深信服裝置上線配置記錄

為了進一步管理公司的網絡， 以及加強公司的網絡使用行為進行有效的管理。

公司上線了深信服行為管理裝置。在幾次電話催促以後， 裝置終于在某個工作日達到了公司的警衛處， 我自取了裝置， 比起桌上型電腦箱要輕些， 比起手提電腦要重些，比較輕松就提到了機房。

行為管理裝置的上線， 首先要了解公司的網絡架構， 很多中小企業的網絡都比較适合使用這樣的裝置，一般會有路由模式， 旁路模式， 橋接模式， 看着這些名詞，大家都會知道， 路由模式會增加路由條目， 會改變整個網絡的結構，對很多應用，用戶端等都會有影響。 旁路模式是利用交換機的鏡像接口， 去抓取資料， 隻能審計，不能進行政策過濾， 橋接模式， 一般是把裝置串接到二層交換機和三層裝置上， 做成透明網橋的模式， 你可以直接把它認為是一條網線。這種模式是不會改變網絡結構的。 當然， 裝置考慮到公司的一些複雜情況， 還會有一些特殊功能， 比如支援多條WLAN線路， 以及支援HSRP。這些可以具體問題， 具體分析和選擇。

首先裝置上架， 在機櫃預留1U的機架空間， 一般可以根據網絡裝置層次， 介于三層和二層之間。

固定好裝置， 上号螺絲， 确認裝置已經牢固以後， 就可以開始通電，開機， 配置裝置了。

裝置的配置， 可以先登入以太口， 參照裝置說明書。面闆接口介紹。裝置會有通用的管理者賬号和密碼，登入到管理界面。

首先要完成接口的配置， 定義網橋的管理IP， 以及定義内網和外網接口的流向。在設定網橋管理IP時候， 需要注意有些啟用了VLAN 管理，VLAN接口的IP可能跟内網的ip位址是不一樣的， 需要注意保證通網段，以及網絡的連通性。 

裝置接口定義好以後， 可以繼續配置為網橋模式， 可以根據裝置的提示，進行按向導設定。

配置完基本設定以後， 可以切換網絡了， 三層裝置竄 管理裝置 下接到二層裝置上。

線路切換以後，首先要測試一下網絡是否是正常能通路外網。

然後， 在是對裝置的進行審計管理， 行為管理政策配置了。

審計開啟， 主要可以對内網的所有的使用行為， 資料流量， 進行記錄， 以便在資料中心中可以查到需要的報表。

行為管理裝置的政策， 需要根據公司的IT管理政策，進行配置， 一般很多情況下， 視訊，P2P下載下傳， 購物網站等都會被禁止掉； 

通訊軟體的， QQ， MSN等裝置，有需要的也被禁用。

政策的配置，比較簡單， 直接在相應的行為政策下， 按照設定要求一步一步配置，就可以。

注意， 時間政策， 使用者組别的建立，， 相應的政策的動作， 拒絕，記錄等。

這樣就配置差不多了， 可是奇怪事情發生了， 試用了一段時間，老會出現掉線， 網絡中斷的情況。

後來通過廠商客戶，電話咨詢，找了問題所在， 公司員工的網絡行為是不固定，無規律的，這樣就會出現某個時間段， 使用者的流量特别高， 某個時間段又比較少。 

在高峰流量時候， 裝置的CPU， 記憶體的使用率都是90%以上， 甚至會直接到達100% 

為了防止這樣情況出現， 需要對線路的流量做優化， 具體可以根據公司的帶寬， 注意換算100M/8

得到換算後的帶寬流量後， 可以對線路帶寬進行限制。 一般裝置裡面還會有已經設定要的優化模式， 比如對郵件的流量會限定出充足的帶寬，優先轉發。

在做完設定以後， 網絡掉線的情況基本不會再出現。在裝置基本運作正常的基礎上， 我們可以定期的觀察網絡的狀态， 以便觀察到網絡的使用情況， 針對不同的情況， 可以調整對應的政策。 

很多外資企業會比較注重個人的隐私， 是以在導出報表， 報告的時候也需要考慮到個人隐私問題。

報告隻針對整體的網絡使用情況， 不需要針對個人。