NIP2200组网部署问题

发布时间:  2014-11-04 浏览次数:  368 下载次数:  6
问题描述
E国某公司大楼网络中部署NIP2200,NIP2200支持 IPS功能,网络拓扑采用直连部署。NIP2200D支持IDS功能,配置网络拓扑采用旁路部署。经确定NIP设备为NIP2200D,在客户的网络中NIP按照原来设计不能实现其功能。
E国某公司大楼网络中部署NIP2200,其设计网络拓扑图如下:

NIP设备内的配置如下:
接口a01:
firewall zone vpn-instance pair01 name a01
set priority 80
detect ftp
detect rtsp
detect sip
detect h323
interface-mode ids
add interface GigabitEthernet0/0/1
description a01
firewall zone vpn-instance pair01 name b01
set priority 40
detect ftp
detect rtsp
detect sip
detect h323
interface-mode ids
add interface GigabitEthernet0/0/2
description b01
接口a02:
firewall zone vpn-instance pair02 name a02
set priority 80
detect ftp
detect rtsp
detect sip
detect h323
interface-mode ids
add interface GigabitEthernet0/0/3
description a02
#
firewall zone vpn-instance pair02 name b02
set priority 40
detect ftp
detect rtsp
detect sip
detect h323
interface-mode ids
add interface GigabitEthernet0/0/4
description b02
当前接口a01和接口对b02都是二层,即NIP2200工作在二层模式,相当于交换机。如果按目前反馈的拓扑图和配置,NIP可以正常工作,然而,当前的问题是“从内外到外网,从外网到内网都ping不通”,而客户想要ping通,并观察流量状态。
处理过程
考虑内网和外网如果不在同一个网段,是无法ping通的。请确认当前组网是否按正确的拓扑图接线部署。如果是按照直连部署,网络拓扑图应该是如下图所示,经核对确实客户的网络是按照IPS方式部署的,所以NIP设备不能正常工作。

为了保险起见,我们采集设备诊断信息并确认。采集诊断信息的命令如下:
[NIP2200] display diagnostic-information
经确定此设备为NIP2200D 设备,即是 IDS 设备,不能配成 IPS。所以采用原组网图中的部署方式是不正确的。NIP2200D不支持组网图中的部署方式,只能旁路部署,所以需要在交换机上配置端口镜像将流量引到设备上。由于NIP是一种即插即用的设备,客户已经将配置修改,考虑把设备恢复出厂设置,重新连接。并且重新配置设备 IP和DNS 用来后续管理和实现特征库在线升级。重新组网的网络拓扑如下图:


建议与总结
对NIP的问题,首先从网络拓扑的角度入手,不同的NIP设备具有不同的功能,从而需要不同的组网部署。切记:NIP2200支持 IPS功能,网络拓扑采用直连部署。NIP2200D支持IDS功能,配置网络拓扑采用旁路部署。

END