笨驴信息(IMFirewall)博客

由于公网IP地址不够用，一些网络运营商只给拨号用户提供二级IP地址。换句话说，你的网关获取到的只是一个内网IP地址，在公网上是不可达的。这个事实，会给拨号上网的企业带来如下问题：

1. 无法实现依赖端口映射的业务功能。
   

2. 无法实现直接VPN组网。

在本文中，我将介绍一种通过云主机来进行中转的VPN组网方式。你只需要购买一台有固定IP地址的云主机，即可实现多地VPN组网。既节省了专线的费用，而且云主机还可以用来搭建Web服务或者其他服务。网络拓扑图如下：

WFilter NGF的“运营管理”模块，集成了用户管理、实时带宽限制、累计流量限制、用户Portal通知等功能。适合酒店、ISP等进行带宽的运营管控。在酒店网络管理、上网行为管理方案和小区宽带运营商的网络管理这两篇教程中，我们介绍了“运营管理”的基本功能。

还有一点要补充的，就是对于超流量用户的策略管控。如下图，我们增加了一个“累计带宽”策略，一旦超流量后，就会自动把用户加到“限制上网组“。

在WSG上网行为管理网关的初步设置详细教程中，我们介绍了WSG上网行为管理网关的初步设置，该文档中，我们采用了网关部署的方式。在实际使用中，网桥部署方式也极为常见；用网桥的方式来部署WSG上网行为管理，是完全透明部署，不需要修改现有的网络参数，也不需要更改路由器和交换机的配置。网络拓扑图如下：

网桥部署有如下优点：

• 不需要修改现有的网络设置。

• 无需断网，即插即用。

• 功能一样强大：上网行为记录、行为管理、流控都可以实现。

• 硬件bypass（要看具体型号），即使网桥设备掉电，也可以保证不断网。
  

1. 网桥部署的准备工作

首先需要给WSG设备分配一个静态IP地址。该IP用于远程访问WSG设备，进行Web认证等远程访问操作。需要注意如下几点：

对人员流动比较频繁的局域网来说，首要的一个问题就是要进行网络的准入认证，记录用户的身份信息和上网日志。从而使网络行为有据可查，也能满足职能部门的督察需要。WFilter NGF中的几种认证机制，优缺点比较如下：

1. 用户名密码认证。需要维护用户名密码，适合人员比较固定的网络。
   

2. 微信WiFi认证。微信WiFi的流程是打开公众号即可上网，并且记录微信的openid。适合在人员流动大的网络环境中做营销推广。

3. 手机短信认证。通过手机接收验证码来上网，记录手机号和上网记录。适合人员流动比较大的网络环境留存身份信息和上网审计记录。
   

本文中， 我将结合一个实际例子来介绍WFilter NGF（WSG网关）的短信认证功能。