ICG 1000-中小企业网关

,44,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,杭州华三通信技术有限公司,中小企业信息通信网关 ICG 1000,日期：200802,ICG,网关产品简介,产品主要功能介绍和配置,中小企业开局事项和配置指导,ICG,网关常见问题分析,目录,ICG 1000 产品概述,H3C ICG 1000,信息通信网关（以下简称,ICG 1000,）是一系列高性能全百兆信息通信网关，主要定位于中小企业，政府、企业等网络环境。,ICG 1000,采用专业的,64,位单核网络处理器，并且支持丰富的软件特性，如,IP/MAC,绑定、,ARP,防欺骗、流量控制、策略路由、业务控制等功能，是中小企业用户的理想选择。,ICG 1000,提供,2,个,10/100Base-TX WAN,口、,3,个,10/100Base-T LAN,端口和,1,个,Console,接口，长,13,英寸。支持机架式安装。,ICG 企业网关系列是多功能合一的设备,双,WAN,上行,策略路由,以太交换,防火墙,防,ARP,病毒,应用层业务控制,流量统计,/,限速,(QOS),访问控制,(ACL),FE,服务器,DMZ,传统用户,用户侧,电信侧,L2,FW,Router,H3C ICG 1000,IP电话,ICG 1000将组网常用的5台设备功能，集成到一台设备之中；,适合20100用户同时在线。,应用控制,传统用户,流量统计分析,特色功能,ICG,网关产品简介,产品主要功能介绍和配置,中小企业开局事项和配置指导,ICG,设备常见问题分析,目录,中小企业网络现状,局域网内ARP攻击与欺骗,垃圾流量泛滥（BT、迅雷）,设备操作复杂，管理复杂,用户异常掉线，帐号密码被盗,网络速度缓慢，正常上网业务,无法保证,维护成本直线上升,黑客、竞争对手恶意攻击,网络频繁掉线，经常影响正常业务,缺少QQ、MSN等限制功能,企业办公效率低下,配置管理WEB,管理,100%,ICG 企业网关可以通过WEB配置网关,所有,的功能。,同时也支持远程WEB管理和串口下配置,配置管理,设备,远程管理定制方案,运营商提供集中管理和维护服务，为客户减轻维护烦恼,。,客户只需要针对自身需求，简易配置个性化业务。,电信侧,集中专业管理,权限最高,用户侧,企业Web界面化傻瓜管理,运营商授权,SNMP/TR069,攻击防范,ARP攻击防御三步曲,ICG网关,用户,接入设备,网关防御,合法,ARP,绑定，防御网关被欺骗,ARP,数量限制，防御,ARP,泛洪攻击,定期发送合法,ARP,报文（免费,ARP,）,1,接入设备防御,网关,IP/MAC/,端口绑定，过滤掉仿冒网关的报文,合法用户,IP/MAC/,端口绑定，过滤掉终端仿冒报文,ARP,限速,2,客户端防御,绑定网关信息,3,攻击防范ICG 上如何实现防ARP攻击,ICG中的,IPMAC绑定功能,可以保证表项中的ARP表项不会被篡改,，,仅允许IP/MAC绑定的客户端访问外网,可以保证设备,的ARP表项不会溢出。,IP/MAC绑定表的配置,对于已经上线的PC，可以通过ARP导入方式来进行IP/MAC的绑定,对于没有上线的PC，可以进行IP/MAC的预配置，也可以通过脚本进行导入,攻击防范ICG 如何实现防ARP欺骗,防ARP欺骗可以通过两种方式来实现:,网络,PC,静态设定网关的,ARP,表项,(,可以用,ARP,绑定软件）,ICG,上启用,ARP,防欺骗功能（可以缓解,ARP,欺骗）,攻击防范强大的防火墙功能,ICG 1000特有的状态数据包过滤功能：,支持对数据包进行双向过滤；,支持状态防火墙功能；,支持常见的防,DOS,攻击。,带宽管理速率限制和NAT限制,带宽管理IP流量限制,ICG 1000的IP限速功能可以防止个别用户过多占用企业,带宽而影响其他用户；缓解内网（由病毒引起的）DDoS攻击。,带宽管理NAT表项限制,ICG 1000的NAT限制功能可以限制网络中BT/迅雷,等业务过多占用带宽，也能防止内网DDoS攻击。,安全控制丰富的ACL功能,ICG 1000支持多种类型的ACL功能,支持基于时间、源IP,、目的IP、目的端口、协议等字段的访问控制。,安全控制基于黑白名单的MAC控制,大部分网关的MAC控制功能，都是基于白名单的，仅允,许配置的MAC地址访问外网。,有些客户使用中需要限制个别PC上网，使用黑名单MAC控,制就可以轻松实现，而其他PC不受影响。,除了MAC控制，ICG 还支持ACL控制和URL控制，满,足企业和企业多种控制需求,安全控制 ICG 如何禁止QQ / MSN,ICG 1000是通过对报文的深度检测来实现对于QQ / MSN的,访问控制，所以在彻底禁止QQ / MSN访问的同时，,可以,根据需要对某些IP提供访问特权,。,ICG对网络问题定位方式日志,ICG 的日志功能提供了设备各模块的配置信息、登陆信息和安,全信息，日志可以下载、删除和导出。,ICG对网络问题定位方式流量统计,流量统计很多网关都有。ICG 企业网关可以根据端口和IP,地址进行流量统计，其特有,Top10,特性，可以根据任意一项,数据进行排列显示，实时掌握网络动态。,ICG 特有 Top10 功能,ICG对网络问题定位方式维护,ICG 的维护功能提供,“定位信息导出”,和,“设备自检”,功能,定位信息导出：提供设备运行所有信息，便于问题定位,设 备 自 检：提供网络管理员当前设备的运行情况,ICG对网络问题定位手段故障诊断,ICG 提供Ping和Tracert诊断功能，企业管理员可以具体情况,使用，判断网络的基本情况。,双WAN模式保证电信业务增值,ICG,视频区,上网区,电信视频服务器,上网业务,视频业务,WAN 1,WAN 2,Internet,智能负载均衡，根据用户实际带宽比分配实际的网络流量,手动负载均衡，根据预先定义的应用业务策略进行流量分配,源地址路由，为不同的内网机器指定不同的出口,双WAN链路配置,配置双,WAN,接口的地址、网关以及,DNS,等信息,配置基于目的的策略路由,配置基于源地址的策略路由,对于未匹配均衡路由表的路由，,选择默认链路作为出口,双WAN链路配置负载均衡表和源地址路由表,负载均衡表,源地址路由表,静态NAT保证了内部服务器的映射,ICG 的静态NAT功能使得企业内部服务器与公网IP地址,映射更方便、更安全。,简单快捷的设备升级,点击“浏览”按钮，从本机上选择待升级的版本的文,件，点击确定即可。注意在升级过程中，保持ICG,设备不断电。,ICG,网关产品简介,产品主要功能介绍和配置,中小企业开局事项和配置指导,ICG,网关常见问题分析,目录,ICG设备在网络中所处位置,S1026T,Server,电信宽带接入,S1026T,ICG 1000,部门1,部门2,内部服务器,S5024P,ICG设备能力参考,设备能力,H3C ICG 800g,H3C ICG 1000,H3C ICG 1800,H3C ICG 2000,企业PC数,20台PC以下,建议100台PC以下,150350，,建议350台PC以下,20-200,包转发率64byte,ADSL2+上行,32kpps,80kpps,160kpps,并发连接数,8K,60K,60K,50K,ARP学习数,1K,1K,1K,4K,CPU能力,单核 266 MHZ,单核 500 MHZ,双核 1 GHZ,单核 333 MHZ,内存,32M,64M(DDRII 533),64M(DDRII 533),DDR 256M,FLASH,8M,8M,8M,16M,以太口能力,百兆下行,百兆上行，百兆下行,百兆上行，千兆下行,百兆上行，百兆下行,H3C ICG1000安装前提条件,H3C ICG1000安装前提条件,H3C ICG1000 安装机架安装,H3C ICG1000安装 桌面安装,H3C ICG1000 物理连接,企业IP限速数和NAT表项数推荐,企业PC数,接入总带宽,上行速率限制（KB/s）,下行速率限制（KB/s）,NAT表项,限制数,20150 PC,小于10M,100 KB/s,200 KB/s,300-500,10M到20M,100KB/s,200KB/s,300-500,20M到50M,100KB/s,200KB/s,300-500,50M到100M,200KB/s,400KB/s,300-500,大于100M,200KB/s,400KB/s,300-500,对于的企业，则可适当降低IP限速值，具体可以参考上表比例调整,ICG设备配置实例一,如：,某企业需要满足以下需求：,电信单条,10M,光纤接入,防止局域网内的,ARP,攻击；,防止某些计算机使用,BT,、迅雷等软件过度占用网络资源。,控制局域网内,PC,的等上网业务,指定若干内部服务器,(WEB,、,FTP,、其他业务）,针对需求，,ICG,上的配置需求,WAN,口接入方式采用静态,IP,地址接入方式；,ICG,通过光电收发器接入到电信的线路，,WAN,口模式采用主备方式，,启用,IP/MAC,绑定功能，防止,ARP,攻击；,启用,ARP,防欺骗功能（在,PC,上静态绑定网关的,ARP,表项）；,设置,IP,流量限制和,NAT,表项限制，防止,BT,、迅雷等软件过度占用网络资源。,设置,MAC,过滤、,URL,过滤和,ACL,等规则，限制应用层业务,QQ,和,MSN,的访问。,创建内部虚拟服务器规则或指定静态,NAT,映射关系,ICG设备配置实例二,如：,某企业需要满足以下需求：,电信,100M,光纤和,2M ADSL,接入，并实现“监控业务走,ADSL,，其他走光纤”的需求,防止局域网内的,ARP,攻击；,防止某些计算机使用,BT,、迅雷等软件过度占用网络资源。,控制局域网内,PC,的等上网业务,指定若干内部服务器,(WEB,、,FTP,、其他业务）,针对需求，,ICG,上的配置需求,WAN,口接入方式采用静态,IP,地址接入方式；,ICG,通过光电收发器和,ADSL,猫分别接入到电信的两个线路，,WAN,口模式采用手工负载均衡方式，实现“监控业务走,ADSL,，其它走光纤”；,关闭,DHCP,服务器功能，手工给局域网内各计算机分配静态,IP,地址；,启用,IP/MAC,绑定功能，防止,ARP,攻击；,启用,ARP,防欺骗功能；,设置,IP,流量限制和,NAT,表项限制，防止,BT,、迅雷等软件过度占用网络资源。,设置,MAC,过滤、,URL,过滤和,ACL,等规则，限制应用层业务,QQ,和,MSN,的访问。,创建内部虚拟服务器规则或指定静态,NAT,映射关系,ICG,网关产品简介,产品主要功能介绍和配置,中小企业开局事项和配置指导,ICG,网关常见问题分析,目录,ICG 1000常见问题一,1、设备掉线主要有哪几类：,ISP,线路原因：,ISP,网关或,DNS,服务器问题导致全网掉线（游戏、聊天、网页等业务都不可用）。,网络攻击：,ARP,攻击导致部分或所有,PC,掉线。,网络拥塞：,非恶性攻击如,BT,、迅雷下载，,LAN,内,PC,异常或中毒，引起网络拥塞；,从外网或内网发起的恶性攻击，引起网络拥塞。,企业物理环境引起掉线,网线松动或组网过程中,Switch,端口协商、绑定有误引起网络不通。,ICG 1000常见问题二,2、ICG 1000出现掉线问题如何定位？,了解企业运行环境，了解具体掉线现象，看是否有规律。（企业规模、单,/,双,WAN,、带宽多少、平时运行情况、最近掉线频率、是否全网掉线、掉线有什么规律、什么游戏掉线、是否是固定的网游掉线）,了解企业掉线时是如何恢复环境的？（是自动恢复？重启网关？重启,PC,？）,了解网关和,PC,的配置，检查必要配置是否都已启用。,根据,ICG,提供的维护手段来分析和判断掉线原因。,ICG 1000常见问题三,3、IP/MAC绑定错误，导致用户不能上网或无法访问设备时如何处理？,方法一：找一台可以访问设备,WEB,页面的,PC,，修改,IP/MAC,绑定配置。,方法二：在串口上关闭,IP/MAC,绑定。在串口输入以下命令：,ipmac-restrict disable,。用一台,PC,登陆设备,WEB,管理页面，修改,IP/MAC,绑定配置。,方法三：通过串口恢复出厂设置后重新配置。在串口输入以下命令：,restore default,。恢复出厂设置后，用一台,PC,登陆设备,WEB,管理页面，重新设置,ICG,网关上的配置。,ICG设备运行常见问题一,1、为什么会出现“重复登陆.已登陆x.x.x.x，请确保没有其他人在登陆”提示，如何解决？,从安全性考虑，ICG同时只允许单个用户管理设备。当用户配置完毕后直接关闭窗口就会出现标题错误，解决办法有：,方法一：找到,IP,地址为,x.x.x.x,的,PC,，在页面上点,退出管理后，其他,PC,可立即管理设备。,方法二：等待,5,分钟，等,WEB,超时后，可以再次登陆管理设备。,方法三：重启网关后，可立即管理设备。,ICG设备运行常见问题二,2、如何查看ICG系统资源使用情况？,通过状态页面可查看：,CPU,及内存使用情况,/,软硬件版本,/LAN,、,WAN,接口信息。,通过“维护”,-“,设备自检”可查看设备：,设备当前的运行和配置情况。,3,、,ICG,管理密码丢失怎么办？,通过串口恢复出厂设置。在串口输入以下命令：,restore default,4,、,W1,、,W2,灯指示的含义,W1,、,W2,灯“亮”表明对应,WAN,接口正常，“灭”表明物理线路断开或检测失败；,如果,W1,、,W2,同时闪烁,(,即便不连接网线,),，表明设备工作在非正常状态；可尝试断电重启，并重新连接,WAN,口线路，如果依旧同时闪烁，需要联系当地售后服务检测设备。,