三层交换机环境的上网行为管理方案

很多局域网采用的是“防火墙/路由--三层交换机--二层交换机”的拓扑结构,而由于三层交换机的配置相对来说比较复杂,在这样的局域网中部署上网行为管理,用户往往会面临如下的一些问题:

  1. 找不到交换机的管理员用户名和口令。
  2. 没有技术人员可以修改交换机的配置。
  3. 没有交换机厂商技术支持。

其实在有三层交换机的网络环境中部署上网行为管理并不困难。在本文中,我将分别介绍“网桥部署”和“网关部署”的两种方案。我们的方案,都尽量避免了对交换机的配置进行修改。

1. 网关部署模式

网关部署模式,简单来说,就是用上网行为管理设备替换掉现有的路由器网关。网络拓扑图如下:

建议采用这样的步骤:

  1. 记录路由器之前的配置信息,主要是:IP,掩码,DNS配置,防火墙配置(端口映射,一对一NAT等),静态路由。
  2. 单独连接WSG上网行为管理网关,把路由器的配置项逐项在WSG网关上进行设置。
  3. 核对配置信息,确保IP、子网掩码、静态路由的正确性。
  4. 等人员下班后,把新设备上线测试。

该方案并不需要修改交换机的配置,即可进行部署。如果之前的网关设备做了很多策略,那么配置会麻烦些。WFilter路由表的配置如图:

2. 网桥部署模式

上面介绍的“网关部署模式”需要替换掉现有的网关设备,而且要把之前的网关配置移植过来。而“网桥部署模式”时,无需替换任何设备,可以直接透明部署。网络拓扑图如下:

请注意:在网桥模式下,“VPN”、“PPPoE认证“、”多线均衡“功能是无法实现的;其他功能和网关模式完全一样。网桥模式的部署步骤如下:

  1. 单独连接"WSG上网行为管理网关",配置网桥的IP、掩码等信息。
  2. 配置网桥到各个VLAN的路由表(下一跳地址指向交换机IP)。
  3. 即可上线测试。

如果网桥地址不可达,你还可以把其他端口设置为管理端口,用于WSG网关设备的配置管理和互联网访问。如图:

综上所述,这两种部署模式,都不需要修改交换机的配置,直接就可以部署上网行为管理。作为专业的上网行为管理方案提供商,我们的WFilter
NGF可以支持”网关模式“和”网桥模式“;另外,还有旁路模式通过镜像端口来实现上网行为管理的”WFilter
ICF上网行为管理软件“,无需串联网络设备,也是一个重要的部署方式。

相关参考:

多VLAN三层交换机如何连接WFilter上网行为管理系统?

上网行为管理部署方案的优缺点分析

时间: 2024-10-11 13:30:49

三层交换机环境的上网行为管理方案的相关文章

基于开源技术的上网行为管理方案实现案例

基于开源技术的上网行为管理方案实现案例 互联网已经成为人们工作.生活过程不可或缺的工具.在企业普遍存在着电脑和互联网络滥用的严重问题,网购.各种直播.电影.P2P工具下载等与工作无关的行为占用了有限的带宽,影响了工作,作为企业如何监管?购买商业软件?我看,未必适合你的公司. 选择开源工具怎么样?下面我为大家介绍两款开源工具及案例.用以实现用户上网内容审计和行为监控.这些技术的基础基于嗅探技术,所以大家在浏览下文时,一定要对网络嗅探技术有深刻理解. 1.开源工具Xplico Xplico工作原理是

小型企业局域网免费上网行为管理方案

对于一个小型的局域网环境(终端数少于50)来说,一个企业级上网行为管理路由器就可以实现基本的上网行为管理功能.当然,路由器的功能比较局限,对于上网内容记录.上网统计.网址库过滤等高级功能,你就需要部署一台专业的上网行为管理来实现了. 本文中,我将介绍少于50客户端的局域网,如何部署一台免费的上网行为管理设备? 首先,安装WFilter NGF并选择"50用户全功能免费版". 你需要一台双网卡的PC机或者x86架构的工控机,安装上WFilter NGF上网行为管理系统,并选择"

小型局域网上网管理方案

这里说的小型局域网主要指企业环境,上网人数21-50人之间的网络环境.这样的企业规模,已经有了初步的部门划分,员工的职能也比较清晰的.网络部署来讲,并不需要太复杂的部署,最普通的路由加最普通的交换机就能把网络架构起来.价格贵的华为,思科,价格低的普联,腾达等等,都能架构.因为对路由本身的要求比较基础,侧重点应该放在上网行为管理上. 对于任何企业网络环境环境来说,性价比非常重要,实用性才是第一.很多上网管理路由的概念性很强,貌似很强大的功能都有,但是21-50的企业环境实践使用,很多功能是用不到的

AD域环境上怎么做上网行为管理?

微软的AD域控方案给企业的信息管理带来了很大的便利.但是由于域控并不能进行上网行为管理,企业的上网行为管理一般还需要专业的上网行为管理产品. 大部分上网行为管理产品都可以提供基于IP和MAC地址进行管理的方案,但是根据MAC地址监控"或者"根据IP地址监控"都有各自的优缺点,如果用户修改IP或者MAC地址,都有可能绕开监管. 为了更好的对上网行为进行管理,WFilter还可以支持"域帐户监控"和"自定义帐户监控". 利用帐户监控功能,您

域环境上网怎么做上网行为管理?

域环境下,怎么对上网管理?域只能用来登陆电脑,管理电脑,那么域账号下的上网如何管理?很多域环境企业给每个员工分配域账号,他们的电脑操作管理到了,那上网行为呢? 在Wfilter上网行为管理软件(Wfilter上网行为管理系统)上配置好域控制器地址,将域账号集成进来. 2. 设置一个封堵策略,根据账户级别(或者员工级别)配置. 3.在"应用对象"中"账号"选择具体的域账号设置. 4.在"策略配置"中选择具体的协议做禁止或者开放,黑白名单设置在&qu

上网行为管理(网络管理)用软件好还是硬件好?

上网行为管理网关.防火墙.路由,不管是硬件还是软件,其基本原理都是一样的.硬件产品其实就是软件包灌到硬件设备里面打包成一个整体设备.而上网行为管理.防火墙和路由的共同点,都是部署在局域网出口的,大部分都基于LINUX系统进行的定制开发.如果是软件方式,安装时需要用一台专门的服务器.所以,产品性能的指标取决于两方面:硬件配置和软件系统.那么产品的选择,主要在这两方面进行优选.以下是一些简单的介绍: 一.从软件内核角度来说,路由系统.防火墙系统.上网行为管理网关系统,都是在LINUX上裁剪开发出来的

上网行为管理软件如何监控客户端方式收发的邮件内容?

客户端邮件是指用邮件客户端来收发邮件. 邮件客户端一般采用SMTP.POP3和IMAP协议,随着SSL加密的广泛应用,后来又发展了SSL加密的邮件收发. 配置客户端时,如果勾选了"此链接需要SSL加密"或者"STARTTLS"的传输方式,都意外着该链接已经被加密.目前,SSL加密邮件已经得到了广泛的应用. 在"WFilter上网行为管理软件"中,无需配置即可监控到不加密的客户端邮件. 1. 在"所有在线"中点击"邮件

怎么结合AD域账户做上网行为管理?

域控制器目前国内用的越来越多了,作用显而易见的,控制电脑权限,文件共享什么的,但是无法控制上网,结合域账号来实现网络监控,这个对域环境的上网管理非常必要.域服务器是不管上网的,电脑登陆需要通过域来登陆获取权限,那么配置了域账号,就知道是局域网里面哪个账号登陆,根据域账号做网络监控,这个管理更加方便概念. 在系统配置--账户监控配置中设置域账户监控 点击"添加",新增一个"域控制器". "保存"后,会自动进入获取域账户界面,选择需要获取的账户. 4

理解Docker(6):若干企业生产环境中的容器网络方案

本系列文章将介绍 Docker的相关知识: (1)Docker 安装及基本用法 (2)Docker 镜像 (3)Docker 容器的隔离性 - 使用 Linux namespace 隔离容器的运行环境 (4)Docker 容器的隔离性 - 使用 cgroups 限制容器使用的资源 (5)Docker 网络 (6)若干企业生产环境中的容器网络方案 Docker 在早期只有单机上的网络解决方案,在 1.19 版本引入了原生的 overlay 网络解决方案,但是它的性能损耗较大,可能无法适应一些生产环