笨驴信息(IMFirewall)博客

划分VLAN一般出于如下几个目的：

1. 把内网划分为不同的网段，可以提高内网安全性，而且更加便于管理。比如：有线和无线处于不同的网段，不允许无线设备访问企业内网，这样可以保护内部信息安全；而且可以对不同网段配置不同的上网策略和流控策略。

2. 分割广播域，避免广播风暴。广播风暴这个现象，在无线时代更加突出，AP设备的发现、管理等操作都会产生广播包。

那么，什么情况下需要划分VLAN呢？主要考虑以下几点：

为了管理和安全需要，很多局域网都要求固定IP，每个设备的IP地址和mac地址都登记在案，结合IP-mac绑定，从而使上网记录、病毒攻击都有据可查，并且可以迅速定位到个人。但是和自动获取IP地址比较，固定IP也有一些弊端：

1. 配置较复杂，一些非技术人员不懂也不会配置IP地址。需要网管人员全局维护。
   

2. 固定IP地址列表需要维护。人员离职、电脑报废后，IP地址如果没有及时回收，会导致IP地址不够用。

本文我将结合WFilter（WSG网关）的IP-mac绑定功能，介绍如何分配、管理和回收IP地址。

2018俄罗斯世界杯大幕拉开，世界杯期间球迷们将通过各种途径观看世界杯。互联网作为世界杯的主要承载媒体，也使得我们的网络感受到了前所未有的压力。对于各类企事业单位来说，首要保障公司业务所需的带宽资源，同时也要人性化的满足世界杯的激情需要。

因此在世界杯期间，无论是门户网站、运营商或是企事业单位，都需要解决带宽分配和流量管理的问题。既让客户和员工可以观看世界杯，同时又要让企业的网络带宽不被抢占，关键应用的质量不受影响。

在大部分公司，客人用的WiFi和员工用的WiFi都是分开的。从理论上来说，这样有利于局域网的信息安全。但是有些员工缺乏安全意识，会有意无意的泄漏办公WiFi的密码，甚至公开张贴WiFi密码，再加上一些共享WiFi密码的app；实际上你自认为安全的办公WiFi密码实际上并不安全。

一旦来宾、其他人员接入了公司WiFi，就可以直接访问到企业内网，这时候勒索病毒、黑客入侵就已经离你不远了。所以，企业在提供WiFi时，安全是头等大事，绝对不容忽视。

本文，我们将探讨如何禁止客人wifi访问到公司内部的局域网？具体方案如下：

现在大部分局域网都提供了无线上网的功能。无线主要用于满足以下几种需求：

1. 无线办公的需要，比如无线pos机等办公设备。
   

2. 员工无线上网的需要。

3. 来宾、客人的无线上网。

这样就带来了相关的安全性问题：

1. 来宾有可能通过无线接入到企业内网，导致安全隐患。

2. 员工有可能通过来宾的无线网络上网，从而绕开公司的行为管理策略，影响工作效率。

目前大部分解决方案都是来宾网络和内部无线网络使用不同的无线SSID和密码。但是实际上这个方案存在很大的漏洞：密码泄漏。来宾可以直接询问到内网的无线密码，甚至很多无线密码都是公开张贴的。而企业员工更是可以直接通过来宾网络上网。

本文将结合WFilter NGF的相关功能，来介绍更进阶的解决方案。

这里说的路由，是千元以上的路由，一千块以下的就不谈的。现在很多企业路由，都说有这样的功能，

IP-MAC绑定是很多路由，网关的一个常见功能，主要用来绑定局域网终端的IP地址，防止终端随便修改IP，导致网内IP地址冲突，而导致网络歇火。先来说IP-MAC绑定的原理分两个部分：前部分，所谓绑定，就是让这台电脑的MAC始终获取同一个ip地址或者指定ip，这个做到很容易，很多路由都号称有这样功能称之IP-MAC绑定。但是做到这一步，没啥意义，因为上网终端一旦修改了IP，照样可以上网，照样IP冲突，真正夯实IP-MAC绑定的是后半部分，这个上网行为管理才可以做到（核心交换机也能做到，但是配置很麻烦费事）要有上网数据，通过行为管理来检测这个这个MAC是不是一直都是获取的这个IP，一旦不是获取的这个IP或者IP被擅自修改了，就会让MAC断网。或者一旦有新的没有登记再案的终端进来（电脑，路由或者手机）进来，即使插上，也无法上网

DHCP服务用于给局域网的客户机分配IP地址，从而实现统一的IP地址管理，可以有效简化配置过程，并且防止IP冲突等异常。但是有时候我们也会发现电脑获取不到IP的情况。这时候该怎么诊断呢？分两种情况：

1. 所有的电脑都获取不到IP，基本可以判断是DHCP服务出了问题，一般需要检查和重启DHCP。
   

2. 只有个别电脑获取不到IP，首先要排除网线接触问题和系统问题。

实际工作中发现，即使网线和系统都不存在问题时，有时候也会获取不到IP。这个情况是怎么产生的呢？请继续往下看。

IP地址冲突是网络管理的一个常见问题。尤其在企业局域网内部，由于管控策略的存在，总会有人试图通过修改IP地址来绕开管控、获取更多的上网权限以及更高的带宽。修改的IP一旦和公司的服务器发送IP冲突，会直接影响到办公和业务的正常运行。IP冲突的危害如下：

1. 绕开行为管理策略和流控策略的管控。
   

2. 导致被冲突的客户机断网。
   

3. 和服务器IP冲突会影响业务的正常运行。

4. 难以定位，使网络管理混乱无序。

微信WiFi的默认流程，已经从最初的“关注公众号”变成了目前的“打开公众号”。应该说，“打开公众号但是不强制关注“其实是一个更加人性化的做法；因为任何诱导/强制关注，都会影响最终用户的体验和公正性原则；长远来看会影响公众号的发展。微信WiFi如下图：

在手机上网占多大流量？WiFi要不要进行限速？这篇文章中，我们介绍了WiFi速度慢的一个重要原因：后台应用的大量带宽占用。如下图：即使在没有任何app运行的情况下，后台应用仍然会占用大量的带宽。

很多企业、公共场所都会给员工或者顾客提供WiFi服务，但是网管人员很快会发现大部分人都会抱怨WiFi速度太慢没法用，明明是100M的专线，速度却和拨号速度差不多。这究竟是什么原因呢？今天我们就从网络应用的角度来分析下，手机上网究竟需要多大的流量。

无线的速度，还取决于无线AP的信号强度、信道干扰、带机量等因素，这些方面已经有大量的技术文章，我们就不再赘述，本文主要着重从网络应用的角度来解释无线带宽的占用问题。

如下图，这是一台普通的华为安卓手机，已经清理掉所有的app。

WFilter NGF的“Web认证”模块，提供了一系列的上网认证解决方案。包括如下认证方式：

1. 本地用户名密码认证
   

2. AD域用户名密码认证

3. 企业邮箱用户名密码认证

4. Radius用户名密码认证

5. 微信WiFi认证

6. Facebook Wifi认证

除此，WFilter NGF还有一个“其他”的选项，利用这个选项，你可以扩展更多的用户认证方式，比如“短信认证”，使用者必须输入自己的手机号码，获取验证短信后输入才可以上网。如图：

相对于固定IP而言，自动获取IP（DHCP）更加方便，而且不会导致IP地址冲突。但是对于局域网网络管理而言，IP地址不固定就无法实现有效的管控。作为专业的上网行为管理厂家，WFilter系列上网行为管理产品针对该情况可以提供两种解决方案：

1. 先进行IP-mac地址绑定，然后基于IP地址管控。

2. 直接基于MAC地址进行管控。
   

以WFilter NGF（WSG网关）为例，具体配置介绍如下：

分支结构和总部之间的数据通讯现在一般都通过VPN线路来实现，如果总部只有一条VPN线路，那么当总部线路故障时，就会导致分支机构数据无法上传，影响正常的办公需要。其解决办法，一般是通过多条VPN线路的方式，来实现VPN线路备份，一条线路不通时，会自动切换到另外一条线路，从而实现不间断的VPN连接。

本文将介绍用WFilter NGF中的Open VPN（SSL VPN）组建site-to-site VPN，并且实现高可用性的VPN线路备份。

支持远程拨入的VPN技术，使员工在出差、下班时可以连接到公司的局域网处理工作，给工作带来了很大的便利。所以现在很多公司都支持VPN远程拨入。本文将简单介绍VPN的几种组建方式，以及相关的安全问题。如果您需要创建site-to-site的VPN，请参考：Ipsec VPN

1. PPTP VPN

PPTP（Point to Point Tunneling Protocol），即点对点隧道协议。该协议是在PPP协议的基础上开发的一种新的增强型安全协议，支持多协议虚拟专用网（VPN），可以通过密码验证协议（PAP）、可扩展认证协议（EAP）等方法增强安全性。可以使远程用户通过拨入ISP、通过直接连接Internet或其他网络安全地访问企业网。

VLAN可以把网络划分成多个广播域，可以有效的控制广播风暴，还可以控制网络中不同部门和网段之间的互相访问。如果您已经有了三层交换机，可以直接在三层交换机上划分VLAN，请参阅：多VLAN三层交换机如何连接WFilter上网行为管理系统？

在没有三层交换机的环境下，您可以直接用WFilter NGF（WSG网关）来划分VLAN。支持两种VLAN的划分方式：

1. 基于端口的VLAN划分。每个端口一个VLAN接二层交换机。
   

2. 802.1Q VLAN（单臂路由）。和交换机的trunk口连接，通过一个端口实现多个VLAN的封装。

本文将介绍这两种方式如何配置。

很多企业为了数据的安全，需要对外发文件进行管控。而手机、usb存储的广泛使用，使得外发文件的管控非常难以实现。在本文中，我将抛砖引玉，探讨外发文件管控的几种方式。外发文件的管控，需要考虑如下几个方面：

• 屏蔽通过网络外发文件

• 屏蔽蓝牙、usb等外设外发文件
  

• 文件加密
  

对于局域网信息安全来说，首要的一点就是接入认证，缺少接入认证，那内网安全完全无从谈起。而在接入认证中，“Web Portal认证”是目前应用最为广泛的一种方式。那么，今天我们来看看WFilter的“Web认证”提供哪些认证解决方案。

首先，WFilter NGF的“Web认证”包括两个部分：

1. 用户名认证：基于用户名口令的认证方案
   

2. 营销认证：主要是微信WiFi（国内）和Facebook WiFi（国外）。

现在的便携式路由器非常的小巧轻便，而且即插即用，很受大家的喜爱。

但是，对于局域网的网管人员来说，这个小东西造成的危害可不小，比如：

有这么一个app，很多人沉溺其中，但是你会发现随随便便刷几个小时的短视频，你就会收到短信提示“您本月的流量已经用完”。即使你用wifi网络，网管同学们也会发现最近公司的带宽完全不够用啊。这就是抖音短视频，称之为流量杀手绝对不过分。

今天，我就来实际测试下，看一个抖音究竟要耗费多大的带宽。“测试手机：iphone 7 plus，抓包工具wireshark，网关：WSG-500E上网行为管理”。

如图所示，我用iphone7 plus刷了3个抖音视频，耗时30秒左右。平均带宽占用高达766Kbyte，也就是6Mbps。

局域网网络慢，一般存在如下可能：

1. 内网ARP欺骗攻击。
   

2. 内网病毒攻击。

3. 交换机、路由器硬件故障。

4. 网线接触不良、网线老化。
   

5. 广播风暴、网络环路。

以上这些问题，即使是一个有经验的网管，需要组合ping、arp、tracert等多条命令进行测试分析，才可以逐步排查出来。有时还需要用抓包工具来抓包分析。为了简化网管人员的工作，我们的WFilter软件（WSG网关）中，都集成了一个实用性很强的插件“网络健康度检测”。以上问题一键就可以检测出来。如下图：

腾讯游戏是腾讯四大网络平台之一,是全球领先的游戏开发和运营机构,也是国内最大的网络游戏社区。但是，很多青少年沉迷游戏，不但影响工作和学习，还会伤害身体、滋生犯罪。

本文中，我将演示如何用WSG上网行为管理网关来屏蔽腾讯游戏的登录。根据腾讯游戏登录协议介绍，腾讯游戏的登录主要是http方式，需要连接

抖音现在实在是太火了，办公室一个个都忙着刷抖音，哈哈大笑者有之，忍俊不禁者有之...，可这带宽占用可也不小啊。一个人看抖音的实时带宽可以达到5Mbps，十几个人一起刷就可以把百兆带宽给用完了。而且手指一刷就换到下一个视频，随便刷刷就几G的流量。如图：

上班时间刷刷朋友圈，一眨眼半小时就过去了。不但会影响工作效率，而且朋友圈的视频会占用大量的带宽。所以对企业管理人员来说，很多时候需要禁止员工在工作时段刷朋友圈。但是行政手段要和技术手段配合，才可以发挥真正的作用。

本文将介绍如何用WFilter NGF（WSG网关）来禁止朋友圈的视频。

首先，应该设置什么样的管理制度？