关于NGX R65培训书个人看法

ylzjyu

如果，有其它人想买这个书，建议直接下载WOLF的秦柯讲的NGX R65视频教程吧，和这本书没什么两样。不管作者或者付出这本书成果的人，看到有什么反应，事实上就是如此！
       印前你就不知道网上有秦柯出的这个视频？是视频生动还是书面生动？其次，书中只是简单的介绍常用的。并且有几处错误太大了，印刷也不太好。
       我这样说，是希望你们改进下，出有实际性的书吧。既然做就做好。

       另：我看完了这本书，很短的时间，看着这么厚。我压根没找到我想要测试的方案，希望NETWORK ADMIN给指导下吧。
       如下：我这里有一台路由器，四块网卡，第一块接外网IP:218.71.X.X/29 第二块为192.168.10.0/26网关，第三块为192.168.20.0/26网关，第三块为PPPOE SERVER (IP POOL:172.16.10.10-200)
       你说NGX R70我如何测试？
       1，把NGX R70接在路由器前，那不要设成两次NAT了？这样做，又如何去控制路由器后面的三个网段？加内机器映射？我是非常头大，根本想不出来怎么布署测试。
      2，NGX R70外网卡接外网，LAN卡接路由器，设成透明模式？还是桥接？如何设？加配置一块管理它的网卡？
      3，NGX R70全透明模式？对于路由器，路由器是和以前一样设，又如何做？


以上问题希望帮助下吧，也是所有想学习这方面的人的难题。

network

教材编写初衷就是面向用户级的基本应用。没有涉及特别专业的应用。
你所提到的R70的测试，也不在教材编写覆盖范围之内。

liuxingyuan

首先看一下您的网络拓扑
路由器是您网络的核心，即当接入设备使用，同时又是一个三层交换机，同时又是一个PPPoE服务器。
总体来说网络需要实现的功能是：
（1）接入互联网
（2）两个网段192.168.10.0和192.168.20.0直接NAT上网
（3）另外一群人PPPoE拨入分配172.16.10.10-200后NAT上网
（4）各网段之间是否做限制就不知道了

对于这种情况建议的方案是：
去掉路由器，使用R70代替路由器
R70配置5块网卡，分别对应着路由器的网卡。
做为世界级安全领导厂商，
R70对于实现您网络的这点简单功能都是小意思。

network

zq2007

个人对R70不是很了解 对于R65来说应该可以满足您的需求
一、若您的路由器没有配置动态路由协议，完全可以去掉路由器直接用cp，当让cp也支持rip，ospf等非私有的动态路由，就是这个版本的非常贵，有能力的话可以使用。
二、一般来说的拓扑：Internet--FW--R--LAN，NAT、ACL应该在FW上配置，路由是不需要配置的nat的，R只用来路由就可以了，这样就可以控制LAN中的任意地址了
三、cp配置桥（透明）的时候需要输入一个地址，这个地址可以直接管理防火墙不需要另加网卡
四、全透明的话不需要改变路由的配置拓扑Internet---R---FW---LAN0  不太好画
                                                                                               |-----|-----LAN1
防火墙配置3个桥就行了需要6个网卡，若需要各个LAN分别管理的话就用cp虚拟防火墙功能

这样不知R70能否解决问题  试试吧 不行再讨论 本人对R70不太了解  最近不弄cp了

network

ylzjyu

原以为NETWORK会很生气或者删贴，没想到很平和的回复。
liuxingyuan的回复也不错，相信你对NGX R65/70应该玩得很精通了，但是，我不想去掉这个路由器，所以不能采用你的方案了，且，我还需要PPPOE服务与单IP限速等等。
zQ2007的回复，比较不错。但实际上你所讲的，我都找不到在哪儿设置。希望各位能出一个新贴吧，带图片与文字指导下，再次谢谢了。
或者你们有这方面的中文教材吗？（购买）

network

不能去掉路由太遗憾了。
那你只能透明部署了。这个操作很简单，回来贴一个贴子。呵呵
我们的案例中透明的也很少。

liuxingyuan

估计您原来的网络出口位置的拓扑图如下所示：
路由器上启用PPPoE，NAT，IP限速等等功能。

如果为了PPPoE，IP限速功能而必须保留路由器的话，建议采用如下拓扑

防火墙放置在路由器前面，将路由器的NAT功能删除，转移到防火墙上来做
防火墙按路由模式部署，不采用透明部署。具体操作如下：
（1）规划一个网段（比如10.0.0.0/30您没有使用的）布置在防火墙和路由器之间。
（2）将路由器的外网口地址改为10.0.0.2/30，防火墙内网口地址设置为10.0.0.1/30
（3）路由器的默认路由的下一跳更改为防火墙内网口地址10.0.0.1
（4）将防火墙外网口地址改为218.71.x.x/29，默认路由按照原路由器配置；同时做所有内网的路由，其下一跳指向路由器10.0.0.2。
（5）删除路由器的所有NAT。
（6）防火墙的简要配置如下：
首先设置好防火墙的各个接口及相应路由（默认路由，内网路由）的信息。
使用SmartDashboard连接防火墙
双击防火墙对象，在topology页面上单击Get，获取接口和拓扑信息，会为您自动建立各个网络
设置各接口的反地址欺骗功能，注意内网口的网络应该包括所有的内网网段。
对于需要上网的各个网络启用Hide NAT；
对于需要映射的服务器启用Static NAT
在策略规则库中做您想要的规则。
另外补充一点，
路由器的IP限速，如果您资金充裕的话，可以用R70的QoS功能代替
PPPoE，可以使用R70的用户认证方式来代替。

network