力控网闸配置示例.docx

1、力控网闸配置示例1TCP协议1.1同网段配置实例图6-1-1网络拓扑图实现目的：此配置实例主要包含TCP协议相关基本功能配置及特殊应用配置的详细操作步骤，其中TCP协议模块主要包含以下两个功能点。TCP协议基本功能配置特殊点配置内网配置为正向传输配置，外网配置为反向传输配置由于正、反向配置相同，故此配置仅以正向操作为示例1.1.1 TCP协议基本功能配置目的：通过基本功能配置，实现TCP数据的正常传输；以PC1（192.168.10.10）向PC2（192.168.10.20）发送数据为例；配置步骤:搭建如图6-1-1网络环境；通过配置机访问内网管理地址192.168.0.201，登陆系统管理

2、员账户（用户名：admin，密码：cyberadmin），在控制台网络配置-地址配置中添加数据口eth0地址(内网-eth0-192.168.10.100）；通过配置机访问外网管理地址192.168.0.202，登陆系统管理员账户（用户名：admin 密码:cyberadmin），在控制台网络配置-地址配置中添加数据口eth0地址（外网-eth0-192.168.10.200）；进入TCP协议，添加一条任务配置如，图6-1-2；任务号：此任务的标识，X围为：12048；本地IP：网闸代理IP地址，此IP地址可选，需在设备上板网络设置中添加；端口：网闸本地代理地址监听端口；绑定网闸IP：选择网闸

3、下板发出数据的地址，此地址可视为数据通过网闸后的源地址；实际服务器IP：实际目的地址，此为真实的目的地址；实际服务器端口：实际服务器监听端口，设置网闸接收到数据后，发给真实目的的监听端口；DSCP：数据优先级。图6-1-2任务配置选择TCP协议-访问控制，默认规则选择“允许”，如图6-1-3；图6-1-3访问控制（允许）预期结果：PC1：192.168.10.10目的端口：12345发送的目的地址：192.168.10.100PC2：192.168.10.20监听端口：12345PC2能够正常接收PC1发来的数据。1.1.2访问控制1.1.2.1默认允许目的：访问控制是对TCP数据源进行限制，

4、选择数据源是否能够通过网闸进行数据的发送。PC1（192.168.10.10）和PC4（192.168.10.40）向PC2（192.168.10.20）发送数据；端口：12345；PC1可正常发送数据给PC2，但PC4不能够发送数据给PC2。配置步骤：根据以上基本功能配置，进入控制台-TCP协议-访问控制，选择默认规则为允许，如图6-1-4所示；图6-1-4访问控制（允许）添加一条“源IP地址”为192.168.10.40的访问控制，选择拒绝，如图6-1-5所示；图6-1-5访问控制（拒绝）访问控制配置完成，验证策略配置是否生效预期结果：PC1：192.168.10.10目的端口：12345

5、发送目的地址：192.168.10.100PC4：192.168.10.40目的端口：12345发送目的地址：192.168.10.100PC2：192.168.10.20监听端口：12346PC2接收到PC1发来的TCP数据，PC4无法发送TCP数据。1.1.2.2默认拒绝目的：访问控制是对TCP数据源进行限制，选择数据源是否能够通过网闸进行数据的发送。PC1（192.168.10.10）和PC4（192.168.10.40）向PC2（192.168.10.20）发送数据；端口：12345；PC4可正常发送数据给PC2，但PC1不能够发送数据给PC2。配置步骤：根据以上基本功能操作，进入控制

6、台-TCP协议-访问控制，选择默认规则为拒绝，如图6-1-6所示图6-1-6访问控制（默认拒绝）添加一条“源IP地址”为192.168.10.40的访问控制，选择允许，如图6-1-7所示；图6-1-7访问控制（允许）访问控制配置完成，验证策略配置是否生效预期结果：PC1：192.168.10.10目的端口：12345发送目的地址：192.168.10.100PC4：192.168.10.40目的端口：12345发送目的地址：192.168.10.100PC2：192.168.10.20监听端口：12346PC2接收到PC4发来的TCP数据，PC1无法发送TCP数据。1.1不同网段配置实例图6-

7、2-1网络拓扑图实现目的：主要实现不同网段的TCP传输，其中主要包含以下两个功能点。TCP协议基本功能配置特殊点配置内网配置为正向传输配置，外网配置为反向传输配置由于正、反向配置相同，故此配置仅以正向操作为示例1.2.1 TCP协议基本功能配置目的：通过基本功能配置，实现TCP数据的正常传输；以PC1（192.168.10.10）向PC3（192.168.40.10）发送数据为例；配置步骤:搭建如图6-2-1网络环境；通过配置机访问内网管理地址192.168.0.201，登陆系统管理员账户（用户名：admin，密码：cyberadmin），在控制台网络配置-地址配置中添加数据口eth0地址(内

8、网-eth0-192.168.20.100）；在控制台网络配置-路由配置中添加静态路由，如图6-2-2所示；图6-2-2内网路由配置通过配置机访问外网管理地址192.168.0.202，登陆系统管理员账户（用户名：admin 密码:cyberadmin），在控制台网络配置-地址配置中添加数据口eth0地址（外网-eth0-192.168.30.200）；在控制台网络配置-路由配置中添加静态路由，如图6-2-3所示；图6-2-3外网路由配置进入TCP协议，添加一条任务配置如，图6-2-4；任务号：此任务的标识，X围为：12048；本地IP：网闸代理IP地址，此IP地址可选，需在设备上板网络设置中

9、添加；端口：网闸本地代理地址监听端口；绑定网闸IP：选择网闸下板发出数据的地址，此地址可视为数据通过网闸后的源地址；实际服务器IP：实际目的地址，此为真实的目的地址；实际服务器端口：实际服务器监听端口，设置网闸接收到数据后，发给真实目的的监听端口；DSCP：数据优先级。图6-2-4任务配置选择TCP协议-访问控制，默认规则选择“允许”，如图6-2-5所示；图6-2-5访问控制预期结果：PC1：192.168.10.10目的端口：12345发送的目的地址：192.168.20.100PC3：192.168.40.10监听端口：12345PC3能够正常接收PC1发来的数据。1.2.2 访问控制1.

10、2.2.1 默认允许目的：访问控制是对TCP数据源进行限制，选择数据源是否能够通过网闸进行数据的发送。PC1（192.168.10.10）和PC2（192.168.10.40）向PC3（192.168.40.10）发送数据；端口：12345；PC1可正常发送数据给PC3，但PC2不能够发送数据给PC3。配置步骤：根据以上基本功能配置，进入控制台-TCP协议-访问控制，选择默认规则为允许，如图6-2-6所示；图6-2-6访问控制（默认允许）添加一条“源IP地址”为192.168.10.40的访问控制，选择拒绝，如图6-2-7所示；图6-2-7访问控制（拒绝）访问控制配置完成，验证策略配置是否生效

11、预期结果：PC1：192.168.10.10目的端口：12345发送目的地址：192.168.20.100PC2：192.168.10.40目的端口：12345发送目的地址：192.168.20.100PC3：192.168.40.10监听端口：12346PC3接收到PC1发来的TCP数据，PC2无法发送TCP数据。1.2.2.2默认拒绝目的：访问控制是对TCP数据源进行限制，选择数据源是否能够通过网闸进行数据的发送。PC1（192.168.10.10）和PC2（192.168.10.40）向PC3（192.168.10.20）发送数据；端口：12345；PC2可正常发送数据给PC2，但PC1

12、不能够发送数据给PC3。配置步骤：根据以上基本功能操作，进入控制台-TCP协议-访问控制，选择默认规则为拒绝，如图6-2-8所示图6-2-8访问控制（默认拒绝）添加一条“源IP地址”为192.168.10.40的访问控制，选择允许，如图6-2-9所示；图6-2-9访问控制（允许）访问控制配置完成，验证策略配置是否生效预期结果：PC1：192.168.10.10目的端口：12345发送目的地址：192.168.20.100PC2：192.168.10.40目的端口：12345发送目的地址：192.168.20.100PC3：192.168.40.10监听端口：12346PC3接收到PC2发来的T

13、CP数据，PC1无法发送TCP数据。2UDP协议2.1同网段配置实例图7-1-1网络拓扑图实现目的：此配置实例主要包含UDP协议相关基本功能配置及特殊应用配置的详细操作步骤，其中UDP协议模块主要包含以下两个功能点。UDP协议基本功能配置特殊点配置2.1.1 UDP协议基本功能配置目的：通过基本功能配置，实现UDP数据的正常传输；以PC1（192.168.10.10）向PC2（192.168.10.20）发送数据为例；配置步骤:搭建如图7-1-1网络环境；通过配置机访问内网管理地址192.168.0.201，登陆系统管理员账户（用户名：admin，密码：cyberadmin），在控制台网络配置

14、-地址配置中添加数据口eth0地址(内网-eth0-192.168.10.100）；通过配置机访问外网管理地址192.168.0.202，登陆系统管理员账户（用户名：admin 密码:cyberadmin），在控制台网络配置-地址配置中添加数据口eth0地址（外网-eth0-192.168.10.200）；进入UDP协议，添加一条任务配置如，图7-1-2；任务号：此任务的标识，X围为：12048；本地IP：网闸代理IP地址，此IP地址可选，需在设备上板网络设置中添加；端口：网闸本地代理地址监听端口；绑定网闸IP：选择网闸下板发出数据的地址，此地址可视为数据通过网闸后的源地址；实际服务器IP：实

15、际目的地址，此为真实的目的地址；实际服务器端口：实际服务器监听端口，设置网闸接收到数据后，发给真实目的的监听端口；DSCP：数据优先级。图7-1-2任务配置选择UDP协议-访问控制，默认规则选择“允许”，如图7-1-3；图7-1-3访问控制预期结果：PC1：192.168.10.10目的端口：12345发送的目的地址：192.168.10.100PC2：192.168.10.20监听端口：12345PC2能够正常接收PC1发来的数据。2.1.1访问控制2.1.2.1默认允许目的：访问控制是对UDP数据源进行限制，选择数据源是否能够通过网闸进行数据的发送。PC1（192.168.10.10）和P

16、C4（192.168.10.40）向PC2（192.168.10.20）发送数据；端口：12345；PC1可正常发送数据给PC2，但PC4不能够发送数据给PC2。配置步骤：根据以上基本功能配置，进入控制台-UDP协议-访问控制，选择默认规则为允许，如图7-1-4所示；图7-1-4访问控制（默认允许）添加一条“源IP地址”为192.168.10.40的访问控制，选择拒绝，如图7-1-5所示；图7-1-5访问控制（拒绝）访问控制配置完成，验证策略配置是否生效预期结果：PC1：192.168.10.10目的端口：12345发送目的地址：192.168.10.100PC4：192.168.10.40目

17、的端口：12345发送目的地址：192.168.10.100PC2：192.168.10.20监听端口：12346PC2接收到PC1发来的UDP数据，PC4无法发送UDP数据。2.1.2.2默认拒绝目的：访问控制是对UDP数据源进行限制，选择数据源是否能够通过网闸进行数据的发送。PC1（192.168.10.10）和PC4（192.168.10.40）向PC2（192.168.10.20）发送数据；端口：12345；PC4可正常发送数据给PC2，但PC1不能够发送数据给PC2。配置步骤：根据以上基本功能操作，进入控制台-UDP协议-访问控制，选择默认规则为拒绝，如图7-1-6所示图7-1-6访

18、问控制（默认拒绝）添加一条“源IP地址”为192.168.10.40的访问控制，选择允许，如图7-1-7所示；图7-1-7访问控制（允许）访问控制配置完成，验证策略配置是否生效预期结果：PC1：192.168.10.10目的端口：12345发送目的地址：192.168.10.100PC4：192.168.10.40目的端口：12345发送目的地址：192.168.10.100PC2：192.168.10.20监听端口：12346PC2接收到PC4发来的UDP数据，PC1无法发送UDP数据。2.2不同网段配置实例图7-2-1网络拓扑图实现目的：主要实现不同网段的UDP传输，其中主要包含以下两个功

19、能点。UDP协议基本功能配置特殊点配置内网配置为正向传输配置，外网配置为反向传输配置由于正、反向配置相同，故此配置仅以正向操作为示例2.2.1 UDP协议基本功能配置目的：通过基本功能配置，实现UDP数据的正常传输；以PC1（192.168.10.10）向PC3（192.168.40.10）发送数据为例；配置步骤:搭建如图7-2-1网络环境；通过配置机访问内网管理地址192.168.0.201，登陆系统管理员账户（用户名：admin，密码：cyberadmin），在控制台网络配置-地址配置中添加数据口eth0地址(内网-eth0-192.168.20.100）；在控制台网络配置-路由配置中添加

20、静态路由，如图7-2-2所示；图7-2-2内网路由配置通过配置机访问外网管理地址192.168.0.202，登陆系统管理员账户（用户名：admin 密码:cyberadmin），在控制台网络配置-地址配置中添加数据口eth0地址（外网-eth0-192.168.30.200）；在控制台网络配置-路由配置中添加静态路由，如图7-2-3所示；图7-2-3外网路由配置进入UDP协议，添加一条任务配置如，图7-2-4；任务号：此任务的标识，X围为：12048；本地IP：网闸代理IP地址，此IP地址可选，需在设备上板网络设置中添加；端口：网闸本地代理地址监听端口；绑定网闸IP：选择网闸下板发出数据的地址

21、，此地址可视为数据通过网闸后的源地址；实际服务器IP：实际目的地址，此为真实的目的地址；实际服务器端口：实际服务器监听端口，设置网闸接收到数据后，发给真实目的的监听端口；DSCP：数据优先级。图7-2-4任务配置选择UDP协议-访问控制，默认规则选择“允许”，如图7-2-5；图7-2-5访问控制预期结果：PC1：192.168.10.10目的端口：12345发送的目的地址：192.168.20.100PC3：192.168.40.10监听端口：12345PC3能够正常接收PC1发来的数据。2.2.2访问控制2.2.2.1默认允许目的：访问控制是对UDP数据源进行限制，选择数据源是否能够通过网闸

22、进行数据的发送。PC1（192.168.10.10）和PC2（192.168.10.40）向PC3（192.168.40.10）发送数据；端口：12345；PC1可正常发送数据给PC3，但PC2不能够发送数据给PC3。配置步骤：根据以上基本功能配置，进入控制台-UDP协议-访问控制，选择默认规则为允许，如图7-2-6所示；图7-2-6访问控制（默认允许）添加一条“源IP地址”为192.168.10.40的访问控制，选择拒绝，如图7-2-7所示；图7-2-7访问控制（拒绝）访问控制配置完成，验证策略配置是否生效预期结果：PC1：192.168.10.10目的端口：12345发送目的地址：192.

23、168.20.100PC2：192.168.10.40目的端口：12345发送目的地址：192.168.20.100PC3：192.168.40.10监听端口：12346PC3接收到PC1发来的UDP数据，PC2无法发送UDP数据。2.2.2.2默认拒绝目的：访问控制是对UDP数据源进行限制，选择数据源是否能够通过网闸进行数据的发送。PC1（192.168.10.10）和PC2（192.168.10.40）向PC3（192.168.10.20）发送数据；端口：12345；PC2可正常发送数据给PC2，但PC1不能够发送数据给PC3。配置步骤：根据以上基本功能操作，进入控制台-UDP协议-访问控

24、制，选择默认规则为拒绝，如图7-2-8所示图7-2-8访问控制（默认拒绝）添加一条“源IP地址”为192.168.10.40的访问控制，选择允许，如图7-2-9所示；图7-2-9访问控制（允许）访问控制配置完成，验证策略配置是否生效预期结果：PC1：192.168.10.10目的端口：12345发送目的地址：192.168.20.100PC2：192.168.10.40目的端口：12345发送目的地址：192.168.20.100PC3：192.168.40.10监听端口：12346PC3接收到PC2发来的UDP数据，PC1无法发送UDP数据。3定制访问3.1映射模式3.1.1同网段配置实例图

25、9-1-1网络拓扑图实现目的:此实例主要是为了展示在相同网段的环境中网闸定制访问功能的实现，主要包含同网段映射模式下的TCP、UDP数据传输。（以接收端口10000为例）PC1：192.168.100.10 映射地址：192.168.100.41PC2：192.168.100.40 映射地址：192.168.100.11正反向任务配置都在内网；配置步骤：搭建如图9-1-1网络环境；通过配置机访问内网管理地址192.168.0.201，登陆系统管理员账户（用户名：admin 密码:cyberadmin），在控制台定制访问-映射模式中添加地址映射，模式状态为开启，如图9-1-2所示；图9-1-2映

26、射模式配置完成后，选择定制访问-访问控制界面添加访问控制，默认规则为拒绝，如图9-1-3所示；以图9-1-1环境为例：1.PC1发送数据，PC2接收数据源端IP地址配置为PC1的地址，目的端IP地址为PC2的地址；协议可选择：TCP和UDP；端口配置为：10000；数据发送源在内网，源端位置选择内网；允许数据传输；2.PC2发送数据，PC1接收数据源端IP地址配置为PC2的地址，目的端IP地址为PC1的地址；协议可选择：TCP和UDP；端口配置为：10000；数据发送源在外网，源端位置选择外网；允许数据传输；图9-1-3访问控制配置映射模式定制访问配置完成；预期结果：PC1发送数据，目的地址为

27、192.168.100.11，端口为10000，协议TCP，PC2接收TCP数据接收成功；PC1发送数据，目的地址为192.168.100.11，端口为10000，协议UDP，PC2接收UDP数据接收成功；PC2发送数据，目的地址为192.168.100.41，端口为10000，协议TCP，PC1接收TCP数据接收成功；PC2发送数据，目的地址为192.168.100.41，端口为10000，协议UDP，PC1接收UDP数据接收成功；3.1.2不同网段配置实例图9-1网络拓扑图实现目的:此实例主要是为了展示在相同网段的环境中网闸定制访问功能的实现，主要包含不同网段映射模式下的TCP、UDP数据

28、传输。PC1：192.168.10.10 映射地址：192.168.30.10PC2：192.168.40.20 映射地址：192.168.20.20正反向任务配置都在内网；以接收端口10000为例；配置步骤：搭建如图9-1网络环境；通过配置机访问内网管理地址192.168.0.201，登陆系统管理员账户（用户名：admin 密码:cyberadmin），在控制台定制访问-映射模式中添加地址映射，模式状态为开启，如图9-1-4所示；图9-1-4映射模式配置完成映射后，选择网络配置-路由配置，添加内网路由，如图9-1-5所示；图9-1-5上板路由设置通过配置机访问内网管理地址192.168.0.

29、202，登陆系统管理员账户（用户名：admin 密码:cyberadmin），在控制台网络配置-路由配置外网路由，如图9-1-6所示；图9-1-6下板路由设置路由配置完成后，再次登录内网管理地址192.168.0.201，登陆系统管理员账户（用户名：admin 密码:cyberadmin），选择定制访问-访问控制界面添加访问控制，默认规则为拒绝，如图9-1-7所示；以图9-1-1环境为例：1.PC1发送数据，PC2接收数据源端IP地址配置为PC1的地址，目的端IP地址为PC2的地址；协议可选择：TCP和UDP；端口配置为：10000；数据发送源在内网，源端位置选择内网；允许数据传输；2.PC2发送数据，PC1接收数据源端IP地址配置为PC2的地址，目的端IP地址为PC1的地址；协议可选择：TCP和UDP；端口配置为：10000；数据发送源在外网，源端位置选择外网；允许数据传输；图9-1-7访问控制配置映射模式定制访问配置完成；预期结果：PC1发送数据，目的地址为192.168.20.20，端口为10000，协议TCP，PC2接收TCP数据接收成功；PC1发送数据，目的地址为192.168.20.20，端口为10000，协议UDP，PC2接收UDP数据