首页帮助文档软件下载故障处理按场景找工具工具全景图兼容性查询在线实验平台服务信息查询产品安全中心订单验收材料下载

物联网接入安全网关SIG

深信服物联网接入安全网关SIG,是专门针对物联网场景研发的IoT终端安全一体化产品,以“精准识别、有效保护”为价值主张,集“IoT资产管理”、“IoT风险发现”、“IoT准入控制”和“IoT安全防护”四大核心能力于一体,为用户提供一站式、自闭环的IoT终端安全管控方案。
点击可切换产品版本
知道了
不再提醒
SIG 6.0.7
物联网接入安全网关SIG 文档 安装部署 部署模式 路由模式
{{sendMatomoQuery("物联网接入安全网关SIG","路由模式")}}

路由模式

更新时间:2023-10-09

将物联网接入安全网关SIG设备作为一个路由设备使用,一般是把设备放在内网网关出口的位置,代理局域网上网;或者把设备放在路由器后面,再代理局域网上网,常见部署如下图所示。

注意事项

  1. 设备工作在路由模式时,局域网内电脑的网关都是指向设备的LANIP或指向三层交换机,三层交换机的网关再指向设备。上网数据由设备做NAT或路由转发出去。

WAN、LAN、DMZ网口应设置不同网段的IP地址。

  1. LAN口配置802.1QVLAN地址后,LAN口可以接支持VLAN2层交换机的TRUNK口,设备可以在VLAN间转发数据(单臂路由),并可做LAN<->LAN方向的防火墙规则,即可以控制不同VLAN ID之间的访问控制。
  2. 如果设置路由模式为ADSL拨号上网,请在配置WANIP时选择PPPOE拨号,然后填入拨号账号以及密码,其他操作一样。
  3. 如果设置路由模式为有前置设备,请在配置WANIP为与前置设备LAN口同网段IP,其他操作一样。
  4. 如果前置设备设置了DHCPWAN口可以设置成自动获取IP,并确保WAN口和DHCP服务器的正常通信。

配置指导

用户网络是跨三层的环境,购买设备作为网关使用,代理内网用户上网,公网线路是光纤接入固定分配IP的。

步骤1.先配置设备,通过默认IP登录设备,比如通过LAN口登录设备,LAN口的默认IP10.251.251.251/24,在电脑上配置一个此网段的IP地址,通过https:/10.251.251.251登录设备,默认登录用户名/密码是:admin/admin

步骤2.在导航菜单页面中的[系统管理/网络配置/部署模式],右边进入[部署模式]编辑页面,点击<开始配置>,出现以下页面,配置设备模式为路由模式,点击<下一步>

步骤3.定义LAN区网口和WAN区网口,选择空闲网口,点击<增加>,将空闲网口移动到对应的网口列表。

LAN网口列表:添加到LAN网口列表中的网口,是作为内网口使用的,即需要将LAN区网口接到内网方向。

WAN网口列表:添加到WAN网口列表中的网口,是作为外网口使用的,即需要将WAN区网口接到外网方向。当需要使用多个WAN口时,需要申请多线路授权。

DMZ网口列表:添加到DMZ网口列表中的网口,是作为内网口使用的。和LAN口区一样,DMZ区也是属于内网口的,用户可以在DMZ区接一些内网重要的服务器,通过设备的防火墙设置控制LAN口区内网用户的访问权限,保证服务器的安全。参考防火墙设置。

步骤4.设备默认的LAN口区网口是ETH0DMZ口区网口是eth1WAN口区网口是RTH2,这些网口位置建议不要随便修改,和设备面板的图示接口保持一致。

步骤5.其他空闲接口可以自定义其所属的区域。

步骤6.完成网口定义,点击<下一步>,配置LAN区网口IP地址。此例中LAN口区的网口是ETH0,此处配置ETH0的地址是:192.168.1.12/255.255.255.0

物联网接入安全网关SIG支持IPV6版本,设备网口IP地址、网关、DNS等都支持配置IPV6地址,以下配置以IPV4配置为例。

如果交换机上划分了VLAN,且接设备LAN口为trunk口则需要启用VLAN(本例中接的是三层交换机,不需要启用VLAN)。

IP地址中分别填写各个VLANIDIP,此IP是分配给设备的一个VLAN的空闲IP,如局域网中有VLAN 2,且VLAN 2的网段为10.10.0.0/255.255.0.0,假设10.10.0.1这个IP在内网没有被使用,则可以在IP地址列表中填写10.10.0.1/255.255.0.0。其他的VLAN信息也按照这种方法,一行一个添加进去。

配置WAN区网口,此例中WAN口区的网口是ETH2

WAN口支持自动获取、手动配置和PPPOE拨号三种类型,此例中公网线路是光纤接入,固定分配公网IP地址的,所以选择[手动配置]

如果公网IP是通过DHCP自动获取的,那么请勾选自动获取,此例中公网IP已经固定分配了,在[IP地址]中填入公网IP地址,另外分别配置好公网分配的网关地址、DNS

步骤7.配置WAN区网口,此例中WAN口区的网口是ETH2

步骤8.如果线路是PPPOE拨号,需要将WAN口和modem相连。勾选自动拨号作用是在拨号线路异常断开后自动重新拨号,或者是重启设备后自动拨号。输入拨号的账号和密码。

步骤9.配置DMZ区网口,此例中DMZ区的网口是ETH1,在IP地址中配置IP地址和子网掩码。

步骤10.NAT配置,用于设置代理上网规则,当设备做网关,接到公网线路时,需要在设备上做代理上网设置,以代理内网用户正常上网。设置要代理的[代理网段]并指定[外网接口][外网接口]可以设置为WAN区的其中一个网口或者全部网口。

设置完成后,在[系统管理/防火墙/NAT代理上网]中新增一条代理规则“代理LAN口上网”,此处不能修改名称和转换的源地址,如果需要配置请在[NAT代理上网]中进行配置。如果内网还有其他网段的用户需要被代理,也需要在[NAT代理上网]中另外添加规则参考NAT代理上网

步骤11.检查配置无误后,点击<提交>

步骤12.设置完毕需要重启设备才可以生效,在弹出的提示框中点击<>

步骤13.此例中由于内网的网段与设备LAN口不在同一网段,需要加上设备到内网的系统路由,在导航菜单页面中的[网络配置/静态路由],右边进入静态路由编辑页面,点击<新增>则可以添加路由(具体设置方法参考路由章节)。当内网有多个网段时需要相应的添加多条静态路由。

步骤14.配置新增[/用户] 或者是在[认证策略]中添加新用户认证策略,避免内网用户没有有效的身份验证,无法通过设备上网。

步骤15.基本配置完毕后,将设备接入网络中,WAN口接外网线路,LAN口接内网交换机,并且将内网交换机的路由重新指向设备的LAN口。