深信服设备上线配置记录
为了进一步管理公司的网络, 以及加强公司的网络使用行为进行有效的管理。
公司上线了深信服行为管理设备。在几次电话催促以后, 设备终于在某个工作日达到了公司的警卫处, 我自取了设备, 比起台式机箱要轻些, 比起手提电脑要重些,比较轻松就提到了机房。
行为管理设备的上线, 首先要了解公司的网络架构, 很多中小企业的网络都比较适合使用这样的设备,一般会有路由模式, 旁路模式, 桥接模式, 看着这些名词,大家都会知道, 路由模式会增加路由条目, 会改变整个网络的结构,对很多应用,客户端等都会有影响。 旁路模式是利用交换机的镜像接口, 去抓取数据, 只能审计,不能进行策略过滤, 桥接模式, 一般是把设备串接到二层交换机和三层设备上, 做成透明网桥的模式, 你可以直接把它认为是一条网线。这种模式是不会改变网络结构的。 当然, 设备考虑到公司的一些复杂情况, 还会有一些特殊功能, 比如支持多条WLAN线路, 以及支持HSRP。这些可以具体问题, 具体分析和选择。
首先设备上架, 在机柜预留1U的机架空间, 一般可以根据网络设备层次, 介于三层和二层之间。
固定好设备, 上号螺丝, 确认设备已经牢固以后, 就可以开始通电,开机, 配置设备了。
设备的配置, 可以先登录以太口, 参照设备说明书。面板接口介绍。设备会有通用的管理员账号和密码,登录到管理界面。
首先要完成接口的配置, 定义网桥的管理IP, 以及定义内网和外网接口的流向。在设定网桥管理IP时候, 需要注意有些启用了VLAN 管理,VLAN接口的IP可能跟内网的ip地址是不一样的, 需要注意保证通网段,以及网络的连通性。
设备接口定义好以后, 可以继续配置为网桥模式, 可以根据设备的提示,进行按向导设置。
配置完基本设置以后, 可以切换网络了, 三层设备窜 管理设备 下接到二层设备上。
线路切换以后,首先要测试一下网络是否是正常能访问外网。
然后, 在是对设备的进行审计管理, 行为管理策略配置了。
审计开启, 主要可以对内网的所有的使用行为, 数据流量, 进行记录, 以便在数据中心中可以查到需要的报表。
行为管理设备的策略, 需要根据公司的IT管理策略,进行配置, 一般很多情况下, 视频,P2P下载, 购物网站等都会被禁止掉;
通讯软件的, QQ, MSN等设备,有需要的也被禁用。
策略的配置,比较简单, 直接在相应的行为策略下, 按照设置要求一步一步配置,就可以。
注意, 时间策略, 用户组别的建立,, 相应的策略的动作, 拒绝,记录等。
这样就配置差不多了, 可是奇怪事情发生了, 试用了一段时间,老会出现掉线, 网络中断的情况。
后来通过厂商客户,电话咨询,找了问题所在, 公司员工的网络行为是不固定,无规律的,这样就会出现某个时间段, 用户的流量特别高, 某个时间段又比较少。
在高峰流量时候, 设备的CPU, 内存的使用率都是90%以上, 甚至会直接到达100%
为了防止这样情况出现, 需要对线路的流量做优化, 具体可以根据公司的带宽, 注意换算100M/8
得到换算后的带宽流量后, 可以对线路带宽进行限制。 一般设备里面还会有已经设定要的优化模式, 比如对邮件的流量会限定出充足的带宽,优先转发。
在做完设定以后, 网络掉线的情况基本不会再出现。在设备基本运行正常的基础上, 我们可以定期的观察网络的状态, 以便观察到网络的使用情况, 针对不同的情况, 可以调整对应的策略。
很多外资企业会比较注重个人的隐私, 因此在导出报表, 报告的时候也需要考虑到个人隐私问题。
报告只针对整体的网络使用情况, 不需要针对个人。