深信服設備上線配置記錄

爲了進一步管理公司的網絡， 以及增強公司的網絡使用行爲進行有效的管理。

公司上線了深信服行爲管理設備。在幾回電話催促之後， 設備終於在某個工做日達到了公司的警衛處， 我自取了設備， 比起臺式機箱要輕些， 比起手提電腦要重些，比較輕鬆就提到了機房。

 

行爲管理設備的上線， 首先要了解公司的網絡架構， 不少中小企業的網絡都比較適合使用這樣的設備，通常會有路由模式， 旁路模式， 橋接模式， 看着這些名詞，你們都會知道， 路由模式會增長路由條目， 會改變整個網絡的結構，對不少應用，客戶端等都會有影響。 旁路模式是利用交換機的鏡像接口， 去抓取數據， 只能審計，不能進行策略過濾， 橋接模式， 通常是把設備串接到二層交換機和三層設備上， 作成透明網橋的模式， 你能夠直接把它認爲是一條網線。這種模式是不會改變網絡結構的。 固然， 設備考慮到公司的一些複雜狀況， 還會有一些特殊功能， 好比支持多條WLAN線路， 以及支持HSRP。這些能夠具體問題， 具體分析和選擇。

 

首先設備上架， 在機櫃預留1U的機架空間， 通常能夠根據網絡設備層次， 介於三層和二層之間。

固定好設備， 上號螺絲， 確認設備已經牢固之後， 就能夠開始通電，開機， 配置設備了。

 

設備的配置， 能夠先登陸以太口， 參照設備說明書。面板接口介紹。設備會有通用的管理員帳號和密碼，登陸到管理界面。

 

首先要完成接口的配置， 定義網橋的管理IP， 以及定義內網和外網接口的流向。在設定網橋管理IP時候， 須要注意有些啓用了VLAN 管理，VLAN接口的IP可能跟內網的ip地址是不同的， 須要注意保證通網段，以及網絡的連通性。 

 

設備接口定義好之後， 能夠繼續配置爲網橋模式， 能夠根據設備的提示，進行按嚮導設置。

配置完基本設置之後， 能夠切換網絡了， 三層設備竄 管理設備 下接到二層設備上。

線路切換之後，首先要測試一下網絡是不是正常能訪問外網。

 

而後， 在是對設備的進行審計管理， 行爲管理策略配置了。

審計開啓， 主要能夠對內網的全部的使用行爲， 數據流量， 進行記錄， 以便在數據中心中能夠查到須要的報表。

 

行爲管理設備的策略， 須要根據公司的IT管理策略，進行配置， 通常不少狀況下， 視頻，P2P下載， 購物網站等都會被禁止掉； 

通信軟件的， QQ， MSN等設備，有須要的也被禁用。

策略的配置，比較簡單， 直接在相應的行爲策略下， 按照設置要求一步一步配置，就能夠。

注意， 時間策略， 用戶組別的創建，， 相應的策略的動做， 拒絕，記錄等。

 

這樣就配置差很少了， 但是奇怪事情發生了， 試用了一段時間，老會出現掉線， 網絡中斷的狀況。

後來經過廠商客戶，電話諮詢，找了問題所在， 公司員工的網絡行爲是不固定，無規律的，這樣就會出現某個時間段， 用戶的流量特別高， 某個時間段又比較少。 

在高峯流量時候， 設備的CPU， 內存的使用率都是90%以上， 甚至會直接到達100% 

爲了防止這樣狀況出現， 須要對線路的流量作優化， 具體能夠根據公司的帶寬， 注意換算100M/8

獲得換算後的帶寬流量後， 能夠對線路帶寬進行限制。 通常設備裏面還會有已經設定要的優化模式， 好比對郵件的流量會限定出充足的帶寬，優先轉發。

 

在作完設定之後， 網絡掉線的狀況基本不會再出現。在設備基本運行正常的基礎上， 咱們能夠按期的觀察網絡的狀態， 以便觀察到網絡的使用狀況， 針對不一樣的狀況， 能夠調整對應的策略。 

 

不少外資企業會比較注重我的的隱私， 所以在導出報表， 報告的時候也須要考慮到我的隱私問題。

報告只針對總體的網絡使用狀況， 不須要針對我的。