网康互联网控制网关ICG安装配置一指禅

网康ICG 产品部署之串旁模式一、串旁接入介绍串旁模式就是在物理串接的前提下,引擎旁路模式，在此模式下，引擎效率相对较高，但部分功能无法实现（BYPASS 域名功能、网页重定向功能、网页脱机功能）二、串旁接入部署串接模式可部署与以下任何网络中三、串旁接入方式，提供PPPOE 功能信号的运营商的接入层出现这样做对客户的价值：对于现有网络无需更改任何路由，拓扑。

设备就像一个网线接头，很方便。

无改造风险，即使设备坏了，可以bypass不影响网络，也可以直接拿下，不用额外的恢复操作特殊说明：即使网口富裕，网康单个设备最多2个透明桥。

解释：多个线路在一个设备上单点故障的风险过高，2个线路是比较合适的特殊说明：每个透明桥最多只能2个网口，一入，一出。

不能做到单桥多入/出解释：内容过滤产品通用做法四、串旁接入机理一个透明桥实际上就是一个虚拟的交换机（可以看成是一个不对公布VLAN ID的VLAN）每个透明桥就好象一个2层交换机，完全符合交换机的转发原理。

在报文转发过程中，不改变报文的任何信息，例如IP地址，MAC地址等，是完全透明的。

目前设备的透明桥之间是不能相互转发信息的，也就是两个透明桥是完全独立的，可以认为是分别独立的物理线路通过内外网口的设定，决定哪个口收到外出报文，那个口收到的是回程报文，继而进行报文分析，审计，统计五、串旁模式前提操作1、先期准备- - 每次新机要先能通过浏览器访问设备的控制界目前版本下新机的默认地址配置在E1口上，地址是192.168.1.23 / 255.255.255.0如图连接好设备和计算机网口，将计算机的IP地址配置成为192.168.1.xxx/24通过https://192.168.1.23 访问设备即可进行后期的配置如果不是新机，并且不知道设备的IP地址是什么或不知道接口是怎么配置的，可以通过串口命令行方式进行设备的基础信息获取。

命令行采用超级终端，速率9600方式访问。

网康互联网控制网关ICG安装配置一指禅1.设备拆箱，上电运行，正常情况下开机3分钟后设备即可正常运转；2.ICG系统初次安装时的默认地址配置在桥1上（E0/E1），桥口的IP地址是192.168.1.23.如图连接好设备（桥1的LAN口，即E1口）和计算机网口，将计算机的IP 地址配置为192.168.1.xxx/24（与桥口的默认IP地址同网段）3. 在PC浏览器的地址栏中输入https://192.168.1.23 访问ICG（注意是https而不是http），点击“继续浏览此网站（不推荐），输入默认用户名：ns25000，默认密码：ns25000；4.登录之后的WEB管理界面如下图所示；5.通过【系统管理】－【网络配置】－【网络配置】进入网络配置界面，默认使用网桥模式管理设备.根据学校网络实际情况，修改设备的网桥口IP地址，IP掩码，缺省网关，DNS服务器.（例如将默认的192.168.1.23改为192.168.196.53）6.修改网络配置的时候设备网卡会重启，网络中断约30秒左右，此时将计算机的IP地址配置为x.x.x.xxx/24（与桥口新配置的IP地址同网段，例如192.168.196.100），使用PC浏览器重新登录设备，确认可以通过新IP地址访问WEB管理页面；7. 将设备安装上机架并固定，以透明网桥的模式，串接在互联网出口设备（防火墙/路由器）和核心交换机之间，WAN口（eth0）连接防火墙/路由器，LAN口（eth1）连接核心网交换机，如下图所示；8.确认设备串接后互联网访问恢复正常，若出现长时间断网情况，请及时进行回退，恢复原先网络连接，检查线路连接情况，判断故障原因，准备下次割接；9.确认设备正常串接且互联网访问恢复正常后，通过学校内网中任意一台计算机访问设备管理页面，通过图形化界面观察网络运行情况；10.进入【系统管理】－【集中管理】页面，输入教育局集中管理平台的IP （10.20.1.141），如下图示例，以便于区教育局进行统一的设备管理和策略下发；11. 根据教育局等主管单位的相关规定，配置各项上网行为管理策略.。

OTN业务配置一纸禅武汉技术服务有限公司2014年6月目录1. 建立OTNM2000网管通信12. 配置本地网元SN号和IP地址23. 业务配置43.1 OTU波长配置：53.2 配置光纤连接83.3 子网级通用配置93.4配置光层保护133.5配置电层保护183.6配置PTP时钟223.7配置SM、PM、TCMi开销261. 建立OTNM2000网管通信在OTNM2000上建立网络拓扑并连接网管与设备，实现OTNM2000对设备的监控。

主要步骤为以下三个方面：(1)连接网管与设备(2)检查网管系统服务(3)创建网络拓扑连接网管与设备:设备与网管服务器相连是监控设备运行情况和配置业务的前提。

可采用不同的网络连接器件连接网管服务器和设备。

工程中常用Hub，以Hub连接方式为例说明。

1. 取一根网线，将网线一端连接主机的网卡，另一端连接Hub的非级联网口。

2. 另取一根网线，将网线一端连接Hub的非级联空闲网口，另一端连接FONST5000设备的辅助端子板的F1/F2接口。

3. 开启网管计算机，在WINDOWS系统的“网上邻居”属性中，查看网线是否连接至device 网卡。

如果不是，将网线连接至主机规划的device网卡的网口。

检查网管系统服务:OTNM2000网管系统能否正常工作，取决于系统服务是否正常启动。

1. 在网管计算机上，单击“开始”→“管理工具”→“服务”，弹出“服务”窗口。

2. 在该窗口中查看下列服务的“状态”是否为“已启动”，若未启动，则启动该服务。

“EMS_AuthUserRight”“EMS_DataBusServer”“EMS_DispServer”“EMS_Dumper”“EMS_DtServer”“EMS_Dumper”“EMS_”“EMS_ Server”“EMS_Manager2”“EMS_Monitor”“EMS_MSMPServer”“EMS_OtnmCfgServer”“EMS_QueryServer”3. 数据库相关服务：“MySQL”或“Informix IDS”。

网康互联网控制网关（Internet Control Gateway, NS-ICG）是一款软硬件一体化、性能卓越的互联网控制管理产品。

NS-ICG为网络管理者提供各种互联网接入环境中的灵活身份确认、合规准入、网页过滤、应用控制、带宽管理、外发合规检查，内容留存审计，结果分析等功能。

主要功能：1、精细应用识别，管控您的网络●DPI+DFI深度行为识别技术，准确识别上百种P2P应用，并加以限流、封堵等精细化控制●支持对市面主流30余种IM聊天工具进行识别并控制●能够识别用户论坛发帖行为，针对发帖敏感关键字设置过滤，并支持主动报警●对开心网、QQ农场等网页游戏，以及魔兽世界等多种主流网络游戏进行识别并控制2、专业网页分类，健康您的网络●国际领先的网页预分类技术，对含有有害、不健康内容的网页进行过滤，创建文明健康上网环境●高达4000万条全球规模最大的中文URL数据库，全面覆盖中文地区站点，确保分类准确无遗漏3、终端用户准入，规范您的网络●30余种用户身份识别/认证方式，确保入网用户身份合法有效，避免外来隐患●支持ICG提供web推送认证，可配合短信验证使用4、带宽合理分配，优化您的网络●精确识别各种互联网应用，包括各种对带宽占用极大的主流P2P软件与在线视频软件●基于应用或用户对流量进行管理，对指定类型的流量进行限速，避免占用过多网络带宽，为关键业务提供带宽资源保障5、实时监控审计，洞悉您的网络●查看上线用户的网络使用时间与流量信息，及时发现异常用户●全面了解用户上网行为，包括网页访问、邮件收发、即时聊天、论坛发帖、网络娱乐等所有互联网活动●对于用户通过邮件、聊天、论坛等工具外发信息进行合理监控6、用户私接控制，监管您的网络●可对用户的私接设备数量、设备类型进行实时监控，●可设置达到一定数量私接时进行封堵、对封堵时间可进行设置●一目了然的私接原因描述网康互联网上网管理后台监控操作系统控制网关NS-ICG 3200-3E。

网康互联网控制网关（NS-ICG）——产品概述网康互联网控制网关（Internet Control Gateway, NS-ICG）是一款专业的上网行为管理产品，是一款软硬件一体化、性能卓越的互联网控制管理产品。

NS-ICG旨在帮助客户最大化利用互联网价值，为网络管理者提供各种互联网接入环境的用户管理、终端准入、网页过滤、内容审计、应用控制、流量管理、行为分析等功能。

需求背景随着互联网的发展，各种依托于网络的新兴应用层出不穷，网络中充斥着各种良莠不齐的信息，在极大丰富了人们的互联网生活、为人们交换信息提供便利的同时，也带来了不少负面效应和安全隐患。

网络带来的机密信息泄露、触碰法律风险、工作效率降低、带宽资源紧张等问题，给企业、单位的网络管理者带来了新的挑战。

如何管好、用好互联网，成为了IT管理者迫切需要解决的问题。

传统的网络安全设备，如防火墙、入侵检测系统、防病毒软件、反垃圾邮件系统等，构成企业网络的边界防护屏障，能够有效地防护来自互联网的攻击，然而它们对于内部员工上网行为不当引起的安全与管理隐患却无能为力。

功能特性终端准入网络终端设备是网络安全的主体，不良软件的使用、防护系统缺失都可能带来终端安全隐患，进而影响内网安全。

网康ICG能够通过统一下发的客户端软件，结合统一的策略配置，检测终端系统的进程、文件、注册表、操作系统及补丁、杀毒软件及病毒库等信息，制定准入规则，提升终端设备的安全级别。

用户管理“人”是上网行为管理的主题，因此对于用户的识别、认证与管理能力决定了上网行为管理的效果。

网康ICG提供了丰富的用户识别、认证方式，识别认证手段多达20多种，适应各种不同的网络环境，能与网络原有用户认证及管理系统轻松联动，例如AD、LDAP、CAMS、RADIUS、移动Portal系统、邮件系统、城市热点、锐捷、深澜等。

此外，网康ICG能够建立与企业真实情况相同的用户组织架构，将虚拟的网络活动与真实的人员对应，提供符合企业实际的用户管理能力。

网康互联网控制网关（Internet Control Gateway, NS-ICG）是一款软硬件一体化、性能卓越的互联网控制管理产品。

NS-ICG为网络管理者提供各种互联网接入环境中的灵活身份确认、合规准入、网页过滤、应用控制、带宽管理、外发合规检查，内容留存审计，结果分析等功能。

主要功能：1、精细应用识别，管控您的网络●DPI+DFI+XAI深度行为识别技术，准确识别上百种P2P应用，并加以限流、封堵等精细化控制●支持对市面主流30余种IM聊天工具进行识别并控制●能够识别用户论坛发帖行为，针对发帖敏感关键字设置过滤，并支持主动报警●对开心网、QQ农场等网页游戏，以及魔兽世界等多种主流网络游戏进行识别并控制●支持30余种主流炒股软件，并可细化识别行情查询与在线交易，加以区分控制2、专业网页分类，健康您的网络●国际领先的网页预分类技术，对含有有害、不健康内容的网页进行过滤，创建文明健康上网环境●高达2000万条全球规模最大的中文URL数据库，全面覆盖中文地区站点，确保分类准确无遗漏●本地智能识别分类引擎，采用专业自学习算法为URL数据库覆盖范围外的网址提供实时智能识别3、终端用户准入，规范您的网络●20余种用户身份识别/认证方式，确保入网用户身份合法有效，避免外来隐患●对计算机终端环境进行管理，帮助管理者实施计算机准入规范●如：必须安装杀毒软件方可上网；禁止安装、运行与工作无关的应用程序等4、带宽合理分配，优化您的网络●精确识别各种互联网应用，包括各种对带宽占用极大的主流P2P软件与在线视频软件●基于应用或用户对流量进行管理，对指定类型的流量进行限速，避免占用过多网络带宽●为关键业务提供带宽资源保障，保留足够可用带宽，保障服务质量5、实时监控审计，洞悉您的网络●查看上线用户的网络使用时间与流量信息，及时发现异常用户并加以处理●全面了解用户上网行为，包括网页访问、邮件收发、即时聊天、论坛发帖、网络娱乐等所有互联网活动●对于用户通过邮件、聊天、论坛等外发的言论信息进行合理监控，及时过滤有害信息网康互联网控制网关NS-ICG 5000-50/50F系列适用于：5000人规模，800M出口带宽的网络环境参数规格：NS-ICG 5000-50/50F系列产品规格参数见下表：。

ICG网关-网吧开局注意及典型配置(仅供内部使用)拟制：尹周梁日期：2008-2-27评审：石冬雪/陈小杰/邓云辉/郭新峰日期：2008-2-27批准：邓云辉日期：2008-3-1 签发：顾文良日期：2008-3-1华三通信技术有限公司版权所有侵权必究修订记录目录目录 (3)【摘要】 (4)【关键词说明】 (4)【正文】 (4)1开局前检查必要配置是否已经启用 (4)1.1切换设备前必须检查的配置项 (4)2如何更改LAN、WAN的MAC地址 (5)2.1更改LAN MAC地址（“LAN MAC克隆”） (5)2.2更改WAN MAC地址（“WAN MAC克隆”） (5)3如何配置IP<->MAC绑定，防止ARP攻击引起网络掉线 (6)3.1ICG网关防ARP攻击配置 (6)3.1.1 生成IP<->MAC绑定表 (6)3.1.2 导入IP<->MAC绑定表 (7)3.1.3 启用防ARP攻击 (8)3.1.4 维护IP<->MAC绑定表 (8)3.2 PC上防ARP攻击配置 (8)4如何配置QoS策略，防止流量拥塞、路由攻击、NAT表攻击引起网络掉线 (10)4.1 IP流量限制配置界面 (11)4.2NAT数限制配置界面 (12)4.3应用通道管理界面 (12)5如何配置路由策略，充分合理利用双WAN带宽 (13)5.1设置多WAN模式和默认链路 (13)5.2导入负载均衡路由表（“WAN设置”->“连接到因特网”页面） (14)6 附件 (14)6.1 PC上ARP防攻击工具 (14)【摘要】开局过程可分三个阶段：开局前准备，网络设备升级，设备稳定运行。

分析目前常见的网上问题，我们发现其中的大部分问题，都是由于开局前准备不充分导致的。

常见的问题有：1．MAC地址未克隆导致更换设备后，网络不能正常运行。

2．ARP（IP/MAC）未做双向绑定，导致网络运行过程中，有部分PC受到ARP攻击掉线。