笨驢技術(IMFirewall)博客

在防火墻、上網行為管理如何實現雙機熱備一文中，我們介紹了如何用兩條外線來實現網絡雙機熱備。在有些情況下，一些用戶還需要對同一條線路做雙機熱備。準確的說，外線只有一條，但是要確保防火墻/上網行為管理設備是可以實現熱備的。這種情況下，和防火墻、上網行為管理如何實現雙機熱備一文不同的是，我們需要同時在“內網口”和“外網口”上都開啟虛擬IP。這樣的效果就是：內網口和外網口都工作虛擬IP上，一旦主設備故障，可以迅速切換到備份設備上去。

鏈路聚合和端口聚合是兩個概念：

1). 鏈路聚合是指多條外線的情況下把多條外線聚合使用。該功能可以通過WSG的“多線均衡”模塊來實現。

2). 端口聚合是指在WSG上接多個內網交換機端口，從而提升內網的上聯帶寬。

一些企事業單位出于安全考慮，需要做內外網分離。舉例來說，需要達到如下的技術要求：

1. 生產網、辦公網、外網三網隔離。

2. 啟用網絡準入，對非規定允許接入的設備禁止其接入網絡。
   

3. 上網數據留存。

在本文中，我將結合WSG上網行為管理來闡述如何實現內外網分離。

企業內網一般都會劃分多個VLAN。劃分VLAN可以提高內網安全性，而且更加便于管理。比如：有線和無線處于不同的網段，不允許無線設備訪問企業內網，這樣可以保護內部信息安全；而且可以對不同網段配置不同的上網策略和流控策略。而且劃分VLAN可以分割廣播域，避免廣播風暴。VLAN的劃分一般有如下三種方法：

1. 通過三層交換機來劃分VLAN

無線網絡由于安全性比較低，企事業單位的無線組網需要考慮如下因素：

1. 有線網段和無線網段互相隔離。
   

2. 辦公無線和訪客無線也需要互相隔離。

3. 每個網段的無線終端建議控制在150以內，避免廣播風暴。
   

4. 員工內網要做接入認證或者設備綁定。

5. 對訪客進行實名認證（可選）

一般采用這樣的網絡結構圖：

WSG上網行為管理做透明網橋部署有很多優勢：

1. 即插即用，不影響現有網絡。
   

2. 不需要修改原有設備的配置（交換機、路由器都不需要做任何修改）

3. 可以利用到硬件bypass的功能，即使機器斷電死機也不會斷網。

WFilter NGF（WSG上網行為管理網關）支持網關和網橋兩種部署模式：

1. 網關模式：WSG作為整個局域網的網關，提供NAT服務。

2. 網橋模式：WSG作為透明網橋串接在局域網中。

在有些情況下，我們需要采用純路由模式（WSG只做路由轉接，不進行NAT轉換）。本例中，我將介紹如何用WSG來搭建路由模式的上網行為管理。

網絡結構如下圖：

具體配置步驟如下：

由于公網IP資源越來越緊張，現在很多運營商給撥號上網的用戶只分配內網IP地址，如下圖所示：

這樣的運營商內網IP是外網不可達的（即使用動態域名也不起作用）。而企業由于業務需要，比如虛擬局域網組網、辦公OA系統、ERP系統等，都需要有公網IP才可以實現。公網IP的解決，目前主要有三種方案：

1. 申請固定IP專線。穩定且速度有保障，缺點是費用高。
   

2. 云方案。把業務主機都搬到云上，直接通過云主機來訪問。費用比較低，缺點是云主機不能本地維護，且搬遷工作量都不小。

3. 云主機+內網穿透方案。通過云主機做跳板來實現內網穿透，既可以復用現有的業務系統，又解決了公網IP的問題。第三種方案的成本是最低的，但是配置比較復雜。本文將對第三種方案做詳細介紹。

由于無線的便利性，越來越多的企業局域網采用無線辦公的方式。而因為無線網絡的特殊性，如果缺乏上網行為管理和流控手段，會導致無線緩慢、網絡不可用等情況。而且無線網絡更加容易產生廣播風暴。所以，在WiFi無線局域網中部署上網行為管理和流控是非常必要的。

本文中，我就將來介紹WiFi局域網的上網行為管理方案。

1. 常用的網絡拓撲

1. 首先，由于無線路由器的穩定性不高，所以主路由不推薦用無線設備?？梢杂靡慌_有線路由器做網關，后面串接上網行為管理設備?；蛘咧苯佑蒙暇W行為管理做網關。
   

2. 推薦采用瘦AP的組網方式。通過AC控制器統一管理。

對于企業局域網來說，一個合理的IP地址分配是網絡安全和網絡管理的基礎，IP地址管理的好壞直接影響著企業員工的工作效率及企業的信息安全。
局域網的IP地址分配，需要考慮到如下方面：

1. 服務器的IP地址段和辦公電腦的IP地址段要區分開。

2. 手機、pad等移動設備需要自動獲取IP。

3. 無線由于安全性比較低，一般需要用VLAN進行隔離。

4. 每個網段的客戶機數量不宜過多，有線250以內，無線150以內比較合理。否則會引起網絡風暴。
   

下面是我總結的企業局域網IP地址分配方案，希望能對大家有幫助。

現在無線組網越來越普遍，但是不合理的組網方案，往往會導致無線接入緩慢、網絡卡的情況。根據我們的經驗和抓包分析，由于無線設備（包括AP、AC等）在通訊過程會更多的依賴廣播包，非常容易出現廣播風暴。無線網絡的穩定運行，請注意如下幾點：

1. 首先要合理的進行AP布局，保證無線信號強度、并且避免無線信號的互相干擾。

2. 合理的VLAN劃分。無線設備的廣播包比較多，非常容易產生廣播風暴。一個VLAN容納的無線設備要控制在200以內。

3. 主路由網關的性能要強勁，并且設置上網行為管理策略和流控策略。
   

4. 定期檢測廣播風暴等網絡問題

某企業由于網絡架設比較早，網絡設備和網絡結構已經不再適合當前的網絡需要。為了更好的實現網絡管理和信息安全的需要，提出了如下升級改造需求：

1. 帶寬擴容，采用兩條寬帶接入。
   

2. 內網需要劃分不同的VLAN，分為辦公、監控、生產幾大網段。

3. 內網客戶機需要進行嚴格的IP-MAC綁定，只有綁定后的設備才可以接入。

4. 全網上網行為審計記錄。

5. 部署上網行為管理策略，建立上網秩序。

很多企業為了解決網速不夠用的問題，都升級了帶寬資源。比如50M升級到100M，或者干脆多拉幾根外線。但是，很多用戶發現，帶寬升級了但是網絡還是慢。

本文中，我整理了企業帶寬優化的三點要求。帶寬升級后，一定要注意這三點，才能真正的享受帶寬升級帶來的更好寬帶體驗。

我們在選擇網關設備的時候，經常會面臨選擇路由器還是專業網關（x86架構工控機）的問題。本文將從硬件角度來解釋這兩者的差別。

兩者的硬件架構都由CPU、存儲、內存（RAM）組成，但是配件的差別非常大。

劃分VLAN一般出于如下幾個目的：

1. 把內網劃分為不同的網段，可以提高內網安全性，而且更加便于管理。比如：有線和無線處于不同的網段，不允許無線設備訪問企業內網，這樣可以保護內部信息安全；而且可以對不同網段配置不同的上網策略和流控策略。

2. 分割廣播域，避免廣播風暴。廣播風暴這個現象，在無線時代更加突出，AP設備的發現、管理等操作都會產生廣播包。

那么，什么情況下需要劃分VLAN呢？主要考慮以下幾點：