ICG配置简介

ICG配置简介
登陆地址格式：https://xx.xx.xx.xx（地址根据实际环境提供，注意开头是https，设备默认地址：192.168.1.23）
将电脑本机的IP地址改为与设备默认地址同段的任意地址，然后用网线与设备的E1口直连登陆界面，输入用户名和密码（系统默认用户名和密码都是：ns25000）
管理界面
上架前配置步骤：
步骤1、配置桥口地址：系统管理—网络配置—基础配置
设备默认采用透明桥接模式，且默认启用一条链路，如实际环境有两条（或多条）出口链路，需点击添加链路（需要确认设备本身支持几条链路，即有几对桥口，一对桥口对应一条链路）
根据实际环境，输入桥口IP地址、掩码和网关，确认输入无误后点击确定
多链路情况下，只需在链路2（以及其他链路）IP地址处输入一个虚地址即可，因为链路1上已经存在了实际环境中的真实地址，没有必要再去配置真实地址，这样也可为用户环境节
省资源。

配置完桥口地址后，将接入设备的电脑本机上的IP地址改为与桥口地址同段任意地址，然后重新登录设备即可访问，需要注意的是，在整个设备的配置中，只有编辑桥口地址这一个动作会使设备有个重新识别的过程，即断网（哪怕什么都不改，就只单单点击确定），所以一般情况下都是在设备上架前完成，如果上线后有需要改动桥口地址的话就要做好避免断网的准备。

步骤2、配置DNS：系统管理—网络配置—DNS配置
根据用户实际环境输入主、备DNS地址即可
步骤3、路由设置：系统管理—网络配置—路由配置
同样也是根据实际环境来配置，如果用户是二层环境的话只需配置一个默认路由即可
如是三层环境，需添加回执路由，确保能够访问到ICG设备
步骤4、管理口配置（非必要）：系统管理—网络配置—管理口配置
点击启用管理口，输入IP和掩码
管理口注意事项：
1．启用管理口一般有两种情况，一是用户实际环境中需要使用管理口（即设备需要接入三根网线），这时管理口上的地址就必须配置真实地址（同桥口地址配置），而桥口上的地址（无论几条链路）则配成虚地址即可，另一种情况是开启管理口来作为今后直连设备的途径，这时管理口上的地址只要设置为虚地址即可，然后将电脑本机的IP改为与管理口地址同段的任意地址，用网线接入管理口即可登录设备管理界面（这种情况多数是用来维护设备）
2．如何确认管理口的接口数字
看设备前端面板
如图所示，从桥口E0开始往右到E3结束，然后回到mgt（mgt即管理口），mgt就是E4，所以端口选择就选Eth4
访问限制选择不限制即可，最后点击确定
3．如果实际环境需要使用管理口（即上述第一种情况），则在路由设置方面要注意选择接口为管理口（包括静态和默认）
根据上述步骤1-3，完成并确认无误后，即可将ICG设备接入用户实际网络环境中，强烈建议先将设备通电，约2分钟后设备完全起来后再进行线路切换，确保将断网的影响减至最小
（访问设备输入桥口地址，如启用管理口则输入管理口地址）桥接模式参考下图：
验证设备（很重要）：
1．用ping设备管理地址来测试设备是否能与网络连通，确认路由配置是否正确2．登陆设备管理页面：系统管理—系统配置—网络工具
输入任意外网地址或IP，测试设备本身是否能够连通外网
根据结果显示，如果能够连通外网，则设备一切正常，如果连不通外网，需确认DNS和路由设置是否正确。

至此，关于ICG的上线前期准备告一段落。

基本配置简介
设备上线后，可以按需进行各项配置，这里介绍一下几个主要的方面
一、建立组织结构
建立组织结构是非常重要的一步，必须完全符合用户的实际环境，后期关于策略的设置都要指向组织结构，所以一定要确认无误。

ICG支持IP环境、MAC环境以及域控环境的组织结构，下面主要详细介绍一下IP环境的组织结构建立步骤。

例：用户内部网段192.168.1.1-192.168.1.254
192.168.2.1-192.168.2.254
192.168.3.1-192.168.3.254
步骤1、建立用户组：用户管理—用户管理
点击ROOT，默认组织结构是建立在ROOT目录下
点击新建组—新建普通组
编辑一下组名，选择归入的所属组，点击保存（组名可以自定义，所属组默认为ROOT）
注意如果出现红框提示，就表示有条目没有输入或输入的内容不符合格式要求
这样在ROOT组下就有了一个名为192.168.1段的组
另外注意一下页面右上角，有个红色的立即生效，表示所操作的动作需要点击确认才能生效
步骤2、建立IP对象：全局配置—对象设置—IP对象
点击添加
输入对象名称（名称自定义，任何编辑窗口的名称都属于必输项），点击手写录入IP地址
查看输入的格式要求
根据格式要求输入内容，点击录入
输入完成后，点击保存
这样在IP对象中，就有了一条新建的IP对象
步骤3、将所建的IP对象归入用户组：用户管理—认证管理—认证策略
点击添加
输入名称，选择IP划分（本例以IP为主，如是Mac环境，选择Mac划分）
选择IP对象
选中之前建立的IP对象，点击保存（也可点击操作IP对象，根据步骤2操作）
IP对象选择确定后，标记就会变为已选择
关于终端设置和身份方式都保持默认即可（如果是Mac环境的话，身份方式要选择Mac识别）
选中录入位置，选择需要录入的用户组，点击保存
这样一条认证策略就建立完成了（记得点击立即生效）
将这条认证策略生效后，只要属于这个网段的用户，当他们连上网后，ICG就会收到这些用户的数据，然后根据认证策略将他们自动归入所指定的用户组中（同理操作另两个网段）
总结：在建立组织结构中，可以往用户组里手动添加IP地址，但是因为用户实际环境中通常都有很多地址段，通过手动去添加一条条的IP地址不太现实，所以可用上述步骤去完成组织结构的建设。

Mac环境下的组织结构建立方法同上，注意一下Mac对象的设置格式
如果是域控用户，操作步骤如下：
用户管理—用户导入—第三方数据导入
点击第三方数据源，选择第三方数据源设置
点击新建
编辑第三方数据信息
注意事项：
1、第三方数据名称：自定义一个名字就行
2、第三方数据主机：输入域控服务器的IP地址
3、入口：根据格式输入，举例某一域控名为，入口格式为：DC=ab ,DC=com
4、管理员账号：输入的管理员账号的权限必须要能读到域控服务器的日志
5、自动更新时间：启用后设置的时间建议不要太短，一般选择默认的15分钟即可
以上选项详细可参考手册，操作到哪一步，点击页面右上角的？，即可显示关于这一步的操作步骤
输入完成后，点击测试，验证域控服务器设置是否正确
完成域控设置
注意事项：
1、组名称：自定义
2、按需勾选组外成员
3、选择第三方数据源：如已建立数据源则可在下拉菜单中选取，如未建立，点击旁边的添
加第三方数据源，按上述步骤建立
4、远端DN：按格式输入（同数据源设置）
5、导入位置：默认选择ROOT
6、点击保存
域控建立完成后，列表中会出现新建的域控（非默认的手动导入），勾选此域控，点击立即数据同步，使ICG中导入的域控与用户的实际域控同步联动
在组织结构中，ROOT下面就会出现导入的域控组织结构
开启域控透明识别：用户管理—认证管理—认证配置，选择透明识别配置
选择AD识别，点击未配置
输入域控账号和域控服务器地址，点击AD连通性测试，验证配置是否正确
测试成功后，点击启用并立即生效
针对域控结构，需要将所属的IP段设置为透明识别，不必启用自动录入即可
至此，关于组织结构的建立到此告一段落。

二、关于策略的设置
任何策略，一般必须要输入的项目包括：策略名称、用户对象，策略内容和策略动作下面以网页策略举例
上网管理—网页访问详情
点击添加策略
策略设置页面，按上述提到的4个必输项（所有的策略设置页面都差不多，基本就是这样一个页面）
操作步骤：
1、用户选则：可以选整个组，也可以选组里的某些或某个人
2、网站分类：点击进入网页分类编辑
点击右上角+号
选择所需的网页分类（左边一列是网址分类库，右边一列显示的是所选的分类，也可以选择大类里的详细小类）
勾选设置的网页分类，点击确定
设置策略动作，动作默认是允许
如果策略的动作时要求禁止的话，点击允许该请求，则动作性质会变成阻止，然后勾选记录，记录上网行为，最后点击确定，完成策略的制定。

这样一条策略就建立好了，记得点击立即生效
注意事项：
1、默认一条策略只要设置这4项，其余一般都会默认
2、某些选项，举例时间，设备默认有两个时间段
可以直接修改上面的两个时间对象，也可以点击右上角的+号，来建立新的时间对象
所有关于对象的设置都可以事先设置好，然后从策略里选择添加
3、网站分类里面，除了本身的分类外，也可以自定义建立分类
全局配置—对象设置—网址分类对象，在自定义分类里，点击添加
进入自定义编辑窗口，点击添加
输入网址，一般建议可省略www
所有新建的自定义分类，显示在网址分类中的其他分类里
其他策略操作步骤基本相同，关于ICG的基本设置就介绍到这里，需要设置其他功能的可参考手册。