某企業由于網絡架設比較早，網絡設備和網絡結構已經不再適合當前的網絡需要。為了更好的實現網絡管理和信息安全的需要，提出了如下升級改造需求：

1. 帶寬擴容，采用兩條寬帶接入。
   

2. 內網需要劃分不同的VLAN，分為辦公、監控、生產幾大網段。

3. 內網客戶機需要進行嚴格的IP-MAC綁定，只有綁定后的設備才可以接入。

4. 全網上網行為審計記錄。

5. 部署上網行為管理策略，建立上網秩序。

1. 方案設計

綜合考慮各項改造需求，我們提出了如下的解決方案：

1). 采用一臺WSG-XE上網行為管理設備，做多線接入。

2). 在WSG設備上設置基于端口的VLAN，每個端口一個VLAN，接到相應的二層交換機。

3). 啟用IP-MAC綁定，未綁定的mac地址不分配IP，并且禁止上網。

4). 全時段記錄上網內容。

5). 配置“應用過濾”和“網頁過濾”，上班時段禁止在線視頻、下載等行為。

6). 對生產和辦公網段進行限速，避免單IP占用大量帶寬的情況。

網絡拓撲圖如下：

WSG-XE：

2. 相關功能

2.1 VLAN劃分

辦公、生產、監控分為不同的VLAN，互不影響。

配置分流策略，使監控組走單獨的外線。

2.2 IP-mac綁定

對內網的所有客戶機配置IP-MAC綁定，未綁定的mac地址一律禁止上網。

2.3 上網內容審計

利用WFilter的上網記錄模塊，可以記錄全網的網頁瀏覽、發帖、文件傳輸、QQ號、FTP/Telnet命令、郵件內容等信息。

2.4 上網行為管理

通過配置上網行為管理策略，禁止上班時間段內容視頻、下載等行為，提高工作效率，節省帶寬資源。

2.6 帶寬限制

給辦公網段、生產網段的客戶機進行一定的限速，避免出現某些用戶占用大量帶寬的情況。