ICG1000典型配置

1、企業(yè)信息通信網(wǎng)關(guān)(ICG 1000)典型配置1網(wǎng)絡(luò)配置規(guī)范及操作實(shí)例對(duì)于路由器的配置，一般可以按照以下思路來(lái)進(jìn)行:必須的需求：1. 企業(yè)內(nèi)部有Web服務(wù)器，F(xiàn)TP服務(wù)器，公司內(nèi)部和外部可以通過(guò)In ternet公網(wǎng)地址訪 問(wèn)服務(wù)器。2. 上班時(shí)間(08:0017:00)除部門1的員工外，禁止其他員工通過(guò)網(wǎng)絡(luò)訪問(wèn)In ternet。3. 保證某臺(tái)PC中毒后不會(huì)影響其他員工通過(guò)網(wǎng)絡(luò)訪問(wèn)In ternet。4. 網(wǎng)絡(luò)升級(jí)過(guò)程不超過(guò)10分鐘?？蛇x的需求：1. 在任何時(shí)間除部門1的員工外，禁止其他員工通過(guò)網(wǎng)絡(luò)登錄QQ和MSN。第二步：根據(jù)需求，畫出拓?fù)鋱D，思考如何滿足用戶需求。必須的需求：1. 企業(yè)內(nèi)部

2、有Web服務(wù)器，F(xiàn)TP服務(wù)器，公司內(nèi)部和外部可以通過(guò)In ternet公網(wǎng)地址訪 問(wèn)服務(wù)器。通過(guò)配置虛擬服務(wù)器來(lái)實(shí)現(xiàn)。2. 上班時(shí)間(08:0017:00)除部門1的員工外，禁止其他員工通過(guò)網(wǎng)絡(luò)訪問(wèn)In ternet。 通過(guò)設(shè)置ACL訪問(wèn)控制規(guī)則來(lái)實(shí)現(xiàn)。3. 保證某臺(tái)PC中毒后不會(huì)影響其他員工通過(guò)網(wǎng)絡(luò)訪問(wèn)In ternet。啟用IP流量限制和NAT表項(xiàng)限制可以防止大部分病毒的攻擊；建議對(duì)于接入帶寬大于50M的用戶，IP流量限制的推薦值為上行 200KB/S，下行400KB/S ;對(duì)于接入帶寬小于10M 的用戶，IP流量限制的推薦值為上行100KB/S，下行200KB/S。NAT表項(xiàng)限制數(shù)推薦值

3、為300500。4. 網(wǎng)絡(luò)升級(jí)過(guò)程不超過(guò)10分鐘。先完成路由器配置，再將路由器接入網(wǎng)絡(luò)。可選的需求：1.在任何時(shí)間除部門1的員工外，禁止其他員工通過(guò)網(wǎng)絡(luò)登錄QQ和MSN。通過(guò)業(yè)務(wù)控制(一鍵封 QQ、MSN )來(lái)實(shí)現(xiàn)。第三步：完成ICG 1000路由器配置1.首先查看ICG 1000路由器的軟件版本（“系統(tǒng)維護(hù)”- “狀態(tài)”頁(yè)面），是否符合要求，如果不符合要求，需要先升級(jí)。龜件版本:弓導(dǎo)器陋本:CG1000V100R002L0.1.D就晝渡: 運(yùn)行科間;0.2.OJCPU鎖用:0.7 內(nèi)存便月：29 3%0天0W 2分鐘57秒未妾驅(qū)備粘系統(tǒng)設(shè)It信息2.將設(shè)備恢復(fù)至出廠默認(rèn)設(shè)置（“設(shè)備管理”-

4、“設(shè)置信息”頁(yè)面）。時(shí)問(wèn)設(shè)晝?cè)O(shè)置信且戦件JI簸運(yùn)程普理重啟動(dòng)修改密碼單擊備楡、捲理，可以把所有的設(shè)置信息打包成一文件，備份到PC 上從文件中恢復(fù)設(shè)宣信息單擠瀏弟按此隆擇一個(gè)飲前備份的交件”林單擊t底復(fù)*按田，可以恢復(fù)到以前的沒(méi)置狀瀏覽.世直：恢復(fù)諼置之后謖備將重啟動(dòng).恢貫封出廠設(shè)首單擊拿原按鈕I可以將本設(shè)備恢復(fù)到出廠時(shí)的初臓置狀您|注意:恢復(fù)到出廠設(shè)晝之后.設(shè)備將重啟動(dòng)您當(dāng)前的所有設(shè)査都將丟實(shí).3.由于僅連接一條In ternet線路，因此多 WAN 口連接模式不生效。啟用 WAN1接口，并填入線路ISP及帶寬，選擇 WAN1 口的連接方式為靜態(tài)地址，設(shè)置WAN 口 IP地址為218.1.1.

5、1。并設(shè)置相應(yīng)的子網(wǎng)掩碼、網(wǎng)關(guān)地址、主備DNS服務(wù)器地址等ISP提供的相關(guān)配置（“ WAN設(shè)置”- “連接到因特網(wǎng)”頁(yè)面）。（_）主備模式=選擇主犍路為止1，另一棗疇為備份犍齬衣均衡模式=智能均衡模式O手動(dòng)均衡模式耿認(rèn)樁路 H用氏lI ：H WANI網(wǎng)口 1:電信*帑寬師 Mbps WAM 網(wǎng) 口帶寬 1 Mbps設(shè)貫上翩方式W已H阿口 1；IP地址;子網(wǎng)掩碼:缺省網(wǎng)關(guān)XMTUt主DNE服務(wù)器捕DNSJE務(wù)黠:4.虛擬服務(wù)器配置（“系統(tǒng)服務(wù)”- “虛擬服務(wù)器”）。 WEB服務(wù)器的端口號(hào)為80,FTP服務(wù)器的端口為21,可以通過(guò)選擇系統(tǒng)預(yù)置設(shè)置，然后填入內(nèi)部服務(wù)器IP地址快速添加配置項(xiàng)。5. 設(shè)

6、置ACL規(guī)則（“訪問(wèn)控制”- “訪問(wèn)控制”頁(yè)面）。上班時(shí)間（08:0017:00，周一到周五）除了部門1的員工，禁止其他員工通過(guò)網(wǎng)絡(luò)訪問(wèn)In ternet。注意添加訪問(wèn)規(guī)則的次序。nn： qd v & rinTor v昆圳日一二三也五口匚 匚口1M地址iPtGCL Q+Q265,25E.2E& 2EEgm 址 tp：L.L.Q. U-i6b.26b.2EB.25fa目的琳匚范甩11.65535硼：ALL ”整作；1i立墊L呂IP/MACURLhl址務(wù)控制mntttt目國(guó)堆址|目的轉(zhuǎn)口艷冏一二三口， 五1兀丄陽(yáng)丄和-L92.16S.1 屮DdDiO Q -551 * 6

7、5535ALL亢許已二三1DX 0,0-.D.O .Q z2=5.?5.?=j5.25=i1 - 65535ALL幕止攔止時(shí)弭100:0O “IP流量限制”頁(yè)面）。該項(xiàng)為必需配置，可以防 止因某些PC過(guò)量占用帶寬而影響他人上網(wǎng)的情況，同時(shí)也可以防止一些從內(nèi)網(wǎng)發(fā)起的流量攻擊。上仃丄翻下桿汽趾上取L 1Q2.16B 1.1.53152.163.10373friiara (KBvte/s)10C電司壯址*rt2豈兮毎計(jì)應(yīng)用迢首&NA1扛鞅富7. 啟用NAT表項(xiàng)限制（“ Qos設(shè)置” - “ NAT表項(xiàng)限制”頁(yè)面）。該項(xiàng)為必需配置,可以防止某些PC過(guò)量占用帶寬而影響他人上網(wǎng)，同時(shí)也可以防止一些內(nèi)網(wǎng)發(fā)起

8、的NAT表項(xiàng)攻擊和路由緩存攻擊。10.完成ICG的配置后，備份ICG配置文件（“設(shè)備管理”- “設(shè)置信息”頁(yè)面），NAT項(xiàng)限制耦肋:口起培地址:姑柬臨lhH占T卷項(xiàng)t魏上限;i主釋:叵啟用NET表頊限制定址NJU表序上ph們a住釋1192,108,1.15019?. 168,1.200300Pdi t2恃權(quán)卩地址:楓限:局歧網(wǎng)設(shè)直DHCP客戶列表養(yǎng)口設(shè)置 說(shuō)口鍛愎& 一鍵封QQ、MSN （“訪問(wèn)控制”- “業(yè)務(wù)控制”頁(yè)面）。任何時(shí)間除了部門1的員工，其他人都不能使用 QQ和MSN。IP/MACMACit址過(guò)淹進(jìn)總控制URL泄溥業(yè)務(wù)控制基本業(yè)務(wù)祭止QQ上線0禁止M射上鐵IP4M1192.1(58

9、.1.50-192.166.1.丄斗 99.修改LAN 口的IP地址或MAC地址（“ LAN設(shè)置”- “局域網(wǎng)設(shè)置”）。（根據(jù)實(shí)際需求，可選）182.168.1 1255, 255.255. 0即地址；千朗掩碼：注蠢:儲(chǔ)故LAN口舸IP地址倨需要重新登錄剖新的詰備池扯才瓷綻續(xù)配蚤I AN IVIAC克隔伽奉設(shè)裔匚；?？?；0HE2；GE;D+；0AO手工輔入MAC :以便在。吋同謖置戦拌畀釀紜程管理董E動(dòng)修改密鳥單擊備樸按詛，吋H把所有的邊置信息打包成一個(gè)立件備檢對(duì)PC B從文件中慷復(fù)設(shè)置信息備份恢if單擊測(cè)竟按覘 選擇Txl前備柏的文件 法后單擊決顯按田可UU更昆到以前的設(shè)言伏態(tài).沖査：依算誥

10、雪京后褐罄將重啟動(dòng).2安裝維護(hù)中注意事項(xiàng)配置過(guò)程中需要注意，下列配置建議啟用:1. IP流量限制；/防止BT、迅雷業(yè)務(wù)過(guò)量占用帶寬，防止大量流攻擊。|=屯七龍址:PM/itilhTiTiia 上錄:SK=.C 11號(hào).汕乩】3)192.1&8-14W10Q2. NAT表項(xiàng)限制；為了防止BT、迅雷業(yè)務(wù)過(guò)量占用帶寬；防止 NAT表項(xiàng)被攻擊和路 由緩存被攻擊。匕巖用MA詵或隠制192.1&S.1.50192.16B.1.2C I5003PS5HIH應(yīng)Ml迪建普豊NAT衾奪服制地 lb冋噴地址HBT我項(xiàng)中垓上跟匕iiw；3. IP/MAC綁定；II主要為了防止ARP攻擊而導(dǎo)致網(wǎng)絡(luò)掉線。強(qiáng)烈建議開啟雙向ARP綁F1P/MAC 定MAC A址過(guò)港訪目控制URLMig業(yè)霧控制主機(jī)名;IP地址:MAC地址: iScfttflP/MflC的客戶端訪何外網(wǎng)序號(hào)|主機(jī)名IP1AMAClftiL1192.103 1.50； 11；22h0；00：012192.169 1.S