第4章：網(wǎng)康ICG的網(wǎng)絡接入課件

第4章網(wǎng)康ICG的【網(wǎng)絡接入】第4章培訓提綱ICG的網(wǎng)絡接入模式2網(wǎng)絡接入的重要性31具體配置方法33網(wǎng)絡接入的重要性網(wǎng)絡接入沒有擁有費力：對于已經(jīng)具備基礎網(wǎng)絡的客戶很可能要為了這個設備的部署而更改網(wǎng)絡拓撲，導致實施復雜度增大費錢：對于新建或希望更換老舊基礎網(wǎng)絡設備的客戶和就需要額外購買本應可以避免的基礎網(wǎng)絡設備，導致建設投資增加雖然客戶的網(wǎng)絡復雜多樣，但只要具備了足夠靈活的網(wǎng)絡接入能力，無論客戶希望保持拓撲，還是希望新建網(wǎng)絡時節(jié)省投資都可以實現(xiàn)。既省力，又省錢網(wǎng)絡接入：客戶已經(jīng)具備基礎的網(wǎng)絡結構，ICG作為其中一個網(wǎng)絡設備應該怎樣接入到網(wǎng)絡中去培訓提綱ICG的網(wǎng)絡接入模式2網(wǎng)絡接入的重要性31具體配置方法33ICG的網(wǎng)絡接入模式單網(wǎng)橋模式網(wǎng)關模式鏡像模式單網(wǎng)橋模式ICG可以串在這里客戶不希望改變網(wǎng)絡的拓撲，ICG可以直接串接在網(wǎng)絡里面ICG可以串在這里PPPOEBAS，提供PPPOE撥號功能代理服務器ICG可以串放這里內口外口運營商通常提供PPPOE接入，ICG能夠識別PPPOE報文，可以直接串接在撥號線路中客戶的網(wǎng)絡中已有代理服務器，ICG需要串接在代理服務器和核心交換機之間網(wǎng)關模式WANLANWANLANMGRICGADSLmodemWANLANWANLANISP客戶新建網(wǎng)絡的時候，希望節(jié)約成本，ICG放在網(wǎng)絡的出口用作網(wǎng)關客戶同時擁有專線和ADSL線路，但是ADSL一般都閑置不用ICG的網(wǎng)關模式可以利用客戶的ADSL線路作為專線線路的備份，提升投資效率只要配置網(wǎng)關模式，ICG自動啟動NAT轉換,不可手工調整不NAT鏡像模式WANLANWANLANMGR客戶關注網(wǎng)絡的連續(xù)性，不希望在網(wǎng)絡中串接其它設備客戶只關心對信息的審計ICG以鏡像模式旁路在網(wǎng)絡中，不改變網(wǎng)絡拓撲在交換機配置鏡像端口，并將交換機進出的數(shù)據(jù)包都轉發(fā)到鏡像端口。將ICG的內網(wǎng)口和交換機的鏡像端口相連，用于接收但不轉發(fā)交換機鏡像端口的數(shù)據(jù)，進出的流量都鏡像到同一個線路中注意：鏡像模式下沒有配置轉發(fā)端口的選項，鏡像旁路默認只使用第一個透明網(wǎng)橋作為轉發(fā)端口，因此連線時請注意要連接到透明網(wǎng)橋1的內網(wǎng)口培訓提綱基本概念和實際應用場景2網(wǎng)絡接入的重要性31具體配置方法33ICG部署前的準備工作部署設備之前需要了解的信息：1、根據(jù)網(wǎng)絡拓撲圖結合客戶的需求決定是以哪種網(wǎng)絡模式接入客戶的網(wǎng)絡2、如果是單網(wǎng)橋模式接入，需要知道 用于ICG橋口并且與所處線路同一網(wǎng)段的IP地址

ICG向外訪問的下一跳地址作為ICG設備的網(wǎng)關地址3、如果是網(wǎng)關模式接入，需要知道

ICG外網(wǎng)口所連接線路的狀態(tài)（專線接入方式或者ADSL接入方式） 用于ICG內網(wǎng)口的IP地址（自動開啟NAT，可以使用保留的私有地址） 專線接入的線路需要知道其IP地址，掩碼和網(wǎng)關地址

ADSL接入的線路需要知道撥號的用戶名和密碼 了解各條線路的帶寬，用于配置線路的權重4、如果是鏡像模式接入，需要知道

內網(wǎng)用戶的網(wǎng)段地址，用于配置策略網(wǎng)段以區(qū)分內外網(wǎng)用戶，以及用于管理口的IP地址5、如果內網(wǎng)網(wǎng)絡環(huán)境有三層交換機，需要知道內網(wǎng)用戶的網(wǎng)段地址單網(wǎng)橋模式綠色的燈表示網(wǎng)口已經(jīng)物理導通，灰色的燈表示還沒有導通。缺省網(wǎng)關配置為ICG橋口向外訪問的下一跳地址給橋口配置與所處的線路同網(wǎng)段的地址，這樣通過橋口IP也可以訪問ICG網(wǎng)橋接口可以自由選擇，但通常橋1就是E0和E1。如果這兩個口有一個失效，可以選擇其它接口。注意E0和E1是一個bypass對，E2和E3是一個bypass對，以此類推，如果跨對選擇接口則設備故障時將無法實現(xiàn)bypass通過【系統(tǒng)管理】－【網(wǎng)絡配置】－【網(wǎng)絡配置】進入單網(wǎng)橋模式配置界面網(wǎng)關模式的配置方法WANLANWANLANMGRICGADSLmodemWANLANWANLANISP網(wǎng)關模式的配置方法受ICG控制的內網(wǎng)客戶需修改其網(wǎng)絡配置，把默認網(wǎng)關指向ICG內網(wǎng)口IP地址選擇用于內網(wǎng)口的接口，內網(wǎng)口的接入方式、網(wǎng)關和權重默認不可更改在【網(wǎng)絡配置】界面下勾選“網(wǎng)關模式”進入配置界面，默認存在一個內網(wǎng)口，首先對它進行配置網(wǎng)關模式點擊界面上的”添加“按鈕，根據(jù)實際情況添加外網(wǎng)口添加對外網(wǎng)口屬性的描述選擇連接此外網(wǎng)口的ICG接口，接口數(shù)量會根據(jù)設備的實際連接的接口數(shù)量顯示可選擇項選擇接口的進入方式，接入方式選擇“靜態(tài)地址”表示專線方式，選擇“ADSL撥號”表示ADSL線路方式，每個接口只能選擇一種接入方式，但是可以有多個接口采用不同的方式接入權重是各個外網(wǎng)接口間負載均衡的配置參數(shù)，最大配置256，例如有3個外網(wǎng)口，希望接口分擔的流量為1：2：3，則第一個接口配置1，第二個接口配置2，第三個接口配置3靜態(tài)地址接入方式請?zhí)顚慖P地址，掩碼，默認網(wǎng)關ADSL方式請輸入用戶名，密碼（無需默認網(wǎng)關，會自動生成）鏡像模式WANLANWANLANMGR鏡像模式鏡像旁路模式會清空設備的原有配置，因此如果希望備份原有的配置請選擇”立即備份“由于無法通過接口區(qū)分內外流量，為了能夠識別報文，必須配置“策略網(wǎng)段”，IP落在策略網(wǎng)段內的作為內網(wǎng)IP，落在策略網(wǎng)段外的作為外網(wǎng)IP。配置完成后，點擊切換模式按鈕，也可以配置鏡像模式之后再配置策略網(wǎng)段鏡像模式默認只使用第一個透明網(wǎng)橋作為轉發(fā)端口，因此無需配置網(wǎng)橋的IP地址，這時需要通過管理口來管理ICG配置策略網(wǎng)段填寫內網(wǎng)地址的網(wǎng)段鏡像模式勾選”啟用控制口“，配置控制口的IP地址，并選擇空閑的接口作為控制口注意：如果希望管理接口既作為管理設備的接口，又作為旁路情況下發(fā)送阻斷報文的接口，則可以不用配置控制口。（推薦！?。。┰阽R像模式下可以實現(xiàn)一定程度的控制能力，這需要有接口可以發(fā)送阻斷報文，可以通過配置控制口來實現(xiàn)點擊“切換模式”按鈕后將進入下圖頁面鏡像模式切換完畢后，再進入網(wǎng)絡配置則看到下圖所示界面，配置完畢ICG的部署三原則1、內網(wǎng)用戶可以訪問到ICG（通過橋口或者管理口）

單網(wǎng)橋模式：通過橋口IP訪問ICG

網(wǎng)關模式：通過內網(wǎng)口IP訪問ICG

鏡像模式：通過管理口IP訪問ICG2、ICG可以訪問外網(wǎng)（用于ICG自身的版本升級，URL庫升級和應用協(xié)議庫升級）

單網(wǎng)橋模式：ICG通過橋口訪問外網(wǎng) 網(wǎng)關模式：ICG通過外網(wǎng)口訪問外網(wǎng) 鏡像模式：ICG通過管理口的默認路由訪問外網(wǎng)3、ICG可以訪問內網(wǎng)用戶（在某條策略屏蔽內網(wǎng)用戶的網(wǎng)頁訪問時，用于向內網(wǎng)用戶發(fā)送提示頁面信息的報文等）

如果內網(wǎng)有三層的網(wǎng)絡環(huán)境，需要對ICG的相應端口配置回指路由鏡像模式的路由配置ICG訪問外網(wǎng)需要配置管理口的默認路由配置為管理口向外訪問的下一跳地址三層網(wǎng)絡結多IP子網(wǎng)的配置－配置回指路由ICG以單網(wǎng)橋模式串接在路由器和三層交換機之間，內網(wǎng)PC訪問被ICG屏蔽的網(wǎng)站的時候，ICG需要向內網(wǎng)PC發(fā)送相應的提示信息，怎樣對ICG進行配置使ICG能夠訪問三臺內網(wǎng)的PC？在ICG中添加一條靜態(tài)路由（回指路由）：目的地址：192.16