31
2018
07

某企业网络升级改造方案

某企业由于网络架设比较早,网络设备和网络结构已经不再适合当前的网络需要。为了更好的实现网络管理和信息安全的需要,提出了如下升级改造需求:

  1. 带宽扩容,采用两条宽带接入。

  2. 内网需要划分不同的VLAN,分为办公、监控、生产几大网段。

  3. 内网客户机需要进行严格的IP-MAC绑定,只有绑定后的设备才可以接入。

  4. 全网上网行为审计记录。

  5. 部署上网行为管理策略,建立上网秩序。


1. 方案设计

综合考虑各项改造需求,我们提出了如下的解决方案:

1). 采用一台WSG-XE上网行为管理设备,做多线接入。

2). 在WSG设备上设置基于端口的VLAN,每个端口一个VLAN,接到相应的二层交换机。

3). 启用IP-MAC绑定,未绑定的mac地址不分配IP,并且禁止上网。

4). 全时段记录上网内容。

5). 配置“应用过滤”和“网页过滤”,上班时段禁止在线视频、下载等行为。

6). 对生产和办公网段进行限速,避免单IP占用大量带宽的情况。

网络拓扑图如下:

201807311533025481699127.png

WSG-XE:

201807311533025674173740.png

2. 相关功能

2.1 VLAN划分

办公、生产、监控分为不同的VLAN,互不影响。

201807311533025946568930.png

配置分流策略,使监控组走单独的外线。

201807311533026080988091.png

2.2 IP-mac绑定

对内网的所有客户机配置IP-MAC绑定,未绑定的mac地址一律禁止上网。

201807311533026266881890.png


201807311533026284205770.png

2.3 上网内容审计

利用WFilter的上网记录模块,可以记录全网的网页浏览、发帖、文件传输、QQ号、FTP/Telnet命令、邮件内容等信息。

201807311533026423366732.png

2.4 上网行为管理

通过配置上网行为管理策略,禁止上班时间段内容视频、下载等行为,提高工作效率,节省带宽资源。

201807191531971752323645.png

201807191531971766133135.png


2.6 带宽限制

给办公网段、生产网段的客户机进行一定的限速,避免出现某些用户占用大量带宽的情况。

201807191531971371185540.png

201807191531971389137972.png


« 上一篇 下一篇 »