H3C SecPath GAP文件同步配置指南.docx

H3C SecPath GAP文件同步配置指南.docx

《H3C SecPath GAP文件同步配置指南.docx》由会员分享，可在线阅读，更多相关《H3C SecPath GAP文件同步配置指南.docx（15页珍藏版）》请在冰豆网上搜索。

H3CSecPathGAP文件同步配置指南

H3CSecPathGAP2000系列

文件同步配置指南

1文件同步系统介绍

文件同步模块专用于解决隔离两网服务器之间的文件传输难题。

能够提供比普通文件传输协议更安全的传输途径。

避免黑客借助应用层文件传输协议漏洞，攻击内部网络。

2配置前提

本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解H3CSecPathGAP2000特性和文件同步系统功能。

3配置指导

3.1测试准备

PC、安全隔离与信息交换系统（H3CSecPathGAP2000）、SW（交换机）、VMwareWorkstation

软件、文件同步系统（内/外端）、文件服务器。

3.2组网需求

如图1所示，HOST1和HOST2上面分别安装VMwareWorkstation软件，同时加载文件同步系统和文件服务系统，桥接模式连接到外部网络。

现有以下组网需求：

将内端侧文件服务器的文件同步到外端侧文件服务器中，实现内、外网之间，自动安全信息交换。

图1文件同步配置组网图

这里测试使用的文件同步系统和文件服务器系统都是安装在VMwareWorkstation上的虚拟系统。

3.3使用版本

该配置指导是H3CSecPathGAP2000设备在H3Ci-WareSoftware,Version3.1,ESS6001版本，文件同步系统Version1.0上进行配置和验证的。

3.4连通性配置

3.4.1组网环境配置

配置HOST1、HOST2、管理pc、SW互联口、文件服务器地址，在HOST2上配置9.1.1.0/24网段到10.1.1.0/24网段的路由，下一条地址9.1.1.1。

3.4.2GAP2000接口、路由配置

通过管理pc登陆网闸设备，配置内外端SLOT0/0地址。

图2配置内外端SLOT0/0地址

在网闸上配置10.1.1.0/24网段到9.1.1.0/24网段的路由。

图3新增路由

3.4.3加载文件同步系统

在HOST1和HOST2上分别安装VMwareWorkstation软件，运行并加载预先配置好网口配置的文件同步同步系统。

文件同步系统有内端和外端系统两个，是通过内端系统管理口进行统一管理配置的，出厂的时候内外端是可以进行统一管理的，实际使用的时候，地址会根据实际的网络环境进行更改，从而造成外端文件同步系统故障，无法进行配置使用。

因此，需要先在同一台服务器上的VMwareWorkstation中同时启动文件同步的内、外端系统，把同步系统上面的上行口（ETH0）和传输口

（ETH1）地址配置为实际使用的地址。

（1）文件同步内外端系统加载启动之后，登陆文件同步内端系统，用户名：

root，密码：

tcpsync，

ifconfigeth3（管理口）查看接口地址，编辑网络，桥接到本地网卡。

图4步骤1

图5步骤2

（2）本地网卡配置和文件同步系统相同网段的不同地址，https方式登陆文件同步系统配置页面。

图7登录界面

（3）用户名：

admin，密码：

admin，此时可以看到内、外网的状态都是正常的。

（4）在网络设置中选择网口配置，修改内外端前置机的地址。

先修改外网端前置机的ETH1和ETH0地址，修改之后外网端地址就无法看到了；然后修改内网端的ETH1和ETH0地址，修改之后可以在系统状态中看到，外网端的状态是故障的。

图9网口配置

（5）配置好网口之后就可以在实际网络环境中加载了选择文件——＞打开，找到预先配置好网口配置的文件同步系统，选择.vmx文件，点击开启此虚拟机，分别运行文件同步内、外端系统。

图11选择.vmx文件

3.4.4文件同步系统路由配置

文件同步系统起来之后，登陆文件同步系统web页面，配置内外端路由，本组网中需要配置内网段路由：

接口选择ETH0、目的地址为10.1.1.0、掩码为255.255.255.0、网关为9.1.1.1，然后确定。

3.4.5连通性测试

上述步骤配置之后保证外端侧、内端侧地址能够分别互相ping通，即：

HOST1和网闸外端之间、HOST2和网闸外端之间、外端文件服务器和外端文件同步系统、内端文件服务器和内端文件同步系统都能互通

3.5文件同步系统配置

3.5.1文件同步系统部件配置

端口6000是固定的，不可以修改。

3.5.2新建任务

选择左侧树型导航栏中的“同步任务”下“新建任务”项，可以添加任务，显示添加页面。

如下图：

图15新建任务

设置任务名称、内网端、外网端等信息，确认无误后，按“确定”，完成应用通道添加。

设置任务信息，如下图：

∙任务名：

给任务取的名称，该版本暂不支持中文。

∙是否删除源文件：

如题，是否有需要删除源文件，可勾选。

∙过滤扩展名：

阻止特定格式的扩展名传输。

∙选择已有主机：

选择已配置好的主机对象，不用继续配置IP/MAC绑定、IP地址、samba帐号、samba密码。

∙IP/MAC地址绑定：

设置的固定MAC地址的才能使用

∙IP地址：

文件服务器的IP地址

∙samba帐号：

文件服务器的帐号

∙samba密码：

文件服务器的密码

∙同步目录：

文件存放的文件夹名称

∙同步方向：

单向传输（内传外或外传内）；双向传输（内外都可）

∙设置完成后，点击保存，即添加任务成功。

3.5.3查看任务

选择左侧树型导航栏中的“任务列表”，可以显示新建任务列表。

如下图：

图17新建任务列表

选中指定任务，点击启动按钮，可启动新建的任务。

选中指定任务，点击立即同步按钮，可忽略双向同步任务。

如下图：

图19忽略双向同步任务

3.6同步文件夹共享配置

分别登陆内、外端文件服务器，对进行同步的文件夹进行共享配置。

文件夹右键属性，完成共享。

图21文件已共享

高级共享，设置共享权限，应用并确定。

3.7网闸通道配置

配置内端到外端和外端到内端的通道，端口需要和文件同步系统上面配配置的一致，都是6000，固定的。

图23设置内端机通道源

3.8验证

3.8.1查看文件同步系统状态

上述配置无误之后，文件同步的系统状态应该都是正常的。

3.8.2文件同步测试

登陆内端文件服务器，对共享文件夹中的文件进行增加、修改、删除；登陆外端文件服务器，可以看到相应的文件进行了同步更改。

4故障排除

如果文件没有同步成功，可以通过以下步骤进行排查问题

4.1.1故障排查1

通过ping测试网络环境中文件同步系统与网闸端机之间、文件服务器和文件同步系统之间连通性是否正常

4.1.2故障排查2

查看GAP2000设备上，通道是否启用，配置是否正确，有没有过滤策略影响

4.1.3故障排查3

登陆文件同步系统，用户名：

root，密码：

tcpsync，通过命令：

cat/tcp_sync/conf/gap_port.xml查看配置下发是否和文件同步系统中文件同步系统部件配置一致

4.1.4故障排查4

分别登陆内、外端的文件服务器，查看同步文件夹的共享设置是否正确，权限是否开启正常。