H3C虚拟园区网的解决方案
H3C虚拟园区网的解决方案
H3C虚拟园区网解决方案把整网的物理资源虚拟成多套逻辑资源,各群组用户根据预先的配置,只能使用相应的资源。下文为大家详细介绍H3C虚拟园区网解决方案,欢迎阅读!
1 虚拟园区网概述
企业园区网作为企业网络的核心部分,连接了企业总部的办公、生产、研发、财务等多种重要的机构。在网络建设中占有重要的地位。园区网内部终端种类众多,接入用户数量庞大,对网络的性能、可靠性、可管理性都有较高的要求。随着IT业务在企业的生产中的重要性越来越高,建设一张简洁、可靠、高性能的园区网就成为了企业必然的选择。
在终端种类及用户种类越来越多的今天,如何区分这些用户的网络接入权限并且在保证这些用户能够得到可控、可靠的网络服务,成为摆在企业网络管理者面前的难题。H3C的虚拟园区网解决方案集成了H3C的IRF2技术,MPLS/***技术,用户终端准入技术,多业务办卡扩展技术,通过各种技术的集成在企业网络的权限划分,用户接入管理,提升网络可靠性几个方面对现有的园区网建设方案进行了提升形成了一套新的虚拟园区网解决方案。
2 虚拟园区网架构
H3C虚拟园区网的整体结构,虚拟园区网中整合了横向虚拟化及纵向虚拟化技术,接入层、汇聚层、核心层通过IRF2技术进行横向整合,安全模块通过板卡的形式灵活部署在汇聚层交换机,DC前端交换机及Internet出口前端的交换机上。同时,整网通过MPLS/***或MCE多跳技术进行纵向虚拟化,完成对网络资源的隔离。
接入用户通过使用H3C的接入准入方案,能够针对每个用户的身份自动的划分到对应的VLAN中,并在进行三层转发时,对应不同的***实例,做到在整个园区网内部的路径划分。同时,结合H3C的EAD认证系统,能够对用户终端的安全状态进行验证,最终使得接入到园区网的用户不仅身份可靠而且其终端的安全状态也是可靠的。
21 企业网架构的横向虚拟化
企业网架构的横向虚拟化是指:通过使用H3C创新的IRF2技术,是原有的园区网的接入层,汇聚层与核心层设备各自进行横向整合,将多台冗余设备虚拟化为单台逻辑设备,形成一个网络管理与转发节点。其优点主要有:
部署简化:在这样的虚拟化下,网状的企业园区网络形成了一个非常简洁的架构,网络各层之间通过捆绑的单逻辑链路互联,消除了环路。不再需要在接入层设计复杂的生成树协议,也不再需要在变成单一逻辑节点的客户端接入网关上运行VRRP协议。
路由简化:端到端IRF2部署使园区网络形成了无环、树状、辐射型的网络拓扑结构,极大简化了运行维护管理工作。网络中数据流的宏观路径上与简化后的整体网络拓扑具有一致性,业务流在网络中的走向清晰明确。同时,每个IRF2节点本身的扩展(如增加该节点设备)既不会改变企业网络的逻辑结构,也不会影响上下层网络的协议交互。
管理简化:横向整合后,原有的多台设备作为一台设备进行管理,对管理的设备的数量进行大大的简化,提高对设备管理的效率。
22 企业网架构的纵向虚拟化
企业网的纵向虚拟化是指对企业网络中物理路径的逻辑虚拟化。例如:一个大型政务中心园区可能会入驻政府的多个部门,包括市委、市府、人大、政协等,这些部门的纵向独立性要求其业务数据与其他部门的业务安全隔离,但协同办公又需要各部门业务能进行可控互访;园区内数据中心的部分服务器同时为多个部门提供服务、部分服务器只为某个部门内部提供服务;园区内所有用户通过同一Internet出口访问互联网;内部用户无论从网络的任何位置接入,都能获得与他在办公室一样的资源访问权限等。
通过将现有园区网络进行纵向的路径虚拟化很好地解决了这个问题,纵向虚拟化就是把网络等硬件设备和应用服务等都看成统一的资源,通过技术手段和方案设计,把这套共有的资源虚拟成多套逻辑资源,供不同的群组/业务使用。虽然在物理上这些资源是统一、集中的,但对不同的用户/业务来说,能够使用到的资源、配置的安全/管理策略可能各不相同。
H3C在纵向虚拟化技术中,解决了下面三方面问题:
1 接入控制:用户接入控制的主要目的在于能够保证用户接入的身份可靠,并且将不同的用户进行分类,归入到不同的区域中,保证其安全的接入网络。同时H3C还能够通过EAD解决方案保证接入用户的安全性。
2 业务逻辑隔离:业务逻辑隔离区别不同权限用户业务之间能够相互隔离,在必要的情况下也可以进行互访。
3 资源隔离:做到对不同用户能够访问的资源的安全隔离,完成端到端的用户访问的虚拟化。
通过用户接入控制及业务逻辑隔离技术,接入用户通过网络边缘的`CE/MCE设备接入,认证通过后集中策略服务器根据认证用户名下发策略把用户端口加入到相应的VLAN中,并根据预设下发部分访问控制策略;在接入或汇聚设备上,通过配置VLAN接口与***的绑定关系,把用户加入到相应的***中去;MCE/PE设备会为每个***建立独立的路由转发表项,从而保证***内用户组的路由信息不会扩散给其它***用户,各***使用MCE或MPLS/***独立进行数据转发,这样就为用户到服务器提供了一种端到端业务传输通道,把不同用户组、不同应用的数据横向隔离开来,完成了园区网的纵向虚拟化。
23 多业务板卡技术
在虚拟园区网方案中通过矩阵式的安全模块部署,解决了在传统的安全技术部署时的难扩展,单一节点故障等问题。
H3C通过将安全模块结合网络设备的创新,虚拟园区网中的的安全设备部署能够灵活的利用设备背板的交换能力以及设备对网络流量的策略,根据策略灵活的将需要进行安全保障的数据通过必要的安全设备,形成一种定制化的,按需分配的安全部署,使得多***用户共享集中部署的防火墙、入侵检测设备、无线接入设备等网络设备,做到对不同用户访问资源的独立控制。
;兄弟 我看看你 防火墙有问题设置的 你默认为进入禁止的话
那你还去开个默认出站 禁止干么 ‘
那个默认是 入和出是开一边的
我公司也是 我弄 我一个人 包括 开用户 化VLAN 都是我一个人做的
我看你那个 开了左边就 关了右边 是冲突的
你既然 默认是入的话 你左边那个3389不要写在那里
要添加下面这张图到这边的 第一条
允许 源接口是 所有接口 源IP 所有IP 端口3389 目的地址 你内网的IP 比如192168102 这台
类型是自己定义的端口 3389-3389 时间所有 状态启用 把那个 默认出站的那条删除
我有玩过几台 er3400的 配置画面和你一样 做过IPSEC
所以还记得一点点 左右两个通讯防火墙是相反的
OK???QQ联系我 365176808 还请指教
这是可以做到的,如何设置无线路由的方法如下:
1、将线路连好,wan口接外网(即ADSL或别的宽带),LAN口接内网即你的电脑网卡;
2、每个路由器都有默认的IP地址,看看说明书就知道,我的19216811;
3、将自己的电脑IP配置为1921681x ,网关和dns指向路由器,即为19216811;
4、打开电脑上的Internet Explorer,输入http://19216811/,进入路由器的配置界面;
5、一般说明书到这就说你可以顺利的浏览网页了,其实我们发现我们的电脑根本上不了网,这主要是路由器的mac地址在作怪,我们找到mac地址克隆选项,选择克隆mac地址,保存后就可以上网。
6、要说明的是有的路由器没有mac地址克隆这个选项,那我们只有手工修改路由器的mac地址,在路由器的mac地址选项中直接输入我们自己电脑网卡的IP地址就可以了,得到自己网卡mac地址的方法是:
进入命令提示符,win2000/xp操作系统输如"ipconfig /all",然后回车。就可以看到有一串字符 (如00-E0-4C-9-B4-43),这就是mac地址了。
一:网络参数的设置
用网线把路由器和电脑连接起来之后,然后对路由器进行简单的设置就可以上网了。此款路由器的功能还是很丰富的,如果只是单纯的网络共享,只要对路由器的
基本功能做简单的设置就可以了。该路由器提供了WEB的管理方式,通过IE就可以很轻易的对路由器就进行设置。每个路由器都一个自己的IP地址,通过此
IP地址就可以对路由器进行访问。例如笔者的路由器的访问IP地址为192、168、1、1。在IE中写入http://19216811然后输入其访问帐号和访问密码就进入路由器的访问界面了。主要对其网络参数、DHCP服务器和安全规则进行设置就可以轻松的进行上网了。选择“网络参数”选项,然后选择LAN口参数设置,会出现下面的设置画面。该选项主要是对路由器的参数进行设置。
MAC地址是本路由器对局域网的MAC地址,此值不可更改。IP地址是本路由器对局域网的IP地址,局域网中所有计算机的默认网关必须设置为该IP地址。需要注意的是如果改变了LAN口的IP地址,必须用新的IP地址才能登录本路由器进行WEB界面管理。
而且如果你所设置的新的LAN口IP地址与原来的LAN口IP地址不在同一网段的话,本路由器的虚拟服务器和DMZ主机功能将失效。如果希望启用这些功能,要重新对其进行设置。子网掩码是本路由器对局域网的子网掩码,一般为2552552550,局域网中所有计算机的子网掩码必须与此处设置相同。选择“WAN口设置”主要是对上网方式和权限进行设置。WAN口连接类型是指本路由器支持三种常用的上网方式,请您根据自身情况进行选择。如果您的上网方式为动态IP,即您可以自动从网络服务商(例如:
中国电信)获取IP地址,请选择“动态IP”;如果您的上网方式为静态IP,即您拥有网络服务商(例如:中国电信)提供的固定IP地址,请选择“静态IP”;如果您上网的方式为ADSL虚拟拨号方式,请选择“PPPoE”。上网账号和上网口令中填入ISP为您指定的ADSL上网帐号和ISP指定的ADSL上网口令。如果选择了按需连接,则在有来自局域网的网络访问请求时,自动进行连接操作。如果自动断线等待时间T不等于0,则在检测到连续T分钟内没有网络访问流量时自动断开网络连接,保护您的上网资源。此项设置仅对“按需连接”和“手动连接”生效。手动连接是指开机后由用户手动进行ADSL拨号连接。一般建议选择按需连接,因为谁不想开机后然后再进行麻烦的拨号了。
此路由器还有MAC地址克隆的功能,MAC地址一般不用更改。但某些ISP可能会要求对MAC地址进行绑定,此时ISP会提供一个有效的MAC地址给用户,您只要根据它所提供的值进行绑定,不过大部分的ADSL都不用此功能所以在此就不详细介绍了。
二:DHCP服务器设置
TCP/IP协议设置包括IP地址、子网掩码、网关、以及DNS服务器等。为局域网中所有的计算机正确配置TCP/IP协议并不是一件容易的事,幸运的是,DHCP服
务器提供了这种功能。如果使用本路由器的DHCP服务器功能的话,您可以让DHCP服务器自动替您配置局域网中各计算机的TCP/IP协议。选择“DHCP服务器”就可以对路由器的的DHCP服务器功能进行设置,地址池开始地址是指DHCP服务器所自动分配的IP的起始地址。如上图中的开始地址为192、168、1、101。地址池结束地址是指DHCP服务器所自
动分配的IP的结束地址,上图中为192、168、1、199了。网关是可选的建议填入路由器LAN口的IP地址,缺省是19216811。主DNS服务器也是可选的填入ISP提供给您的DNS服务器,不清楚可以向ISP询问其他的选项就不用填写了。
最后注意,为了使用本路由器的DHCP服务器功能,局域网中各计算机的TCP/IP协议必须设置为“自动获得IP地址”。此功能需要重启路由器才能生效。
打开浏览器,输入19216811, 用户名与密码都是admin(如果改过的话,就填改过的);
进入页面打开转发规则项,选虚拟服务器,服务端口填风播的端口号,ip地址填本机的ip,协议选ALL,点启用,即可;
打开upnp设置,更改windows防火墙设置;
选例外项,把upnp框架、Funplayer选项打勾。
interface Ethernet2/0 端口下的nat server映射的才可用。
interface Ethernet3/0是无用的,必须在外网接口下做映射,才可用。
所以你现在只开了。3389 80 90 端口。
看你的掩码是2552552550 一个大段。先确定你映射www的外网ip地址,你是否可以使用。如果不是跟接口ip地址一样的话,先确定这个。
之后在内网http://19216810254 内网的web服务器,是否好用。
如果不好用,那就是服务器的事情了。
之后在外网,一定在外网上,不能在你公司里用外网ip地址访问这个web服务。访问http://220170×××× 看是否好用。如果好用而域名不好使,那就是域名没有绑定。如果不好用。那就是路由器的其他配置影响了这个映射。
二、在路由器上设置,我们首先要了解端口映射,所谓的端口映射其实就是我们常说的NAT地址转换的一种,其功能就是把在公网的地址转翻译成私有地址,采用路由方式的ADSL宽带路由器拥有一个动态或固定的公网IP,ADSL直接接在HUB或交换机上,所有的电脑共享上网。三、一般路由器可以采用虚拟服务器的设置和开放主机(DMZ Host)。虚拟服务器一般可以由用户自己按需定义提供服务的不同端口,而开放主机是针对IP地址,取消防火墙功能,将局域网的单一IP地址直接映射到外部IP之上,而不必管端口是多少,这种方式只支持一台内部电脑。四、最常用的端口映射是在网络中的服务器使用的是内部私有IP地址,但是很多网友希望能将这类服务器IP地址通过使用端口映射能够在公网上看到这些服务器,这里,我们就需要搞清楚所用服务的端口号,比如,HTTP服务是80,FTP服务则是20和21两个端口。五、首先我们以最常用的80端口为例,设置一个虚拟HTTP服务器,假设内部HTTP服务器IP地址为1921681105。1、修改路由器本身HTTP服务端口,不建议关闭,将HTTP服务器端口修改为81,提交并重新启动。2、进入虚拟服务器页面,依次填入公共端口号80,私有端口号80,端口类型为TCP,主机IP地址1921681105,完毕后点击增加该设置,然后保存并重新启动路由器,设置就完成了,这个时候外网的通过在IE中输入IP地址就可以访问到内部的1921681105了,当然1921681105要把HTTP服务打开。六、关于FTP的虚拟服务器,注意FTP是两个端口,20和21,两个都要作映射,方法也跟上面的一样,在其他配置页中将本身的FTP服务关闭, 提交并保存。然后在虚拟服务器页中添加两条映射就可以了,跟HTTP的一样,这里就不多说了。
0条评论