隔离装置使用手册

注意：保密资料

隔离装置(正向)使用手册

珠海市鸿瑞软件技术有限公司

ADD：珠海市唐家大学路101号清华科技园创业大楼A座606 TEL: (0756) 3612098 3612901 FAX: (0756)3612902

E_MAIL:zhhrsoft@pub.zhuhai.gd.cn

1 概要 ...................................................................... 3 2 隔离装置常用配置 ........................................................... 3

2．1 注意事项 ............................................................ 3 2．2 安装设置中心 ........................................................ 4 2．3 约定 ................................................................ 5 2．4 最简单的网络环境（请看完这一节的内容） .............................. 6 2．5 不同网段接集线器/二层/三层交换机的网络环境 .......................... 9 2．6不同网段接三层交换机插不同网段的网络环境 ........................... 11 2．7 多个网段接路由器的网络环境： ....................................... 13 3 隔离装置特殊配置说明 ...................................................... 16

3．1 UDP广播链路配置方法 ............................................... 16

3．1．1 子网广播方式 ................................................ 16 3．1．2 全网方式 .................................................... 18 3．2 第二部分：一个IP多个MAC地址的配置方法 ............................ 19 3．3 双机热备系统的接线和配置 ........................................... 21 3．4 不通过路由器接两个独立网段和双网版设置中心 ......................... 23 3．5 使用双网口时的NAT转换问题 ......................................... 25 3．6 第六部分：内网机器有IP地址池的配置方法 ............................ 27 3．7 组播的配置方法 ..................................................... 28 4 日志与日志服务器 .......................................................... 30

4．1注意事项： ......................................................... 30 4．2 配置方法： ......................................................... 30 5 正反向隔离装置并联使用的注意事项 .......................................... 32

2

1 概要

本文档详细描述如何配置隔离装置（正向）。

2 隔离装置常用配置 2．1 注意事项

1、在配置前，将隔离装置两个“防写”开关和“单向”开关都拨到右边 (即往‘控制口1 ’ 一边) ，如果原来有其中某一个开关处于左边，拨到右边后请重启隔离装置（关闭电源再打开即可）。

2、隔离装置串口速率为115200，相对较高。有些手提电脑或手提PC的标准RS232串口不能工作在这个速度上，这时请买一个USB转串口的转换线，常用的型号为：BF-810。

3、如果有一对机器通过反向隔离装置和正向隔离装置同时通讯，请小心这两种装置会引起IP地址冲突，需要有一方的装置在配置时做NAT转换，请参阅第5章。

4、隔离装置从版本1.5.0开始，只需要配置内网一端，即只需要对“控制口1”进行规则传输，无须两个控制口都传送一次规则(此前的版本需要两个控制口都传送一次规则。查看隔离装置版本的方法：用超级终端（参数：115200，8N1，无，无）查看隔离装置的启动信息，如下图：

3

5、接隔离装置输入端的一方必须是客户端（内网机），接隔离装置输出端的一方必须是服务器（外网机）； 客户端向服务器主动发起TCP连接，或向服务器发送UDP数据包。

2．2 安装设置中心

设置中心是配置隔离装置的WINDOWS应用程序，需要在WINDOWS机器安装。设置中心安装程序在随机光盘的‘应用程序’目录里，双击“网络隔离装置(*-*).EXE” ，按照向导把设置中心安装完成。

如果安装后不能正常启动设置中心，请把其他几个补丁程序也安装上去。

安装完成后启动设置中心，设置中心一般位于： 开始->程序->网络隔离装置->正向型（设置中心）。其初始密码为大写的： ZHHRSOFT。

4

2．3 约定

从隔离装置的后面观察，装置有四个网口，如下图：

隔离装置 a b c d

为方便画图，用a,b,c,d表示隔离装置从左到右四个网口(从后面观察)，隔离装置网口是普通的网卡，不同于集线器／交换机的网口。 a: “LAN输出” 网口。 b: “LAN备用” 网口。

c: “双机热备” 网口， 双电源型号为“LAN备用” 网口。 d: “LAN输入” 网口。

在设置中心里有输入/输出端，说明如下：

输入端即内网机器，它是发起连接的一方，也叫客户端。

输出端即外网机器，它是接收数据的一方，也叫接收端，或服务器。

隔离装置需要为每一对通讯的机器配置链路，不象防火墙可以为一个网段的多台机器只设一条规则。

下面说的二层交换机是不带路由功能的普通交换机，三层交换交换机则带路由功能。

三层交换机/路由器具备的是路由功能，不是NAT功能，它们转发数据包不能通过NAT转换，即永远不修改源IP。隔离装置具有NAT功能。

下面例子中内外网机器的子网掩码是 255.255.255.0，如有不同，只需要保证“同一个网段”的概念正确即可。

5

2．6不同网段接三层交换机插不同网段的网络环境

外网：10.10.10.10

三层交换机 内网： 192.168.2.10 隔离装置 a b c d 三层交换机

这个例子比上一节的例子多了一台机器192.96.2.30，它接在三层交换机的192.96.2.*网段上，10.10.10.10和装置的a网口都是接在三层交换机的10.10.10.*网段，192.168.2.10和装置的d网口是接在三层交换机的192.168.2.*网段。 192.168.2.10与10.10.10.10的通讯配置方法请参考上一小节。下面说明192.96.2.30与 10.10.10.10的配置方法。 首先说明选择NAT地址的原则： 1、外网主机的NAT地址（更清楚地说：是外网主机在内网的影射地址）将会出现在隔离装置的 d 网口，而隔离装置d网口是接到三层交换机的192.168.2.*网段，所以外网主机的NAT地址应该选择192.168.2*网段的一个IP地址。

2、内网主机的NAT地址（更清楚地说：是外网主机在内网的影射地址）将会出现在隔离装置的 d 网口，而隔离装置d网口是接到三层交换机的192.168.2.*网段，所以外网主机的NAT地址应该选择192.168.2*网段的一个IP地址。

11

内网：192.96.2.30

这时输入端的IP地址和输出端的NAT地址处于不同的网段，输出端的IP地址和输入端的NAT地址处于同一个网段。内网输入端要往输出端的NAT地址发数据，即192.96.2.30要往192.168.2.12发数据，装置负责把数据转发给外网机器10.10.10.10。两个NAT地址不能跟该网段的其他机器有冲突。 同样，192.96.2.30能ping通192.168.2.12，10.10.10.10不能ping通10.10.10.12，但有ARP解释。

注意：输出端的NAT地址为192.168.2.12，之所以要是192.168.2.*网段的IP，是因为隔离装置的 d 网口（“LAN输入”网口）是接在三层交换机的192.168.2* 网段上。 这时候隔离装置的d网口和 192.96.2.30的数据包是通过三层交换机的192.168.2.*网段的网关来转发的，假如说这个网关是 192.168.2.1，则在IP-MAC里面填写 192.96.2.30的MAC地址时，就不能填192.96.2.30自身的MAC地址了，而是要填成网关192.168.2.1的MAC地址：

12

2．7 多个网段接路由器的网络环境：

隔离装置 a 交换机 b c d 路由器 交换机 交换机

外网：10.10.10.10

内网： 192.168.2.10 内网：192.96.2.30

路由器从左到右三个IP地址为：

10.10.10.1， (跟隔离装置d网口相连的路由器网口，以下简称“路由器1网口” )。

192.168.2.1， (跟192.168.2.10相连的路由器网口，以下简称“路由器2网口” )。

192.96.2.1， (跟192.96.2.30相连的路由器网口，以下简称“路由器3网口” )。

把路由器1网口设为10.10.10.1，跟外网主机10.10.10.10是同一个网段的IP，这会使配置简单一些。

注意，对于存在路由器的情况下，不建议内/外网有相同的网段，因为在内/外网网段相同、没有路由器的情况下通讯配置是非常简单的，多了一个路由器反而变复杂多了，原因是路由器不转发相同网段的数据报，当然，可以通过NAT实现这两个相同网段的通讯。（可能引起误解的是路由器1网口跟外网是同一个网段的IP，但这个网口是跟隔离装置d网口连在一起，不会导致通讯的问题）

13

先看192.168.2.10与10.10.10.10，通讯配置：

1 2 3 4

由于路由器1网口配的是10.10.10.1所以输出端的NAT（红色椭圆4处）地址配成10.10.10.10,跟输出端的真实IP地址一样。当内网主机192.168.2.10往10.10.10.10发数据时，首先第一步192.168.2.10把数据包传给它的网关192.168.2.1(路由器的2网口)，路由器发现目的IP是10.10.10.10，它就会将这个数据包通过路由器网口1再传给隔离装置，隔离装置收到这个数据包后将会从隔离装置的 a网口再传给外网主机10.10.10.10，由于隔离装置a网口不接路由器，我们把输入端的NAT地址配为10.10.10.11（这个地址将出现在装置的a网口），跟外网主机处于同一个网段，方便数据报从10.10.10.10返回给装置的a网口。 当隔离装置的d网口有数据报发给192.168.2.10时，是通过路由器1网口（10.10.10.1）来转发给，所以填写192.168.2.10的MAC地址时要填成10.10.10.1的MAC地址：

14

15

3 隔离装置特殊配置说明

3．1 UDP广播链路配置方法

3．1．1 子网广播方式

1、子网广播的IP地址表示：

子网方式的UDP广播中，目标地址不全为255，但至少有一个255，类似于192.168.2.255或10.28.255.255的地址为子网广播地址。

2、网络拓扑图：（Switch/Hub没画出）

192.168.2.243 隔离装置 192.168.2.* （内网） （外网）

192.168.2.243为发送端，它发送UDP广播包，接到隔离装置的“LAN输入”网口。

192.168.2.* 为多个接收端，它们接收UDP广播包，接到隔离装置的“LAN输出”网口。

2、链路配置方法：（注 留意红色椭圆处）

设置中心： 规则->链路配置->添加链路:

上图中： 输入端（发送端）为：192.168.2.243

输出端（接收端）为：192.168.2.255（192.168.2.255表示

16

设置中心：系统->IP与MAC地址配置：

192.168.2.*整个网段）。

端口 是接收端接收应用程序监听端口确定。

192.168.2.255为192.168.2.*网段的广播MAC地址，其MAC必须为6个FF，请勿修改。192.168.2.243的MAC地址为真实值。配置完毕后将规则传到隔离装置, 传送完毕重启装置即可生效。

17

3．1．2 全网方式

1、全网广播的IP地址表示：

全网方式的UDP广播中，目标地址全为255，即 255.255.255.255。

2、配置方法大概类似于子网方式，只要将接收方改成255.255.255.255，见下面截图：

设置中心： 规则->链路配置->添加链路:

设置中心：系统->IP与MAC地址配置：

18

3．2 第二部分：一个IP多个MAC地址的配置方法

1、确定版本号：

隔离装置版本为1.4.0或大于1.4.0才支持这种功能，方法为用超级终端查看装置的启动信息。超级终端参数(115200, 8N1, 无， 无)，接好串口，将隔离装置重启或打开电源，超级终端里面将会打印出来一些启动信息，如果看到下图中红色椭圆处的“ver 1.4.0” ，则说明隔离装置版本为1.4.0，否则请与我们联系以升级内核。

2、 配置一个IP地址两个MAC地址的方法很简单，只是在 设置中心：系统->IP与MAC地址配置, 把这个IP地址对应的两个MAC地址都填写进去就可以了。

3、网络拓扑图：（Switch/Hub没画出）

（内网）

(其中192.168.2.243拥有两个MAC地址) 4、链路配置方法：

设置中心： 规则->链路配置->添加链路:

（外网）

19

设置中心：系统->IP与MAC地址配置：（注 留意红色椭圆处）

注：如果192.168.2.1也有两个MAC，把这两个MAC也填进去就可以。如果内外网是不同的网段，则需要做NAT转换。

20

本文来源：https://www.bwwdw.com/article/xp3f.html