笨驴技术(IMFirewall)博客

在防火墙、上网行为管理如何实现双机热备一文中，我们介绍了如何用两条外线来实现网络双机热备。在有些情况下，一些用户还需要对同一条线路做双机热备。准确的说，外线只有一条，但是要确保防火墙/上网行为管理设备是可以实现热备的。这种情况下，和防火墙、上网行为管理如何实现双机热备一文不同的是，我们需要同时在“内网口”和“外网口”上都开启虚拟IP。这样的效果就是：内网口和外网口都工作虚拟IP上，一旦主设备故障，可以迅速切换到备份设备上去。

链路聚合和端口聚合是两个概念：

1). 链路聚合是指多条外线的情况下把多条外线聚合使用。该功能可以通过WSG的“多线均衡”模块来实现。

2). 端口聚合是指在WSG上接多个内网交换机端口，从而提升内网的上联带宽。

一些企事业单位出于安全考虑，需要做内外网分离。举例来说，需要达到如下的技术要求：

1. 生产网、办公网、外网三网隔离。

2. 启用网络准入，对非规定允许接入的设备禁止其接入网络。
   

3. 上网数据留存。

在本文中，我将结合WSG上网行为管理来阐述如何实现内外网分离。

企业内网一般都会划分多个VLAN。划分VLAN可以提高内网安全性，而且更加便于管理。比如：有线和无线处于不同的网段，不允许无线设备访问企业内网，这样可以保护内部信息安全；而且可以对不同网段配置不同的上网策略和流控策略。而且划分VLAN可以分割广播域，避免广播风暴。VLAN的划分一般有如下三种方法：

1. 通过三层交换机来划分VLAN

无线网络由于安全性比较低，企事业单位的无线组网需要考虑如下因素：

1. 有线网段和无线网段互相隔离。
   

2. 办公无线和访客无线也需要互相隔离。

3. 每个网段的无线终端建议控制在150以内，避免广播风暴。
   

4. 员工内网要做接入认证或者设备绑定。

5. 对访客进行实名认证（可选）

一般采用这样的网络结构图：

WSG上网行为管理做透明网桥部署有很多优势：

1. 即插即用，不影响现有网络。
   

2. 不需要修改原有设备的配置（交换机、路由器都不需要做任何修改）

3. 可以利用到硬件bypass的功能，即使机器断电死机也不会断网。

WFilter NGF（WSG上网行为管理网关）支持网关和网桥两种部署模式：

1. 网关模式：WSG作为整个局域网的网关，提供NAT服务。

2. 网桥模式：WSG作为透明网桥串接在局域网中。

在有些情况下，我们需要采用纯路由模式（WSG只做路由转接，不进行NAT转换）。本例中，我将介绍如何用WSG来搭建路由模式的上网行为管理。

网络结构如下图：

具体配置步骤如下：

由于公网IP资源越来越紧张，现在很多运营商给拨号上网的用户只分配内网IP地址，如下图所示：

这样的运营商内网IP是外网不可达的（即使用动态域名也不起作用）。而企业由于业务需要，比如虚拟局域网组网、办公OA系统、ERP系统等，都需要有公网IP才可以实现。公网IP的解决，目前主要有三种方案：

1. 申请固定IP专线。稳定且速度有保障，缺点是费用高。
   

2. 云方案。把业务主机都搬到云上，直接通过云主机来访问。费用比较低，缺点是云主机不能本地维护，且搬迁工作量都不小。

3. 云主机+内网穿透方案。通过云主机做跳板来实现内网穿透，既可以复用现有的业务系统，又解决了公网IP的问题。第三种方案的成本是最低的，但是配置比较复杂。本文将对第三种方案做详细介绍。

由于无线的便利性，越来越多的企业局域网采用无线办公的方式。而因为无线网络的特殊性，如果缺乏上网行为管理和流控手段，会导致无线缓慢、网络不可用等情况。而且无线网络更加容易产生广播风暴。所以，在WiFi无线局域网中部署上网行为管理和流控是非常必要的。

本文中，我就将来介绍WiFi局域网的上网行为管理方案。

1. 常用的网络拓扑

1. 首先，由于无线路由器的稳定性不高，所以主路由不推荐用无线设备。可以用一台有线路由器做网关，后面串接上网行为管理设备。或者直接用上网行为管理做网关。
   

2. 推荐采用瘦AP的组网方式。通过AC控制器统一管理。

对于企业局域网来说，一个合理的IP地址分配是网络安全和网络管理的基础，IP地址管理的好坏直接影响着企业员工的工作效率及企业的信息安全。
局域网的IP地址分配，需要考虑到如下方面：

1. 服务器的IP地址段和办公电脑的IP地址段要区分开。

2. 手机、pad等移动设备需要自动获取IP。

3. 无线由于安全性比较低，一般需要用VLAN进行隔离。

4. 每个网段的客户机数量不宜过多，有线250以内，无线150以内比较合理。否则会引起网络风暴。
   

下面是我总结的企业局域网IP地址分配方案，希望能对大家有帮助。

现在无线组网越来越普遍，但是不合理的组网方案，往往会导致无线接入缓慢、网络卡的情况。根据我们的经验和抓包分析，由于无线设备（包括AP、AC等）在通讯过程会更多的依赖广播包，非常容易出现广播风暴。无线网络的稳定运行，请注意如下几点：

1. 首先要合理的进行AP布局，保证无线信号强度、并且避免无线信号的互相干扰。

2. 合理的VLAN划分。无线设备的广播包比较多，非常容易产生广播风暴。一个VLAN容纳的无线设备要控制在200以内。

3. 主路由网关的性能要强劲，并且设置上网行为管理策略和流控策略。
   

4. 定期检测广播风暴等网络问题

某企业由于网络架设比较早，网络设备和网络结构已经不再适合当前的网络需要。为了更好的实现网络管理和信息安全的需要，提出了如下升级改造需求：

1. 带宽扩容，采用两条宽带接入。
   

2. 内网需要划分不同的VLAN，分为办公、监控、生产几大网段。

3. 内网客户机需要进行严格的IP-MAC绑定，只有绑定后的设备才可以接入。

4. 全网上网行为审计记录。

5. 部署上网行为管理策略，建立上网秩序。

很多企业为了解决网速不够用的问题，都升级了带宽资源。比如50M升级到100M，或者干脆多拉几根外线。但是，很多用户发现，带宽升级了但是网络还是慢。

本文中，我整理了企业带宽优化的三点要求。带宽升级后，一定要注意这三点，才能真正的享受带宽升级带来的更好宽带体验。

我们在选择网关设备的时候，经常会面临选择路由器还是专业网关（x86架构工控机）的问题。本文将从硬件角度来解释这两者的差别。

两者的硬件架构都由CPU、存储、内存（RAM）组成，但是配件的差别非常大。

划分VLAN一般出于如下几个目的：

1. 把内网划分为不同的网段，可以提高内网安全性，而且更加便于管理。比如：有线和无线处于不同的网段，不允许无线设备访问企业内网，这样可以保护内部信息安全；而且可以对不同网段配置不同的上网策略和流控策略。

2. 分割广播域，避免广播风暴。广播风暴这个现象，在无线时代更加突出，AP设备的发现、管理等操作都会产生广播包。

那么，什么情况下需要划分VLAN呢？主要考虑以下几点：