在WSG上網(wǎng)行為管理網(wǎng)關的初步設置詳細教程中，我們介紹了WSG上網(wǎng)行為管理網(wǎng)關的初步設置，該文檔中，我們采用了網(wǎng)關部署的方式。在實際使用中，網(wǎng)橋部署方式也極為常見；用網(wǎng)橋的方式來部署WSG上網(wǎng)行為管理，是完全透明部署，不需要修改現(xiàn)有的網(wǎng)絡參數(shù)，也不需要更改路由器和交換機的配置。網(wǎng)絡拓撲圖如下：

網(wǎng)橋部署有如下優(yōu)點：

• 不需要修改現(xiàn)有的網(wǎng)絡設置。

• 無需斷網(wǎng)，即插即用。

• 功能一樣強大：上網(wǎng)行為記錄、行為管理、流控都可以實現(xiàn)。

• 硬件bypass（要看具體型號），即使網(wǎng)橋設備掉電，也可以保證不斷網(wǎng)。
  

1. 網(wǎng)橋部署的準備工作

首先需要給WSG設備分配一個靜態(tài)IP地址。該IP用于遠程訪問WSG設備，進行Web認證等遠程訪問操作。需要注意如下幾點：

對人員流動比較頻繁的局域網(wǎng)來說，首要的一個問題就是要進行網(wǎng)絡的準入認證，記錄用戶的身份信息和上網(wǎng)日志。從而使網(wǎng)絡行為有據(jù)可查，也能滿足職能部門的督察需要。WFilter NGF中的幾種認證機制，優(yōu)缺點比較如下：

1. 用戶名密碼認證。需要維護用戶名密碼，適合人員比較固定的網(wǎng)絡。
   

2. 微信WiFi認證。微信WiFi的流程是打開公眾號即可上網(wǎng)，并且記錄微信的openid。適合在人員流動大的網(wǎng)絡環(huán)境中做營銷推廣。

3. 手機短信認證。通過手機接收驗證碼來上網(wǎng)，記錄手機號和上網(wǎng)記錄。適合人員流動比較大的網(wǎng)絡環(huán)境留存身份信息和上網(wǎng)審計記錄。
   

本文中， 我將結合一個實際例子來介紹WFilter NGF（WSG網(wǎng)關）的短信認證功能。

企業(yè)為了滿足出差人員，在家人員的辦公需要，往往需要開通遠程辦公功能。使得員工可以通過互聯(lián)網(wǎng)連接到公司內(nèi)網(wǎng)進行工作。在WFilter NGF中，“OpenVPN服務端“和“PPTP服務端”這兩個模塊都可以滿足遠程辦公的需要。相對而言，OpenVPN的配置復雜，但是安全性更高一些。

本例中，我將演示如何用WFilter NGF的OpenVPN服務端模塊來實現(xiàn)遠程辦公。

企業(yè)微信是騰訊微信團隊為企業(yè)打造的專業(yè)辦公管理工具，現(xiàn)在很多企業(yè)用企業(yè)微信來進行辦公溝通。但是一些企業(yè)開通了微信后，卻發(fā)現(xiàn)員工會花大量時間用在個人微信聊天、朋友圈上面。所以，為了不影響工作效率，在使用企業(yè)微信的同時還需要禁止個人微信的使用。

本文將介紹如何用WSG上網(wǎng)行為管理網(wǎng)關來實現(xiàn)“允許企業(yè)微信的同時屏蔽個人微信”。

很多企業(yè)為了工作需要都申請了多WAN接入。而大部分的多WAN口設備在默認配置下都是直接負載均衡；以WSG上網(wǎng)行為管理網(wǎng)關為例，默認配置是這樣的：

1. 運營商分流。電信網(wǎng)站的訪問會優(yōu)先走電信線路，聯(lián)通站點優(yōu)先走聯(lián)通線路。
   

2. 負載均衡。根據(jù)wan口的帶寬大小進行負載均衡。

在企業(yè)的網(wǎng)絡內(nèi)部有著很多重要的IT資源，比如：OA服務器、ERP服務器等，這些業(yè)務主機一旦停止工作或者被攻擊，會直接影響業(yè)務的正常運行，帶來重大損失。在有線網(wǎng)絡的情況下，安全性還是比較可靠的。而現(xiàn)階段絕大部分企業(yè)都提供了無線上網(wǎng)；客戶機只要知道了無線密碼，就可以接入企業(yè)的局域網(wǎng)，導致安全隱患。而關鍵的一點在于你的無線密碼并不安全：

1. aircrack等軟件可以對無線密碼進行暴力破解。
   

2. 一旦有員工安裝了wifi鑰匙等軟件，你的無線就等于是公開的。

3. 訪客網(wǎng)絡和辦公網(wǎng)絡分開的方式，并不能阻止訪客連接辦公網(wǎng)絡。（訪客可以直接詢問密碼，或者通過wifi鑰匙等軟件接入）
   

HTTPS（HTTP over SSL）由于其通訊協(xié)議的特殊性，域名信息和訪問的URL等都處于SSL加密保護下；所以大部分的路由器系統(tǒng)都無法對https網(wǎng)站的域名進行過濾和屏蔽。而諸如WFilter這樣的專業(yè)級上網(wǎng)行為管理產(chǎn)品，則可以對流量進行深度分析，并提取出https通訊中的域名信息，從而進行過濾屏蔽。

如下圖，WFilter可以提取出網(wǎng)站證書中的域名信息。

由于無線的便利性，越來越多的企業(yè)局域網(wǎng)采用無線辦公的方式。而因為無線網(wǎng)絡的特殊性，如果缺乏上網(wǎng)行為管理和流控手段，會導致無線緩慢、網(wǎng)絡不可用等情況。而且無線網(wǎng)絡更加容易產(chǎn)生廣播風暴。所以，在WiFi無線局域網(wǎng)中部署上網(wǎng)行為管理和流控是非常必要的。

本文中，我就將來介紹WiFi局域網(wǎng)的上網(wǎng)行為管理方案。

1. 常用的網(wǎng)絡拓撲

1. 首先，由于無線路由器的穩(wěn)定性不高，所以主路由不推薦用無線設備?？梢杂靡慌_有線路由器做網(wǎng)關，后面串接上網(wǎng)行為管理設備。或者直接用上網(wǎng)行為管理做網(wǎng)關。
   

2. 推薦采用瘦AP的組網(wǎng)方式。通過AC控制器統(tǒng)一管理。

釘釘作為一個免費智能移動辦公平臺，受到很多公司的歡迎。但是對于網(wǎng)絡權限設置比較嚴格的局域網(wǎng)來說，如何開放釘釘一直是一個難題。之前釘小密給了個局域網(wǎng)需要白名單的一些IP段，參見：https://tieba.baidu.com/p/4358596988 ，但是根據(jù)我們的測試，文中的IP段并不能覆蓋釘釘需要的IP范圍。而且在釘釘?shù)墓倬W(wǎng)已經(jīng)找不到官方的相關文檔了。

為了放行釘釘，我們技術人員做了相關測試。本文，我就來介紹下在WSG上網(wǎng)行為管理網(wǎng)關中如何放行釘釘。釘釘?shù)氖褂眯枰ㄟ^https訪問釘釘相關的網(wǎng)站，另外還有自己的通訊協(xié)議（端口443）。所以要放行釘釘，我們需要放行DNS、釘釘和TLS這三個協(xié)議。如下圖：

合理的IP地址分配是網(wǎng)絡安全和網(wǎng)絡管理的基礎，IP地址管理直接影響著企業(yè)員工的工作效率及企業(yè)的信息安全。

1. 行政管理方法

首先，應當以行政命令的方式規(guī)定IP地址管理的權限、流程，以及相應的懲罰手段。如以下這個例子：

廣播風暴和網(wǎng)絡環(huán)路，雖然兩者的原理不一樣，但是其物理表現(xiàn)卻比較相似：“交換機燈狂閃，同時內(nèi)網(wǎng)丟包或者ping值變高。”作為一名網(wǎng)管，需要可以迅速判斷故障的原因，從而制定不同的解決方案。兩者的主要差別如下：

1. 廣播風暴只在特定的條件下出現(xiàn)，所以廣播風暴是不持續(xù)的。而環(huán)路是持續(xù)存在的。
   

2. 廣播風暴由局域網(wǎng)架構的缺陷導致，而網(wǎng)絡環(huán)路屬于網(wǎng)絡故障。

3. 網(wǎng)絡環(huán)路對網(wǎng)絡的影響比較大，丟包和ping值都要比廣播風暴嚴重的多。

4. 廣播風暴需要通過劃分VLAN來解決。網(wǎng)絡環(huán)路只需要拔掉環(huán)路設備或者網(wǎng)線即可。

有經(jīng)驗的網(wǎng)管，還可以通過抓包來區(qū)別風暴和環(huán)路。如果你不會抓包分析，也可以總結故障出現(xiàn)的規(guī)律來進行判斷。下面我再介紹下WFilter里面的網(wǎng)絡健康度檢測插件是如何區(qū)分廣播風暴和環(huán)路的。

在微信需要多大帶寬？微信的最低帶寬要求 這篇文章中，我們測試了微信的最低帶寬要求。今天我們再來測試下手機QQ的最低帶寬要求。具體的測試步驟如下：

1. 不做任何限速

如下圖，不做任何限速，打開手機QQ帶寬占用只有幾KB；不過在發(fā)送文件時，帶寬占用上升到80KBps。

微信目前已經(jīng)成為一個不可或缺的通訊工具。在帶寬有限的情況下，要保證微信的正常使用，究竟需要多大的帶寬呢？為了研究此問題，我們做了如下的測試。

1. 不做任何限速

如上圖所示，微信的初始化大概占用了50KBps的帶寬，而發(fā)送文字消息的帶寬占用則小于1kBps。

我們一般把WSG上網(wǎng)行為管理的使用分為三個步驟：安裝部署、基本配置、策略配置。

1. 安裝部署：把設備安裝到網(wǎng)絡中，使網(wǎng)絡能正常工作。
   

2. 基礎配置：DHCP和VLAN設置、防火墻策略、端口映射、分組設置等基本配置。

3. 策略配置：上網(wǎng)行為的審計策略、過濾策略、查詢和報表等功能和配置。

在本文中，我將介紹WSG網(wǎng)關的安裝部署的具體步驟。用戶拿到設備后，按此步驟即可完成安裝部署工作，并且開通遠程管理訪問。使技術人員可以進行遠程協(xié)助配置。

來賓用戶、流動人員比較多的局域網(wǎng)，如果不對來賓上網(wǎng)進行管控，不但會占用企業(yè)帶寬資源，還會帶來安全隱患和政策風險。對于企業(yè)環(huán)境來說，一般推薦來賓和辦公網(wǎng)絡采用不同的無線SSID，分開進行管控。具體方案如下：

1. 來賓和辦公網(wǎng)絡采用不同的無線SSID。
   

2. 對來賓和辦公采用不同的限速和行為管理策略。

3. 來賓和辦公網(wǎng)絡采用不同的VLAN，并且不允許來賓訪問公司內(nèi)網(wǎng)。

4. 不但要設置不同的無線密碼，而且需要進行IP-MAC綁定等策略，禁止來賓用戶接入到辦公網(wǎng)絡。

對于企業(yè)局域網(wǎng)來說，一個合理的IP地址分配是網(wǎng)絡安全和網(wǎng)絡管理的基礎，IP地址管理的好壞直接影響著企業(yè)員工的工作效率及企業(yè)的信息安全。
局域網(wǎng)的IP地址分配，需要考慮到如下方面：

1. 服務器的IP地址段和辦公電腦的IP地址段要區(qū)分開。

2. 手機、pad等移動設備需要自動獲取IP。

3. 無線由于安全性比較低，一般需要用VLAN進行隔離。

4. 每個網(wǎng)段的客戶機數(shù)量不宜過多，有線250以內(nèi)，無線150以內(nèi)比較合理。否則會引起網(wǎng)絡風暴。
   

下面是我總結的企業(yè)局域網(wǎng)IP地址分配方案，希望能對大家有幫助。

現(xiàn)在無線組網(wǎng)越來越普遍，但是不合理的組網(wǎng)方案，往往會導致無線接入緩慢、網(wǎng)絡卡的情況。根據(jù)我們的經(jīng)驗和抓包分析，由于無線設備（包括AP、AC等）在通訊過程會更多的依賴廣播包，非常容易出現(xiàn)廣播風暴。無線網(wǎng)絡的穩(wěn)定運行，請注意如下幾點：

1. 首先要合理的進行AP布局，保證無線信號強度、并且避免無線信號的互相干擾。

2. 合理的VLAN劃分。無線設備的廣播包比較多，非常容易產(chǎn)生廣播風暴。一個VLAN容納的無線設備要控制在200以內(nèi)。

3. 主路由網(wǎng)關的性能要強勁，并且設置上網(wǎng)行為管理策略和流控策略。
   

4. 定期檢測廣播風暴等網(wǎng)絡問題

某企業(yè)由于網(wǎng)絡架設比較早，網(wǎng)絡設備和網(wǎng)絡結構已經(jīng)不再適合當前的網(wǎng)絡需要。為了更好的實現(xiàn)網(wǎng)絡管理和信息安全的需要，提出了如下升級改造需求：

1. 帶寬擴容，采用兩條寬帶接入。
   

2. 內(nèi)網(wǎng)需要劃分不同的VLAN，分為辦公、監(jiān)控、生產(chǎn)幾大網(wǎng)段。

3. 內(nèi)網(wǎng)客戶機需要進行嚴格的IP-MAC綁定，只有綁定后的設備才可以接入。

4. 全網(wǎng)上網(wǎng)行為審計記錄。

5. 部署上網(wǎng)行為管理策略，建立上網(wǎng)秩序。

對于局域網(wǎng)而言，斷網(wǎng)基本上都是災難性的，領導、同事立刻唉聲占道、催個不停。作為一名網(wǎng)絡管理人員，不可避免經(jīng)常會碰到斷網(wǎng)的情況。保持冷靜的頭腦，迅速的定位問題所在，可以說是一個網(wǎng)管必備的基本素養(yǎng)。

本文中，我將介紹幾條dos下的命令，掌握好這幾條命令，一分鐘內(nèi)就可以定位斷網(wǎng)原因。

很多企業(yè)為了解決網(wǎng)速不夠用的問題，都升級了帶寬資源。比如50M升級到100M，或者干脆多拉幾根外線。但是，很多用戶發(fā)現(xiàn)，帶寬升級了但是網(wǎng)絡還是慢。

本文中，我整理了企業(yè)帶寬優(yōu)化的三點要求。帶寬升級后，一定要注意這三點，才能真正的享受帶寬升級帶來的更好寬帶體驗。

隨著互聯(lián)網(wǎng)的飛速發(fā)展，對帶寬的要求也越來越高。一些辦公軟件動輒就需要幾個G，視頻會議、視頻播放等都需要穩(wěn)定的帶寬資源保障；而且員工的辦公和娛樂需要也會占用了大量的帶寬。

這種情況下，不但需要對企業(yè)的帶寬進行升級，而且要對帶寬的使用進行更加合理的分配和管理；才可以有效的提高網(wǎng)速和優(yōu)化帶寬的使用效率。本文中，我將列出我們在網(wǎng)絡升級中需要重點關注的幾點建議，從而真正的達到優(yōu)化帶寬的目的。

1. 多WAN口接入

由于企業(yè)業(yè)務的需要，很多企業(yè)都會申請專線接入。但是專線的費用比較高，如果用專線來提供辦公上網(wǎng)就會非常浪費。所以一般推薦“專線+家庭帶寬“的方式：

1. 一根較小帶寬的專線接入（比如20M專線），用于提供業(yè)務相關的網(wǎng)絡服務。
   

2. 一根較大帶寬的家庭帶寬，用于提供辦公上網(wǎng)。

不合法(私接)的DHCP服務，會使局域網(wǎng)其他客戶機獲取到錯誤的IP地址，從而導致上不了網(wǎng)。為了診斷此問題，WFilter的網(wǎng)絡健康度檢測插件的再次升級添加了"DHCP沖突檢測”的功能。具體步驟如下圖：

本文將介紹如何用WFilter NGF來實現(xiàn)短信認證網(wǎng)關，以及短信平臺的具體實現(xiàn)步驟。

1. 首先要搭建短信Web服務

WFilter NGF的短信發(fā)送通過調(diào)用Web API來實現(xiàn)，支持Web API接口的短信平臺很多（一些短信貓也可以支持Web API）。下文中，我們以阿里云的短信服務為例。首先需要創(chuàng)建AccessKey，如下圖：

ping命令可以說是網(wǎng)絡管理中最常用的一個命令行工具了，利用ping可以非常迅速的診斷出網(wǎng)絡問題。今天，我就來教大家如何用ping來檢測網(wǎng)絡問題。

當網(wǎng)絡緩慢，上不了網(wǎng)時，請按如下步驟來執(zhí)行ping命令：

1. ping內(nèi)網(wǎng)網(wǎng)關

首先要先ping內(nèi)網(wǎng)的網(wǎng)關地址，確保內(nèi)網(wǎng)是暢通的。如下圖：

內(nèi)網(wǎng)的丟包率應該為0，有線ping值一般在1ms以內(nèi)，無線ping值1ms-20ms之間。如果存在丟包或者ping值很高，那么問題就在內(nèi)網(wǎng)。需要排查內(nèi)網(wǎng)網(wǎng)線、環(huán)路、交換機等設備問題。