某企业由于网络架设比较早,网络设备和网络结构已经不再适合当前的网络需要。为了更好的实现网络管理和信息安全的需要,提出了如下升级改造需求:
带宽扩容,采用两条宽带接入。
内网需要划分不同的VLAN,分为办公、监控、生产几大网段。
内网客户机需要进行严格的IP-MAC绑定,只有绑定后的设备才可以接入。
全网上网行为审计记录。
部署上网行为管理策略,建立上网秩序。
1. 方案设计
综合考虑各项改造需求,我们提出了如下的解决方案:
1). 采用一台WSG-XE上网行为管理设备,做多线接入。
2). 在WSG设备上设置基于端口的VLAN,每个端口一个VLAN,接到相应的二层交换机。
3). 启用IP-MAC绑定,未绑定的mac地址不分配IP,并且禁止上网。
4). 全时段记录上网内容。
5). 配置“应用过滤”和“网页过滤”,上班时段禁止在线视频、下载等行为。
6). 对生产和办公网段进行限速,避免单IP占用大量带宽的情况。
网络拓扑图如下:
WSG-XE:
2. 相关功能
2.1 VLAN划分
办公、生产、监控分为不同的VLAN,互不影响。
配置分流策略,使监控组走单独的外线。
2.2 IP-mac绑定
对内网的所有客户机配置IP-MAC绑定,未绑定的mac地址一律禁止上网。
2.3 上网内容审计
利用WFilter的上网记录模块,可以记录全网的网页浏览、发帖、文件传输、QQ号、FTP/Telnet命令、邮件内容等信息。
2.4 上网行为管理
通过配置上网行为管理策略,禁止上班时间段内容视频、下载等行为,提高工作效率,节省带宽资源。
2.6 带宽限制
给办公网段、生产网段的客户机进行一定的限速,避免出现某些用户占用大量带宽的情况。
