新架构网闸之透明模式部署

1、网闸工作原理

网闸被设计为一个2+1结构的设备：一个外端机、一个内端机、一个中间数据硬件交换部件，即隔离交换开关。当数据需要从内向外传递时，内端机基于应用代理服务的模式终止网络协议，解析应用数据，并对数据进行安全处理。安全处理后的数据被隔离开关以专用封装格式摆渡到外端机。外端机采用应用代理客户端的方式将应用数据封装为TCP/IP格式，路由到目的地。当数据需要从外向内传递时，也遵从相似的过程，只是外端机启用了应用代理服务，而内端机启用了应用代理客户端。

2、需求背景

客户购买我司新架构网闸（型号：GAP-1000-A600S）部署内外网核心之间做内网和外网数据交换。

3、设备登录及初始化

①不同型号的网闸默认管理IP不同，如下图所示：

②推荐使用谷歌浏览器管理设备，输入https://x.x.x.x:8443；网闸默认内置了三个系统管理员账号：普通管理员：admin/12345678；安全管理员：audit/12345678；系统管理员：superAdmin/12345678

③管理IP设置（网络配置>管理IP设置）

admin用户登录系统，点击【系统管理】 → 【IPv4网络配置】，切换tab，分别对外端、内端进行管理口IP设置，以及根据需求设置默认网关和DNS、路由等。内外端需分别设置，均在内端操作，设置完成后，重新使用新的IP进行登录

4、部署模式

客户要求网闸部署不能改变原有的网络结构（也就是透明模式部署），业务需求为外网IP（互联网PC）需要访问内网业务的8090和8666端口，网络拓扑如下：

5、透明模式介绍

透传顾名思义就是透明传输，透明传输就是在传输过程中，对外界透明，即看不见它的传送网络，不管传输的业务如何，只负责将需要传送的业务传送到目的节点，相当于一条数据线或者串口线，同时保证传输的质量即可，而不对传输的业务进行处理。

6、具体配置

①功能位置：协议安全代理>网络安全协议代理

②配置注意事项：

配置透传时需注意，网闸两端需分别与内外网直连

③根据客户需求转换为网闸配置

客户需求：网闸透明部署，放通外网访问192.168.10.10的8090和8666的数据流

网闸配置步骤：

（1）点击协议安全代理>网络安全协议代理，启用安全代理配置，勾选对应的业务口和传输口

第一步，根据应用需求，将外网客户端与网闸外端业务口直连，内网服务器与网闸内端业务口直连。

第二步，在「协议安全代理 -> 网络协议安全代理 」处启用安全代理配置，勾选与客户端、服务器直连的业务口，以及传输口，内外两端均需配置

第三步，配置放通规则，根据客户步骤③中的需求，配置安全规则放通源IP为any源端口为any到目的地址为192.168.10.10目的端口为8090和8666（网闸内外端均需要配置放通规则），配置截图如下：

第四步。所有配置操作完一定要记得保存配置！！！切记

7、排障小技巧：

①工具箱使用

例如管理IP配置完成后，如出现管理不到网闸web或业务不通情况下，首先要排除网络层面故障，如IP错误配置等，可使用工具箱来验证。

点击【工具箱】 –> 【PING测试 】，可使用PING工具，测试网闸到网关、到目的服务器的连通性是否正常。

②在【 工具箱】 –> 【路由跟踪 】，可以跟踪到路由地址

③在【 工具箱】 –> 【连通测试】，可进行内外端连通性验证

④ 使用「 工具箱 –> 网络抓包」，可以根据网口进行抓包并支持下载查看，用于问题排查（例如本次项目实施中网闸透明部署，放通对应安全规则，但客户业务还是不通，此情况可通过在内外端对应业务口抓包，通过wireshark分析排障看网闸针对外到内数据进行转发，内网业务未回包导致业务问题，最终排查是内网业务路由问题）

⑤网闸抓包后，解压抓包文件需要解压密码，解压密码为copsdpv2