笨驴信息(IMFirewall)博客

在防火墙、上网行为管理如何实现双机热备一文中，我们介绍了如何用两条外线来实现网络双机热备。在有些情况下，一些用户还需要对同一条线路做双机热备。准确的说，外线只有一条，但是要确保防火墙/上网行为管理设备是可以实现热备的。这种情况下，和防火墙、上网行为管理如何实现双机热备一文不同的是，我们需要同时在“内网口”和“外网口”上都开启虚拟IP。这样的效果就是：内网口和外网口都工作虚拟IP上，一旦主设备故障，可以迅速切换到备份设备上去。

链路聚合和端口聚合是两个概念：

1). 链路聚合是指多条外线的情况下把多条外线聚合使用。该功能可以通过WSG的“多线均衡”模块来实现。

2). 端口聚合是指在WSG上接多个内网交换机端口，从而提升内网的上联带宽。

一些企事业单位出于安全考虑，需要做内外网分离。举例来说，需要达到如下的技术要求：

1. 生产网、办公网、外网三网隔离。

2. 启用网络准入，对非规定允许接入的设备禁止其接入网络。
   

3. 上网数据留存。

在本文中，我将结合WSG上网行为管理来阐述如何实现内外网分离。

企业内网一般都会划分多个VLAN。划分VLAN可以提高内网安全性，而且更加便于管理。比如：有线和无线处于不同的网段，不允许无线设备访问企业内网，这样可以保护内部信息安全；而且可以对不同网段配置不同的上网策略和流控策略。而且划分VLAN可以分割广播域，避免广播风暴。VLAN的划分一般有如下三种方法：

1. 通过三层交换机来划分VLAN

无线网络由于安全性比较低，企事业单位的无线组网需要考虑如下因素：

1. 有线网段和无线网段互相隔离。
   

2. 办公无线和访客无线也需要互相隔离。

3. 每个网段的无线终端建议控制在150以内，避免广播风暴。
   

4. 员工内网要做接入认证或者设备绑定。

5. 对访客进行实名认证（可选）

一般采用这样的网络结构图：

WSG上网行为管理做透明网桥部署有很多优势：

1. 即插即用，不影响现有网络。
   

2. 不需要修改原有设备的配置（交换机、路由器都不需要做任何修改）

3. 可以利用到硬件bypass的功能，即使机器断电死机也不会断网。

WFilter NGF（WSG上网行为管理网关）支持网关和网桥两种部署模式：

1. 网关模式：WSG作为整个局域网的网关，提供NAT服务。

2. 网桥模式：WSG作为透明网桥串接在局域网中。

在有些情况下，我们需要采用纯路由模式（WSG只做路由转接，不进行NAT转换）。本例中，我将介绍如何用WSG来搭建路由模式的上网行为管理。

网络结构如下图：

具体配置步骤如下：

由于公网IP资源越来越紧张，现在很多运营商给拨号上网的用户只分配内网IP地址，如下图所示：

这样的运营商内网IP是外网不可达的（即使用动态域名也不起作用）。而企业由于业务需要，比如虚拟局域网组网、办公OA系统、ERP系统等，都需要有公网IP才可以实现。公网IP的解决，目前主要有三种方案：

1. 申请固定IP专线。稳定且速度有保障，缺点是费用高。
   

2. 云方案。把业务主机都搬到云上，直接通过云主机来访问。费用比较低，缺点是云主机不能本地维护，且搬迁工作量都不小。

3. 云主机+内网穿透方案。通过云主机做跳板来实现内网穿透，既可以复用现有的业务系统，又解决了公网IP的问题。第三种方案的成本是最低的，但是配置比较复杂。本文将对第三种方案做详细介绍。

由于无线的便利性，越来越多的企业局域网采用无线办公的方式。而因为无线网络的特殊性，如果缺乏上网行为管理和流控手段，会导致无线缓慢、网络不可用等情况。而且无线网络更加容易产生广播风暴。所以，在WiFi无线局域网中部署上网行为管理和流控是非常必要的。

本文中，我就将来介绍WiFi局域网的上网行为管理方案。

1. 常用的网络拓扑

1. 首先，由于无线路由器的稳定性不高，所以主路由不推荐用无线设备。可以用一台有线路由器做网关，后面串接上网行为管理设备。或者直接用上网行为管理做网关。
   

2. 推荐采用瘦AP的组网方式。通过AC控制器统一管理。

对于企业局域网来说，一个合理的IP地址分配是网络安全和网络管理的基础，IP地址管理的好坏直接影响着企业员工的工作效率及企业的信息安全。
局域网的IP地址分配，需要考虑到如下方面：

1. 服务器的IP地址段和办公电脑的IP地址段要区分开。

2. 手机、pad等移动设备需要自动获取IP。

3. 无线由于安全性比较低，一般需要用VLAN进行隔离。

4. 每个网段的客户机数量不宜过多，有线250以内，无线150以内比较合理。否则会引起网络风暴。
   

下面是我总结的企业局域网IP地址分配方案，希望能对大家有帮助。

现在无线组网越来越普遍，但是不合理的组网方案，往往会导致无线接入缓慢、网络卡的情况。根据我们的经验和抓包分析，由于无线设备（包括AP、AC等）在通讯过程会更多的依赖广播包，非常容易出现广播风暴。无线网络的稳定运行，请注意如下几点：

1. 首先要合理的进行AP布局，保证无线信号强度、并且避免无线信号的互相干扰。

2. 合理的VLAN划分。无线设备的广播包比较多，非常容易产生广播风暴。一个VLAN容纳的无线设备要控制在200以内。

3. 主路由网关的性能要强劲，并且设置上网行为管理策略和流控策略。
   

4. 定期检测广播风暴等网络问题

某企业由于网络架设比较早，网络设备和网络结构已经不再适合当前的网络需要。为了更好的实现网络管理和信息安全的需要，提出了如下升级改造需求：

1. 带宽扩容，采用两条宽带接入。
   

2. 内网需要划分不同的VLAN，分为办公、监控、生产几大网段。

3. 内网客户机需要进行严格的IP-MAC绑定，只有绑定后的设备才可以接入。

4. 全网上网行为审计记录。

5. 部署上网行为管理策略，建立上网秩序。

很多企业为了解决网速不够用的问题，都升级了带宽资源。比如50M升级到100M，或者干脆多拉几根外线。但是，很多用户发现，带宽升级了但是网络还是慢。

本文中，我整理了企业带宽优化的三点要求。带宽升级后，一定要注意这三点，才能真正的享受带宽升级带来的更好宽带体验。

我们在选择网关设备的时候，经常会面临选择路由器还是专业网关（x86架构工控机）的问题。本文将从硬件角度来解释这两者的差别。

两者的硬件架构都由CPU、存储、内存（RAM）组成，但是配件的差别非常大。

划分VLAN一般出于如下几个目的：

1. 把内网划分为不同的网段，可以提高内网安全性，而且更加便于管理。比如：有线和无线处于不同的网段，不允许无线设备访问企业内网，这样可以保护内部信息安全；而且可以对不同网段配置不同的上网策略和流控策略。

2. 分割广播域，避免广播风暴。广播风暴这个现象，在无线时代更加突出，AP设备的发现、管理等操作都会产生广播包。

那么，什么情况下需要划分VLAN呢？主要考虑以下几点：

为了管理和安全需要，很多局域网都要求固定IP，每个设备的IP地址和mac地址都登记在案，结合IP-mac绑定，从而使上网记录、病毒攻击都有据可查，并且可以迅速定位到个人。但是和自动获取IP地址比较，固定IP也有一些弊端：

1. 配置较复杂，一些非技术人员不懂也不会配置IP地址。需要网管人员全局维护。
   

2. 固定IP地址列表需要维护。人员离职、电脑报废后，IP地址如果没有及时回收，会导致IP地址不够用。

本文我将结合WFilter（WSG网关）的IP-mac绑定功能，介绍如何分配、管理和回收IP地址。

现在大部分局域网都提供了无线上网的功能。无线主要用于满足以下几种需求：

1. 无线办公的需要，比如无线pos机等办公设备。
   

2. 员工无线上网的需要。

3. 来宾、客人的无线上网。

这样就带来了相关的安全性问题：

1. 来宾有可能通过无线接入到企业内网，导致安全隐患。

2. 员工有可能通过来宾的无线网络上网，从而绕开公司的行为管理策略，影响工作效率。

目前大部分解决方案都是来宾网络和内部无线网络使用不同的无线SSID和密码。但是实际上这个方案存在很大的漏洞：密码泄漏。来宾可以直接询问到内网的无线密码，甚至很多无线密码都是公开张贴的。而企业员工更是可以直接通过来宾网络上网。

本文将结合WFilter NGF的相关功能，来介绍更进阶的解决方案。

VLAN可以把网络划分成多个广播域，可以有效的控制广播风暴，还可以控制网络中不同部门和网段之间的互相访问。如果您已经有了三层交换机，可以直接在三层交换机上划分VLAN，请参阅：多VLAN三层交换机如何连接WFilter上网行为管理系统？

在没有三层交换机的环境下，您可以直接用WFilter NGF（WSG网关）来划分VLAN。支持两种VLAN的划分方式：

1. 基于端口的VLAN划分。每个端口一个VLAN接二层交换机。
   

2. 802.1Q VLAN（单臂路由）。和交换机的trunk口连接，通过一个端口实现多个VLAN的封装。

本文将介绍这两种方式如何配置。

WSG-200E上网行为管理网关，不是用的最顶尖高端的硬件设备，但是对于150-300人局域网范围，真的是性价比最高的一款。系统采用了WFilter NGF企业级上网行为管理系统，在硬件方面，采用了Intel B75的主板架构，I3-32200的酷睿4核CPU，主频高达3.3GHz.实实在在的优质选型。

WSG-500E上网行为管理设备是WFilter系列上网行为管理中性能非常强悍的一款设备，系统采用了WFilter NGF企业级上网行为管理系统，在硬件方面，采用了Intel B75的主板架构，I5-3450的酷睿4核CPU，主频高达3.1GHz。很多用户对这个性能缺少形象的概念，让我来简单比较下：

1. 普通的路由器芯片，比如典型的MTK7620芯片，主频是580MHz。

2. D525工控机，CPU是4核1.8GHz。性能至少是MTK的3-4倍。

3. WSG-500E的I5-3450，采用了新的设计，性能差不多又是D525的3-4倍。
   

配合4G的DDR3内存，6个千兆端口，构建了性能强悍的WSG-500E。这款设备，虽然官方推荐是500Mbps的带宽，实测可以达到900-920M，而且网络访问很顺畅，一点也不卡顿。

这里说的大型局域网是500-1000台局域网环境，一般是一栋楼，厂房或者学校。大型局域网的组网方案已经非常成熟了。大网络，多了防火墙，核心交换机，不同需求的服务器。这里就不一一赘述，这里重点介绍大局域网的上网行为管理方案。大网环境数据量大，各种协议走的很复杂。很多网安厂家把第二代防火墙的概念

（Next Generation Firewall）包括了上网行为管理概念，专业的上网行为管理是无法被代替的。协议分析，应用层解析，上网日志记录，审计等模块需要大量的运算，后期需要专业的研发团队维护升级。所以不应该被防火墙，杀毒的概念混乱。上网方式这三十年发生了天翻地覆的变化，网络协议一年又一年的更新，应用协议天天有新出，移动上网方式的应用都已经变成日常行为了。各种病毒方式已经不像原始方式文件打开，有的时候甚至点开一个不安全的网站会导致病毒入侵，所以内网管控不仅仅是上网效率提高，还有上网行为管控，网址库，协议库过滤，才会让局域网上网内网安全兼得。

提到上网行为管理，最初想到的内容记录、聊天内容、邮件内容、文件传输内容、网页浏览记录等等。但是再往深里研究，对于有一定规模的局域网，内容审计的意义并不是很大，聊天几句话、浏览的几个网站都是瞬间的意识。所以，企业的对员工聊天内容的审计实在没有太大的意义。况且国内主流的QQ和微信的通讯，腾讯公司早就进行了协议改进和安全强化，加上微信QQ都可以绑定银行卡。所以，网络监控解析QQ和微信的内容，理论上已经不现实。对于企业网络管理来说，规整的上网秩序、上网内容的报表分析以及信息安全才是王道。

WSG-200P上网行为管理路由是一款性价比非常高的上网行为管理设备。和WSG的企业版（E系列）相比，虽然没有上网记录、域账号等功能，但是就上网行为管理和流控来说，与E系列基本是一样的，可以提供专业的上网行为管理和流控。下面让我们一起来看看WSG-200P这款企业级上网行为管理路由有哪些亮点功能吧。

这里说的网桥部署，是透明网桥部署。有的局域网环境里面，路由暂时不想被代替，那么WSG上网行为管理网关可以用网桥部署的方式接在局域网里面。

• 网桥模式下，只用到LAN和WAN1这两个端口。其他端口都不起作用。

• WSG接在路由器（防火墙）和交换机之间。

• 内网交换机接在LAN口。

• 上层设备（路由器或者防火墙）接在WAN1口。

上网行为管理网关不管是在功能还是在性能上，都是完爆路由器的。随着生产力的提高，硬件设备的成本也逐步降低，普及也越来越广（例如电器的价格越来越低）。上网行为管理网关部署也将成为一个趋势，因为网关除了拥有专业路由的功能以外，还有专业的网络管理功能，和专业防火墙功能，这个都是路由硬件芯片做不到的。

那么上网行为管理设备应该如何部署呢？其实很简单，就是和路由器一样，直接把路由器的相关配置移植到行为管理设备上，把之前的路由器替换掉即可。