网康互联网控制网关ICG安装配置一指禅

网康ICG 产品部署之串旁模式一、串旁接入介绍串旁模式就是在物理串接的前提下,引擎旁路模式，在此模式下，引擎效率相对较高，但部分功能无法实现（BYPASS 域名功能、网页重定向功能、网页脱机功能）二、串旁接入部署串接模式可部署与以下任何网络中三、串旁接入方式，提供PPPOE 功能信号的运营商的接入层出现这样做对客户的价值：对于现有网络无需更改任何路由，拓扑。

设备就像一个网线接头，很方便。

无改造风险，即使设备坏了，可以bypass不影响网络，也可以直接拿下，不用额外的恢复操作特殊说明：即使网口富裕，网康单个设备最多2个透明桥。

解释：多个线路在一个设备上单点故障的风险过高，2个线路是比较合适的特殊说明：每个透明桥最多只能2个网口，一入，一出。

不能做到单桥多入/出解释：内容过滤产品通用做法四、串旁接入机理一个透明桥实际上就是一个虚拟的交换机（可以看成是一个不对公布VLAN ID的VLAN）每个透明桥就好象一个2层交换机，完全符合交换机的转发原理。

在报文转发过程中，不改变报文的任何信息，例如IP地址，MAC地址等，是完全透明的。

目前设备的透明桥之间是不能相互转发信息的，也就是两个透明桥是完全独立的，可以认为是分别独立的物理线路通过内外网口的设定，决定哪个口收到外出报文，那个口收到的是回程报文，继而进行报文分析，审计，统计五、串旁模式前提操作1、先期准备- - 每次新机要先能通过浏览器访问设备的控制界目前版本下新机的默认地址配置在E1口上，地址是192.168.1.23 / 255.255.255.0如图连接好设备和计算机网口，将计算机的IP地址配置成为192.168.1.xxx/24通过https://192.168.1.23 访问设备即可进行后期的配置如果不是新机，并且不知道设备的IP地址是什么或不知道接口是怎么配置的，可以通过串口命令行方式进行设备的基础信息获取。

命令行采用超级终端，速率9600方式访问。

网康互联网控制网关ICG安装配置一指禅1.设备拆箱，上电运行，正常情况下开机3分钟后设备即可正常运转；2.ICG系统初次安装时的默认地址配置在桥1上（E0/E1），桥口的IP地址是192.168.1.23.如图连接好设备（桥1的LAN口，即E1口）和计算机网口，将计算机的IP 地址配置为192.168.1.xxx/24（与桥口的默认IP地址同网段）3. 在PC浏览器的地址栏中输入https://192.168.1.23 访问ICG（注意是https而不是http），点击“继续浏览此网站（不推荐），输入默认用户名：ns25000，默认密码：ns25000；4.登录之后的WEB管理界面如下图所示；5.通过【系统管理】－【网络配置】－【网络配置】进入网络配置界面，默认使用网桥模式管理设备.根据学校网络实际情况，修改设备的网桥口IP地址，IP掩码，缺省网关，DNS服务器.（例如将默认的192.168.1.23改为192.168.196.53）6.修改网络配置的时候设备网卡会重启，网络中断约30秒左右，此时将计算机的IP地址配置为x.x.x.xxx/24（与桥口新配置的IP地址同网段，例如192.168.196.100），使用PC浏览器重新登录设备，确认可以通过新IP地址访问WEB管理页面；7. 将设备安装上机架并固定，以透明网桥的模式，串接在互联网出口设备（防火墙/路由器）和核心交换机之间，WAN口（eth0）连接防火墙/路由器，LAN口（eth1）连接核心网交换机，如下图所示；8.确认设备串接后互联网访问恢复正常，若出现长时间断网情况，请及时进行回退，恢复原先网络连接，检查线路连接情况，判断故障原因，准备下次割接；9.确认设备正常串接且互联网访问恢复正常后，通过学校内网中任意一台计算机访问设备管理页面，通过图形化界面观察网络运行情况；10.进入【系统管理】－【集中管理】页面，输入教育局集中管理平台的IP （10.20.1.141），如下图示例，以便于区教育局进行统一的设备管理和策略下发；11. 根据教育局等主管单位的相关规定，配置各项上网行为管理策略.。

OTN业务配置一纸禅武汉技术服务有限公司2014年6月目录1. 建立OTNM2000网管通信12. 配置本地网元SN号和IP地址23. 业务配置43.1 OTU波长配置：53.2 配置光纤连接83.3 子网级通用配置93.4配置光层保护133.5配置电层保护183.6配置PTP时钟223.7配置SM、PM、TCMi开销261. 建立OTNM2000网管通信在OTNM2000上建立网络拓扑并连接网管与设备，实现OTNM2000对设备的监控。

主要步骤为以下三个方面：(1)连接网管与设备(2)检查网管系统服务(3)创建网络拓扑连接网管与设备:设备与网管服务器相连是监控设备运行情况和配置业务的前提。

可采用不同的网络连接器件连接网管服务器和设备。

工程中常用Hub，以Hub连接方式为例说明。

1. 取一根网线，将网线一端连接主机的网卡，另一端连接Hub的非级联网口。

2. 另取一根网线，将网线一端连接Hub的非级联空闲网口，另一端连接FONST5000设备的辅助端子板的F1/F2接口。

3. 开启网管计算机，在WINDOWS系统的“网上邻居”属性中，查看网线是否连接至device 网卡。

如果不是，将网线连接至主机规划的device网卡的网口。

检查网管系统服务:OTNM2000网管系统能否正常工作，取决于系统服务是否正常启动。

1. 在网管计算机上，单击“开始”→“管理工具”→“服务”，弹出“服务”窗口。

2. 在该窗口中查看下列服务的“状态”是否为“已启动”，若未启动，则启动该服务。

“EMS_AuthUserRight”“EMS_DataBusServer”“EMS_DispServer”“EMS_Dumper”“EMS_DtServer”“EMS_Dumper”“EMS_”“EMS_ Server”“EMS_Manager2”“EMS_Monitor”“EMS_MSMPServer”“EMS_OtnmCfgServer”“EMS_QueryServer”3. 数据库相关服务：“MySQL”或“Informix IDS”。

网康互联网控制网关（Internet Control Gateway, NS-ICG）是一款软硬件一体化、性能卓越的互联网控制管理产品。

NS-ICG为网络管理者提供各种互联网接入环境中的灵活身份确认、合规准入、网页过滤、应用控制、带宽管理、外发合规检查，内容留存审计，结果分析等功能。

主要功能：1、精细应用识别，管控您的网络●DPI+DFI深度行为识别技术，准确识别上百种P2P应用，并加以限流、封堵等精细化控制●支持对市面主流30余种IM聊天工具进行识别并控制●能够识别用户论坛发帖行为，针对发帖敏感关键字设置过滤，并支持主动报警●对开心网、QQ农场等网页游戏，以及魔兽世界等多种主流网络游戏进行识别并控制2、专业网页分类，健康您的网络●国际领先的网页预分类技术，对含有有害、不健康内容的网页进行过滤，创建文明健康上网环境●高达4000万条全球规模最大的中文URL数据库，全面覆盖中文地区站点，确保分类准确无遗漏3、终端用户准入，规范您的网络●30余种用户身份识别/认证方式，确保入网用户身份合法有效，避免外来隐患●支持ICG提供web推送认证，可配合短信验证使用4、带宽合理分配，优化您的网络●精确识别各种互联网应用，包括各种对带宽占用极大的主流P2P软件与在线视频软件●基于应用或用户对流量进行管理，对指定类型的流量进行限速，避免占用过多网络带宽，为关键业务提供带宽资源保障5、实时监控审计，洞悉您的网络●查看上线用户的网络使用时间与流量信息，及时发现异常用户●全面了解用户上网行为，包括网页访问、邮件收发、即时聊天、论坛发帖、网络娱乐等所有互联网活动●对于用户通过邮件、聊天、论坛等工具外发信息进行合理监控6、用户私接控制，监管您的网络●可对用户的私接设备数量、设备类型进行实时监控，●可设置达到一定数量私接时进行封堵、对封堵时间可进行设置●一目了然的私接原因描述网康互联网上网管理后台监控操作系统控制网关NS-ICG 3200-3E。

网康互联网控制网关（NS-ICG）——产品概述网康互联网控制网关（Internet Control Gateway, NS-ICG）是一款专业的上网行为管理产品，是一款软硬件一体化、性能卓越的互联网控制管理产品。

NS-ICG旨在帮助客户最大化利用互联网价值，为网络管理者提供各种互联网接入环境的用户管理、终端准入、网页过滤、内容审计、应用控制、流量管理、行为分析等功能。

需求背景随着互联网的发展，各种依托于网络的新兴应用层出不穷，网络中充斥着各种良莠不齐的信息，在极大丰富了人们的互联网生活、为人们交换信息提供便利的同时，也带来了不少负面效应和安全隐患。

网络带来的机密信息泄露、触碰法律风险、工作效率降低、带宽资源紧张等问题，给企业、单位的网络管理者带来了新的挑战。

如何管好、用好互联网，成为了IT管理者迫切需要解决的问题。

传统的网络安全设备，如防火墙、入侵检测系统、防病毒软件、反垃圾邮件系统等，构成企业网络的边界防护屏障，能够有效地防护来自互联网的攻击，然而它们对于内部员工上网行为不当引起的安全与管理隐患却无能为力。

功能特性终端准入网络终端设备是网络安全的主体，不良软件的使用、防护系统缺失都可能带来终端安全隐患，进而影响内网安全。

网康ICG能够通过统一下发的客户端软件，结合统一的策略配置，检测终端系统的进程、文件、注册表、操作系统及补丁、杀毒软件及病毒库等信息，制定准入规则，提升终端设备的安全级别。

用户管理“人”是上网行为管理的主题，因此对于用户的识别、认证与管理能力决定了上网行为管理的效果。

网康ICG提供了丰富的用户识别、认证方式，识别认证手段多达20多种，适应各种不同的网络环境，能与网络原有用户认证及管理系统轻松联动，例如AD、LDAP、CAMS、RADIUS、移动Portal系统、邮件系统、城市热点、锐捷、深澜等。

此外，网康ICG能够建立与企业真实情况相同的用户组织架构，将虚拟的网络活动与真实的人员对应，提供符合企业实际的用户管理能力。

网康互联网控制网关（Internet Control Gateway, NS-ICG）是一款软硬件一体化、性能卓越的互联网控制管理产品。

NS-ICG为网络管理者提供各种互联网接入环境中的灵活身份确认、合规准入、网页过滤、应用控制、带宽管理、外发合规检查，内容留存审计，结果分析等功能。

主要功能：1、精细应用识别，管控您的网络●DPI+DFI+XAI深度行为识别技术，准确识别上百种P2P应用，并加以限流、封堵等精细化控制●支持对市面主流30余种IM聊天工具进行识别并控制●能够识别用户论坛发帖行为，针对发帖敏感关键字设置过滤，并支持主动报警●对开心网、QQ农场等网页游戏，以及魔兽世界等多种主流网络游戏进行识别并控制●支持30余种主流炒股软件，并可细化识别行情查询与在线交易，加以区分控制2、专业网页分类，健康您的网络●国际领先的网页预分类技术，对含有有害、不健康内容的网页进行过滤，创建文明健康上网环境●高达2000万条全球规模最大的中文URL数据库，全面覆盖中文地区站点，确保分类准确无遗漏●本地智能识别分类引擎，采用专业自学习算法为URL数据库覆盖范围外的网址提供实时智能识别3、终端用户准入，规范您的网络●20余种用户身份识别/认证方式，确保入网用户身份合法有效，避免外来隐患●对计算机终端环境进行管理，帮助管理者实施计算机准入规范●如：必须安装杀毒软件方可上网；禁止安装、运行与工作无关的应用程序等4、带宽合理分配，优化您的网络●精确识别各种互联网应用，包括各种对带宽占用极大的主流P2P软件与在线视频软件●基于应用或用户对流量进行管理，对指定类型的流量进行限速，避免占用过多网络带宽●为关键业务提供带宽资源保障，保留足够可用带宽，保障服务质量5、实时监控审计，洞悉您的网络●查看上线用户的网络使用时间与流量信息，及时发现异常用户并加以处理●全面了解用户上网行为，包括网页访问、邮件收发、即时聊天、论坛发帖、网络娱乐等所有互联网活动●对于用户通过邮件、聊天、论坛等外发的言论信息进行合理监控，及时过滤有害信息网康互联网控制网关NS-ICG 5000-50/50F系列适用于：5000人规模，800M出口带宽的网络环境参数规格：NS-ICG 5000-50/50F系列产品规格参数见下表：。

ICG网关-网吧开局注意及典型配置(仅供内部使用)拟制：尹周梁日期：2008-2-27评审：石冬雪/陈小杰/邓云辉/郭新峰日期：2008-2-27批准：邓云辉日期：2008-3-1 签发：顾文良日期：2008-3-1华三通信技术有限公司版权所有侵权必究修订记录目录目录 (3)【摘要】 (4)【关键词说明】 (4)【正文】 (4)1开局前检查必要配置是否已经启用 (4)1.1切换设备前必须检查的配置项 (4)2如何更改LAN、WAN的MAC地址 (5)2.1更改LAN MAC地址（“LAN MAC克隆”） (5)2.2更改WAN MAC地址（“WAN MAC克隆”） (5)3如何配置IP<->MAC绑定，防止ARP攻击引起网络掉线 (6)3.1ICG网关防ARP攻击配置 (6)3.1.1 生成IP<->MAC绑定表 (6)3.1.2 导入IP<->MAC绑定表 (7)3.1.3 启用防ARP攻击 (8)3.1.4 维护IP<->MAC绑定表 (8)3.2 PC上防ARP攻击配置 (8)4如何配置QoS策略，防止流量拥塞、路由攻击、NAT表攻击引起网络掉线 (10)4.1 IP流量限制配置界面 (11)4.2NAT数限制配置界面 (12)4.3应用通道管理界面 (12)5如何配置路由策略，充分合理利用双WAN带宽 (13)5.1设置多WAN模式和默认链路 (13)5.2导入负载均衡路由表（“WAN设置”->“连接到因特网”页面） (14)6 附件 (14)6.1 PC上ARP防攻击工具 (14)【摘要】开局过程可分三个阶段：开局前准备，网络设备升级，设备稳定运行。

分析目前常见的网上问题，我们发现其中的大部分问题，都是由于开局前准备不充分导致的。

常见的问题有：1．MAC地址未克隆导致更换设备后，网络不能正常运行。

2．ARP（IP/MAC）未做双向绑定，导致网络运行过程中，有部分PC受到ARP攻击掉线。

安全解决方案北京网康科技有限公司目录1安全风险分析 ...................... 错误!未定义书签。

1.1 来自公网的安全风险分析......... 错误!未定义书签。

1.2 来自内部人员及分部的安全威胁 ... 错误!未定义书签。

2安全方案设计 ...................... 错误!未定义书签。

2.1 方案概述....................... 错误!未定义书签。

2.2 总体设计....................... 错误!未定义书签。

2.3 详细设计....................... 错误!未定义书签。

2.3.1 外部安全防护 ................ 错误!未定义书签。

2.3.2 内部安全防护 ................ 错误!未定义书签。

3网康方案价值与产品优势 ............ 错误!未定义书签。

3.1 易用性......................... 错误!未定义书签。

3.2 健壮性......................... 错误!未定义书签。

3.3 产品优势....................... 错误!未定义书签。

1安全风险分析1.1来自公网的安全风险分析由于内部网络中其办公系统及各人主机上都有涉密信息。

假如内部网络的一台机器安全受损（被攻击或者被病毒感染），就会同时影响在同一网络上的许多其他系统。

透过网络传播，还会影响到与本系统网络有连接的外单位网络。

如果系统内部局域网络与系统外部网络间没有采取一定的安全防护措施，内部网络容易造到来自外网一些不怀好意的入侵者的攻击。

如：●入侵者通过漏洞扫描、Sniffer嗅探等工具来探测扫描网络及操作系统存在的安全漏洞，如网络IP地址、应用操作系统类型、开放哪些服务端口号、系统保存用户名和口令等安全信息的关键文件等，并通过相应攻击程序对内网进行攻击；●入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息，进而假冒内部合法身份进行非法登录，窃取内部网重要信息；●恶意攻击:入侵者通过发送大量PING包对内部网重要服务器进行攻击，使得服务器超负荷工作以至拒绝服务甚至系统瘫痪；●发送大量包含恶意代码或病毒程序的邮件。

企业信息通信网关(ICG 1000)典型配置1 网络配置规范及操作实例对于路由器的配置，一般可以按照以下思路来进行：第一步：了解用户网络环境及组网需求。

企业规模（约50PCs）必须的需求：1．企业内部有Web服务器，FTP服务器，公司内部和外部可以通过Internet公网地址访问服务器。

2．上班时间（08:00~17:00）除部门1的员工外，禁止其他员工通过网络访问Internet。

3．保证某台PC中毒后不会影响其他员工通过网络访问Internet。

4．网络升级过程不超过10分钟。

可选的需求：1．在任何时间除部门1的员工外，禁止其他员工通过网络登录QQ和MSN。

第二步：根据需求，画出拓扑图，思考如何满足用户需求。

S1026T Server电信10M宽带接入S1026TICG 1000 部门1部门2内部服务器S5024P必须的需求：1．企业内部有Web服务器，FTP服务器，公司内部和外部可以通过Internet公网地址访问服务器。

通过配置虚拟服务器来实现。

2．上班时间（08:00~17:00）除部门1的员工外，禁止其他员工通过网络访问Internet。

通过设置ACL访问控制规则来实现。

3．保证某台PC中毒后不会影响其他员工通过网络访问Internet。

启用IP流量限制和NAT表项限制可以防止大部分病毒的攻击；建议对于接入带宽大于50M的用户，IP流量限制的推荐值为上行200KB/s，下行400KB/s；对于接入带宽小于10M的用户，IP流量限制的推荐值为上行100KB/s，下行200KB/s。

NAT表项限制数推荐值为300~500。

4．网络升级过程不超过10分钟。

先完成路由器配置，再将路由器接入网络。

可选的需求：1．在任何时间除部门1的员工外，禁止其他员工通过网络登录QQ和MSN。

通过业务控制（一键封QQ、MSN）来实现。

Server电信：221.1.1.1部门1：192.168.1.50~149部门2：192.168.1.150~200Server：192.168.1.2~20LAN：192.168.1.1第三步：完成ICG 1000路由器配置1．首先查看ICG 1000路由器的软件版本（“系统维护”->“状态”页面），是否符合要求，如果不符合要求，需要先升级。

1 ICG开局信息收集Checklist详解开局指导图解需要配合《ICG开局信息收集Checklist.xls》（简称Checklist）完成，其中Checklist部分信息的收集方法在开局指导图解中详细描述。

1.1 确认ICG路由器是替代网吧原有设备还是新建网吧？本文以替换设备为主，需要在配置前收集到已有网吧的规划信息。

如果是新建网吧部分配置无需收集，网吧规划可以参考《H3C 网吧白皮书》等资料。

1.2 如何收集公网IP地址、子网掩码、网关、主辅DNS？【ICG路由器 WAN设置相关】请与网吧线路提供商获取或通过网吧网管获取，以下方法只作为验证参考；图1-1图1-2(2) 主辅DNS：通ipconfig/all 命令，可以查看机器DNS设置内容；图1-3 1.3 如何收集原有路由器的公网MAC 和私网LAN接口MAC 地址？【与ICG 路由器 MAC 地址克隆 相关】公网MAC 地址：需要通过登录原有设备获取，如果电信上端设备未对下端路由器做MAC 地址绑定，则可以不设置，新建的网吧不涉及此项修改；LAN MAC 克隆：在替换设备情况下，必须将原有设备的LAN MAC 地址收集，收集方法可以通过网吧可上网PC 上，通过在“开始”，“运行”，“cmd ”，“arp –a ” 命令收集图1-4 1.4 如何确认网吧内所有PC 开机后均已经做静态ARP 绑定？通过对网吧任意一台PC ，查看其ARP 表项Type 类型是否为“static ”，如果是显示“dynamic ”则需要用网吧管理软件或工具绑定，具体方法请参考第二章2.12。

C:\Documents and Settings\Administrator>arp –aInterface: 192.168.0.23 --- 0x2Internet Address Physical Address Type192.168.0.1 00-14-78-01-40-37 static图1-51.5 如何收集网吧内所有机器的IP/MAC对应表？【与访问控制 IP/MAC绑定相关】由于近年来ARP病毒泛滥，造成网吧掉线，ICG路由器可以通过导入IP/MAC表来防御ARP病毒，所以每个网吧都应该将网吧内所有PC的IP/MAC表收集并做详细记录；现在推荐一种简单快捷的方法收集局域网内所有PC的IP/MAC表；开启局域网内所有PC机，包括服务器，收银机等；等待有PC都进入Windows页面获取到IP地址；开启“MAC地址扫描器软件”，点击“开始”，收集到所有机器MAC，并将收集的IP/MAC表按照ICG路由器可导入规格制作成cfg文件；具体的步骤如下：步骤一：通过“MAC地址扫描器软件”收集所有PC IP/MAC/主机名，此步骤注意必须将所有PC开机;图1-6步骤二：将导出的“Result.txt”表格用Excel打开，并按照以下步骤操作：图1-7(1) 点击下一步，对IP/MAC/主机用分列线分割后点击完成；图1-8(2) 将不需要的第一行文字描述和其它信息删除，仅保留前三列内容并按照MAC/IP/主机名的先后次序排列。

用户管理用户是互联网访问的标识主体（即谁在访问），是NS-ICG互联网访问管理的目标对象。

出身份认证信息外，一个完整的用户定义还包含其组织信息和访问策略。

每一个互联网访问都对应唯一的用户（或用户组），这是NS-ICG实现基于用户和用户组的访问控制的基础。

而建立完整和准确的用户信息更是保证NS-ICG 进行有效互联网访问审计（监控、查询、报表等）的关键。

用户管理模块提供全面的用户管理功能，主要有如下几个功能模块：用户导入---------------可通过扫描当地局域网内的IP导入用户、导入LDAP用户或者自定义导入用户。

组织管理---------------手动构建企业组织架构和用户信息。

认证管理---------------配置用户上网的识别和认证管理方式，可针对不同用户采用不同的识别认证方式，支持本地人证和多多种第三方认证；支持用户绑定设置。

用户导入用户导入主要支持三种方式：IP导入、LDAP导入和网康自定义导入。

IP导入主要通过扫描设备IP来进行用户导入，LDAP导入时导入LDAP服务器上的用户，而网康自定义导入则是通过TXT或者CSV文件导入用户信息。

IP导入NS-ICG提供两种用户信息的建立方式。

其一，可以通过已存在的用户信息数据源，导入到NS-ICG系统中，如依据IP地址导入用户、从已建立的LDAP服务器中导入用户、根据网康自定义格式导入用户；其二，可以通过管理界面手工管理。

第1步：通过【用户管理】--【用户导入】--【IP导入】进入如下图所示页面：第2步：点击“扫描”或者“浏览”本地文件后点击“导入”，进入“导入用户列表”画面，如下图：用户名：手动输入用户名；导入选项：导入IP与MAC：保存用户名、IP地址和MAC地址导入MAC：保存用户名、MAC地址导入IP：保存用户名、IP地址填充用户名：如果选择该项， ICG 会将相应的 IP 地址作为用户名进行自动填充；选择导入位置：根据选择，导入到组织管理的指定位置（注：需提前配置好组织架构）第 3 步：管理员根据需要选择导入的数据和填充画面各项信息后，点击右上角的“导入”按钮，进行导入。

EPON业务网网管操作指导书拟制：段珺69948 日期：2008-8-28审核：任英31410 日期：2008-8-28审核：日期：批准：日期：目录EPON业务网网管操作指导书 (1)网管在EPON工程中的典型应用 (3)场景一 (4)步骤1 增加OLT (4)步骤2增加MDU (5)2.1增加MDU能力集模板 (5)2.2增加MDU DBA模板 (6)2.3添加MDU (7)EPON基本业务配置 (7)Internet业务 (8)3.1 MA5680T上增加HSI VLAN (8)3.2 MA5680T上增加HSI VLAN 上行端口 (9)3.3 MA5680T上增加HSI service-port (9)3.4 MA5620E上增加HSI VLAN (10)3.5 MA5620E上增加HSI VLAN上行口 (10)3.6 MA5620E上增加流量模板和HSI service-port (11)VOIP业务 (13)4.1 MA5680T上增加VOIP VLAN (13)4.2 MA5680T上增加VLAN上行口和L3地址 (14)4.3 MA5680T上增加VLAN service-port (15)3.4 MA5620E上增加VOIP VLAN 和上行口，L3地址 (15)4.5 MA5620E上增加VOIP VLAN 的媒体IP和信令IP (16)4.5 MA5620E上增加VOIP MGC模板和MG (16)4.6 MA5620E上增加VOIP 用户 (17)组播业务 (18)4.1 MA5680T上增加VLAN 200和VLAN 2 (18)4.2 MA5680T上增加VLAN上行口 (19)4.3 MA5620E上增加IPTV流量模板 (19)4.4 MA5680T上关联组播VLAN和组播用户 (20)4.5 MA5680T上配置IGMP参数 (22)4.6 MA5680T上配置service-port (23)4.7 MA5620E上配置业务VLAN和组播VLAN (23)4.8 MA5620E上配置业务VLAN配置上行口和组播VLAN配置用户 (24)4.9 MA5620E上配置service-port (25)场景二、 (26)场景三、 (26)场景四、 (27)场景五、 (28)三、设备维护指导 (28)设备与业务部署环节 (28)N2000 BMS上部署全局配置模板 (29)分权分域 (29)业务保障 (30)OLT升级流程 (31)业务发放流程 (35)网管在EPON工程中的典型应用背景：随着国内FTTX市场的蓬勃发展，一线面临大量的设备安装、调测，而MDU的海量部署给一线带来巨大的工作量。

标题：升级版本及恢复出厂设置1.升级准备条件A、检查设备【升级授权】在有效期之内在【系统管理】-【系统配置】-【授权与更新】-【升级授权信息】中，保证剩余天数不为负数图1-升级授权有效B、ICG可以ping通升级服务器在【系统管理】-【系统配置】-【系统工具】-【网络工具】中，去ping一下升级地址是否可以通 对应的地址为211.100.26.38图2：ping的测试图3：ping的正确结果C、确认没有定制以及日志中心连接断开标准版本均没有定制，日志中心连接断开志的是逻辑上的断开，不是指的拔开网线，在【系统管理】-【日志中心】的界面，将启用日志中心前的勾去掉，保证为空，就是不启用了D、进行系统备份及手工截取网络配置部分在【系统管路】-【系统配置】-【备份与恢复】中，点击备份，选择【导出文件】，点确定这个时候会提示保存system.backup,只要文件不为0M，就应该是保存成功，注:网络配置部分不会进行备份,需要手工进行备份(截图或者笔记)2.升级ICG软件版本步骤一：正常登陆的时候，您使用的ip为https://192.168.1.234那么升级的时候，需要在这个IP后面输入https://192.168.1.234/liveupdate用户名和密码默认为ns25000/ns25000步骤二：点击登陆，出现当前的版本号和已经安装的补丁信息,步骤三：点击在线获取更新列表，会显示是否存在可以更新的补丁包；如果有显示，点击该补丁前的空格，然后确定步骤四：出现下载提示，显示新版本的一些新功能，点击的过程中，如果出现文件损坏等，可以不用关注，直接点确定。

（日志量越大，安装时间越长）升级过程中，请不要中断连接，直到出现下面的绿色对勾，点返回或者确定为止步骤五：如果已经是最新版本，则提示无可用更新注：如果出现下面的报警，可能是点了升级以后，IE界面关闭了。

没有到出现绿色的对勾，导致升级进程没办法安装，这个时候只能单击‘红色’对话框中的那几个字，需要重新升级。

标题：设备部署-网桥模式（双网桥）1.用户场景网桥模式,透明部署在路由器和核心交换机中间，为设备配置与路由器内网口和相连交换机接口相同网段的地址，保证设备能够正常管控内网用户，并且内网用户可以管理网康设备。

2. 配置步骤基础配置网桥配置路由配置DNS配置2.1.基础配置系统初次安装时的默认地址配置在桥1上（E0/E1），桥口的IP地址是192.168.1.23/24如图连接好设备（桥1的LAN口，即E1口）和计算机网口，将计算机的IP地址配置为192.168.1.2/255.255.255.0（与桥口的默认IP地址同网段），然后尝试去ping 对端地址192.168.1.23,，如果可以ping通，那么就可以继续在浏览器中输入https://192.168.1.23，使用该地址登陆界面默认的登陆名和密码为ns25000、ns250002.2.网桥配置选择【系统管理】-【网络配置】-【基础配置】，点击【网桥模式】，输入桥IP地址和IP掩码，选择外网口和内网口，配置网关；点击【确定】，在当前列表里显示配置好的链路信息，点击【添加桥接链路】，输入另一链路的桥IP地址和IP掩码，选择外网口和内网口；点击【确定】，在当前列表里显示配置好的链路信息，网络配置完成；注：桥模式只能添加一个缺省网关地址，将网关地址配置成其中任意一条链路的路由器内网口地址即可，缺省网关配置只是影响设备自身上网，对内网用户上网没有影响；2.3.路由配置选择【系统管理】-【网络配置】-【路由配置】，点击【静态路由】，输入目的地址、IP 掩码，下一跳地址并选择接口点击【确定】，在当前列表中显示添加好的路由信息，点击立即生效，配置生效，10.0.2.0/24网段添加方法相同；注：添加静态路由目的只是保证设备可以向内网用户推送web认证界面等，并不是影响内网用户上网的路由，也不是影响设备自身上网的路由。

2.4.DNS配置选择【系统管理】-【网络配置】，点击【DNS配置】，输入DNS服务器IP，点击【确定】；配置完成后，点击立即生效，配置生效；3.接入网络3.1.检查网络连通性检查设备自身是否可以上网；选择【系统管理】-【系统配置】，点击【网络工具】；测试结果，表示设备可以访问网络；检查PC是否可以访问设备；在PC上ping设备的桥地址192.168.110.229，保证可以ping通；在浏览器中输入https://192.168.110.229，确认可以登陆管理界面；4.其他概念注意事项==========================================================================4.1.注意A、多桥模式，HTTP引擎必须为旁路模式；B、多网桥模式，只支持多入多出，即内外网口数量相同；C、多网桥模式，无法启用trunk；D、多条线路的IP地址不能再同一网段。

ICG网关“3G融合”应用销售一纸禅一、拜访用户时传递的信息➢唯一通过3G商用测试：H3C ICG系列网关是唯一一家全部通过电信研究院要求的3G接入在功能、性能、兼容性和稳定性的商用测试的企业网关厂商，企业网关的3G应用真正具备实际环境应用的能力。

➢有线无线接入一体化：企业网关支持3G接入后，真正可以做到有线无线接入一体化，在实际接入方式选择可以更加多样化，满足更多个性化企业用户的实际组网需求。

➢兼容多种类型3G网卡：H3C ICG网关支持多种类型的3G上网卡，目前已支持华为的EC226/EC169和中兴的AC8710，华为的EC1260也在计划中，从而可以保证各省市电信的需求。

➢3G接入的速率有保证：H3C ICG网关设备的NAT处理能力远超过3G上网卡的理论速率，因此企业网关通过3G接入后上网的速率不会衰减。

➢宽带接入部署更方便：H3C ICG网关支持3G接入功能后，用户端的接入部署更简单，无须布线、即插即用；企业宽带开通的时间也可大大缩短，提高了效率。

二、ICG融合3G应用的推广模式：➢商务领航套餐捆绑：省市电信在商务领航套餐中引入3G业务，通过（固网＋移动）业务覆盖所有的中小企业用户。

➢聚类行业应用挖掘：针对某些对无线接入有明确需求的细分行业进行重点拓展，如彩票类、传媒类、勘测类、监控类等子行业。

典型用户分类：1）线路备份的企业用户：包括线路可靠性和安全性要求高的中小企业，银行网点线路备份项目，各地税务机构项目等；如山东农行项目和通辽财政局项目。

2）布线困难的企业用户：包括偏远山区的中小企业，便利店，全球眼监控项目等；如上海电信的全球眼监控项目和广州电信的7-11便利店项目3）移动需求的企业用户：包括办公地点不固定的中小企业、气象局气象车上网项目，石油勘测项目、移动医疗所项目等；如内蒙气象局项目和地州的医疗所项目。

4）VPDN需求企业用户：包括总部和分支机构互连需求的企业，分众传媒项目、彩票销售点项目等；如北京电信的东方银通传媒项目和海南电信的连锁类项目。