登录

欢迎user新华三退出

国家 / 地区

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

H3C SecPath GAP2000-CN系列安全隔离与信息交换系统 典型配置(E6701)-5W101

目录

10-透明映射配置举例

本章节下载 10-透明映射配置举例  (653.70 KB)

10-透明映射配置举例

目  录

1 简介

2 配置前提

3 H3C SecPath GAP2000透明映射配置举例

3.1 组网需求

3.2 使用版本

3.3 配置步骤

3.3.1 过B/S方式登录网闸外端机

3.3.2 外端机网络配置

3.3.3 通过B/S方式登录网闸内端机

3.3.4 内端机网络配置

3.3.5 通道设置

3.3.6 源端路由设置

3.4 验证配置

通过Host A直接访问内网184.0.0.219服务器,可以成功访问.

 

1 简介

本文档介绍了H3C SecPath GAP2000的透明映射配置举例。

H3C SecPath GAP2000用于隔离网络数据交换。提供HTTP、HTTP PROXY、SMTP、POP3、FTP、ORACLE、SIP、RTSP等应用级检测通道。使用户可以在两边网络隔离的前提下,即底层TCP/IP协议彻底阻断的情况下,实现上述应用的互访。专用于解决医院、工商、税务、金融等行业隔离网络信息交换问题。

在某些特殊应用协议中,源端发起方必须访问目标实际IP。应用方无法通过调试客户端设置,来访问映射地址,因为不是所有协议都支持映射方式访问。比如ORACLE、SQL SERVER数据库集群,或者部分WEB服务。因为这类应用有个特点,就是会重定向第二次会话连接。服务端会将实际受理访问的IP放在第一次请求的响应报文中,返回给源端。源端发起的第二次访问会绕开配置好的网闸监听IP,直接向对端服务器实际IP发起访问。在这种情况下,需要这对这些特殊的IP配置透明映射通道。

2 配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文假设您已了解H3C SecPath GAP2000特性。

3 H3C SecPath GAP2000透明映射配置举例

3.1  组网需求

网闸虽然不能直接配置路由、桥接功能,但可以通过特殊的配置方法,实现类似于路由器或桥接的功能。这种配置方法被叫做透明映射。

图1所示HOST1、HOST3代表外网访问的终端,HOST1和网闸外端同网段,HOST3同网闸外端不同网段。HOST2属于内网对外开放服务器。部署网闸后,配置1条应用通道,使得HOST1、HOST3可以通过服务器实际IP访问到内网的HOST2服务器。

图1 H3C SecPath GAP2000透明映射配置举例组网图

10-透明映射配置举例

 

3.2  使用版本

本举例是在E6701版本上进行配置和验证的。

3.3  配置步骤

3.3.1  过B/S方式登录网闸外端机

通过网闸外端机MAN管理口登录网闸,打开浏览器输入https://192.168.0.2,(MAN口为外端机专用管理口)

系统管理员默认账号:admin;默认密码:adminh3c

安全管理员默认账号:secrecy;默认密码:secrecyh3c

图2 外端机登录页面

3.3.2  外端机网络配置

点击“网络管理”>“IP地址管理”,选中GE0/0,点击“+”设置网闸外端系统的IP。

图3 设置外端系统IP

 

设置完后点“保存”退出。

图4 添加、保存外端IP1设置

图5 添加、保存外端IP2设置

 

点击“网络管理”>“路由配置”设置外端机的路由,如下图。

图6 路由管理

 

点击“新增路由”按钮添加路由。注意“端机口”参数,由于网闸是多机体系,请注意所添加的路由是在哪一端系统上的。设置完毕后点“保存”退出。

图7 添加、保存外端路由

3.3.3  通过B/S方式登录网闸内端机

通过网闸内端机MAN管理口登录网闸,打开浏览器输入https://192.168.0.1,(MAN口为内端机专用管理口)

系统管理员默认账号:admin;默认密码:adminh3c

安全管理员默认账号:secrecy;默认密码:secrecyh3c

图8 内端机登录页面

3.3.4  内端机网络配置

点击“网络管理”>“IP地址管理”,选中GE0/0,点击“+”设置网闸内端系统的IP。

图9 设置内端系统IP

 

设置完后点“保存”退出。

 

图10 添加、保存内端IP设置

3.3.5  通道设置

该配置在内、外端系统的安全管理员secrecy下操作

1. 外端通道管理

添加TCP监听通道

图11 TCP监听通道配置界面

保存并启用TCP监听通道

图12 已保存的外端TCP监听通道

2. 内端通道管理

添加TCP连接通道

图13 TCP连接通道配置界面

保存并启用TCP连接通道

图14 已保存的内端TCP连接通道

3.3.6  源端路由设置

HOST1:22.1.1.80/24和网闸外端22.1.1.254/24是同网段,当HOST1要访问184.0.0.219时,需要自身添加静态路由,将网闸22.1.1.254/24视为下一跳地址。

设备

目标

下一跳网关

HOST1

184.0.0.219/32

22.1.1.254

 

HOST3:22.2.2.80/24和网闸外端22.1.1.254/24是不同网段,HOST3访问184.0.0.219的下一跳,需要指向三层设备,三层设备上的路由需要将184.0.0.219/32下一跳指向网闸22.1.1.254.

设备

目标

下一跳网关

HOST3

0.0.0.0/0.0.0.0

22.2.2.1

三层设备

184.0.0.219/32

22.1.1.254

3.4  验证配置

通过Host A直接访问内网184.0.0.219服务器,可以成功访问.

图15 HOSTA直接访问内网服务器界面

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们