网康上网行为管理ICG在不同网络环境下的部署

网康上网行为管理ICG在不同网络环境下的部署（共2篇）

篇1：网康上网行为管理ICG在不同网络环境下的部署

ICG在不同网络环境下的部署指导

部署前的准备：

ICG出厂IP地址为192.168.1.23,在IE里输入HTTPS://192.168.1.23进入配置页面，账号和密码都是ns25000。如果不清楚ICG的ip地址，可以通过串口进入ICG的后台，用户是icgadmin，密码是netentsec。在这里可以用icg_status查看ICG目前的配置。并可以通过icg_if_cfg来修改端口和通过icg_ip_cfg来修改ip配置。把ICG的IP地址改成用户自己的网段的IP，再通过IE进入WEB界面。

具体的网络环境：

1、ICG和所有用户在单一2层网段，用户出口设备为路由器/防火墙，拓扑图如下：

配置思路：

ICG的桥接口地址设成内网网段地址，网关设成路由器的内接口地址，和内网PC的网关一样。（ICG要配置DNS服务器地址，内网PC也要配）具体配置：

A:【系统管理】—〉【网络配置】—〉【网络配置】—〉【模式选择】

B.选NS-ICG网桥模式：

IP地址：设为路由器与2层交换机之间可用的地址，比如192.168.196.2。

IP掩码：根据实际情况设置，如255.255.255.0。

缺省网关：设为防火墙/路由器的内部IP地址,IP掩码根据企业实际网络环

境设置。

2.用户为2层网络，但是在同一个广播域中有多个子网，ICG要配置多IP方式实现。拓扑图如下：

配置思路：

此种网络环境较为特殊，内网有多个网段，但没有划分VLAN，而是通过在路由器的内接口设置多个辅助IP地址实现（secondary），因此ICG上也要配置多个IP地址。具体配置：

A： 【系统管理】—〉【网络配置】—〉【网络配置】—〉【模式选择】：

B.选NS-ICG网桥模式：

IP地址：任何一个网段的可用地址，如 10.1.1.2。

IP掩码：根据实际情况设置，如255.255.255.0。

缺省网关：ip地址所在的网段的网关。C:【系统管理】—〉【网络配置】—〉【多IP配置】：

3、用户为2层网络，但是用户的网络中有Trunk链路，ICG放置在Trunk链路中（用户的网络中没有VLAN1）。网络拓扑图如下：

注：我们ICG百兆口不支持Trunk，千兆口支持Trunk。所以NS151无法设置Trunk，NS250、NS550的两个千兆口才可以设置Trunk，其它两个百兆口无法设置Trunk。配置思路：

ICG要启动Trunk。ICG的桥接口地址应设为VLAN 1 网段内的地址，如用户环境没有VLAN 1，则随意设置一个，但是不能与其他现有VLAN网段冲突。具体配置：

A： 【系统管理】—〉【网络配置】—〉【网络配置】—〉【模式选择】：

B.选NS-ICG网桥模式：

IP地址：VLAN 1内的地址，如 11.11.11.1。

IP掩码：根据实际情况设置，如255.255.255.0。

缺省网关：实际某VLAN的网关。

网口状态显示：显示网口连接状态：

C:【系统管理】—〉【网络配置】—〉【网络配置】—〉【高级配置】—〉【Trunk配置】：

4、用户的网络中有3层交换设备，ICG放置在3层交换设备和出口路由器之间。拓扑图如下：

具体配置：

A： 【系统管理】—〉【网络配置】—〉【网络配置】—〉【模式选择】：

B.选NS-ICG网桥模式：

IP地址：任何一个网段的可用地址，如 192,168.196.2。

IP掩码：根据实际情况设置，如255.255.255.0。

缺省网关：ip地址所在的网段的网关。

网口状态显示：显示网口连接状态：

C:【系统管理】—〉【网络配置】—〉【网络配置】—〉【高级配置】—〉【路由配置】：

5、用户的网络中有3层设备，ICG放置在3层交换机和出口路由器之间，但是3层交换机和路由器之间的链路的掩码是30位掩码。网络拓扑图如下：

具体配置：

A：在ICG后台通过icg_arp命令绑定路由器内网口和交换机外网口的ARP：

B:【系统管理】—〉【网络配置】—〉【网络配置】—〉【高级配置】—〉【路由配置】：

C:【系统管理】—〉【系统配置】—〉【管理口设置】：

D:【系统管理】—〉【网络配置】—〉【网络配置】—〉【高级配置】—〉【路由配置】：

篇2：网康上网行为管理ICG在不同网络环境下的部署

国家核电技术公司是由中央管理的国有重要骨干企业;是经国务院批准，由国务院和中国核工业集团公司、中国电力投资集团公司、中国广东核电集团有限公司、中国技术进出口总公司等四家大型国有企业共同出资组建的有限责任公司;是经国务院授权，代表国家对外签约，受让第三代先进核电技术，实施相关工程设计和项目管理，通过消化吸收再创新形成中国核电技术品牌的主体。国家核电技术公司采用网康设备实现对全集团的上网行为管理。

用户面临的问题与挑战

国家核电公司采用中央集权式统一管理模式进行互联网管理，总部具有全网统一规划，统一建设、统一管理的决策权，同时集团的上网制度也是自上而下垂直推送并严格贯彻。在这种管理模式下，区域的设备运维管理、上网制度的实施由总部强制执行，区域仅具备少量管理权限，并不得与总部的管理发生冲突，国家核电公司急需一套互联网管理的整体解决方案。

网康科技解决方案

网康科技为国家核电公司总部及下属十多个单位各提供一台上网行为管理设备，部署在网络出口处，可有效监控、审计、管理各分支机构的互联网访问行为。同时，在总部部署一台集中管理平台，提供全网的集中管理功能，实现国家核电公司整体上网行为管理统一体系的建立。体系如下：

总部制定集团全局性策略，由集中管理平台统一下发，策略具备最高优先级

1、总部回收各分公司的设备管理超级用户权限，只给分公司分配功能有限的管理员权限。

2、区域管理员在权限范围内可制定区域管理策略，其优先级低于全局策略，并被全局策略覆盖。

3、总部对各分公司的设备运行状态，区域策略的发布，网络使用状况随时监控，并随时调整管理策略。

网康的NSICG可以实现详细的上网行为管理功能

1、阻塞或限制p2p等非业务数据的使用，保证关键业务的畅通。

2、阻塞高风险网站的访问，在网络出口处规避病毒侵入，杜绝法律风险事件发生。

3、全面审计内网外发的信息，包括邮件、聊天、论坛、搜索引擎、ftp、telnet等，杜绝信息泄密。

4、审计内网用户的互联网使用行为，利于网络管理、IT定位。

用户效果

1、通过集中管理方案，总部实现了垂直管理思路的完美贯彻，从技术角度保证了管理制度的落实，实现了策略的集中下发、日志的集中统计、多级的权限管理、网络状态的实时监控等功能。

2、有针对性的策略设置,对上班时间的各种下载软件做流量控制，可有效实现带宽的精细化管理,保障主要业务的运行。

3、合理阻塞高风险类网站,通过技术手段减少大家感染木马、病毒的机率,使内网用户访问合法化。

4、全面记录各种外发信息，并基于各种条件进行外发信息的过滤，使信息安全管理等级提高了一大步。

5、上班时间强效阻塞各种娱乐游戏网站，减少员工游戏时间,提高工作效率,真正做到网络为我所用。

6、记录员工的所有上网行为，为后续的各种查询提供技术证据，利于IT定位，利于网络状况分析。

网络拓扑图

国家核电技术公司总部及以下9个分支机构部署了11台网康设备，并实现后续全国单一来源采购

国家核电技术公司

国核电站运行服务技术公司

国核自仪系统工程公司

山东电力工程咨询院有限公司

国核工程有限公司

山东核电设备制造有限公司

国核宝钛镐业股份公司

国核电力规划设计研究院

国核维科锆鉿有限公司