相对于二层交换机的网络环境,在三层交换机环境下部署上网行为管理的步骤要复杂一些,差别主要在“静态路由”和“MAC地址收集器”,还有上层防火墙的一些安全策略的影响。在本文中,我将结合一次实际的安装经历,介绍三层环境下用网桥模式部署WSG上网行为管理的一些常见问题。
本例中,网关是华为USG防火墙172.16.200.253,三层交换机是172.16.200.254,子网掩码都是255.255.255.0。既然200段IP是足够的,所以我就直接把管理口设置在网桥上面,把WSG的IP设置为172.16.200.252,网关地址和DNS是防火墙的IP地址172.16.200.253。
很多网络环境目前都采用光纤的连接方式,比如主交换机到其他楼层交换机采用光口连接,再从楼层交换机的RJ45电口连接到其他网络设备。这种网络环境中,很多情况下都采用透明网桥的方式部署上网行为管理。本文中,我将介绍如何把上网行为管理的透明网桥串接到光口交换机和电口交换机中间。主要有如下两种方式:
如下图,以WSG-500E为例,该型号有6个千兆电口和2个千兆光口,可以把网桥创建在一个光口和一个电口上。光口接上层的汇聚交换机,电口接下面的二层交换机。
利用“扩展插件”中的“NGF配置同步插件”可以同步多台WFilter NGF(WSG硬件)的相关配置,这个功能在管理维护多台WSG设备时非常实用。在本文中,我将结合WSG上网行为管理网关来介绍“NGF配置同步插件”的使用步骤。
首先要有一台WSG作为服务端,其他做为客户端。服务端可以直接把配置推送给客户端,也可以等客户端主动来进行同步。
多台WSG之间通过Web来同步配置,所以要确保服务端和客户端之间的Web连接可达。(在服务端可以访问客户端的web,或者客户端可以访问服务端的web)
创建同步用户。每台WSG都应当建一个用户名密码一样的操作员用于进行同步操作。
下载“NGF配置同步插件”,并且进行配置。
二级路由器默认都启用了网络地址转换,会把客户机的IP地址和mac地址都转换成路由器的IP和mac。这样从上层的行为管理来看,只能看到路由器的IP地址。要区分二级路由下面的终端,必须把二级路由器改成AP模式(也就是无线交换机模式)。
在WSG上网行为管理网关的初步设置详细教程中,我们介绍了WSG上网行为管理网关的初步设置,该文档中,我们采用了网关部署的方式。在实际使用中,网桥部署方式也极为常见;用网桥的方式来部署WSG上网行为管理,是完全透明部署,不需要修改现有的网络参数,也不需要更改路由器和交换机的配置。网络拓扑图如下:
网桥部署有如下优点:
不需要修改现有的网络设置。
无需断网,即插即用。
功能一样强大:上网行为记录、行为管理、流控都可以实现。
硬件bypass(要看具体型号),即使网桥设备掉电,也可以保证不断网。
首先需要给WSG设备分配一个静态IP地址。该IP用于远程访问WSG设备,进行Web认证等远程访问操作。需要注意如下几点:
来宾用户、流动人员比较多的局域网,如果不对来宾上网进行管控,不但会占用企业带宽资源,还会带来安全隐患和政策风险。对于企业环境来说,一般推荐来宾和办公网络采用不同的无线SSID,分开进行管控。具体方案如下:
来宾和办公网络采用不同的无线SSID。
对来宾和办公采用不同的限速和行为管理策略。
来宾和办公网络采用不同的VLAN,并且不允许来宾访问公司内网。
不但要设置不同的无线密码,而且需要进行IP-MAC绑定等策略,禁止来宾用户接入到办公网络。
本文将介绍如何用WFilter NGF来实现短信认证网关,以及短信平台的具体实现步骤。
WFilter NGF的短信发送通过调用Web API来实现,支持Web API接口的短信平台很多(一些短信猫也可以支持Web API)。下文中,我们以阿里云的短信服务为例。首先需要创建AccessKey,如下图:
很多局域网考虑到安全需要,会部署两台核心交换机做双机热备。在这样的情况下,如果要旁路部署上网行为管理软件,需要在两台核心上都配置端口镜像,从而实现不间断的监控管理。拓扑图如下:
本文将介绍如何用WFilter来监控多个局域网(多个互联网接入)。由于每个镜像只监控到一个局域网,那么要在一台监控主机上监控多个局域网时,需要使用多块网卡,每块网卡都接到一个镜像端口。然后在WFilter的“系统配置”->“监控配置”中配置多个监控网卡来进行监控。
以同时监控两个局域网为例,如下图:
[IMG]upload/morelanMon01.jpg[/IMG]请注意:两个局域网的网段不能设置成一样,否则监控记录会混淆。分别设置不同的网段,比如:192.168.1.x,192.168.2.x。
在“旁路”过滤模式(通过镜像端口实现监控)下,WFilter(超级嗅探狗)通过在“通讯网卡”上发送RST包来阻断TCP连接。所以如果通讯网卡不能通讯或者通讯不畅,就可以导致封堵功能不起作用。
一般情况,用同一块网卡就可以同时实现监控和封堵,当下列情况出现时,需要用两块网卡。
1. 交换机的镜像端口不允许通讯。有些交换机是不允许镜像上网的,该镜像口只能收包,不能发包。你可以在监控的电脑上ping其他的电脑来检查这一项。改变交换机的设置(如果支持的话)或者增加一个独立的通讯网卡就可以解决这个问题。比如Cisco交换机有一个参数“ingress”,它能允许镜像端口进行通讯。
2. 监听网卡过于繁忙。由于镜像端口要接收其他电脑的上网数据包,网络压力大时网卡的负荷会很大。如果需要监控50台及以上的电脑,我们建议您使用两块网卡。点击“系统配置”—>“配置检测”可以检查监控网卡是否存在此问题(存在此问题时会提示“封堵效率过低”)。
网路分流器(Network Tap)可以透明串联在网络中实现网络流量的监控。相比较镜像交换机而言,network tap有以下优点:
网上有很多如何自己制作network tap的帖子,有兴趣的同学可以自己尝试下,请参见:
随着虚拟化技术的日趋成熟,越来越多的用户选择使用VMWare ESXi来搭建自己的虚拟化平台,本文着重介绍如何在VMWare ESXi中部署WFilter(超级嗅探狗)来实现监控。
在VMware ESXi环境下,WFilter(超级嗅探狗)可以支持两种部署方式:旁路模式和串联模式,有关这两种模式的区别和优缺点,请参见:[URL=http://www.imfirewall.com/help/doc/WFilter_deployment_mode.htm]WFilter部署模式[/URL]
旁路模式监控时,只需要在一台虚拟机中安装WFilter,然后开启虚拟交换机的混杂模式即可。但是由于旁路模式无法禁止UDP通讯,还需要在上层的路由器或者防火墙设备上禁止UDP端口才可以,请参见:[URL=http://www.imfirewall.com/help/doc/WFilter_blockudp.htm]如何在路由器上禁止UDP端口?[/URL]
本文主要介绍如何在ESXi环境中,用串联模式来部署WFilter。串联模式不需要在上层设备禁止UDP端口即可实现WFilter的所有功能。
用超级嗅探狗局域网管理软件实现网络监控,需要把安装超级嗅探狗的电脑接到交换机的“镜像端口”上面。本例将以Cisco2950交换机为例,介绍如何通过Cisco2950交换机来实现局域网网络监控管理。此例也适用于Cisco的其他交换机,如Cisco 2960, Cisco 3750等。
下面本文将以Cisco2950为例,介绍如何配置镜像端口,部署监控软件。
更多内容请参考:
[URL=http://www.imfirewall.com/blog/post/102.html]网络监控为什么需要端口镜像交换机?[/URL]
[URL=http://www.imfirewall.com/blog/post/110.html]如何判断端口镜像是否成功?[/URL]
某公司电信光纤接入, CISCO2950作为中心交换机。网络拓扑图如下:
