博威---云架构决胜云计算

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 7328|回复: 13

关于NGX R65培训书个人看法

[复制链接]
发表于 2009-7-6 02:43:21 | 显示全部楼层 |阅读模式
如果,有其它人想买这个书,建议直接下载WOLF的秦柯讲的NGX R65视频教程吧,和这本书没什么两样。不管作者或者付出这本书成果的人,看到有什么反应,事实上就是如此!
       印前你就不知道网上有秦柯出的这个视频?是视频生动还是书面生动?其次,书中只是简单的介绍常用的。并且有几处错误太大了,印刷也不太好。
       我这样说,是希望你们改进下,出有实际性的书吧。既然做就做好。

       另:我看完了这本书,很短的时间,看着这么厚。我压根没找到我想要测试的方案,希望NETWORK ADMIN给指导下吧。
       如下:我这里有一台路由器,四块网卡,第一块接外网IP:218.71.X.X/29 第二块为192.168.10.0/26网关,第三块为192.168.20.0/26网关,第三块为PPPOE SERVER (IP POOL:172.16.10.10-200)
       你说NGX R70我如何测试?
       1,把NGX R70接在路由器前,那不要设成两次NAT了?这样做,又如何去控制路由器后面的三个网段?加内机器映射?我是非常头大,根本想不出来怎么布署测试。
      2,NGX R70外网卡接外网,LAN卡接路由器,设成透明模式?还是桥接?如何设?加配置一块管理它的网卡?
      3,NGX R70全透明模式?对于路由器,路由器是和以前一样设,又如何做?


以上问题希望帮助下吧,也是所有想学习这方面的人的难题。
发表于 2009-7-6 08:50:22 | 显示全部楼层
教材编写初衷就是面向用户级的基本应用。没有涉及特别专业的应用。
你所提到的R70的测试,也不在教材编写覆盖范围之内。
发表于 2009-7-6 11:36:58 | 显示全部楼层
首先看一下您的网络拓扑
路由器是您网络的核心,即当接入设备使用,同时又是一个三层交换机,同时又是一个PPPoE服务器。
总体来说网络需要实现的功能是:
(1)接入互联网
(2)两个网段192.168.10.0和192.168.20.0直接NAT上网
(3)另外一群人PPPoE拨入分配172.16.10.10-200后NAT上网
(4)各网段之间是否做限制就不知道了

对于这种情况建议的方案是:
去掉路由器,使用R70代替路由器
R70配置5块网卡,分别对应着路由器的网卡。
做为世界级安全领导厂商,
R70对于实现您网络的这点简单功能都是小意思。
发表于 2009-7-6 11:46:39 | 显示全部楼层
发表于 2009-7-6 14:07:37 | 显示全部楼层

回复 1# ylzjyu 的帖子

个人对R70不是很了解 对于R65来说应该可以满足您的需求
一、若您的路由器没有配置动态路由协议,完全可以去掉路由器直接用cp,当让cp也支持rip,ospf等非私有的动态路由,就是这个版本的非常贵,有能力的话可以使用。
二、一般来说的拓扑:Internet--FW--R--LAN,NAT、ACL应该在FW上配置,路由是不需要配置的nat的,R只用来路由就可以了,这样就可以控制LAN中的任意地址了
三、cp配置桥(透明)的时候需要输入一个地址,这个地址可以直接管理防火墙不需要另加网卡
四、全透明的话不需要改变路由的配置拓扑Internet---R---FW---LAN0  不太好画
                                                                                               |-----|-----LAN1
防火墙配置3个桥就行了需要6个网卡,若需要各个LAN分别管理的话就用cp虚拟防火墙功能

这样不知R70能否解决问题  试试吧 不行再讨论 本人对R70不太了解  最近不弄cp了
发表于 2009-7-6 18:54:17 | 显示全部楼层
 楼主| 发表于 2009-7-8 22:49:42 | 显示全部楼层
原以为NETWORK会很生气或者删贴,没想到很平和的回复。
liuxingyuan的回复也不错,相信你对NGX R65/70应该玩得很精通了,但是,我不想去掉这个路由器,所以不能采用你的方案了,且,我还需要PPPOE服务与单IP限速等等。
zQ2007的回复,比较不错。但实际上你所讲的,我都找不到在哪儿设置。希望各位能出一个新贴吧,带图片与文字指导下,再次谢谢了。
或者你们有这方面的中文教材吗?(购买)
发表于 2009-7-9 06:31:16 | 显示全部楼层
不能去掉路由太遗憾了。
那你只能透明部署了。这个操作很简单,回来贴一个贴子。呵呵
我们的案例中透明的也很少。
发表于 2009-7-9 08:46:54 | 显示全部楼层
估计您原来的网络出口位置的拓扑图如下所示:
路由器上启用PPPoE,NAT,IP限速等等功能。
1.jpeg
如果为了PPPoE,IP限速功能而必须保留路由器的话,建议采用如下拓扑
2.jpeg
防火墙放置在路由器前面,将路由器的NAT功能删除,转移到防火墙上来做
防火墙按路由模式部署,不采用透明部署。具体操作如下:
(1)规划一个网段(比如10.0.0.0/30您没有使用的)布置在防火墙和路由器之间。
(2)将路由器的外网口地址改为10.0.0.2/30,防火墙内网口地址设置为10.0.0.1/30
(3)路由器的默认路由的下一跳更改为防火墙内网口地址10.0.0.1
(4)将防火墙外网口地址改为218.71.x.x/29,默认路由按照原路由器配置;同时做所有内网的路由,其下一跳指向路由器10.0.0.2。
(5)删除路由器的所有NAT。
(6)防火墙的简要配置如下:
首先设置好防火墙的各个接口及相应路由(默认路由,内网路由)的信息。
使用SmartDashboard连接防火墙
双击防火墙对象,在topology页面上单击Get,获取接口和拓扑信息,会为您自动建立各个网络
设置各接口的反地址欺骗功能,注意内网口的网络应该包括所有的内网网段。
对于需要上网的各个网络启用Hide NAT;
对于需要映射的服务器启用Static NAT
在策略规则库中做您想要的规则。
另外补充一点,
路由器的IP限速,如果您资金充裕的话,可以用R70的QoS功能代替
PPPoE,可以使用R70的用户认证方式来代替。
发表于 2009-7-9 09:16:20 | 显示全部楼层
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|boway Inc. ( 冀ICP备10011147号 )

GMT+8, 2024-11-22 17:03 , Processed in 0.103246 second(s), 19 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表