《第4章网康ICG的网络接入课件.ppt》由会员分享,可在线阅读,更多相关《第4章网康ICG的网络接入课件.ppt(24页珍藏版)》请在三一办公上搜索。
1、第4章网康ICG的【网络接入】,第4章,培训提纲,网络接入的重要性,网络接入,没有,拥有,费力:对于已经具备基础网络的客户很可能要为了这个设备的部署而更改网络拓扑,导致实施复杂度增大费钱:对于新建或希望更换老旧基础网络设备的客户和就需要额外购买本应可以避免的基础网络设备,导致建设投资增加,虽然客户的网络复杂多样,但只要具备了足够灵活的网络接入能力,无论客户希望保持拓扑,还是希望新建网络时节省投资都可以实现。既省力,又省钱,网络接入:客户已经具备基础的网络结构,ICG作为其中一个网络设备应该怎样接入到网络中去,培训提纲,ICG的网络接入模式,单网桥模式,ICG可以串在这里,客户不希望改变网络的拓
2、扑,ICG可以直接串接在网络里面,ICG可以串在这里,PPPOE,BAS,提供PPPOE拨号功能,代理服务器,ICG可以串放这里,内口,外口,运营商通常提供PPPOE接入,ICG能够识别PPPOE报文,可以直接串接在拨号线路中,客户的网络中已有代理服务器,ICG需要串接在代理服务器和核心交换机之间,网关模式,ICG,ADSLmodem,ISP,客户新建网络的时候,希望节约成本,ICG放在网络的出口用作网关客户同时拥有专线和ADSL线路,但是ADSL一般都闲置不用ICG的网关模式可以利用客户的ADSL线路作为专线线路的备份,提升投资效率只要配置网关模式,ICG自动启动NAT转换,不可手工调整不N
3、AT,镜像模式,客户关注网络的连续性,不希望在网络中串接其它设备客户只关心对信息的审计ICG以镜像模式旁路在网络中,不改变网络拓扑在交换机配置镜像端口,并将交换机进出的数据包都转发到镜像端口。将ICG的内网口和交换机的镜像端口相连,用于接收但不转发交换机镜像端口的数据,进出的流量都镜像到同一个线路中,注意:镜像模式下没有配置转发端口的选项,镜像旁路默认只使用第一个透明网桥作为转发端口,因此连线时请注意要连接到透明网桥1的内网口,培训提纲,ICG部署前的准备工作,部署设备之前需要了解的信息:1、根据网络拓扑图结合客户的需求决定是以哪种网络模式接入客户的网络2、如果是单网桥模式接入,需要知道用于I
4、CG桥口并且与所处线路同一网段的IP地址ICG向外访问的下一跳地址作为ICG设备的网关地址3、如果是网关模式接入,需要知道ICG外网口所连接线路的状态(专线接入方式或者ADSL接入方式)用于ICG内网口的IP地址(自动开启NAT,可以使用保留的私有地址)专线接入的线路需要知道其IP地址,掩码和网关地址ADSL接入的线路需要知道拨号的用户名和密码了解各条线路的带宽,用于配置线路的权重4、如果是镜像模式接入,需要知道内网用户的网段地址,用于配置策略网段以区分内外网用户,以及用于管理口的IP地址5、如果内网网络环境有三层交换机,需要知道内网用户的网段地址,单网桥模式,绿色的灯表示网口已经物理导通,灰
5、色的灯表示还没有导通。,缺省网关配置为ICG桥口向外访问的下一跳地址,给桥口配置与所处的线路同网段的地址,这样通过桥口IP也可以访问ICG,网桥接口可以自由选择,但通常桥1就是E0和E1。如果这两个口有一个失效,可以选择其它接口。注意E0和E1 是一个bypass对,E2和E3是一个bypass对,以此类推,如果跨对选择接口则设备故障时将无法实现bypass,通过【系统管理】【网络配置】【网络配置】进入单网桥模式配置界面,网关模式的配置方法,ICG,ADSLmodem,ISP,网关模式的配置方法,受ICG控制的内网客户需修改其网络配置,把默认网关指向ICG内网口IP地址,选择用于内网口的接口,
6、内网口的接入方式、网关和权重默认不可更改,在【网络配置】界面下勾选“网关模式”进入配置界面,默认存在一个内网口,首先对它进行配置,网关模式,点击界面上的”添加“按钮,根据实际情况添加外网口,添加对外网口属性的描述,选择连接此外网口的ICG接口,接口数量会根据设备的实际连接的接口数量显示可选择项,选择接口的进入方式,接入方式选择“静态地址”表示专线方式,选择“ADSL拨号”表示ADSL线路方式,每个接口只能选择一种接入方式,但是可以有多个接口采用不同的方式接入,权重是各个外网接口间负载均衡的配置参数,最大配置256,例如有3个外网口,希望接口分担的流量为1:2:3,则第一个接口配置1,第二个接口
7、配置2,第三个接口配置3,静态地址接入方式请填写IP地址,掩码,默认网关,ADSL 方式请输入用户名,密码(无需默认网关,会自动生成),镜像模式,镜像模式,镜像旁路模式会清空设备的原有配置,因此如果希望备份原有的配置请选择”立即备份“,由于无法通过接口区分内外流量,为了能够识别报文,必须配置“策略网段”,IP落在策略网段内的作为内网IP,落在策略网段外的作为外网IP。配置完成后,点击切换模式按钮,也可以配置镜像模式之后再配置策略网段,镜像模式默认只使用第一个透明网桥作为转发端口,因此无需配置网桥的IP地址,这时需要通过管理口来管理ICG,配置策略网段,填写内网地址的网段,镜像模式,勾选”启用控
8、制口“,配置控制口的IP地址,并选择空闲的接口作为控制口,注意:如果希望管理接口既作为管理设备的接口,又作为旁路情况下发送阻断报文的接口,则可以不用配置控制口。(推荐!),在镜像模式下可以实现一定程度的控制能力,这需要有接口可以发送阻断报文,可以通过配置控制口来实现,点击“切换模式”按钮后将进入下图页面,镜像模式,切换完毕后,再进入网络配置则看到下图所示界面,配置完毕,ICG的部署三原则,1、内网用户可以访问到ICG(通过桥口或者管理口)单网桥模式:通过桥口IP访问ICG网关模式:通过内网口IP访问ICG镜像模式:通过管理口IP访问ICG2、ICG可以访问外网(用于ICG自身的版本升级,URL
9、库升级和应用协议库升级)单网桥模式:ICG通过桥口访问外网网关模式:ICG通过外网口访问外网镜像模式:ICG通过管理口的默认路由访问外网3、ICG可以访问内网用户(在某条策略屏蔽内网用户的网页访问时,用于向内网用户发送提示页面信息的报文等)如果内网有三层的网络环境,需要对ICG的相应端口配置回指路由,镜像模式的路由配置,ICG访问外网需要配置管理口的默认路由,配置为管理口向外访问的下一跳地址,三层网络结多IP子网的配置配置回指路由,ICG以单网桥模式串接在路由器和三层交换机之间,内网PC访问被ICG屏蔽的网站的时候,ICG需要向内网PC发送相应的提示信息,怎样对ICG进行配置使ICG能够访问三台内网的PC?,在ICG中添加一条静态路由(回指路由):目的地址:192.168.0.0 IP掩码:255.255.0.0下一跳:192.168.1.2 接口:网桥接口,练习题目,1、镜像模式下ICG怎样区分内外流量?2、网关模式下多链路出口的负载均衡是怎样实现的?3、镜像模式下怎样实现让ICG自身访问网络?,谢 谢!,网康科技助您上好网 用好网,
