ICG配置简介.docx

ICG配置简介登陆地址格式：https:/xx.xx.xx.xx（地址根据实际环境提供，注意开头是https，设备默认地址：3）将电脑本机的IP地址改为与设备默认地址同段的任意地址，然后用网线与设备的E1口直连登陆界面，输入用户名和密码（系统默认用户名和密码都是：ns25000）管理界面上架前配置步骤：步骤1、配置桥口地址：系统管理网络配置基础配置设备默认采用透明桥接模式，且默认启用一条链路，如实际环境有两条（或多条）出口链路，需点击添加链路（需要确认设备本身支持几条链路，即有几对桥口，一对桥口对应一条链路）根据实际环境，输入桥口IP地址、掩码和网关，确认输入无误后点击确定多链路情况下，只需在链路2（以及其他链路）IP地址处输入一个虚地址即可，因为链路1上已经存在了实际环境中的真实地址，没有必要再去配置真实地址，这样也可为用户环境节省资源。配置完桥口地址后，将接入设备的电脑本机上的IP地址改为与桥口地址同段任意地址，然后重新登录设备即可访问，需要注意的是，在整个设备的配置中，只有编辑桥口地址这一个动作会使设备有个重新识别的过程，即断网（哪怕什么都不改，就只单单点击确定），所以一般情况下都是在设备上架前完成，如果上线后有需要改动桥口地址的话就要做好避免断网的准备。步骤2、配置DNS：系统管理网络配置DNS配置根据用户实际环境输入主、备DNS地址即可步骤3、路由设置：系统管理网络配置路由配置同样也是根据实际环境来配置，如果用户是二层环境的话只需配置一个默认路由即可如是三层环境，需添加回执路由，确保能够访问到ICG设备步骤4、管理口配置（非必要）：系统管理网络配置管理口配置点击启用管理口，输入IP和掩码管理口注意事项：1 启用管理口一般有两种情况，一是用户实际环境中需要使用管理口（即设备需要接入三根网线），这时管理口上的地址就必须配置真实地址（同桥口地址配置），而桥口上的地址（无论几条链路）则配成虚地址即可，另一种情况是开启管理口来作为今后直连设备的途径，这时管理口上的地址只要设置为虚地址即可，然后将电脑本机的IP改为与管理口地址同段的任意地址，用网线接入管理口即可登录设备管理界面（这种情况多数是用来维护设备）2 如何确认管理口的接口数字看设备前端面板如图所示，从桥口E0开始往右到E3结束，然后回到mgt（mgt即管理口），mgt就是E4，所以端口选择就选Eth4访问限制选择不限制即可，最后点击确定3 如果实际环境需要使用管理口（即上述第一种情况），则在路由设置方面要注意选择接口为管理口（包括静态和默认）根据上述步骤1-3，完成并确认无误后，即可将ICG设备接入用户实际网络环境中，强烈建议先将设备通电，约2分钟后设备完全起来后再进行线路切换，确保将断网的影响减至最小（访问设备输入桥口地址，如启用管理口则输入管理口地址）桥接模式参考下图：验证设备（很重要）：1 用ping设备管理地址来测试设备是否能与网络连通，确认路由配置是否正确2 登陆设备管理页面：系统管理系统配置网络工具输入任意外网地址或IP，测试设备本身是否能够连通外网根据结果显示，如果能够连通外网，则设备一切正常，如果连不通外网，需确认DNS和路由设置是否正确。至此，关于ICG的上线前期准备告一段落。基本配置简介设备上线后，可以按需进行各项配置，这里介绍一下几个主要的方面一、 建立组织结构建立组织结构是非常重要的一步，必须完全符合用户的实际环境，后期关于策略的设置都要指向组织结构，所以一定要确认无误。ICG支持IP环境、MAC环境以及域控环境的组织结构，下面主要详细介绍一下IP环境的组织结构建立步骤。例：用户内部网段-54 -54 -54步骤1、建立用户组：用户管理用户管理点击ROOT，默认组织结构是建立在ROOT目录下点击新建组新建普通组编辑一下组名，选择归入的所属组，点击保存（组名可以自定义，所属组默认为ROOT）注意如果出现红框提示，就表示有条目没有输入或输入的内容不符合格式要求这样在ROOT组下就有了一个名为192.168.1段的组另外注意一下页面右上角，有个红色的立即生效，表示所操作的动作需要点击确认才能生效步骤2、建立IP对象：全局配置对象设置IP对象点击添加输入对象名称（名称自定义，任何编辑窗口的名称都属于必输项），点击手写录入IP地址查看输入的格式要求根据格式要求输入内容，点击录入输入完成后，点击保存这样在IP对象中，就有了一条新建的IP对象步骤3、将所建的IP对象归入用户组：用户管理认证管理认证策略点击添加输入名称，选择IP划分（本例以IP为主，如是Mac环境，选择Mac划分）选择IP对象选中之前建立的IP对象，点击保存（也可点击操作IP对象，根据步骤2操作）IP对象选择确定后，标记就会变为已选择关于终端设置和身份方式都保持默认即可（如果是Mac环境的话，身份方式要选择Mac识别）选中录入位置，选择需要录入的用户组，点击保存这样一条认证策略就建立完成了（记得点击立即生效）将这条认证策略生效后，只要属于这个网段的用户，当他们连上网后，ICG就会收到这些用户的数据，然后根据认证策略将他们自动归入所指定的用户组中（同理操作另两个网段）总结：在建立组织结构中，可以往用户组里手动添加IP地址，但是因为用户实际环境中通常都有很多地址段，通过手动去添加一条条的IP地址不太现实，所以可用上述步骤去完成组织结构的建设。Mac环境下的组织结构建立方法同上，注意一下Mac对象的设置格式如果是域控用户，操作步骤如下：用户管理用户导入第三方数据导入点击第三方数据源，选择第三方数据源设置点击新建编辑第三方数据信息注意事项：1、 第三方数据名称：自定义一个名字就行2、 第三方数据主机：输入域控服务器的IP地址3、 入口：根据格式输入，举例某一域控名为，入口格式为：DC=ab ,DC=com4、 管理员账号：输入的管理员账号的权限必须要能读到域控服务器的日志5、 自动更新时间：启用后设置的时间建议不要太短，一般选择默认的15分钟即可以上选项详细可参考手册，操作到哪一步，点击页面右上角的？，即可显示关于这一步的操作步骤输入完成后，点击测试，验证域控服务器设置是否正确完成域控设置注意事项：1、 组名称：自定义2、 按需勾选组外成员3、 选择第三方数据源：如已建立数据源则可在下拉菜单中选取，如未建立，点击旁边的添加第三方数据源，按上述步骤建立4、 远端DN：按格式输入（同数据源设置）5、 导入位置：默认选择ROOT6、 点击保存域控建立完成后，列表中会出现新建的域控（非默认的手动导入），勾选此域控，点击立即数据同步，使ICG中导入的域控与用户的实际域控同步联动在组织结构中，ROOT下面就会出现导入的域控组织结构开启域控透明识别：用户管理认证管理认证配置，选择透明识别配置选择AD识别，点击未配置输入域控账号和域控服务器地址，点击AD连通性测试，验证配置是否正确测试成功后，点击启用并立即生效针对域控结构，需要将所属的IP段设置为透明识别，不必启用自动录入即可至此，关于组织结构的建立到此告一段落。二、 关于策略的设置任何策略，一般必须要输入的项目包括：策略名称、用户对象，策略内容和策略动作下面以网页策略举例上网管理网页访问详情点击添加策略策略设置页面，按上述提到的4个必输项（所有的策略设置页面都差不多，基本就是这样一个页面）操作步骤：1、 用户选则：可以选整个组，也可以选组里的某些或某个人2、 网站分类：点击进入网页分类编辑点击右上角+号选择所需的网页分类（左边一列是网址分类库，右边一列显示的是所选的分类，也可以选择大类里的详细小类）勾选设置的网页分类，点击确定设置策略动作，动作默认是允许如果策略的动作时要求禁止的话，点击允许该请求，则动作性质会变成阻止，然后勾选记录，记录上网行为，最后点击确定，完成策略的制定。这样一条策略就建立好了，记得点击立即生效注意事项：1、 默认一条策略只要设置这4项，其余一般都会默认2、 某些选项，举例时间，设备默认有两个时间段可以直接修改上面的两个时间对象，也可以点击右上角的+号，来建立新的时间对象所有关