物联网接入安全网关SIG

深信服物联网接入安全网关SIG,是专门针对物联网场景研发的IoT终端安全一体化产品,以“精准识别、有效保护”为价值主张,集“IoT资产管理”、“IoT风险发现”、“IoT准入控制”和“IoT安全防护”四大核心能力于一体,为用户提供一站式、自闭环的IoT终端安全管控方案。
点击可切换产品版本
知道了
不再提醒
SIG 6.0.7
{{sendMatomoQuery("物联网接入安全网关SIG","路由模式")}}

路由模式

更新时间:2023-10-09

将物联网接入安全网关SIG设备作为一个路由设备使用,一般是把设备放在内网网关出口的位置,代理局域网上网;或者把设备放在路由器后面,再代理局域网上网,常见部署如下图所示。

注意事项

  1. 设备工作在路由模式时,局域网内电脑的网关都是指向设备的LANIP或指向三层交换机,三层交换机的网关再指向设备。上网数据由设备做NAT或路由转发出去。

WAN、LAN、DMZ网口应设置不同网段的IP地址。

  1. LAN口配置802.1QVLAN地址后,LAN口可以接支持VLAN2层交换机的TRUNK口,设备可以在VLAN间转发数据(单臂路由),并可做LAN<->LAN方向的防火墙规则,即可以控制不同VLAN ID之间的访问控制。
  2. 如果设置路由模式为ADSL拨号上网,请在配置WANIP时选择PPPOE拨号,然后填入拨号账号以及密码,其他操作一样。
  3. 如果设置路由模式为有前置设备,请在配置WANIP为与前置设备LAN口同网段IP,其他操作一样。
  4. 如果前置设备设置了DHCPWAN口可以设置成自动获取IP,并确保WAN口和DHCP服务器的正常通信。

配置指导

用户网络是跨三层的环境,购买设备作为网关使用,代理内网用户上网,公网线路是光纤接入固定分配IP的。

步骤1.先配置设备,通过默认IP登录设备,比如通过LAN口登录设备,LAN口的默认IP10.251.251.251/24,在电脑上配置一个此网段的IP地址,通过https:/10.251.251.251登录设备,默认登录用户名/密码是:admin/admin

步骤2.在导航菜单页面中的[系统管理/网络配置/部署模式],右边进入[部署模式]编辑页面,点击<开始配置>,出现以下页面,配置设备模式为路由模式,点击<下一步>

步骤3.定义LAN区网口和WAN区网口,选择空闲网口,点击<增加>,将空闲网口移动到对应的网口列表。

LAN网口列表:添加到LAN网口列表中的网口,是作为内网口使用的,即需要将LAN区网口接到内网方向。

WAN网口列表:添加到WAN网口列表中的网口,是作为外网口使用的,即需要将WAN区网口接到外网方向。当需要使用多个WAN口时,需要申请多线路授权。

DMZ网口列表:添加到DMZ网口列表中的网口,是作为内网口使用的。和LAN口区一样,DMZ区也是属于内网口的,用户可以在DMZ区接一些内网重要的服务器,通过设备的防火墙设置控制LAN口区内网用户的访问权限,保证服务器的安全。参考防火墙设置。

步骤4.设备默认的LAN口区网口是ETH0DMZ口区网口是eth1WAN口区网口是RTH2,这些网口位置建议不要随便修改,和设备面板的图示接口保持一致。

步骤5.其他空闲接口可以自定义其所属的区域。

步骤6.完成网口定义,点击<下一步>,配置LAN区网口IP地址。此例中LAN口区的网口是ETH0,此处配置ETH0的地址是:192.168.1.12/255.255.255.0

物联网接入安全网关SIG支持IPV6版本,设备网口IP地址、网关、DNS等都支持配置IPV6地址,以下配置以IPV4配置为例。

如果交换机上划分了VLAN,且接设备LAN口为trunk口则需要启用VLAN(本例中接的是三层交换机,不需要启用VLAN)。

IP地址中分别填写各个VLANIDIP,此IP是分配给设备的一个VLAN的空闲IP,如局域网中有VLAN 2,且VLAN 2的网段为10.10.0.0/255.255.0.0,假设10.10.0.1这个IP在内网没有被使用,则可以在IP地址列表中填写10.10.0.1/255.255.0.0。其他的VLAN信息也按照这种方法,一行一个添加进去。

配置WAN区网口,此例中WAN口区的网口是ETH2

WAN口支持自动获取、手动配置和PPPOE拨号三种类型,此例中公网线路是光纤接入,固定分配公网IP地址的,所以选择[手动配置]

如果公网IP是通过DHCP自动获取的,那么请勾选自动获取,此例中公网IP已经固定分配了,在[IP地址]中填入公网IP地址,另外分别配置好公网分配的网关地址、DNS

步骤7.配置WAN区网口,此例中WAN口区的网口是ETH2

步骤8.如果线路是PPPOE拨号,需要将WAN口和modem相连。勾选自动拨号作用是在拨号线路异常断开后自动重新拨号,或者是重启设备后自动拨号。输入拨号的账号和密码。

步骤9.配置DMZ区网口,此例中DMZ区的网口是ETH1,在IP地址中配置IP地址和子网掩码。

步骤10.NAT配置,用于设置代理上网规则,当设备做网关,接到公网线路时,需要在设备上做代理上网设置,以代理内网用户正常上网。设置要代理的[代理网段]并指定[外网接口][外网接口]可以设置为WAN区的其中一个网口或者全部网口。

设置完成后,在[系统管理/防火墙/NAT代理上网]中新增一条代理规则“代理LAN口上网”,此处不能修改名称和转换的源地址,如果需要配置请在[NAT代理上网]中进行配置。如果内网还有其他网段的用户需要被代理,也需要在[NAT代理上网]中另外添加规则参考NAT代理上网

步骤11.检查配置无误后,点击<提交>

步骤12.设置完毕需要重启设备才可以生效,在弹出的提示框中点击<>

步骤13.此例中由于内网的网段与设备LAN口不在同一网段,需要加上设备到内网的系统路由,在导航菜单页面中的[网络配置/静态路由],右边进入静态路由编辑页面,点击<新增>则可以添加路由(具体设置方法参考路由章节)。当内网有多个网段时需要相应的添加多条静态路由。

步骤14.配置新增[/用户] 或者是在[认证策略]中添加新用户认证策略,避免内网用户没有有效的身份验证,无法通过设备上网。

步骤15.基本配置完毕后,将设备接入网络中,WAN口接外网线路,LAN口接内网交换机,并且将内网交换机的路由重新指向设备的LAN口。