當(dāng)你有多臺(tái)WSG時(shí)，你可能會(huì)想把上網(wǎng)日志和統(tǒng)計(jì)數(shù)據(jù)集中保存和管理。集中保存可以保存更長(zhǎng)日期的歷史數(shù)據(jù)，也更加便于管理。本文中，我將介紹如何搭建WSG數(shù)據(jù)中心管理系統(tǒng)來(lái)實(shí)現(xiàn)數(shù)據(jù)的集中存儲(chǔ)管理。

1. WSG數(shù)據(jù)中心的搭建

WSG數(shù)據(jù)中心安裝在一臺(tái)windows電腦上，該系統(tǒng)的搭建需要安裝以下產(chǎn)品：

1. SQL Server數(shù)據(jù)庫(kù)，所有的日志數(shù)據(jù)都會(huì)被導(dǎo)入到SQL Server數(shù)據(jù)庫(kù)中。

2. FTP服務(wù)器，用于提供FTP上傳服務(wù)。

3. WFilterDC（WFilter數(shù)據(jù)中心管理系統(tǒng)），該系統(tǒng)可以導(dǎo)入數(shù)據(jù)并且提供查詢(xún)和統(tǒng)計(jì)等功能。

相對(duì)于二層交換機(jī)的網(wǎng)絡(luò)環(huán)境，在三層交換機(jī)環(huán)境下部署上網(wǎng)行為管理的步驟要復(fù)雜一些，差別主要在“靜態(tài)路由”和“MAC地址收集器”，還有上層防火墻的一些安全策略的影響。在本文中，我將結(jié)合一次實(shí)際的安裝經(jīng)歷，介紹三層環(huán)境下用網(wǎng)橋模式部署WSG上網(wǎng)行為管理的一些常見(jiàn)問(wèn)題。

1. 配置并部署網(wǎng)橋

本例中，網(wǎng)關(guān)是華為USG防火墻172.16.200.253，三層交換機(jī)是172.16.200.254，子網(wǎng)掩碼都是255.255.255.0。既然200段IP是足夠的，所以我就直接把管理口設(shè)置在網(wǎng)橋上面，把WSG的IP設(shè)置為172.16.200.252，網(wǎng)關(guān)地址和DNS是防火墻的IP地址172.16.200.253。

很多網(wǎng)絡(luò)環(huán)境目前都采用光纖的連接方式，比如主交換機(jī)到其他樓層交換機(jī)采用光口連接，再?gòu)臉菍咏粨Q機(jī)的RJ45電口連接到其他網(wǎng)絡(luò)設(shè)備。這種網(wǎng)絡(luò)環(huán)境中，很多情況下都采用透明網(wǎng)橋的方式部署上網(wǎng)行為管理。本文中，我將介紹如何把上網(wǎng)行為管理的透明網(wǎng)橋串接到光口交換機(jī)和電口交換機(jī)中間。主要有如下兩種方式：

1. 采用支持光口的上網(wǎng)行為管理設(shè)備

如下圖，以WSG-500E為例，該型號(hào)有6個(gè)千兆電口和2個(gè)千兆光口，可以把網(wǎng)橋創(chuàng)建在一個(gè)光口和一個(gè)電口上。光口接上層的匯聚交換機(jī)，電口接下面的二層交換機(jī)。

利用“擴(kuò)展插件”中的“NGF配置同步插件”可以同步多臺(tái)WFilter NGF（WSG硬件）的相關(guān)配置，這個(gè)功能在管理維護(hù)多臺(tái)WSG設(shè)備時(shí)非常實(shí)用。在本文中，我將結(jié)合WSG上網(wǎng)行為管理網(wǎng)關(guān)來(lái)介紹“NGF配置同步插件”的使用步驟。

1. 準(zhǔn)備工作

1. 首先要有一臺(tái)WSG作為服務(wù)端，其他做為客戶(hù)端。服務(wù)端可以直接把配置推送給客戶(hù)端，也可以等客戶(hù)端主動(dòng)來(lái)進(jìn)行同步。
   

2. 多臺(tái)WSG之間通過(guò)Web來(lái)同步配置，所以要確保服務(wù)端和客戶(hù)端之間的Web連接可達(dá)。（在服務(wù)端可以訪(fǎng)問(wèn)客戶(hù)端的web，或者客戶(hù)端可以訪(fǎng)問(wèn)服務(wù)端的web）

3. 創(chuàng)建同步用戶(hù)。每臺(tái)WSG都應(yīng)當(dāng)建一個(gè)用戶(hù)名密碼一樣的操作員用于進(jìn)行同步操作。

4. 下載“NGF配置同步插件”，并且進(jìn)行配置。

二級(jí)路由器默認(rèn)都啟用了網(wǎng)絡(luò)地址轉(zhuǎn)換，會(huì)把客戶(hù)機(jī)的IP地址和mac地址都轉(zhuǎn)換成路由器的IP和mac。這樣從上層的行為管理來(lái)看，只能看到路由器的IP地址。要區(qū)分二級(jí)路由下面的終端，必須把二級(jí)路由器改成AP模式（也就是無(wú)線(xiàn)交換機(jī)模式）。

在WSG上網(wǎng)行為管理網(wǎng)關(guān)的初步設(shè)置詳細(xì)教程中，我們介紹了WSG上網(wǎng)行為管理網(wǎng)關(guān)的初步設(shè)置，該文檔中，我們采用了網(wǎng)關(guān)部署的方式。在實(shí)際使用中，網(wǎng)橋部署方式也極為常見(jiàn)；用網(wǎng)橋的方式來(lái)部署WSG上網(wǎng)行為管理，是完全透明部署，不需要修改現(xiàn)有的網(wǎng)絡(luò)參數(shù)，也不需要更改路由器和交換機(jī)的配置。網(wǎng)絡(luò)拓?fù)鋱D如下：

網(wǎng)橋部署有如下優(yōu)點(diǎn)：

• 不需要修改現(xiàn)有的網(wǎng)絡(luò)設(shè)置。

• 無(wú)需斷網(wǎng)，即插即用。

• 功能一樣強(qiáng)大：上網(wǎng)行為記錄、行為管理、流控都可以實(shí)現(xiàn)。

• 硬件bypass（要看具體型號(hào)），即使網(wǎng)橋設(shè)備掉電，也可以保證不斷網(wǎng)。
  

1. 網(wǎng)橋部署的準(zhǔn)備工作

首先需要給WSG設(shè)備分配一個(gè)靜態(tài)IP地址。該IP用于遠(yuǎn)程訪(fǎng)問(wèn)WSG設(shè)備，進(jìn)行Web認(rèn)證等遠(yuǎn)程訪(fǎng)問(wèn)操作。需要注意如下幾點(diǎn)：

來(lái)賓用戶(hù)、流動(dòng)人員比較多的局域網(wǎng)，如果不對(duì)來(lái)賓上網(wǎng)進(jìn)行管控，不但會(huì)占用企業(yè)帶寬資源，還會(huì)帶來(lái)安全隱患和政策風(fēng)險(xiǎn)。對(duì)于企業(yè)環(huán)境來(lái)說(shuō)，一般推薦來(lái)賓和辦公網(wǎng)絡(luò)采用不同的無(wú)線(xiàn)SSID，分開(kāi)進(jìn)行管控。具體方案如下：

1. 來(lái)賓和辦公網(wǎng)絡(luò)采用不同的無(wú)線(xiàn)SSID。
   

2. 對(duì)來(lái)賓和辦公采用不同的限速和行為管理策略。

3. 來(lái)賓和辦公網(wǎng)絡(luò)采用不同的VLAN，并且不允許來(lái)賓訪(fǎng)問(wèn)公司內(nèi)網(wǎng)。

4. 不但要設(shè)置不同的無(wú)線(xiàn)密碼，而且需要進(jìn)行IP-MAC綁定等策略，禁止來(lái)賓用戶(hù)接入到辦公網(wǎng)絡(luò)。

本文將介紹如何用WFilter NGF來(lái)實(shí)現(xiàn)短信認(rèn)證網(wǎng)關(guān)，以及短信平臺(tái)的具體實(shí)現(xiàn)步驟。

1. 首先要搭建短信Web服務(wù)

WFilter NGF的短信發(fā)送通過(guò)調(diào)用Web API來(lái)實(shí)現(xiàn)，支持Web API接口的短信平臺(tái)很多（一些短信貓也可以支持Web API）。下文中，我們以阿里云的短信服務(wù)為例。首先需要?jiǎng)?chuàng)建AccessKey，如下圖：

很多局域網(wǎng)考慮到安全需要，會(huì)部署兩臺(tái)核心交換機(jī)做雙機(jī)熱備。在這樣的情況下，如果要旁路部署上網(wǎng)行為管理軟件，需要在兩臺(tái)核心上都配置端口鏡像，從而實(shí)現(xiàn)不間斷的監(jiān)控管理。拓?fù)鋱D如下：

　　有些小型局域網(wǎng)只通過(guò)一個(gè)無(wú)線(xiàn)路由器接入，而且沒(méi)有支持鏡像的交換機(jī)或者路由器。這樣的情況下，可以采用本文中演示的方案：“把安裝WFilter的電腦配置為網(wǎng)關(guān)，然后把無(wú)線(xiàn)路由器當(dāng)成無(wú)線(xiàn)AP來(lái)提供無(wú)線(xiàn)服務(wù)”。 　　網(wǎng)絡(luò)結(jié)構(gòu)如下圖： [IMG]upload/web-1.jpg[/IMG]

本文將介紹如何用WFilter來(lái)監(jiān)控多個(gè)局域網(wǎng)（多個(gè)互聯(lián)網(wǎng)接入）。由于每個(gè)鏡像只監(jiān)控到一個(gè)局域網(wǎng)，那么要在一臺(tái)監(jiān)控主機(jī)上監(jiān)控多個(gè)局域網(wǎng)時(shí)，需要使用多塊網(wǎng)卡，每塊網(wǎng)卡都接到一個(gè)鏡像端口。然后在WFilter的“系統(tǒng)配置”->“監(jiān)控配置”中配置多個(gè)監(jiān)控網(wǎng)卡來(lái)進(jìn)行監(jiān)控。

1. 網(wǎng)絡(luò)拓?fù)鋱D

以同時(shí)監(jiān)控兩個(gè)局域網(wǎng)為例，如下圖：

[IMG]upload/morelanMon01.jpg[/IMG]

請(qǐng)注意：兩個(gè)局域網(wǎng)的網(wǎng)段不能設(shè)置成一樣，否則監(jiān)控記錄會(huì)混淆。分別設(shè)置不同的網(wǎng)段，比如：192.168.1.x，192.168.2.x。

在“旁路”過(guò)濾模式（通過(guò)鏡像端口實(shí)現(xiàn)監(jiān)控）下，WFilter（超級(jí)嗅探狗）通過(guò)在“通訊網(wǎng)卡”上發(fā)送RST包來(lái)阻斷TCP連接。所以如果通訊網(wǎng)卡不能通訊或者通訊不暢，就可以導(dǎo)致封堵功能不起作用。

什么情況下需要用兩塊網(wǎng)卡

一般情況，用同一塊網(wǎng)卡就可以同時(shí)實(shí)現(xiàn)監(jiān)控和封堵，當(dāng)下列情況出現(xiàn)時(shí)，需要用兩塊網(wǎng)卡。

1. 交換機(jī)的鏡像端口不允許通訊。有些交換機(jī)是不允許鏡像上網(wǎng)的，該鏡像口只能收包，不能發(fā)包。你可以在監(jiān)控的電腦上ping其他的電腦來(lái)檢查這一項(xiàng)。改變交換機(jī)的設(shè)置（如果支持的話(huà)）或者增加一個(gè)獨(dú)立的通訊網(wǎng)卡就可以解決這個(gè)問(wèn)題。比如Cisco交換機(jī)有一個(gè)參數(shù)“ingress”，它能允許鏡像端口進(jìn)行通訊。

2. 監(jiān)聽(tīng)網(wǎng)卡過(guò)于繁忙。由于鏡像端口要接收其他電腦的上網(wǎng)數(shù)據(jù)包，網(wǎng)絡(luò)壓力大時(shí)網(wǎng)卡的負(fù)荷會(huì)很大。如果需要監(jiān)控50臺(tái)及以上的電腦，我們建議您使用兩塊網(wǎng)卡。點(diǎn)擊“系統(tǒng)配置”—>“配置檢測(cè)”可以檢查監(jiān)控網(wǎng)卡是否存在此問(wèn)題（存在此問(wèn)題時(shí)會(huì)提示“封堵效率過(guò)低”）。

1、Network Tap簡(jiǎn)介

網(wǎng)路分流器(Network Tap)可以透明串聯(lián)在網(wǎng)絡(luò)中實(shí)現(xiàn)網(wǎng)絡(luò)流量的監(jiān)控。相比較鏡像交換機(jī)而言，network tap有以下優(yōu)點(diǎn)：

1. 即插即用，不需要電源就可以工作。
2. 利用網(wǎng)線(xiàn)來(lái)實(shí)現(xiàn)監(jiān)控，不會(huì)影響網(wǎng)速。
3. 成本低，自己就可以手工制作。

網(wǎng)上有很多如何自己制作network tap的帖子，有興趣的同學(xué)可以自己嘗試下，請(qǐng)參見(jiàn)：

對(duì)于有多個(gè)部門(mén)的公司，各部門(mén)一般有不同的上網(wǎng)權(quán)限，如果部門(mén)內(nèi)部的人員變動(dòng)和策略設(shè)置都由IT部門(mén)來(lái)設(shè)置的話(huà)會(huì)比較麻煩。 在這種情況下，可以給每個(gè)部門(mén)單獨(dú)設(shè)置一個(gè)操作員，這個(gè)操作員只能看到本部門(mén)的電腦的上網(wǎng)記錄、報(bào)表，也能給本部門(mén)的員工設(shè)置上網(wǎng)策略。 本例中將演示如何用超級(jí)嗅探狗來(lái)設(shè)置多部門(mén)操作員。

隨著虛擬化技術(shù)的日趨成熟，越來(lái)越多的用戶(hù)選擇使用VMWare ESXi來(lái)搭建自己的虛擬化平臺(tái)，本文著重介紹如何在VMWare ESXi中部署WFilter（超級(jí)嗅探狗）來(lái)實(shí)現(xiàn)監(jiān)控。

在VMware ESXi環(huán)境下，WFilter（超級(jí)嗅探狗）可以支持兩種部署方式：旁路模式和串聯(lián)模式，有關(guān)這兩種模式的區(qū)別和優(yōu)缺點(diǎn)，請(qǐng)參見(jiàn)：[URL=http://www.s-dudley.com/help/doc/WFilter_deployment_mode.htm]WFilter部署模式[/URL]

旁路模式監(jiān)控時(shí)，只需要在一臺(tái)虛擬機(jī)中安裝WFilter，然后開(kāi)啟虛擬交換機(jī)的混雜模式即可。但是由于旁路模式無(wú)法禁止UDP通訊，還需要在上層的路由器或者防火墻設(shè)備上禁止UDP端口才可以，請(qǐng)參見(jiàn)：[URL=http://www.s-dudley.com/help/doc/WFilter_blockudp.htm]如何在路由器上禁止UDP端口？[/URL]

本文主要介紹如何在ESXi環(huán)境中，用串聯(lián)模式來(lái)部署WFilter。串聯(lián)模式不需要在上層設(shè)備禁止UDP端口即可實(shí)現(xiàn)WFilter的所有功能。

用超級(jí)嗅探狗局域網(wǎng)管理軟件實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)控，需要把安裝超級(jí)嗅探狗的電腦接到交換機(jī)的“鏡像端口”上面。本例將以Cisco2950交換機(jī)為例，介紹如何通過(guò)Cisco2950交換機(jī)來(lái)實(shí)現(xiàn)局域網(wǎng)網(wǎng)絡(luò)監(jiān)控管理。此例也適用于Cisco的其他交換機(jī)，如Cisco 2960, Cisco 3750等。

下面本文將以Cisco2950為例，介紹如何配置鏡像端口，部署監(jiān)控軟件。

更多內(nèi)容請(qǐng)參考：

[URL=http://www.s-dudley.com/blog/post/102.html]網(wǎng)絡(luò)監(jiān)控為什么需要端口鏡像交換機(jī)？[/URL]

[URL=http://www.s-dudley.com/blog/post/110.html]如何判斷端口鏡像是否成功？[/URL]

1. 監(jiān)控部署

某公司電信光纖接入， CISCO2950作為中心交換機(jī)。網(wǎng)絡(luò)拓?fù)鋱D如下：

用超級(jí)嗅探狗局域網(wǎng)監(jiān)控軟件實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)控，需要把安裝超級(jí)嗅探狗的電腦接到交換機(jī)的“鏡像端口”上面。本例將以D-Link3226交換機(jī)為例，介紹如何通過(guò)D-Link3226交換機(jī)來(lái)實(shí)現(xiàn)局域網(wǎng)網(wǎng)絡(luò)監(jiān)控管理。此例也同樣適用于D-Link的其他支持端口鏡像的交換機(jī)。

下面本文將著重介紹如何通過(guò)D-Link3226交換機(jī)實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)控。

更多內(nèi)容請(qǐng)參考：[URL=http://www.s-dudley.com/blog/post/102.html]網(wǎng)絡(luò)監(jiān)控為什么需要端口鏡像交換機(jī)？

[URL=http://www.s-dudley.com/blog/post/110.html]如何判斷端口鏡像是否成功？[/URL]

現(xiàn)在很多公司都采用筆記本電腦辦公，但是出于工作效率方面的考慮，很多公司都希望進(jìn)行網(wǎng)絡(luò)監(jiān)控。這種既有有線(xiàn)網(wǎng)絡(luò)又有無(wú)線(xiàn)網(wǎng)絡(luò)的情況下，想要實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)控就比較困難。下面將介紹怎樣在這樣的情況下實(shí)現(xiàn)監(jiān)控。

[B]1. 通過(guò)串聯(lián)有線(xiàn)路由實(shí)現(xiàn)監(jiān)控。[/B]

某網(wǎng)絡(luò)環(huán)境如下圖，ADSL接入到linksys寬帶路由器（BEFSR41），然后通過(guò)“cisco無(wú)線(xiàn)AP”（Cisco 1200）搭建一無(wú)線(xiàn)局域網(wǎng)環(huán)境。 局域網(wǎng)內(nèi)既有通過(guò)無(wú)線(xiàn)上網(wǎng)的機(jī)器，又有有線(xiàn)上網(wǎng)的機(jī)器。

[IMG]upload/wireless network deployment.jpg[/IMG]

在本例中，為了能同時(shí)對(duì)有線(xiàn)環(huán)境的機(jī)器和無(wú)線(xiàn)環(huán)境的機(jī)器進(jìn)行監(jiān)控。我們?cè)黾恿艘粋€(gè)TPLINK的鏡像交換機(jī)（TL-SL2210WEB）。并且需要對(duì)無(wú)線(xiàn)AP進(jìn)行設(shè)置。 如上圖中框內(nèi)部分。

TPlink鏡像交換機(jī)的設(shè)置如下圖： [IMG]upload/tplink_zh.jpg[/IMG]

通過(guò)無(wú)線(xiàn)AP上網(wǎng)的機(jī)器，經(jīng)過(guò)無(wú)線(xiàn)AP后，IP地址會(huì)被統(tǒng)一轉(zhuǎn)換，這樣我們就不能區(qū)分。所以，需要禁止無(wú)線(xiàn)AP的NAT功能。有兩種方式可以禁止：1)有的無(wú)線(xiàn)AP有自帶的禁止功能，可以直接禁止無(wú)線(xiàn)AP的NAT功能；2)如果沒(méi)有自帶的功能，可以手動(dòng)將無(wú)線(xiàn)AP的廣域網(wǎng)口接線(xiàn)轉(zhuǎn)到LAN口上，使其N(xiāo)AT功能失效。

網(wǎng)絡(luò)實(shí)現(xiàn)監(jiān)控，就需要端口鏡像的支持。但是，我們常常會(huì)發(fā)現(xiàn)鏡像端口已經(jīng)配置好了，可還是不能實(shí)現(xiàn)監(jiān)控。下面將介紹4種可能導(dǎo)致鏡像端口配置不成功的原因：

1. 配置的鏡像端口和實(shí)際連接的不一致。比如鏡像的是5號(hào)端口，但是實(shí)際連接的是6號(hào)端口，建議檢查一下接線(xiàn)。

2. 超級(jí)嗅探狗實(shí)現(xiàn)監(jiān)控需要雙向（發(fā)送+接收）數(shù)據(jù)包，如果只鏡像了單向數(shù)據(jù)是無(wú)法實(shí)現(xiàn)監(jiān)控的。

3. 安裝嗅探狗的電腦要直接接到鏡像端口。

4. 超級(jí)嗅探狗設(shè)置不正確。

5. 監(jiān)控主機(jī)的殺毒軟件或者防火墻原因。有些殺毒軟件或者防火墻會(huì)自動(dòng)丟棄掉非本機(jī)的數(shù)據(jù)包。建議關(guān)掉防火墻和殺毒軟件以排除其影響。已知的有影響的軟件有：NOD32,、瑞星。具體配置請(qǐng)查看：

[URL=http://www.s-dudley.com/web_acl_example.htm]網(wǎng)站黑白名單配置用例[/URL] [URL=http://www.s-dudley.com/mail_acl_example.htm]郵局黑白名單配置用例[/URL] [URL=http://www.s-dudley.com/chat_acl_example.htm]聊天ID黑白名單配置用例[/URL] [URL=http://www.s-dudley.com/qq_example.htm]QQ配置用例[/URL] [URL=http://www.s-dudley.com/msn_example.htm]MSN配置用例[/URL] [URL=http://www.s-dudley.com/configure_example.htm]配置用例列表[/URL]

某公司，通過(guò)路由器上網(wǎng)，采用dlink2366做為核心交換機(jī)。 在本例中，直接在dlink2366上做端口鏡像即可，dlink2366端口鏡像的配置如下圖：

某網(wǎng)絡(luò)環(huán)境如下圖，ADSL接入到linksys寬帶路由器（BEFSR41），然后通過(guò)“cisco無(wú)線(xiàn)AP”（Cisco 1200）搭建一無(wú)線(xiàn)局域網(wǎng)環(huán)境。局域網(wǎng)內(nèi)既有通過(guò)無(wú)線(xiàn)上網(wǎng)的機(jī)器，又有有線(xiàn)上網(wǎng)的機(jī)器。 [IMG]upload/HomeNetwork.jpg[/IMG] 在本例中，為了能同時(shí)對(duì)有線(xiàn)環(huán)境的機(jī)器和無(wú)線(xiàn)環(huán)境的機(jī)器進(jìn)行監(jiān)控。我們?cè)黾恿艘粋€(gè)TPLINK的鏡像交換機(jī)（TL-SL2210WEB）。如上圖中框內(nèi)部分。 tplink鏡像交換機(jī)的設(shè)置如下圖：

某公司電信光纖接入，采用ISA2004做為上網(wǎng)服務(wù)器，CISCO2950做為中心交換機(jī)。 網(wǎng)絡(luò)拓?fù)鋱D如下： 如上圖所示，針對(duì)這種網(wǎng)絡(luò)結(jié)構(gòu)，有兩種解決方案： 方案一： 直接把超級(jí)嗅探狗安裝在代理服務(wù)器上來(lái)監(jiān)控局域網(wǎng)。 方案二： 在其他電腦上安裝超級(jí)嗅探狗，通過(guò)交換機(jī)做端口鏡像來(lái)監(jiān)控網(wǎng)絡(luò)。 [B]請(qǐng)注意：對(duì)于通過(guò)內(nèi)部代理服務(wù)器上網(wǎng)的環(huán)境，要把代理服務(wù)器IP添加到超級(jí)嗅探狗的“監(jiān)聽(tīng)配置”的“本地服務(wù)器”中。[/B]

CISCO2950如何配置端口鏡像來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)控？