在防火墻、上網行為管理如何實現雙機熱備一文中，我們介紹了如何用兩條外線來實現網絡雙機熱備。在有些情況下，一些用戶還需要對同一條線路做雙機熱備。準確的說，外線只有一條，但是要確保防火墻/上網行為管理設備是可以實現熱備的。這種情況下，和防火墻、上網行為管理如何實現雙機熱備一文不同的是，我們需要同時在“內網口”和“外網口”上都開啟虛擬IP。這樣的效果就是：內網口和外網口都工作虛擬IP上，一旦主設備故障，可以迅速切換到備份設備上去。

鏈路聚合和端口聚合是兩個概念：

1). 鏈路聚合是指多條外線的情況下把多條外線聚合使用。該功能可以通過WSG的“多線均衡”模塊來實現。

2). 端口聚合是指在WSG上接多個內網交換機端口，從而提升內網的上聯帶寬。

一些企事業單位出于安全考慮，需要做內外網分離。舉例來說，需要達到如下的技術要求：

1. 生產網、辦公網、外網三網隔離。

2. 啟用網絡準入，對非規定允許接入的設備禁止其接入網絡。
   

3. 上網數據留存。

在本文中，我將結合WSG上網行為管理來闡述如何實現內外網分離。

企業內網一般都會劃分多個VLAN。劃分VLAN可以提高內網安全性，而且更加便于管理。比如：有線和無線處于不同的網段，不允許無線設備訪問企業內網，這樣可以保護內部信息安全；而且可以對不同網段配置不同的上網策略和流控策略。而且劃分VLAN可以分割廣播域，避免廣播風暴。VLAN的劃分一般有如下三種方法：

1. 通過三層交換機來劃分VLAN

無線網絡由于安全性比較低，企事業單位的無線組網需要考慮如下因素：

1. 有線網段和無線網段互相隔離。
   

2. 辦公無線和訪客無線也需要互相隔離。

3. 每個網段的無線終端建議控制在150以內，避免廣播風暴。
   

4. 員工內網要做接入認證或者設備綁定。

5. 對訪客進行實名認證（可選）

一般采用這樣的網絡結構圖：

WSG上網行為管理做透明網橋部署有很多優勢：

1. 即插即用，不影響現有網絡。
   

2. 不需要修改原有設備的配置（交換機、路由器都不需要做任何修改）

3. 可以利用到硬件bypass的功能，即使機器斷電死機也不會斷網。

WFilter NGF（WSG上網行為管理網關）支持網關和網橋兩種部署模式：

1. 網關模式：WSG作為整個局域網的網關，提供NAT服務。

2. 網橋模式：WSG作為透明網橋串接在局域網中。

在有些情況下，我們需要采用純路由模式（WSG只做路由轉接，不進行NAT轉換）。本例中，我將介紹如何用WSG來搭建路由模式的上網行為管理。

網絡結構如下圖：

具體配置步驟如下：

由于公網IP資源越來越緊張，現在很多運營商給撥號上網的用戶只分配內網IP地址，如下圖所示：

這樣的運營商內網IP是外網不可達的（即使用動態域名也不起作用）。而企業由于業務需要，比如虛擬局域網組網、辦公OA系統、ERP系統等，都需要有公網IP才可以實現。公網IP的解決，目前主要有三種方案：

1. 申請固定IP專線。穩定且速度有保障，缺點是費用高。
   

2. 云方案。把業務主機都搬到云上，直接通過云主機來訪問。費用比較低，缺點是云主機不能本地維護，且搬遷工作量都不小。

3. 云主機+內網穿透方案。通過云主機做跳板來實現內網穿透，既可以復用現有的業務系統，又解決了公網IP的問題。第三種方案的成本是最低的，但是配置比較復雜。本文將對第三種方案做詳細介紹。

由于無線的便利性，越來越多的企業局域網采用無線辦公的方式。而因為無線網絡的特殊性，如果缺乏上網行為管理和流控手段，會導致無線緩慢、網絡不可用等情況。而且無線網絡更加容易產生廣播風暴。所以，在WiFi無線局域網中部署上網行為管理和流控是非常必要的。

本文中，我就將來介紹WiFi局域網的上網行為管理方案。

1. 常用的網絡拓撲

1. 首先，由于無線路由器的穩定性不高，所以主路由不推薦用無線設備。可以用一臺有線路由器做網關，后面串接上網行為管理設備。或者直接用上網行為管理做網關。
   

2. 推薦采用瘦AP的組網方式。通過AC控制器統一管理。

對于企業局域網來說，一個合理的IP地址分配是網絡安全和網絡管理的基礎，IP地址管理的好壞直接影響著企業員工的工作效率及企業的信息安全。
局域網的IP地址分配，需要考慮到如下方面：

1. 服務器的IP地址段和辦公電腦的IP地址段要區分開。

2. 手機、pad等移動設備需要自動獲取IP。

3. 無線由于安全性比較低，一般需要用VLAN進行隔離。

4. 每個網段的客戶機數量不宜過多，有線250以內，無線150以內比較合理。否則會引起網絡風暴。
   

下面是我總結的企業局域網IP地址分配方案，希望能對大家有幫助。

現在無線組網越來越普遍，但是不合理的組網方案，往往會導致無線接入緩慢、網絡卡的情況。根據我們的經驗和抓包分析，由于無線設備（包括AP、AC等）在通訊過程會更多的依賴廣播包，非常容易出現廣播風暴。無線網絡的穩定運行，請注意如下幾點：

1. 首先要合理的進行AP布局，保證無線信號強度、并且避免無線信號的互相干擾。

2. 合理的VLAN劃分。無線設備的廣播包比較多，非常容易產生廣播風暴。一個VLAN容納的無線設備要控制在200以內。

3. 主路由網關的性能要強勁，并且設置上網行為管理策略和流控策略。
   

4. 定期檢測廣播風暴等網絡問題

某企業由于網絡架設比較早，網絡設備和網絡結構已經不再適合當前的網絡需要。為了更好的實現網絡管理和信息安全的需要，提出了如下升級改造需求：

1. 帶寬擴容，采用兩條寬帶接入。
   

2. 內網需要劃分不同的VLAN，分為辦公、監控、生產幾大網段。

3. 內網客戶機需要進行嚴格的IP-MAC綁定，只有綁定后的設備才可以接入。

4. 全網上網行為審計記錄。

5. 部署上網行為管理策略，建立上網秩序。

很多企業為了解決網速不夠用的問題，都升級了帶寬資源。比如50M升級到100M，或者干脆多拉幾根外線。但是，很多用戶發現，帶寬升級了但是網絡還是慢。

本文中，我整理了企業帶寬優化的三點要求。帶寬升級后，一定要注意這三點，才能真正的享受帶寬升級帶來的更好寬帶體驗。

我們在選擇網關設備的時候，經常會面臨選擇路由器還是專業網關（x86架構工控機）的問題。本文將從硬件角度來解釋這兩者的差別。

兩者的硬件架構都由CPU、存儲、內存（RAM）組成，但是配件的差別非常大。

劃分VLAN一般出于如下幾個目的：

1. 把內網劃分為不同的網段，可以提高內網安全性，而且更加便于管理。比如：有線和無線處于不同的網段，不允許無線設備訪問企業內網，這樣可以保護內部信息安全；而且可以對不同網段配置不同的上網策略和流控策略。

2. 分割廣播域，避免廣播風暴。廣播風暴這個現象，在無線時代更加突出，AP設備的發現、管理等操作都會產生廣播包。

那么，什么情況下需要劃分VLAN呢？主要考慮以下幾點：

為了管理和安全需要，很多局域網都要求固定IP，每個設備的IP地址和mac地址都登記在案，結合IP-mac綁定，從而使上網記錄、病毒攻擊都有據可查，并且可以迅速定位到個人。但是和自動獲取IP地址比較，固定IP也有一些弊端：

1. 配置較復雜，一些非技術人員不懂也不會配置IP地址。需要網管人員全局維護。
   

2. 固定IP地址列表需要維護。人員離職、電腦報廢后，IP地址如果沒有及時回收，會導致IP地址不夠用。

本文我將結合WFilter（WSG網關）的IP-mac綁定功能，介紹如何分配、管理和回收IP地址。

現在大部分局域網都提供了無線上網的功能。無線主要用于滿足以下幾種需求：

1. 無線辦公的需要，比如無線pos機等辦公設備。
   

2. 員工無線上網的需要。

3. 來賓、客人的無線上網。

這樣就帶來了相關的安全性問題：

1. 來賓有可能通過無線接入到企業內網，導致安全隱患。

2. 員工有可能通過來賓的無線網絡上網，從而繞開公司的行為管理策略，影響工作效率。

目前大部分解決方案都是來賓網絡和內部無線網絡使用不同的無線SSID和密碼。但是實際上這個方案存在很大的漏洞：密碼泄漏。來賓可以直接詢問到內網的無線密碼，甚至很多無線密碼都是公開張貼的。而企業員工更是可以直接通過來賓網絡上網。

本文將結合WFilter NGF的相關功能，來介紹更進階的解決方案。

VLAN可以把網絡劃分成多個廣播域，可以有效的控制廣播風暴，還可以控制網絡中不同部門和網段之間的互相訪問。如果您已經有了三層交換機，可以直接在三層交換機上劃分VLAN，請參閱：多VLAN三層交換機如何連接WFilter上網行為管理系統？

在沒有三層交換機的環境下，您可以直接用WFilter NGF（WSG網關）來劃分VLAN。支持兩種VLAN的劃分方式：

1. 基于端口的VLAN劃分。每個端口一個VLAN接二層交換機。
   

2. 802.1Q VLAN（單臂路由）。和交換機的trunk口連接，通過一個端口實現多個VLAN的封裝。

本文將介紹這兩種方式如何配置。

WSG-200E上網行為管理網關，不是用的最頂尖高端的硬件設備，但是對于150-300人局域網范圍，真的是性價比最高的一款。系統采用了WFilter NGF企業級上網行為管理系統，在硬件方面，采用了Intel B75的主板架構，I3-32200的酷睿4核CPU，主頻高達3.3GHz.實實在在的優質選型。

WSG-500E上網行為管理設備是WFilter系列上網行為管理中性能非常強悍的一款設備，系統采用了WFilter NGF企業級上網行為管理系統，在硬件方面，采用了Intel B75的主板架構，I5-3450的酷睿4核CPU，主頻高達3.1GHz。很多用戶對這個性能缺少形象的概念，讓我來簡單比較下：

1. 普通的路由器芯片，比如典型的MTK7620芯片，主頻是580MHz。

2. D525工控機，CPU是4核1.8GHz。性能至少是MTK的3-4倍。

3. WSG-500E的I5-3450，采用了新的設計，性能差不多又是D525的3-4倍。
   

配合4G的DDR3內存，6個千兆端口，構建了性能強悍的WSG-500E。這款設備，雖然官方推薦是500Mbps的帶寬，實測可以達到900-920M，而且網絡訪問很順暢，一點也不卡頓。

這里說的大型局域網是500-1000臺局域網環境，一般是一棟樓，廠房或者學校。大型局域網的組網方案已經非常成熟了。大網絡，多了防火墻，核心交換機，不同需求的服務器。這里就不一一贅述，這里重點介紹大局域網的上網行為管理方案。大網環境數據量大，各種協議走的很復雜。很多網安廠家把第二代防火墻的概念

（Next Generation Firewall）包括了上網行為管理概念，專業的上網行為管理是無法被代替的。協議分析，應用層解析，上網日志記錄，審計等模塊需要大量的運算，后期需要專業的研發團隊維護升級。所以不應該被防火墻，殺毒的概念混亂。上網方式這三十年發生了天翻地覆的變化，網絡協議一年又一年的更新，應用協議天天有新出，移動上網方式的應用都已經變成日常行為了。各種病毒方式已經不像原始方式文件打開，有的時候甚至點開一個不安全的網站會導致病毒入侵，所以內網管控不僅僅是上網效率提高，還有上網行為管控，網址庫，協議庫過濾，才會讓局域網上網內網安全兼得。

提到上網行為管理，最初想到的內容記錄、聊天內容、郵件內容、文件傳輸內容、網頁瀏覽記錄等等。但是再往深里研究，對于有一定規模的局域網，內容審計的意義并不是很大，聊天幾句話、瀏覽的幾個網站都是瞬間的意識。所以，企業的對員工聊天內容的審計實在沒有太大的意義。況且國內主流的QQ和微信的通訊，騰訊公司早就進行了協議改進和安全強化，加上微信QQ都可以綁定銀行卡。所以，網絡監控解析QQ和微信的內容，理論上已經不現實。對于企業網絡管理來說，規整的上網秩序、上網內容的報表分析以及信息安全才是王道。

WSG-200P上網行為管理路由是一款性價比非常高的上網行為管理設備。和WSG的企業版（E系列）相比，雖然沒有上網記錄、域賬號等功能，但是就上網行為管理和流控來說，與E系列基本是一樣的，可以提供專業的上網行為管理和流控。下面讓我們一起來看看WSG-200P這款企業級上網行為管理路由有哪些亮點功能吧。

這里說的網橋部署，是透明網橋部署。有的局域網環境里面，路由暫時不想被代替，那么WSG上網行為管理網關可以用網橋部署的方式接在局域網里面。

• 網橋模式下，只用到LAN和WAN1這兩個端口。其他端口都不起作用。

• WSG接在路由器（防火墻）和交換機之間。

• 內網交換機接在LAN口。

• 上層設備（路由器或者防火墻）接在WAN1口。

上網行為管理網關不管是在功能還是在性能上，都是完爆路由器的。隨著生產力的提高，硬件設備的成本也逐步降低，普及也越來越廣（例如電器的價格越來越低）。上網行為管理網關部署也將成為一個趨勢，因為網關除了擁有專業路由的功能以外，還有專業的網絡管理功能，和專業防火墻功能，這個都是路由硬件芯片做不到的。

那么上網行為管理設備應該如何部署呢？其實很簡單，就是和路由器一樣，直接把路由器的相關配置移植到行為管理設備上，把之前的路由器替換掉即可。