由于无线的便利性,越来越多的企业局域网采用无线办公的方式。而因为无线网络的特殊性,如果缺乏上网行为管理和流控手段,会导致无线缓慢、网络不可用等情况。而且无线网络更加容易产生广播风暴。所以,在WiFi无线局域网中部署上网行为管理和流控是非常必要的。
本文中,我就将来介绍WiFi局域网的上网行为管理方案。
首先,由于无线路由器的稳定性不高,所以主路由不推荐用无线设备。可以用一台有线路由器做网关,后面串接上网行为管理设备。或者直接用上网行为管理做网关。
推荐采用瘦AP的组网方式。通过AC控制器统一管理。
钉钉作为一个免费智能移动办公平台,受到很多公司的欢迎。但是对于网络权限设置比较严格的局域网来说,如何开放钉钉一直是一个难题。之前钉小密给了个局域网需要白名单的一些IP段,参见:https://tieba.baidu.com/p/4358596988 ,但是根据我们的测试,文中的IP段并不能覆盖钉钉需要的IP范围。而且在钉钉的官网已经找不到官方的相关文档了。
为了放行钉钉,我们技术人员做了相关测试。本文,我就来介绍下在WSG上网行为管理网关中如何放行钉钉。钉钉的使用需要通过https访问钉钉相关的网站,另外还有自己的通讯协议(端口443)。所以要放行钉钉,我们需要放行DNS、钉钉和TLS这三个协议。如下图:
合理的IP地址分配是网络安全和网络管理的基础,IP地址管理直接影响着企业员工的工作效率及企业的信息安全。
首先,应当以行政命令的方式规定IP地址管理的权限、流程,以及相应的惩罚手段。如以下这个例子:
广播风暴和网络环路,虽然两者的原理不一样,但是其物理表现却比较相似:“交换机灯狂闪,同时内网丢包或者ping值变高。”作为一名网管,需要可以迅速判断故障的原因,从而制定不同的解决方案。两者的主要差别如下:
广播风暴只在特定的条件下出现,所以广播风暴是不持续的。而环路是持续存在的。
广播风暴由局域网架构的缺陷导致,而网络环路属于网络故障。
网络环路对网络的影响比较大,丢包和ping值都要比广播风暴严重的多。
广播风暴需要通过划分VLAN来解决。网络环路只需要拔掉环路设备或者网线即可。
有经验的网管,还可以通过抓包来区别风暴和环路。如果你不会抓包分析,也可以总结故障出现的规律来进行判断。下面我再介绍下WFilter里面的网络健康度检测插件是如何区分广播风暴和环路的。
在微信需要多大带宽?微信的最低带宽要求 这篇文章中,我们测试了微信的最低带宽要求。今天我们再来测试下手机QQ的最低带宽要求。具体的测试步骤如下:
如下图,不做任何限速,打开手机QQ带宽占用只有几KB;不过在发送文件时,带宽占用上升到80KBps。
微信目前已经成为一个不可或缺的通讯工具。在带宽有限的情况下,要保证微信的正常使用,究竟需要多大的带宽呢?为了研究此问题,我们做了如下的测试。
如上图所示,微信的初始化大概占用了50KBps的带宽,而发送文字消息的带宽占用则小于1kBps。
我们一般把WSG上网行为管理的使用分为三个步骤:安装部署、基本配置、策略配置。
安装部署:把设备安装到网络中,使网络能正常工作。
基础配置:DHCP和VLAN设置、防火墙策略、端口映射、分组设置等基本配置。
策略配置:上网行为的审计策略、过滤策略、查询和报表等功能和配置。
在本文中,我将介绍WSG网关的安装部署的具体步骤。用户拿到设备后,按此步骤即可完成安装部署工作,并且开通远程管理访问。使技术人员可以进行远程协助配置。
来宾用户、流动人员比较多的局域网,如果不对来宾上网进行管控,不但会占用企业带宽资源,还会带来安全隐患和政策风险。对于企业环境来说,一般推荐来宾和办公网络采用不同的无线SSID,分开进行管控。具体方案如下:
来宾和办公网络采用不同的无线SSID。
对来宾和办公采用不同的限速和行为管理策略。
来宾和办公网络采用不同的VLAN,并且不允许来宾访问公司内网。
不但要设置不同的无线密码,而且需要进行IP-MAC绑定等策略,禁止来宾用户接入到办公网络。
对于企业局域网来说,一个合理的IP地址分配是网络安全和网络管理的基础,IP地址管理的好坏直接影响着企业员工的工作效率及企业的信息安全。
局域网的IP地址分配,需要考虑到如下方面:
服务器的IP地址段和办公电脑的IP地址段要区分开。
手机、pad等移动设备需要自动获取IP。
无线由于安全性比较低,一般需要用VLAN进行隔离。
每个网段的客户机数量不宜过多,有线250以内,无线150以内比较合理。否则会引起网络风暴。
下面是我总结的企业局域网IP地址分配方案,希望能对大家有帮助。
现在无线组网越来越普遍,但是不合理的组网方案,往往会导致无线接入缓慢、网络卡的情况。根据我们的经验和抓包分析,由于无线设备(包括AP、AC等)在通讯过程会更多的依赖广播包,非常容易出现广播风暴。无线网络的稳定运行,请注意如下几点:
首先要合理的进行AP布局,保证无线信号强度、并且避免无线信号的互相干扰。
合理的VLAN划分。无线设备的广播包比较多,非常容易产生广播风暴。一个VLAN容纳的无线设备要控制在200以内。
主路由网关的性能要强劲,并且设置上网行为管理策略和流控策略。
定期检测广播风暴等网络问题
某企业由于网络架设比较早,网络设备和网络结构已经不再适合当前的网络需要。为了更好的实现网络管理和信息安全的需要,提出了如下升级改造需求:
带宽扩容,采用两条宽带接入。
内网需要划分不同的VLAN,分为办公、监控、生产几大网段。
内网客户机需要进行严格的IP-MAC绑定,只有绑定后的设备才可以接入。
全网上网行为审计记录。
部署上网行为管理策略,建立上网秩序。
对于局域网而言,断网基本上都是灾难性的,领导、同事立刻唉声占道、催个不停。作为一名网络管理人员,不可避免经常会碰到断网的情况。保持冷静的头脑,迅速的定位问题所在,可以说是一个网管必备的基本素养。
本文中,我将介绍几条dos下的命令,掌握好这几条命令,一分钟内就可以定位断网原因。
很多企业为了解决网速不够用的问题,都升级了带宽资源。比如50M升级到100M,或者干脆多拉几根外线。但是,很多用户发现,带宽升级了但是网络还是慢。
本文中,我整理了企业带宽优化的三点要求。带宽升级后,一定要注意这三点,才能真正的享受带宽升级带来的更好宽带体验。
随着互联网的飞速发展,对带宽的要求也越来越高。一些办公软件动辄就需要几个G,视频会议、视频播放等都需要稳定的带宽资源保障;而且员工的办公和娱乐需要也会占用了大量的带宽。
这种情况下,不但需要对企业的带宽进行升级,而且要对带宽的使用进行更加合理的分配和管理;才可以有效的提高网速和优化带宽的使用效率。本文中,我将列出我们在网络升级中需要重点关注的几点建议,从而真正的达到优化带宽的目的。
由于企业业务的需要,很多企业都会申请专线接入。但是专线的费用比较高,如果用专线来提供办公上网就会非常浪费。所以一般推荐“专线+家庭带宽“的方式:
一根较小带宽的专线接入(比如20M专线),用于提供业务相关的网络服务。
一根较大带宽的家庭带宽,用于提供办公上网。
不合法(私接)的DHCP服务,会使局域网其他客户机获取到错误的IP地址,从而导致上不了网。为了诊断此问题,WFilter的网络健康度检测插件的再次升级添加了"DHCP冲突检测”的功能。具体步骤如下图:
本文将介绍如何用WFilter NGF来实现短信认证网关,以及短信平台的具体实现步骤。
WFilter NGF的短信发送通过调用Web API来实现,支持Web API接口的短信平台很多(一些短信猫也可以支持Web API)。下文中,我们以阿里云的短信服务为例。首先需要创建AccessKey,如下图:
ping命令可以说是网络管理中最常用的一个命令行工具了,利用ping可以非常迅速的诊断出网络问题。今天,我就来教大家如何用ping来检测网络问题。
当网络缓慢,上不了网时,请按如下步骤来执行ping命令:
首先要先ping内网的网关地址,确保内网是畅通的。如下图:
内网的丢包率应该为0,有线ping值一般在1ms以内,无线ping值1ms-20ms之间。如果存在丢包或者ping值很高,那么问题就在内网。需要排查内网网线、环路、交换机等设备问题。
我们在选择网关设备的时候,经常会面临选择路由器还是专业网关(x86架构工控机)的问题。本文将从硬件角度来解释这两者的差别。
两者的硬件架构都由CPU、存储、内存(RAM)组成,但是配件的差别非常大。
这里说的硬件防火墙,就是专业防火墙,入侵检测,主动防御,病毒防护,这些基本的以外,还有杀毒库,针对病毒查杀。这样的硬件防火墙一般过万,甚至过大几万。什么样的局域网环境才需要呢。毋庸置疑,经济上得是一个宽裕的局域网。技术上以及必要性上呢。
其实就一个必要性,局域网里面有对外网发布的WEB服务,比如WEB服务器,邮件服务器等。这样可以从互联互直接访问,容易遭遇黑客,攻击,这样的环境,不管大小,千万别吝啬,买一台硬防,有力又有利。
但是如果只是普通局域网,没有需要外部访问的服务器 ,有的路由上甚至连做端口映射 外部也就访问不到内部的服务器了
那么就没有必要安装硬件防火墙了。哪怕有ERP,有组网VPN,用不用专业硬件防火墙,技术上真的不重要,国内现在运营商已经把常见的80端口都禁止掉了,直接通过80端口连不了。而普通局域网要注重的则是内网安全,内网安全防护好了,外网自然也不会有任何问题。所谓安全,所谓防护,所谓上网行为管理,并不是局域网出了问题了,才来解决,而是平时上网建立良好的上网秩序,规范上网行为和内容,养成良好的上网行为习惯,网络自然健康通畅。
划分VLAN一般出于如下几个目的:
把内网划分为不同的网段,可以提高内网安全性,而且更加便于管理。比如:有线和无线处于不同的网段,不允许无线设备访问企业内网,这样可以保护内部信息安全;而且可以对不同网段配置不同的上网策略和流控策略。
分割广播域,避免广播风暴。广播风暴这个现象,在无线时代更加突出,AP设备的发现、管理等操作都会产生广播包。
那么,什么情况下需要划分VLAN呢?主要考虑以下几点:
为了管理和安全需要,很多局域网都要求固定IP,每个设备的IP地址和mac地址都登记在案,结合IP-mac绑定,从而使上网记录、病毒攻击都有据可查,并且可以迅速定位到个人。但是和自动获取IP地址比较,固定IP也有一些弊端:
配置较复杂,一些非技术人员不懂也不会配置IP地址。需要网管人员全局维护。
固定IP地址列表需要维护。人员离职、电脑报废后,IP地址如果没有及时回收,会导致IP地址不够用。
本文我将结合WFilter(WSG网关)的IP-mac绑定功能,介绍如何分配、管理和回收IP地址。
2018俄罗斯世界杯大幕拉开,世界杯期间球迷们将通过各种途径观看世界杯。互联网作为世界杯的主要承载媒体,也使得我们的网络感受到了前所未有的压力。对于各类企事业单位来说,首要保障公司业务所需的带宽资源,同时也要人性化的满足世界杯的激情需要。
因此在世界杯期间,无论是门户网站、运营商或是企事业单位,都需要解决带宽分配和流量管理的问题。既让客户和员工可以观看世界杯,同时又要让企业的网络带宽不被抢占,关键应用的质量不受影响。
在大部分公司,客人用的WiFi和员工用的WiFi都是分开的。从理论上来说,这样有利于局域网的信息安全。但是有些员工缺乏安全意识,会有意无意的泄漏办公WiFi的密码,甚至公开张贴WiFi密码,再加上一些共享WiFi密码的app;实际上你自认为安全的办公WiFi密码实际上并不安全。
一旦来宾、其他人员接入了公司WiFi,就可以直接访问到企业内网,这时候勒索病毒、黑客入侵就已经离你不远了。所以,企业在提供WiFi时,安全是头等大事,绝对不容忽视。
本文,我们将探讨如何禁止客人wifi访问到公司内部的局域网?具体方案如下:
现在大部分局域网都提供了无线上网的功能。无线主要用于满足以下几种需求:
无线办公的需要,比如无线pos机等办公设备。
员工无线上网的需要。
来宾、客人的无线上网。
这样就带来了相关的安全性问题:
来宾有可能通过无线接入到企业内网,导致安全隐患。
员工有可能通过来宾的无线网络上网,从而绕开公司的行为管理策略,影响工作效率。
目前大部分解决方案都是来宾网络和内部无线网络使用不同的无线SSID和密码。但是实际上这个方案存在很大的漏洞:密码泄漏。来宾可以直接询问到内网的无线密码,甚至很多无线密码都是公开张贴的。而企业员工更是可以直接通过来宾网络上网。
本文将结合WFilter NGF的相关功能,来介绍更进阶的解决方案。
