相對于二層交換機的網絡環境，在三層交換機環境下部署上網行為管理的步驟要復雜一些，差別主要在“靜態路由”和“MAC地址收集器”，還有上層防火墻的一些安全策略的影響。在本文中，我將結合一次實際的安裝經歷，介紹三層環境下用網橋模式部署WSG上網行為管理的一些常見問題。

1. 配置并部署網橋

本例中，網關是華為USG防火墻172.16.200.253，三層交換機是172.16.200.254，子網掩碼都是255.255.255.0。既然200段IP是足夠的，所以我就直接把管理口設置在網橋上面，把WSG的IP設置為172.16.200.252，網關地址和DNS是防火墻的IP地址172.16.200.253。

很多網絡環境目前都采用光纖的連接方式，比如主交換機到其他樓層交換機采用光口連接，再從樓層交換機的RJ45電口連接到其他網絡設備。這種網絡環境中，很多情況下都采用透明網橋的方式部署上網行為管理。本文中，我將介紹如何把上網行為管理的透明網橋串接到光口交換機和電口交換機中間。主要有如下兩種方式：

1. 采用支持光口的上網行為管理設備

如下圖，以WSG-500E為例，該型號有6個千兆電口和2個千兆光口，可以把網橋創建在一個光口和一個電口上。光口接上層的匯聚交換機，電口接下面的二層交換機。

利用“擴展插件”中的“NGF配置同步插件”可以同步多臺WFilter NGF（WSG硬件）的相關配置，這個功能在管理維護多臺WSG設備時非常實用。在本文中，我將結合WSG上網行為管理網關來介紹“NGF配置同步插件”的使用步驟。

1. 準備工作

1. 首先要有一臺WSG作為服務端，其他做為客戶端。服務端可以直接把配置推送給客戶端，也可以等客戶端主動來進行同步。
   

2. 多臺WSG之間通過Web來同步配置，所以要確保服務端和客戶端之間的Web連接可達。（在服務端可以訪問客戶端的web，或者客戶端可以訪問服務端的web）

3. 創建同步用戶。每臺WSG都應當建一個用戶名密碼一樣的操作員用于進行同步操作。

4. 下載“NGF配置同步插件”，并且進行配置。

二級路由器默認都啟用了網絡地址轉換，會把客戶機的IP地址和mac地址都轉換成路由器的IP和mac。這樣從上層的行為管理來看，只能看到路由器的IP地址。要區分二級路由下面的終端，必須把二級路由器改成AP模式（也就是無線交換機模式）。

在WSG上網行為管理網關的初步設置詳細教程中，我們介紹了WSG上網行為管理網關的初步設置，該文檔中，我們采用了網關部署的方式。在實際使用中，網橋部署方式也極為常見；用網橋的方式來部署WSG上網行為管理，是完全透明部署，不需要修改現有的網絡參數，也不需要更改路由器和交換機的配置。網絡拓撲圖如下：

網橋部署有如下優點：

• 不需要修改現有的網絡設置。

• 無需斷網，即插即用。

• 功能一樣強大：上網行為記錄、行為管理、流控都可以實現。

• 硬件bypass（要看具體型號），即使網橋設備掉電，也可以保證不斷網。
  

1. 網橋部署的準備工作

首先需要給WSG設備分配一個靜態IP地址。該IP用于遠程訪問WSG設備，進行Web認證等遠程訪問操作。需要注意如下幾點：

來賓用戶、流動人員比較多的局域網，如果不對來賓上網進行管控，不但會占用企業帶寬資源，還會帶來安全隱患和政策風險。對于企業環境來說，一般推薦來賓和辦公網絡采用不同的無線SSID，分開進行管控。具體方案如下：

1. 來賓和辦公網絡采用不同的無線SSID。
   

2. 對來賓和辦公采用不同的限速和行為管理策略。

3. 來賓和辦公網絡采用不同的VLAN，并且不允許來賓訪問公司內網。

4. 不但要設置不同的無線密碼，而且需要進行IP-MAC綁定等策略，禁止來賓用戶接入到辦公網絡。

本文將介紹如何用WFilter NGF來實現短信認證網關，以及短信平臺的具體實現步驟。

1. 首先要搭建短信Web服務

WFilter NGF的短信發送通過調用Web API來實現，支持Web API接口的短信平臺很多（一些短信貓也可以支持Web API）。下文中，我們以阿里云的短信服務為例。首先需要創建AccessKey，如下圖：

很多局域網考慮到安全需要，會部署兩臺核心交換機做雙機熱備。在這樣的情況下，如果要旁路部署上網行為管理軟件，需要在兩臺核心上都配置端口鏡像，從而實現不間斷的監控管理。拓撲圖如下：

　　有些小型局域網只通過一個無線路由器接入，而且沒有支持鏡像的交換機或者路由器。這樣的情況下，可以采用本文中演示的方案：“把安裝WFilter的電腦配置為網關，然后把無線路由器當成無線AP來提供無線服務”。 　　網絡結構如下圖： [IMG]upload/web-1.jpg[/IMG]

本文將介紹如何用WFilter來監控多個局域網（多個互聯網接入）。由于每個鏡像只監控到一個局域網，那么要在一臺監控主機上監控多個局域網時，需要使用多塊網卡，每塊網卡都接到一個鏡像端口。然后在WFilter的“系統配置”->“監控配置”中配置多個監控網卡來進行監控。

1. 網絡拓撲圖

以同時監控兩個局域網為例，如下圖：

[IMG]upload/morelanMon01.jpg[/IMG]

請注意：兩個局域網的網段不能設置成一樣，否則監控記錄會混淆。分別設置不同的網段，比如：192.168.1.x，192.168.2.x。

在“旁路”過濾模式（通過鏡像端口實現監控）下，WFilter（超級嗅探狗）通過在“通訊網卡”上發送RST包來阻斷TCP連接。所以如果通訊網卡不能通訊或者通訊不暢，就可以導致封堵功能不起作用。

什么情況下需要用兩塊網卡

一般情況，用同一塊網卡就可以同時實現監控和封堵，當下列情況出現時，需要用兩塊網卡。

1. 交換機的鏡像端口不允許通訊。有些交換機是不允許鏡像上網的，該鏡像口只能收包，不能發包。你可以在監控的電腦上ping其他的電腦來檢查這一項。改變交換機的設置（如果支持的話）或者增加一個獨立的通訊網卡就可以解決這個問題。比如Cisco交換機有一個參數“ingress”，它能允許鏡像端口進行通訊。

2. 監聽網卡過于繁忙。由于鏡像端口要接收其他電腦的上網數據包，網絡壓力大時網卡的負荷會很大。如果需要監控50臺及以上的電腦，我們建議您使用兩塊網卡。點擊“系統配置”—>“配置檢測”可以檢查監控網卡是否存在此問題（存在此問題時會提示“封堵效率過低”）。

1、Network Tap簡介

網路分流器(Network Tap)可以透明串聯在網絡中實現網絡流量的監控。相比較鏡像交換機而言，network tap有以下優點：

1. 即插即用，不需要電源就可以工作。
2. 利用網線來實現監控，不會影響網速。
3. 成本低，自己就可以手工制作。

網上有很多如何自己制作network tap的帖子，有興趣的同學可以自己嘗試下，請參見：

對于有多個部門的公司，各部門一般有不同的上網權限，如果部門內部的人員變動和策略設置都由IT部門來設置的話會比較麻煩。 在這種情況下，可以給每個部門單獨設置一個操作員，這個操作員只能看到本部門的電腦的上網記錄、報表，也能給本部門的員工設置上網策略。 本例中將演示如何用超級嗅探狗來設置多部門操作員。

隨著虛擬化技術的日趨成熟，越來越多的用戶選擇使用VMWare ESXi來搭建自己的虛擬化平臺，本文著重介紹如何在VMWare ESXi中部署WFilter（超級嗅探狗）來實現監控。

在VMware ESXi環境下，WFilter（超級嗅探狗）可以支持兩種部署方式：旁路模式和串聯模式，有關這兩種模式的區別和優缺點，請參見：[URL=http://www.eshoesbags.com/help/doc/WFilter_deployment_mode.htm]WFilter部署模式[/URL]

旁路模式監控時，只需要在一臺虛擬機中安裝WFilter，然后開啟虛擬交換機的混雜模式即可。但是由于旁路模式無法禁止UDP通訊，還需要在上層的路由器或者防火墻設備上禁止UDP端口才可以，請參見：[URL=http://www.eshoesbags.com/help/doc/WFilter_blockudp.htm]如何在路由器上禁止UDP端口？[/URL]

本文主要介紹如何在ESXi環境中，用串聯模式來部署WFilter。串聯模式不需要在上層設備禁止UDP端口即可實現WFilter的所有功能。

用超級嗅探狗局域網管理軟件實現網絡監控，需要把安裝超級嗅探狗的電腦接到交換機的“鏡像端口”上面。本例將以Cisco2950交換機為例，介紹如何通過Cisco2950交換機來實現局域網網絡監控管理。此例也適用于Cisco的其他交換機，如Cisco 2960, Cisco 3750等。

下面本文將以Cisco2950為例，介紹如何配置鏡像端口，部署監控軟件。

更多內容請參考：

[URL=http://www.eshoesbags.com/blog/post/102.html]網絡監控為什么需要端口鏡像交換機？[/URL]

[URL=http://www.eshoesbags.com/blog/post/110.html]如何判斷端口鏡像是否成功？[/URL]

1. 監控部署

某公司電信光纖接入， CISCO2950作為中心交換機。網絡拓撲圖如下：