为了进一步管理公司的网络, 以及加强公司的网络使用行为进行有效的管理。
公司上线了深信服行为管理设备。在几次电话催促以后, 设备终于在某个工作日达到了公司的警卫处, 我自取了设备, 比起台式机箱要轻些, 比起手提电脑要重些,比较轻松就提到了机房。
行为管理设备的上线, 首先要了解公司的网络架构, 很多中小企业的网络都比较适合使用这样的设备,一般会有路由模式, 旁路模式, 桥接模式, 看着这些名词,大家都会知道, 路由模式会增加路由条目, 会改变整个网络的结构,对很多应用,客户端等都会有影响。 旁路模式是利用交换机的镜像接口, 去抓取数据, 只能审计,不能进行策略过滤, 桥接模式, 一般是把设备串接到二层交换机和三层设备上, 做成透明网桥的模式, 你可以直接把它认为是一条网线。这种模式是不会改变网络结构的。 当然, 设备考虑到公司的一些复杂情况, 还会有一些特殊功能, 比如支持多条WLAN线路, 以及支持HSRP。这些可以具体问题, 具体分析和选择。
首先设备上架, 在机柜预留1U的机架空间, 一般可以根据网络设备层次, 介于三层和二层之间。
固定好设备, 上号螺丝, 确认设备已经牢固以后, 就可以开始通电,开机, 配置设备了。
设备的配置, 可以先登录以太口, 参照设备说明书。面板接口介绍。设备会有通用的管理员账号和密码,登录到管理界面。
首先要完成接口的配置, 定义网桥的管理IP, 以及定义内网和外网接口的流向。在设定网桥管理IP时候, 需要注意有些启用了VLAN 管理,VLAN接口的IP可能跟内网的ip地址是不一样的, 需要注意保证通网段,以及网络的连通性。
设备接口定义好以后, 可以继续配置为网桥模式, 可以根据设备的提示,进行按向导设置。
配置完基本设置以后, 可以切换网络了, 三层设备窜 管理设备 下接到二层设备上。
线路切换以后,首先要测试一下网络是否是正常能访问外网。
然后, 在是对设备的进行审计管理, 行为管理策略配置了。
审计开启, 主要可以对内网的所有的使用行为, 数据流量, 进行记录, 以便在数据中心中可以查到需要的报表。
行为管理设备的策略, 需要根据公司的IT管理策略,进行配置, 一般很多情况下, 视频,P2P下载, 购物网站等都会被禁止掉;
通讯软件的, QQ, MSN等设备,有需要的也被禁用。
策略的配置,比较简单, 直接在相应的行为策略下, 按照设置要求一步一步配置,就可以。
注意, 时间策略, 用户组别的建立,, 相应的策略的动作, 拒绝,记录等。
这样就配置差不多了, 可是奇怪事情发生了, 试用了一段时间,老会出现掉线, 网络中断的情况。
后来通过厂商客户,电话咨询,找了问题所在, 公司员工的网络行为是不固定,无规律的,这样就会出现某个时间段, 用户的流量特别高, 某个时间段又比较少。
在高峰流量时候, 设备的CPU, 内存的使用率都是90%以上, 甚至会直接到达100%
为了防止这样情况出现, 需要对线路的流量做优化, 具体可以根据公司的带宽, 注意换算100M/8
得到换算后的带宽流量后, 可以对线路带宽进行限制。 一般设备里面还会有已经设定要的优化模式, 比如对邮件的流量会限定出充足的带宽,优先转发。
在做完设定以后, 网络掉线的情况基本不会再出现。在设备基本运行正常的基础上, 我们可以定期的观察网络的状态, 以便观察到网络的使用情况, 针对不同的情况, 可以调整对应的策略。
很多外资企业会比较注重个人的隐私, 因此在导出报表, 报告的时候也需要考虑到个人隐私问题。
报告只针对整体的网络使用情况, 不需要针对个人。
转载于:https://blog.51cto.com/2660957/1277037
