28
2022
07

防火墙怎样做双机热备?

防火墙、上网行为管理如何实现双机热备一文中,我们介绍了如何用两条外线来实现网络双机热备。在有些情况下,一些用户还需要对同一条线路做双机热备。准确的说,外线只有一条,但是要确保防火墙/上网行为管理设备是可以实现热备的。这种情况下,和防火墙、上网行为管理如何实现双机热备一文不同的是,我们需要同时在“内网口”和“外网口”上都开启虚拟IP。这样的效果就是:内网口和外网口都工作虚拟IP上,一旦主设备故障,可以迅速切换到备份设备上去。

01
2022
03

WSG怎么实现链路聚合和端口聚合?

链路聚合和端口聚合是两个概念:

1). 链路聚合是指多条外线的情况下把多条外线聚合使用。该功能可以通过WSG的“多线均衡”模块来实现。

2). 端口聚合是指在WSG上接多个内网交换机端口,从而提升内网的上联带宽。

07
2021
04

企业局域网内外网分离方案

一些企事业单位出于安全考虑,需要做内外网分离。举例来说,需要达到如下的技术要求:

  1. 生产网、办公网、外网三网隔离。

  2. 启用网络准入,对非规定允许接入的设备禁止其接入网络。

  3. 上网数据留存。

在本文中,我将结合WSG上网行为管理来阐述如何实现内外网分离。

07
2020
04

WSG如何禁止内网VLAN之间互访?局域网怎样划分VLAN?

企业内网一般都会划分多个VLAN。划分VLAN可以提高内网安全性,而且更加便于管理。比如:有线和无线处于不同的网段,不允许无线设备访问企业内网,这样可以保护内部信息安全;而且可以对不同网段配置不同的上网策略和流控策略。而且划分VLAN可以分割广播域,避免广播风暴。VLAN的划分一般有如下三种方法:

1. 通过三层交换机来划分VLAN

201703311490939690256329.png

05
2019
09

企业局域网无线组网方案

无线网络由于安全性比较低,企事业单位的无线组网需要考虑如下因素:

  1. 有线网段和无线网段互相隔离。

  2. 办公无线和访客无线也需要互相隔离。

  3. 每个网段的无线终端建议控制在150以内,避免广播风暴。

  4. 员工内网要做接入认证或者设备绑定。

  5. 对访客进行实名认证(可选)

一般采用这样的网络结构图:

201909051567653926138121.png

30
2019
08

WSG网桥部署的两种配置方式。

WSG上网行为管理做透明网桥部署有很多优势:

  1. 即插即用,不影响现有网络。

  2. 不需要修改原有设备的配置(交换机、路由器都不需要做任何修改)

  3. 可以利用到硬件bypass的功能,即使机器断电死机也不会断网。

Ros guide bridge.png

17
2019
06

WSG上网行为管理的路由部署模式介绍

WFilter NGF(WSG上网行为管理网关)支持网关和网桥两种部署模式:

  1. 网关模式:WSG作为整个局域网的网关,提供NAT服务。

  2. 网桥模式:WSG作为透明网桥串接在局域网中。

在有些情况下,我们需要采用纯路由模式(WSG只做路由转接,不进行NAT转换)。本例中,我将介绍如何用WSG来搭建路由模式的上网行为管理。

网络结构如下图:

绘图2.png

具体配置步骤如下:

20
2019
03

没有公网IP如何实现内网穿透?

由于公网IP资源越来越紧张,现在很多运营商给拨号上网的用户只分配内网IP地址,如下图所示:

201903201553065078817579.png

这样的运营商内网IP是外网不可达的(即使用动态域名也不起作用)。而企业由于业务需要,比如虚拟局域网组网、办公OA系统、ERP系统等,都需要有公网IP才可以实现。公网IP的解决,目前主要有三种方案:

  1. 申请固定IP专线。稳定且速度有保障,缺点是费用高。

  2. 云方案。把业务主机都搬到云上,直接通过云主机来访问。费用比较低,缺点是云主机不能本地维护,且搬迁工作量都不小。

  3. 云主机+内网穿透方案。通过云主机做跳板来实现内网穿透,既可以复用现有的业务系统,又解决了公网IP的问题。第三种方案的成本是最低的,但是配置比较复杂。本文将对第三种方案做详细介绍。

20
2018
09

Wifi上网行为管理方案,无线WiFi如何进行上网行为管理?

由于无线的便利性,越来越多的企业局域网采用无线办公的方式。而因为无线网络的特殊性,如果缺乏上网行为管理和流控手段,会导致无线缓慢、网络不可用等情况。而且无线网络更加容易产生广播风暴。所以,在WiFi无线局域网中部署上网行为管理和流控是非常必要的。

本文中,我就将来介绍WiFi局域网的上网行为管理方案。

1. 常用的网络拓扑

  1. 首先,由于无线路由器的稳定性不高,所以主路由不推荐用无线设备。可以用一台有线路由器做网关,后面串接上网行为管理设备。或者直接用上网行为管理做网关。

  2. 推荐采用瘦AP的组网方式。通过AC控制器统一管理。

wifi01.png

15
2018
08

企业网络应该怎样合理的分配IP地址?IP管理如何兼顾方便和信息安全需要。

对于企业局域网来说,一个合理的IP地址分配是网络安全和网络管理的基础,IP地址管理的好坏直接影响着企业员工的工作效率及企业的信息安全。
局域网的IP地址分配,需要考虑到如下方面:

  1. 服务器的IP地址段和办公电脑的IP地址段要区分开。

  2. 手机、pad等移动设备需要自动获取IP。

  3. 无线由于安全性比较低,一般需要用VLAN进行隔离。

  4. 每个网段的客户机数量不宜过多,有线250以内,无线150以内比较合理。否则会引起网络风暴。


下面是我总结的企业局域网IP地址分配方案,希望能对大家有帮助。