网康互联网控制网关NSICG安装指南

一、 NSICG网络接口定义：

NSICG接口定义

1U设备从左到右依次为：预留电口1、预留电口2、外网口、内网口；

2U设备从左到右依次为：预留电口、预留光口1、预留光口2、外网口、内网口

内/外网口初始IP：192.168.1.23  掩码：255.255.255.0   出厂默认为网桥模式，故内外网口IP相同

二、基本设置过程：

通过内网口或外网口登陆NSICG web管理界面进行基本设置。

1、 将NSICG上架，接通电源并开机。开机大概需要1分多钟。

2、 将任意一台PC的IP配置成192.168.1.0/24子网内的一个IP（除192.168.1.23之外任一IP），如：192.168.1.100，掩码255.255.255.0

3、 将此PC的网络接口和NSICG内/外网口连接，ping 192.168.1.23看是否连通（网桥一般会有10几秒的识别时间，故接通网线后并不会马上ping通）

4、 在IE地址栏输入https://192.168.1.23访问NSICG管理界面，默认用户名ns1000密码ns1000

5、 按下面“NSICG网络参数设置”部分依据具体网络环境配置NSICG网络参数

6、 修改PC的网络配置，使其和NSICG新的IP在同一段。重新访问web管理界面

7、 关机，断电，然后重新通电重启。请使用系统管理>>工具>>关机/重启选项关闭NSICG（见关机界面图）。重启大概需要1分多钟。

8、 停止NSICG引擎：系统管理>>系统配置>>服务>>引擎配置，选停止过滤，点确定（见引擎开关界面图）

9、 将NSICG外网口与防火墙或路由器相连，内网口和内部交换机相连（请一定注意方向不能接反，接反的情况下可以看到网络应用监控内容，但不能看到web监控内容，且策略设置会无效）。手工切换网络接口之后大概需要10几秒钟时间能够连通

10、 测试内部用户上网是否正常

11、 启动NSICG引擎：系统管理>>系统配置>>服务>>引擎配置，选启动过滤，点确定（见引擎开关界面图）

12、 测试内部用户上网是否正常

关机界面

引擎开关界面

三、NSICG网络参数设置：

NSICG支持2种网络布署方式：网关模式或网桥模式，网关模式可以实现简单的路由和防火墙功能，适合网络结构比较简单，没有路由或防火墙的环境；网桥模式支持透明布署，理论上可以放在网络中任何位置而不需改变现有网络环境设置。一般情况下为了管理内部所有用户，NSICG串接在网络出口处，在防火墙/路由器和内部交换机之间，多数网络结构适合网桥模式布署。

针对几种常见的网络结构，现举例如下（以下情况一～情况四全部为网桥模式布署）：

情况一：单子网环境

单子网环境

如图，此种网络结构一般为200用户以下小型网络，只需给NSICG配置一个不会和其他主机冲突的IP地址即可。如某企业有120台机器，IP分布在192.168.10.0/24子网内，网关地址为192.168.10.254。

配置方法如下：

系统管理>>网络配置>>接入模式，选择网桥模式，IP设置为192.168.10.11，掩码255.255.255.0，缺省网关192.168.10.254，DNS为当地电信服务商提供的地址，点击确定保存网络设置。

                      基本网络设置界面

情况二：多子网通过局域网内部三层交换机汇聚后连接NSICG

多子网通过局域网内部三层交换机汇聚环境

如图，典型的多子网是通过企业内部三层交换机做路由汇聚，然后转发到接入防火墙或路由器去访问互联网。NSICG可以布署在内部三层交换机和接入防火墙/路由器之间。

配置要点：除了基本的网络配置外，还需要在NSICG网络配置中的高级设置上配置每个子网的回程路由，保证NSICG与各子网的终端互通。

配置方法如下：

系统管理>>网络配置>>接入模式，选择网桥模式

IP：192.168.1.3/24  缺省网关: 192.168.1.1  DNS: 电信提供的DNS地址

点击网桥模式>>高级配置按钮，添加三条静态路由，

目的IP：192.168.2.0/24，下一跳：192.168.1.2

目的IP：192.168.3.0/24，下一跳：192.168.1.2

目的IP：192.168.4.0/24，下一跳：192.168.1.2

也可以设置一条16位掩码的路由代替上面3条：

目的IP：192.168.0.0/16，下一跳：192.168.1.2，如下图

添加静态路由界面

情况三：多子网通过局域网内部二层交换机汇聚后连接NSICG

多子网通过局域网内部二层交换机汇聚环境

如图，此情况内部交换机为二层设备，不具备路由功能。这样就需要为NSICG配置多个IP地址，保证和各个子网的连通性。

配置方法如下：

系统管理>>网络配置>>接入模式，选择网桥模式

IP：192.168.10.11/24  默认网关：192.168.10.254  DNS：电信提供的DNS地址

网络配置>>高级配置>>多IP配置，给NSICG配置多子网的IP地址，如下图：

多IP 配置界面

情况四：用户网络存在ISA代理服务器：

用户网络存在ISA代理服务器环境

由于代理服务器的特殊工作机制，用户通过代理服务器访问互联网的请求对于代理服务器外的设备是不可见的，如果要分用户进行管理，NSICG的布署点应该选择在终端用户到代理服务器的中间。

代理服务器分透明代理和非透明代理两种，透明代理一般是双网卡代理，布署在网关处；非透明代理可以是单网卡布署，可以布署在内网任何位置。

对于透明代理，NSICG按照透明桥接模式布署在代理服务器内网口即可，具体网络配置方法参照情况一、情况二和情况三。

对于非透明代理，如上图所示，可以布署在代理服务器及其接入交换机之间，注意网络接口的方向性，NSICG的默认网关指向防火墙/路由器的IP，如果web代理端口号不是80，还需要对代理端口进行配置，如下图，系统管理>>网络配置>>代理配置，指定代理服务器的IP地址和代理端口

代理配置界面

网关模式布署：

如果需要NSICG做为网关模式布署，配置方法如下：

系统管理>>网络配置>>接入模式，选择网关模式，正确设置外网IP/掩码、内网IP/掩码、缺省网关IP、DNS IP，设置完成后，点击确定保存网络设置。如果用户网络存在路由环境，请参照情况二设置静态回程路由；如果网关上需要绑定多个子网IP，请参照情况三设置多IP。

网关模式配置界面