮，启动服务2、配置网闸外侧任务，并启动服务添加网闸外侧任务，仅对普通访问有效，如下图：服务类型可选【tcp_any】；亦可选【ftp】，但目的端口可不填。

启动服务，同上。

3、测试针对普通访问，访问时如下图：普通访问模式下，该地址为网闸内侧地址普通访问模式下，格式为：用户名针对透明访问，访问时如下图：透明访问模式下，该地址为真实FTP服务器地址透明访问模式下，格式为：用户名1、透明访问时，需配置默认网关或添加静态路由，详见《4.2.2 FTP访问》的“配置步骤”第4步；2、支持日志访问；3、支持一些动态端口应用服务，比如：ftp、tns、h.323等等；4、支持源、目的端口范围；5、不支持PPTP、IPSec、GRE、IGMP、IGRP及OSPF服务；6、普通访问时，不支持服务器地址范围；7、支持ping；8、支持相同服务多服务器的应用模式；IE浏览器进行FTP访问；1、配置客户端任务(针对普通访问和透明访问)，并启动服务；2、配置服务端任务(仅针对普通访问)，并启动服务；3、测试；。

目录1TCP协议-------------------------------------------------------------------------- 11.1 同网段配置实例 --------------------------------------------------------------- 11.2不同网段配置实例 -------------------------------------------------------- 32UDP协议 ------------------------------------------------------------------------- 62.1同网段配置实例---------------------------------------------------------------- 62.2不同网段配置实例------------------------------------------------------------- 93定制访问 ------------------------------------------------------------------- 113.1映射模式 ----------------------------------------------------------------------- 114双机热备 ------------------------------------------------------------------- 141TCP协议1.1 同网段配置实例图6-1-1 网络拓扑图实现目的：此配置实例主要包含TCP协议相关基本功能配置及特殊应用配置的详细操作步骤，其中TCP协议模块主要包含以下两个功能点。

●TCP协议基本功能配置●特殊点配置内网配置为正向传输配置，外网配置为反向传输配置由于正、反向配置相同，故此配置仅以正向操作为示例1.1.1 TCP协议基本功能配置目的：通过基本功能配置，实现TCP数据的正常传输；以PC1（192.168.10.10）向PC2（192.168.10.20）发送数据为例；配置步骤:搭建如图6-1-1网络环境；通过配置机访问内网管理地址192.168.0.201，登陆系统管理员账户（用户名：admin，密码：cyberadmin），在控制台网络配置-地址配置中添加数据口eth0地址(内网->eth0->192.168.10.100）；通过配置机访问外网管理地址192.168.0.202，登陆系统管理员账户（用户名：admin 密码:cyberadmin），在控制台网络配置-地址配置中添加数据口eth0地址（外网->eth0->192.168.10.200）；进入TCP协议，添加一条任务配置如，图6-1-2；任务号：此任务的标识，范围为：1～2048；本地IP：网闸代理IP地址，此IP地址可选，需在设备上板网络设置中添加；端口：网闸本地代理地址监听端口；绑定网闸IP：选择网闸下板发出数据的地址，此地址可视为数据通过网闸后的源地址；实际服务器IP：实际目的地址，此为真实的目的地址；实际服务器端口：实际服务器监听端口，设置网闸接收到数据后，发给真实目的的监听端口；DSCP：数据优先级。

目录1TCP协议21.1同网段配置实例21.2不同网段配置实例62UDP协议102.1同网段配置实例102.2不同网段配置实例143定制访问183.1映射模式184双机热备221TCP 协议1.1 同网段配置实例图6-1-1网络拓扑图实现目的：此配置实例主要包含TCP 协议相关基本功能配置及特殊应用配置的详细操作步骤，其中TCP 协议模块主要包含以下两个功能点。

•TCP 协议基本功能配置 •特殊点配置A 网配置为正向传输配置，外网配置为反向传输配置 A 由于正、反向配置相同，故此配置仅以正向操作为示例1.1.1 TCP 协议基本功能配置目的：通过基本功能配置，实现TCP 数据的正常传输；以PC1(192.168.10.10)向PC2(192.168.10.20)发送数据为例； 配置步骤:> 搭建如图6-1-1网络环境；> 通过配置机访问网管理地址192.168.0.201,登陆系统管理员账户(用户名：admin ，密码：cyberadmin)，在控制台网络配置-地址配置中添加数据口eth0地址(网->eth0->192.168.10.100)；> 通过配置机访问外网管理地址192.168.0.202,登陆系统管理员账户(用户名：admin 密码:cyberadmin)，在控制台网络配置-地址配置中添加数据口eth0阳IQ,1阳.W.e 阳叫m 喀喻,口皿通世LUiMO ：L!龙IB!IQ LOO配置机 J923JEWih 口的J 的源物通坦LL92.ItS.Lil2MI 外网地址（外网->eth0->192.168.10.200）；> 进入TCP协议，添加一条任务配置如，图6-1-2；任务号：此任务的标识，围为：1〜2048；本地IP：网闸代理IP地址，此IP地址可选，需在设备上板网络设置中添加；端口：网闸本地代理地址监听端口；绑定网闸IP：选择网闸下板发出数据的地址，此地址可视为数据通过网闸后的源地址；实际服务器IP：实际目的地址，此为真实的目的地址；实际服务器端口：实际服务器监听端口，设置网闸接收到数据后，发给真实目的的监听端口；DSCP：数据优先级。

网闸文件交换功能配置案例2006-1-17目录1 网络拓扑 (1)2 客户需求 (1)3 网络配置 (2)3.1 内网网络端口配置 (2)3.2 内网管理端口地址 (2)3.3 外网网络端口配置 (2)3.4 外网管理端口地址 (3)4 网闸具体配置 (3)4.1 需求一文件交换配置 (3)4.1.1 文件交换模块配置 (3)4.1.2 发送黑名单的设置 (8)4.1.3 发送白名单的设置 (9)4.1.4 接受黑名单的设置 (11)4.1.5 接受白名单的设置 (12)4.2 需求二实现内外网主机共享目录之间文件自动交换 (14)1 网络拓扑说明： 1 网闸的内外网管理端口地址分别默认为：内网：10.0.0.1，外网：10.0.0.2，建议不要进行更改，如果与已有网络冲突可以在管理界面上进行更改。

2 PC5为管理主机，其地址要求与网闸的管理端口地址在同一个网段。

3 管理主机与网闸的内外网管理端口相连接，分别以https://10.0.0.1和https://10.0.0.2访问，用户名和密码为：admin 。

2 客户需求客户需求需求一：实现外网用户对内网共享文件的读取,关键字的过滤；注意：配置相反的任务就可以实现内网用户对外网共享文件的读取,关键字的过滤；需求二：内外网文件服务器可将本地目录下文件互传到对方服务器指定的目录下的文件夹下。

内网外网文件交换服务器 192.168.2.56集线器Pc5 10.0.0.4安全隔离与信息交换系统管理口 10.0.0.1 网络口 192.168.2.100管理口 10.0.0.2 网络口192.168.1.100文件交换服务器192.168.1.473网络配置3.1 内网网络端口配置修改IP地址为：192.168.2.100 子网掩码：255.255.255.03.2 内网管理端口地址如与网络接口不冲突，可以为默认。

3.3 外网网络端口配置修改IP地址为：192.168.1.100，子网掩码：255.255.255.03.4 外网管理端口地址如与网络接口不冲突，可以为默认。

网闸具体配置步骤（以内蒙赤峰为例）具体的配置步骤：输入密码：ZHHRSOFT。

进入以下画面：如果这个时候，配置用的电脑没有用串口线链接到网闸上的话，就会出现这种情况。

可能你连上了，也会出现这种情况。

（可以直接点确定就可以，然后进去设置下，关闭这个程序，然后再次重新进入就可以了。

）点击确定后，出现下面的画面：这个时候我们点击确定后，然后找到工具栏上的“系统”选项，里面有“基本参数设置”，其中的内网MAC地址与外网MAC地址不用更改，都是虚拟出来的。

我们需要做的就是选择“通信端口”，当我们连接上串口线后，点击下拉箭头，里面会出现一个COM1，选择这个后，点击确定，然后退出软件，再次重新进入，就可以了。

选择好端口后，确定，然后退出软件。

按照上面的步骤，重新进入！然后就是开始配置了：工具栏---规则---智能设置信息。

如果有必要使用到NAT功能的话，还会需要设置NAT地址。

添加链路：给这个链路起一个名字，容易记忆。

选择协议，一般就是TCP，不用去更改。

接下来就是设置IP地址，其中的输出端配置中有一个端口需要填写，就是9090。

默认的就可以了。

点击确定，出现下面的画面：点击确定，出现下面的画面：设置好了规则后，还得需要设“系统”中的“IP与MAC地址”，点击“IP与MAC地址”选项，出现下面的画面：上述图片中出现的IP地址与MAC地址的对应关系，是系统中自带的，我们根据自己的需要进行更改。

需要填写的就是刚才在设置智能规则的时候，那个输入端与输出端的IP地址与他们分别对应的网卡的MAC地址。

如下图：然后点击“保存”，“关闭”。

接下来的工作就是将这些我们已经配置的信息导入到网闸设备中，犹如下图操作：最后会显示一个成功导入的信息。

这个时候将串口线从网闸的一个控制口上拔下来，然后插在另外一个控制口上，再传输一次。

且保证，这个时候网闸背面的防写开关，是拨向右边的（即靠向控制口1那边），这个时候配置是可以写入的。

当我们将配置信息完全导入后，重新启动网闸，这些配置就会生效，并且记得将防写开关拨向左边，这个状态下，配置信息就不会被写入了，增加了安全性。

利谱网闸配置
2008-11-11 17:35:33| 分类：网闸配置| 标签：|字号大中小订阅
1、首先配置网闸网络参数:
内网网络参数设置: 设置内网网闸IP.192.168.4.251 MASK:255.255.252.0 网关.* （可以填上去）外网网络参数设置: 设置外网网闸IP.10.0.0.1 MASK:255.255.255.0 网关:*
2、网闸数据库服务设置
数据库端口：1433
远程端口：3389
vpn端口：1723
如果数据从内到外更新，按如下配置
选择映射模式，相当于外网的服务器IP映射到网闸内网网口IP，反之。

入口设备：内网网卡
出口设备：外网网卡
目的IP：外网服务器IP
入口设备IP：（网闸内网网口ip）
出口设备IP：（网闸外网网口ip）
外到内
3、SQL 数据库同步管理
在数据库内建username：lp password：lp 任务描述(最好写英文,中文不识别)
外到内同步任务
内到内同步（相当于数据库的订阅与发布，不过订阅与发布会在表里添加一个字段）建多一个用户，是为了内网服务器到备份服务器同步时与另一个任务产生触发。

文件共享
外到内远程
备注:
1.可以在配置测试完成后导出配置文件,下次导入的时候注意对于同步任务要每个任务都点击<修改> <保存>, 然后选择发送数据重启.否则导入不能生效.
2.为网闸程序添加数据库单独用户(权限给予systemadmin)
1.建议在配置过程中注意大小写的区分,以及在字段选择时不要加空格.。

网闸FTP访问功能配置案例目录1 网络拓扑 (1)2 客户需求 (2)3 网络配置 (2)3.1 内网网络端口配置 (2)3.2 内网管理端口地址 (2)3.3 外网网络端口配置 (3)3.4 外网网关配置 (3)3.5 外网管理端口地址 (3)4 网闸具体配置 (4)4.1 代理模式配置 (4)4.1.1 内网模块配置 (4)4.1.2 外网模块配置 (5)4.1.3 内网客户端主机访问FTP服务器设置 (6)4.2 透明模式配置 (8)4.2.1 内网模块配置 (8)4.2.2 外网模块配置 (9)4.2.3 内网客户端主机访问FTP服务器设置 (9)1网络拓扑说明：1 网闸的内外网管理端口地址分别默认为：内网：10.0.0.1，外网：10.0.0.2，建议不要进行更改，如果与已有网络冲突可以在管理界面上进行更改。

2 PC5为管理主机，其地址要求与网闸的管理端口地址在同一个网段。

3 管理主机与网闸的内外网管理端口相连接，分别以https://10.0.0.1和https://10.0.0.2访问，用户名和密码为：admin。

网闸FTP工作原理：FTP是常用的文件传输手段，我们只是分别在内外网的FTP客户端模块中设置了监听网闸接口的IP地址和端口号，就可以通过代理方式访问内网或外网的FTP服务器，还可以用LeapFTP、FlashFXP等FTP软件和命令行方式，顺利进行访问和数据操作；在百兆网络的测试环境中，FTP的平均传输速率可达91.2 Mbps；对于FTP服务端所在网络只是FTP 代理服务器的情况，提供了很好的解决方案，仅需添加代理FTP服务器的IP地址和端口即可。

2客户需求内网做为客户端，外网做为服务器端，实现内网用户可通过网闸访问到外网的FTP服务器，并且内网用户对FTP服务器的上传、下载等操作正常运行。

1、在网闸内网配置FTP代理监听并启用FTP客户端服务2、在网闸外网启用FTP服务3、内网用户可通过DOS命令行方式和使用FTP客户端软件方式实现对外网FTP服务器的正常访问及操作3网络配置3.1 内网网络端口配置修改地址为：192.168.2.1003.2 内网管理端口地址如与网络接口不冲突，可以为默认。

经过对Socks5代理的分析，总结出VTDU穿网闸功能的实现：前提：一个VTDU在启动后只有一种属性，穿网闸或者不穿网闸。

一旦VTDU确定穿网闸，一律采用端口交换。

1．配置VTDU配置文件中增加以下选项：<1>VTDU是否穿网闸。

<2>网闸的IP和端口，用于在初始化时向网闸的SOCK5代理建立TCP连接(认证及协商端口需要此步骤)。

<3>网闸socks5认证的用户名和密码。

<4>VTDU发送码流给网闸时的本地发送端口。

<5>该VTDU的信任域编号，CMU根据此信息决定什么时候需要调度该VTDU进行穿越网闸的码流发送。

CMU配置文件增加以下选项：<1>是否配置上级cmu地址。

<2>上级cmu IP地址。

<3>上级cmu侦听端口。

由于处于网闸内的cmu在向上级cmu建链时实际使用的对端地址是网闸的地址，而AAA中保存的是上级cmu的实际地址，所以在此处增加配置。

若IS_CONF_MCMUADDR选项配成1，则表示使用配置中的地址，否则使用AAA保存的地址。

2．VTDU初始化及注册信息的更改<1>初始化时，VTDU先根据配置文件判断是否需要穿越网闸。

如果需要，则调用OSP接口进行UDP ASSOCIATE过程，此认证过程需要用户名，密码，及本地发送端口等信息，认证结束后，VTDU可以得到网闸上对应的UDP码流包的接受地址，需要记录下此地址。

若不需要穿网闸，则略过此步骤。

<2>认证成功后，开始向CMU发注册请求，请求消息体中增加以下字段：（1）是否穿网闸（2）发送码流给网闸时的本地发送端口（3）信任域编号3．CMU处理流程的更改<1>在码流交换请求中，若不存在对源的转发时，在调度VTDU时需判断源是否是本域源。

引入穿网闸功能后，此处应增加判断该源所在的域是否是某个VTDU的信任域，若是，则调度该VTDU进行穿越网闸的码流接受，建立交换时，两路RTCP必须指明是穿越网闸的数据报。

网闸基本配置步骤2篇网闸基本配置步骤（一）在网络环境中，网闸（Gateway）既可以理解为一个连接两个不同网络的设备，也可以理解为网络安全的门户。

当我们需要将局域网和互联网进行连接时，就需要进行网闸的基本配置。

接下来，我将介绍网闸的基本配置步骤。

步骤一：连接网闸设备首先，将网闸设备与局域网中的交换机进行连接。

找到交换机上的一个未使用的端口，将网闸设备的LAN口（局域网口）与该端口连接。

然后，将网闸设备的WAN口（广域网口）与互联网接入设备（如路由器、调制解调器）进行连接。

步骤二：设置网闸设备IP地址在网闸设备连接到局域网中后，需要设置网闸设备的IP地址。

通过一台连接到同一个局域网的电脑，打开浏览器，在地址栏中输入网闸设备的默认IP地址（通常为192.168.1.1或192.168.0.1），按下回车键。

如果默认IP地址无法打开网闸设备的配置界面，可以查阅设备的说明书或者联系设备厂商获取正确的IP地址。

步骤三：登录网闸设备管理界面在浏览器中输入正确的网闸设备IP地址后，会跳转到网闸设备的管理界面。

在该界面中，需要输入登录账号和密码进行登录。

默认情况下，账号和密码通常都是admin（具体情况可能会有所不同），请确认设备说明书或咨询设备厂商以获取正确的登录账号和密码。

步骤四：进行基本配置登录成功后，进入网闸设备的管理界面，可以进行各项基本配置。

首先，需要设置设备的基本信息，如设备名称、设备位置等。

其次，需要进行网络设置，配置网闸设备的LAN口和WAN口的IP地址、子网掩码、默认网关等。

同时，还需要设置DNS服务器的IP地址，以便设备可以解析互联网上的域名。

步骤五：保存配置并重启设备在进行完基本配置后，记得点击保存或应用按钮，将设置的参数保存到设备中。

然后，重新启动网闸设备，使配置生效。

注：在保存配置之前，最好先备份一份当前的配置，以便在配置出现问题时可以方便地还原。

至此，网闸设备的基本配置步骤就完成了。

联想网御网闸配置实例背景：XX局为了组建区域XX平台内网，需要在我们内网中搭建一台服务器，用XX局直接远程到院内网服务器，分配给我们的外网IP：172.17.3.50，255.255.255.0,172.17.3.254，内网服务器IP：192.168.102.64，另外我们还需要一个虚拟的内网转换地址，192.168.102.65。

拓扑结构如下：网闸管理地址：内网口https://10.0.0.1:8889、外网口https://10.0.0.2:8889将本机IP配置成10.0.0.200，直连网闸管理口，下面进行设置：内网口设置首先进入内网口进行配置，输入上述地址后进入管理登录界面账号：administrator 密码：administrator 进入以下界面点击左侧的网络管理选中对应接口fe6点击编辑输入192.168.102.65，这个地址是设置给fe6这个接口的，设置后在允许ping上打钩,最后确定。

接下来需要配置内网地址的安全通道，这个会出现两个安全通道，分别是：客户端的和服务端的，当XX局的172.17.3.x号段进行访问的时候，我们是接受访问的一方，所以在内网上我们就作为服务端，点开服务端的安全通道，点击添加这里注意1、填入的任务号必须是未经使用的。

2、网闸内部的连接是通过内部硬件实现内外网隔离，但却实用任务号关联，所以所设置的任务号、服务类型、端口号必须要与接下来设置的外网口的客户端安全通道一致。

填写好确定保存内网设置完毕点击上部保存按键保存设置外网口设置输入外网口管理地址，输入账号密码进去之后，进行外网的客户端配置（账号密码与内网口账号密码一致）进入系统之后，点击接口配置，配置外网口地址与内网口配置相同注意在允许ping上勾选，确认保存后，点击客户端的安全通道，点击添加点击添加注意选择普通访问，内网口添加时提到的，任务号必须与内网的服务端添加的任务号、服务类型保持一致，原地址选择any，目的地址选择172.17.3.50，确认保存后点击顶端保存。

双网双机冗余配置说明书
双网冗余系统的拓扑如图：
在一个双机冗余中，如上其中主从/机均具备双网卡，并主/从机之间存在两个网络连接，两个网络互为备用，保证主/从机之间的可靠网络通信。

举例：主机M IP：192.168.0.100 192.168.1.100
从机S IP：192.168.0.105 192.168.1.105
主机配置：
第一步：进入力控开发环境→系统配置→双击“本机配置”→“手动配置”→分别输入本机的两个IP地址“添加”。

配置如下：
第二步：进入力控开发环境→系统配置→节点配置→网络节点（右击新建），弹出配置画面如下：
其中，节点名称为从机的名，节点IP为从机的IP地址，本机只有单一网卡可不填，端口默认。

第二步：系统配置→双机冗余（双击打开），弹出配置画面如下：
其中，本机类型选择主机，从机节点选择刚才建立的从机网络节点S。

第三步：系统配置→运行系统参数（双击打开）弹出配置画面如下：
在弹出的配置画面单击系统设置，勾选与主站时钟同步和允许备份站操作。

主机配置结束
从机配置：配置方法与主机相同，只需将其中主/从IP和M/S地址互换即可，不多做介绍。

特别申明：主机与从机的数据库须保持一致, 数据库中点名与I/O连接须一致！
建议：同一工程拷贝到主从机上，然后按照上述说明单独配置！。