為了進一步管理公司的網絡, 以及加強公司的網絡使用行為進行有效的管理。
公司上線了深信服行為管理裝置。在幾次電話催促以後, 裝置終于在某個工作日達到了公司的警衛處, 我自取了裝置, 比起桌上型電腦箱要輕些, 比起手提電腦要重些,比較輕松就提到了機房。
行為管理裝置的上線, 首先要了解公司的網絡架構, 很多中小企業的網絡都比較适合使用這樣的裝置,一般會有路由模式, 旁路模式, 橋接模式, 看着這些名詞,大家都會知道, 路由模式會增加路由條目, 會改變整個網絡的結構,對很多應用,用戶端等都會有影響。 旁路模式是利用交換機的鏡像接口, 去抓取資料, 隻能審計,不能進行政策過濾, 橋接模式, 一般是把裝置串接到二層交換機和三層裝置上, 做成透明網橋的模式, 你可以直接把它認為是一條網線。這種模式是不會改變網絡結構的。 當然, 裝置考慮到公司的一些複雜情況, 還會有一些特殊功能, 比如支援多條WLAN線路, 以及支援HSRP。這些可以具體問題, 具體分析和選擇。
首先裝置上架, 在機櫃預留1U的機架空間, 一般可以根據網絡裝置層次, 介于三層和二層之間。
固定好裝置, 上号螺絲, 确認裝置已經牢固以後, 就可以開始通電,開機, 配置裝置了。
裝置的配置, 可以先登入以太口, 參照裝置說明書。面闆接口介紹。裝置會有通用的管理者賬号和密碼,登入到管理界面。
首先要完成接口的配置, 定義網橋的管理IP, 以及定義内網和外網接口的流向。在設定網橋管理IP時候, 需要注意有些啟用了VLAN 管理,VLAN接口的IP可能跟内網的ip位址是不一樣的, 需要注意保證通網段,以及網絡的連通性。
裝置接口定義好以後, 可以繼續配置為網橋模式, 可以根據裝置的提示,進行按向導設定。
配置完基本設定以後, 可以切換網絡了, 三層裝置竄 管理裝置 下接到二層裝置上。
線路切換以後,首先要測試一下網絡是否是正常能通路外網。
然後, 在是對裝置的進行審計管理, 行為管理政策配置了。
審計開啟, 主要可以對内網的所有的使用行為, 資料流量, 進行記錄, 以便在資料中心中可以查到需要的報表。
行為管理裝置的政策, 需要根據公司的IT管理政策,進行配置, 一般很多情況下, 視訊,P2P下載下傳, 購物網站等都會被禁止掉;
通訊軟體的, QQ, MSN等裝置,有需要的也被禁用。
政策的配置,比較簡單, 直接在相應的行為政策下, 按照設定要求一步一步配置,就可以。
注意, 時間政策, 使用者組别的建立,, 相應的政策的動作, 拒絕,記錄等。
這樣就配置差不多了, 可是奇怪事情發生了, 試用了一段時間,老會出現掉線, 網絡中斷的情況。
後來通過廠商客戶,電話咨詢,找了問題所在, 公司員工的網絡行為是不固定,無規律的,這樣就會出現某個時間段, 使用者的流量特别高, 某個時間段又比較少。
在高峰流量時候, 裝置的CPU, 記憶體的使用率都是90%以上, 甚至會直接到達100%
為了防止這樣情況出現, 需要對線路的流量做優化, 具體可以根據公司的帶寬, 注意換算100M/8
得到換算後的帶寬流量後, 可以對線路帶寬進行限制。 一般裝置裡面還會有已經設定要的優化模式, 比如對郵件的流量會限定出充足的帶寬,優先轉發。
在做完設定以後, 網絡掉線的情況基本不會再出現。在裝置基本運作正常的基礎上, 我們可以定期的觀察網絡的狀态, 以便觀察到網絡的使用情況, 針對不同的情況, 可以調整對應的政策。
很多外資企業會比較注重個人的隐私, 是以在導出報表, 報告的時候也需要考慮到個人隐私問題。
報告隻針對整體的網絡使用情況, 不需要針對個人。