网康ICG_多环境部署示例

不同网络环境之部署配置目录•网桥模式•场景一:单网桥二层环境A•场景二:单网桥二层环境B•场景三:单网桥二层环境C•场景四:单网桥三层环境•场景五:单网桥外部串接代理•场景六:单网桥外部单臂代理•场景七:网桥无可用桥口ip•场景八:双网桥模式•网关模式•场景九:网关模式-静态公网地址•场景十:网关模式-ADSL拨号•场景十一:网关模式-多ISP链路备份2目录•旁路模式•场景十二:镜像模式•集团部署•场景十三:集团综合部署ICG-CM3场景一:单网桥二层环境A•单网桥模式–二层网络环境1.Access链路场景一：内网只有一个网段（192.168.1.0/24），防火墙和交换机之间为Access链路，防火墙LAN口地址为192.168.1.1客户要求：内网用户均能上网，且可管理ICG；下同。注：防火墙可替换为路由器，全文通用。4场景一:单网桥二层环境A界面配置5场景二:单网桥二层环境B•单网桥模式–二层网络环境场景二：内网有两个网段（192.168.1.0/24和192.168.2.0/24），防火墙和交换机之间为Access链路，防火墙LAN口地址为192.168.1.1和192.168.2.1（FireWall的LAN口有多Ip或子地址等）6场景二:单网桥二层环境BICG添加多ip目的：让192.168.1.0/24和192.168.2.0/24两个网段均能访问管理ICG。7场景三:单网桥二层环境C•单网桥模式–二层网络环境Trunk链路场景三：内网有3个Vlan（Vlan100：192.168.1.0/24、Vlan200：192.168.2.0/24和Vlan300：192.168.3.0/24），防火墙和交换机之间为Trunk链路，防火墙LAN口地址为192.168.1.1、192.168.2.1和192.168.3.18场景三:单网桥二层环境C9配置管理口，默认路由配置为走管理口。场景四:单网桥三层环境•单网桥模式–三层网络环境场景四：内网有3个Vlan（192.168.10.0/24、192.168.20.0/24和192.168.30.0/24），防火墙Lan口和对端核心交换机端口处于同一Vlan（192.168.1.0/24），防火墙Lan口地址为192.168.1.1，对端交换机地址为192.168.1.25410场景四:单网桥三层环境仅针对用户上外网时旁路引擎工作模式可不配置静态路由；串接引擎工作模式必须配置静态路由。管理网康时，则两者全加静态路由。11场景五:单网桥外部串接代理•单网桥模式–外部串接代理网络环境场景五：内网用户通过一台串接代理服务器访问互联网，代理服务器Lan口地址为192.168.0.2，对端核心交换机地址为192.168.0.254，代理端口为8080。12场景五:单网桥外部串接代理•除常规网络配置外，需开启“外部代理”并设置相应代理端口。注意：如ICG上网也必须通过代理服务器，则需设置“升级代理配置”选项，否则可能造成ICG更新障碍。13场景六:单网桥外部单臂代理•单网桥模式–外部单臂代理网络环境场景六：内网用户通过一台单臂部署的代理服务器访问互联网，代理服务器地址为192.168.100.100，对端交换机地址为192.168.100.1，代理端口为8080。14注意：外部单臂代理网络环境，无需配置静态路由。如ICG上网也必须通过代理服务器，则需设置“升级代理配置”选项，否则可能造成ICG更新障碍。场景六:单网桥外部单臂代理15场景七:网桥无可用桥口ip•特殊网络环境的部署–无可用IP分配给网桥场景七：内网有3个VlanVlan100：192.168.10.0/24，网关192.168.10.1；Vlan200：192.168.20.0/24，网关192.168.20.1；Vlan300：192.168.30.0/24，网关192.168.30.1；防火墙Lan口和对端核心交换机端口处于同一Vlan（Vlan1：192.168.1.0/30），防火墙Lan口地址为192.168.1.1，对端交换机地址为192.168.1.216场景七:网桥无可用桥口ip•旁路引擎工作模式1.启用管理口，配置为内网任一Vlan的地址，并连接到核心交换机该Vlan的端口上；2.添加管理口默认路由；3.将网桥地址和默认网关配置为假地址；4.管理员通过管理口地址访问设备。17场景七:网桥无可用桥口ip18场景七:网桥无可用桥口ip•串接引擎工作模式1.启用管理口，配置为内网任一Vlan的地址，并连接到核心交换机该Vlan的端口上；2.将网桥地址配置为Vlan1的广播地址，掩码调整为24位，缺省网关指向防火墙；3.在ICG受限shell绑定防火墙和交换机的IP和MAC；4.添加网桥接口静态路由；5.添加管理口静态路由，指定DNS地址和升级服务器地址由管理口经交换机出站；6.管理员通过管理口地址访问设备。19场景七:网桥无可用桥口ip20场景八:双网桥模式•双网桥模式场景八：用户有2个独立的内部网络，线路一为192.168.1.0/24，网关192.168.1.1；线路二为192.168.2.0/24，网关192.168.2.1；21场景八:双网桥模式注意：需配置正确的静态路由，以确保返回的数据包被送往正确的交换机，否则可能造成访问障碍。22场景九:网关模式-静态公网地址•静态公网地址场景九：用户通过电信分配的静态公网IP上网，公网IP为211.123.132.231，掩码为255.255.255.248，网关为211.123.132.230，内网地址为192.168.1.0/2423场景九:网关模式-静态公网地址**静态路由配置步骤略。24场景十:网关模式-ADSL拨号•Adsl拨号场景十：用户通过电信Adsl拨号上网，账号为ad62670909，密码为4006783600，内网地址为192.168.1.0/2425场景十:网关模式-ADSL拨号**静态路由配置步骤略。26场景十一:网关模式-多ISP链路备份•多ISP链路备份场景十一：用户主要通过电信分配的静态公网IP上网，公网IP为211.123.132.231，掩码为255.255.255.248，网关为211.123.132.230，另外还有一条Adsl拨号备份线路，账号为ad62670909，密码为4006783600，内网地址为192.168.1.0/2427场景十一:网关模式-多ISP链路备份**静态路由配置步骤略。28场景十二:镜像模式场景十二：防火墙Lan口地址192.168.1.1，内部网络包含3个Vlan：Vlan100：192.168.10.0/24Vlan200：192.168.20.0/24Vlan300：192.168.30.0/24ICG镜像旁路部署作上网行为审计用。29场景十二:镜像模式•步骤：–1.启用管理口，并从管理口登录设备；管理口地址可以为内网任一Vlan的地址，如192.168.10.23；–2.配置网桥地址为内网任一Vlan的地址，但必须与管理口不同网段，如192.168.20.23；–3.将内网口与已经配置完毕的交换机镜像口相连；–4.切换镜像模式，并按需要备份当前配置数据；–5.设置内网地址段为策略网段；–6.如需控制Web访问行为，则需配置控制口，控制口地址应与网关IP同网段，且不能与管理口、网桥口IP同网段；30场景十二:镜像模式31场景十二:镜像模式注意：控制口为可选配置，如用户仅需旁路审计，则可不启用控制口；ICG内网口与交换机镜像口相连；控制口、管理口均连接到对应的交换机以太网口；管理员通过管理口登录设备管理界面。32场景十三:集团综合部署ICG-CM场景十三：用户在北京、上海和广州设立了分公司，希望通过总部对全公司进行集中管理。总部内网IP：192.168.1.0/24总部ICG：192.168.1.23总部集中管理平台：192.168.1.10033场景十三:集团综合部署ICG-CM•集团总部与各分公司间有专线或VPN线路连接，或各分公司具备固定公网IP地址，则直接在集中管理平台上添加各分公司的ICG设备；•集团总部与各分公司间无专线或VPN线路连接，且各分公司不具备固定公网IP地址，则需要启用集中管理平台VPN功能，步骤：–为集中管理平台配置一个公网IP，或在出口路由设备上配置地址映射；–在集中管理平台【系统管理】—【网络配置】页面启用VPN服务，并设定客户端地址段；–在ICG端【系统管理】—【网络配置】页面启用VPN服务，并设定集中管理端公网IP地址。34场景十三:集团综合部署ICG-CM集中管理端配置VPN服务注意：VPN地址段不得与总部或分公司内网地址段相同。35场景十三:集团综合部署ICG-CMICG端配置VPN服务36谢谢！37