本文將介紹如何用WFilter NGF來(lái)實(shí)現(xiàn)短信認(rèn)證網(wǎng)關(guān)，以及短信平臺(tái)的具體實(shí)現(xiàn)步驟。

1. 首先要搭建短信Web服務(wù)

WFilter NGF的短信發(fā)送通過(guò)調(diào)用Web API來(lái)實(shí)現(xiàn)，支持Web API接口的短信平臺(tái)很多（一些短信貓也可以支持Web API）。下文中，我們以阿里云的短信服務(wù)為例。首先需要?jiǎng)?chuàng)建AccessKey，如下圖：

ping命令可以說(shuō)是網(wǎng)絡(luò)管理中最常用的一個(gè)命令行工具了，利用ping可以非常迅速的診斷出網(wǎng)絡(luò)問(wèn)題。今天，我就來(lái)教大家如何用ping來(lái)檢測(cè)網(wǎng)絡(luò)問(wèn)題。

當(dāng)網(wǎng)絡(luò)緩慢，上不了網(wǎng)時(shí)，請(qǐng)按如下步驟來(lái)執(zhí)行ping命令：

1. ping內(nèi)網(wǎng)網(wǎng)關(guān)

首先要先ping內(nèi)網(wǎng)的網(wǎng)關(guān)地址，確保內(nèi)網(wǎng)是暢通的。如下圖：

內(nèi)網(wǎng)的丟包率應(yīng)該為0，有線ping值一般在1ms以內(nèi)，無(wú)線ping值1ms-20ms之間。如果存在丟包或者ping值很高，那么問(wèn)題就在內(nèi)網(wǎng)。需要排查內(nèi)網(wǎng)網(wǎng)線、環(huán)路、交換機(jī)等設(shè)備問(wèn)題。

我們?cè)谶x擇網(wǎng)關(guān)設(shè)備的時(shí)候，經(jīng)常會(huì)面臨選擇路由器還是專業(yè)網(wǎng)關(guān)（x86架構(gòu)工控機(jī)）的問(wèn)題。本文將從硬件角度來(lái)解釋這兩者的差別。

兩者的硬件架構(gòu)都由CPU、存儲(chǔ)、內(nèi)存（RAM）組成，但是配件的差別非常大。

這里說(shuō)的硬件防火墻，就是專業(yè)防火墻，入侵檢測(cè)，主動(dòng)防御，病毒防護(hù)，這些基本的以外，還有殺毒庫(kù)，針對(duì)病毒查殺。這樣的硬件防火墻一般過(guò)萬(wàn)，甚至過(guò)大幾萬(wàn)。什么樣的局域網(wǎng)環(huán)境才需要呢。毋庸置疑，經(jīng)濟(jì)上得是一個(gè)寬裕的局域網(wǎng)。技術(shù)上以及必要性上呢。

其實(shí)就一個(gè)必要性，局域網(wǎng)里面有對(duì)外網(wǎng)發(fā)布的WEB服務(wù)，比如WEB服務(wù)器，郵件服務(wù)器等。這樣可以從互聯(lián)互直接訪問(wèn)，容易遭遇黑客，攻擊，這樣的環(huán)境，不管大小，千萬(wàn)別吝嗇，買一臺(tái)硬防，有力又有利。

但是如果只是普通局域網(wǎng)，沒(méi)有需要外部訪問(wèn)的服務(wù)器 ，有的路由上甚至連做端口映射 外部也就訪問(wèn)不到內(nèi)部的服務(wù)器了 
那么就沒(méi)有必要安裝硬件防火墻了。哪怕有ERP，有組網(wǎng)VPN，用不用專業(yè)硬件防火墻，技術(shù)上真的不重要，國(guó)內(nèi)現(xiàn)在運(yùn)營(yíng)商已經(jīng)把常見(jiàn)的80端口都禁止掉了，直接通過(guò)80端口連不了。而普通局域網(wǎng)要注重的則是內(nèi)網(wǎng)安全，內(nèi)網(wǎng)安全防護(hù)好了，外網(wǎng)自然也不會(huì)有任何問(wèn)題。所謂安全，所謂防護(hù)，所謂上網(wǎng)行為管理，并不是局域網(wǎng)出了問(wèn)題了，才來(lái)解決，而是平時(shí)上網(wǎng)建立良好的上網(wǎng)秩序，規(guī)范上網(wǎng)行為和內(nèi)容，養(yǎng)成良好的上網(wǎng)行為習(xí)慣，網(wǎng)絡(luò)自然健康通暢。

劃分VLAN一般出于如下幾個(gè)目的：

1. 把內(nèi)網(wǎng)劃分為不同的網(wǎng)段，可以提高內(nèi)網(wǎng)安全性，而且更加便于管理。比如：有線和無(wú)線處于不同的網(wǎng)段，不允許無(wú)線設(shè)備訪問(wèn)企業(yè)內(nèi)網(wǎng)，這樣可以保護(hù)內(nèi)部信息安全；而且可以對(duì)不同網(wǎng)段配置不同的上網(wǎng)策略和流控策略。

2. 分割廣播域，避免廣播風(fēng)暴。廣播風(fēng)暴這個(gè)現(xiàn)象，在無(wú)線時(shí)代更加突出，AP設(shè)備的發(fā)現(xiàn)、管理等操作都會(huì)產(chǎn)生廣播包。

那么，什么情況下需要?jiǎng)澐諺LAN呢？主要考慮以下幾點(diǎn)：

為了管理和安全需要，很多局域網(wǎng)都要求固定IP，每個(gè)設(shè)備的IP地址和mac地址都登記在案，結(jié)合IP-mac綁定，從而使上網(wǎng)記錄、病毒攻擊都有據(jù)可查，并且可以迅速定位到個(gè)人。但是和自動(dòng)獲取IP地址比較，固定IP也有一些弊端：

1. 配置較復(fù)雜，一些非技術(shù)人員不懂也不會(huì)配置IP地址。需要網(wǎng)管人員全局維護(hù)。
   

2. 固定IP地址列表需要維護(hù)。人員離職、電腦報(bào)廢后，IP地址如果沒(méi)有及時(shí)回收，會(huì)導(dǎo)致IP地址不夠用。

本文我將結(jié)合WFilter（WSG網(wǎng)關(guān)）的IP-mac綁定功能，介紹如何分配、管理和回收IP地址。

2018俄羅斯世界杯大幕拉開(kāi)，世界杯期間球迷們將通過(guò)各種途徑觀看世界杯?；ヂ?lián)網(wǎng)作為世界杯的主要承載媒體，也使得我們的網(wǎng)絡(luò)感受到了前所未有的壓力。對(duì)于各類企事業(yè)單位來(lái)說(shuō)，首要保障公司業(yè)務(wù)所需的帶寬資源，同時(shí)也要人性化的滿足世界杯的激情需要。

因此在世界杯期間，無(wú)論是門戶網(wǎng)站、運(yùn)營(yíng)商或是企事業(yè)單位，都需要解決帶寬分配和流量管理的問(wèn)題。既讓客戶和員工可以觀看世界杯，同時(shí)又要讓企業(yè)的網(wǎng)絡(luò)帶寬不被搶占，關(guān)鍵應(yīng)用的質(zhì)量不受影響。

在大部分公司，客人用的WiFi和員工用的WiFi都是分開(kāi)的。從理論上來(lái)說(shuō)，這樣有利于局域網(wǎng)的信息安全。但是有些員工缺乏安全意識(shí)，會(huì)有意無(wú)意的泄漏辦公WiFi的密碼，甚至公開(kāi)張貼WiFi密碼，再加上一些共享WiFi密碼的app；實(shí)際上你自認(rèn)為安全的辦公WiFi密碼實(shí)際上并不安全。

一旦來(lái)賓、其他人員接入了公司W(wǎng)iFi，就可以直接訪問(wèn)到企業(yè)內(nèi)網(wǎng)，這時(shí)候勒索病毒、黑客入侵就已經(jīng)離你不遠(yuǎn)了。所以，企業(yè)在提供WiFi時(shí)，安全是頭等大事，絕對(duì)不容忽視。

本文，我們將探討如何禁止客人wifi訪問(wèn)到公司內(nèi)部的局域網(wǎng)？具體方案如下：

現(xiàn)在大部分局域網(wǎng)都提供了無(wú)線上網(wǎng)的功能。無(wú)線主要用于滿足以下幾種需求：

1. 無(wú)線辦公的需要，比如無(wú)線pos機(jī)等辦公設(shè)備。
   

2. 員工無(wú)線上網(wǎng)的需要。

3. 來(lái)賓、客人的無(wú)線上網(wǎng)。

這樣就帶來(lái)了相關(guān)的安全性問(wèn)題：

1. 來(lái)賓有可能通過(guò)無(wú)線接入到企業(yè)內(nèi)網(wǎng)，導(dǎo)致安全隱患。

2. 員工有可能通過(guò)來(lái)賓的無(wú)線網(wǎng)絡(luò)上網(wǎng)，從而繞開(kāi)公司的行為管理策略，影響工作效率。

目前大部分解決方案都是來(lái)賓網(wǎng)絡(luò)和內(nèi)部無(wú)線網(wǎng)絡(luò)使用不同的無(wú)線SSID和密碼。但是實(shí)際上這個(gè)方案存在很大的漏洞：密碼泄漏。來(lái)賓可以直接詢問(wèn)到內(nèi)網(wǎng)的無(wú)線密碼，甚至很多無(wú)線密碼都是公開(kāi)張貼的。而企業(yè)員工更是可以直接通過(guò)來(lái)賓網(wǎng)絡(luò)上網(wǎng)。

本文將結(jié)合WFilter NGF的相關(guān)功能，來(lái)介紹更進(jìn)階的解決方案。

這里說(shuō)的路由，是千元以上的路由，一千塊以下的就不談的?，F(xiàn)在很多企業(yè)路由，都說(shuō)有這樣的功能，

IP-MAC綁定是很多路由，網(wǎng)關(guān)的一個(gè)常見(jiàn)功能，主要用來(lái)綁定局域網(wǎng)終端的IP地址，防止終端隨便修改IP，導(dǎo)致網(wǎng)內(nèi)IP地址沖突，而導(dǎo)致網(wǎng)絡(luò)歇火。先來(lái)說(shuō)IP-MAC綁定的原理分兩個(gè)部分：前部分，所謂綁定，就是讓這臺(tái)電腦的MAC始終獲取同一個(gè)ip地址或者指定ip，這個(gè)做到很容易，很多路由都號(hào)稱有這樣功能稱之IP-MAC綁定。但是做到這一步，沒(méi)啥意義，因?yàn)樯暇W(wǎng)終端一旦修改了IP，照樣可以上網(wǎng)，照樣IP沖突，真正夯實(shí)IP-MAC綁定的是后半部分，這個(gè)上網(wǎng)行為管理才可以做到（核心交換機(jī)也能做到，但是配置很麻煩費(fèi)事）要有上網(wǎng)數(shù)據(jù)，通過(guò)行為管理來(lái)檢測(cè)這個(gè)這個(gè)MAC是不是一直都是獲取的這個(gè)IP，一旦不是獲取的這個(gè)IP或者IP被擅自修改了，就會(huì)讓MAC斷網(wǎng)?；蛘咭坏┯行碌臎](méi)有登記再案的終端進(jìn)來(lái)（電腦，路由或者手機(jī)）進(jìn)來(lái)，即使插上，也無(wú)法上網(wǎng)

DHCP服務(wù)用于給局域網(wǎng)的客戶機(jī)分配IP地址，從而實(shí)現(xiàn)統(tǒng)一的IP地址管理，可以有效簡(jiǎn)化配置過(guò)程，并且防止IP沖突等異常。但是有時(shí)候我們也會(huì)發(fā)現(xiàn)電腦獲取不到IP的情況。這時(shí)候該怎么診斷呢？分兩種情況：

1. 所有的電腦都獲取不到IP，基本可以判斷是DHCP服務(wù)出了問(wèn)題，一般需要檢查和重啟DHCP。
   

2. 只有個(gè)別電腦獲取不到IP，首先要排除網(wǎng)線接觸問(wèn)題和系統(tǒng)問(wèn)題。

實(shí)際工作中發(fā)現(xiàn)，即使網(wǎng)線和系統(tǒng)都不存在問(wèn)題時(shí)，有時(shí)候也會(huì)獲取不到IP。這個(gè)情況是怎么產(chǎn)生的呢？請(qǐng)繼續(xù)往下看。

IP地址沖突是網(wǎng)絡(luò)管理的一個(gè)常見(jiàn)問(wèn)題。尤其在企業(yè)局域網(wǎng)內(nèi)部，由于管控策略的存在，總會(huì)有人試圖通過(guò)修改IP地址來(lái)繞開(kāi)管控、獲取更多的上網(wǎng)權(quán)限以及更高的帶寬。修改的IP一旦和公司的服務(wù)器發(fā)送IP沖突，會(huì)直接影響到辦公和業(yè)務(wù)的正常運(yùn)行。IP沖突的危害如下：

1. 繞開(kāi)行為管理策略和流控策略的管控。
   

2. 導(dǎo)致被沖突的客戶機(jī)斷網(wǎng)。
   

3. 和服務(wù)器IP沖突會(huì)影響業(yè)務(wù)的正常運(yùn)行。

4. 難以定位，使網(wǎng)絡(luò)管理混亂無(wú)序。

微信WiFi的默認(rèn)流程，已經(jīng)從最初的“關(guān)注公眾號(hào)”變成了目前的“打開(kāi)公眾號(hào)”。應(yīng)該說(shuō)，“打開(kāi)公眾號(hào)但是不強(qiáng)制關(guān)注“其實(shí)是一個(gè)更加人性化的做法；因?yàn)槿魏握T導(dǎo)/強(qiáng)制關(guān)注，都會(huì)影響最終用戶的體驗(yàn)和公正性原則；長(zhǎng)遠(yuǎn)來(lái)看會(huì)影響公眾號(hào)的發(fā)展。微信WiFi如下圖：

在手機(jī)上網(wǎng)占多大流量？WiFi要不要進(jìn)行限速？這篇文章中，我們介紹了WiFi速度慢的一個(gè)重要原因：后臺(tái)應(yīng)用的大量帶寬占用。如下圖：即使在沒(méi)有任何app運(yùn)行的情況下，后臺(tái)應(yīng)用仍然會(huì)占用大量的帶寬。

很多企業(yè)、公共場(chǎng)所都會(huì)給員工或者顧客提供WiFi服務(wù)，但是網(wǎng)管人員很快會(huì)發(fā)現(xiàn)大部分人都會(huì)抱怨WiFi速度太慢沒(méi)法用，明明是100M的專線，速度卻和撥號(hào)速度差不多。這究竟是什么原因呢？今天我們就從網(wǎng)絡(luò)應(yīng)用的角度來(lái)分析下，手機(jī)上網(wǎng)究竟需要多大的流量。

無(wú)線的速度，還取決于無(wú)線AP的信號(hào)強(qiáng)度、信道干擾、帶機(jī)量等因素，這些方面已經(jīng)有大量的技術(shù)文章，我們就不再贅述，本文主要著重從網(wǎng)絡(luò)應(yīng)用的角度來(lái)解釋無(wú)線帶寬的占用問(wèn)題。

如下圖，這是一臺(tái)普通的華為安卓手機(jī)，已經(jīng)清理掉所有的app。

WFilter NGF的“Web認(rèn)證”模塊，提供了一系列的上網(wǎng)認(rèn)證解決方案。包括如下認(rèn)證方式：

1. 本地用戶名密碼認(rèn)證
   

2. AD域用戶名密碼認(rèn)證

3. 企業(yè)郵箱用戶名密碼認(rèn)證

4. Radius用戶名密碼認(rèn)證

5. 微信WiFi認(rèn)證

6. Facebook Wifi認(rèn)證

除此，WFilter NGF還有一個(gè)“其他”的選項(xiàng)，利用這個(gè)選項(xiàng)，你可以擴(kuò)展更多的用戶認(rèn)證方式，比如“短信認(rèn)證”，使用者必須輸入自己的手機(jī)號(hào)碼，獲取驗(yàn)證短信后輸入才可以上網(wǎng)。如圖：

相對(duì)于固定IP而言，自動(dòng)獲取IP（DHCP）更加方便，而且不會(huì)導(dǎo)致IP地址沖突。但是對(duì)于局域網(wǎng)網(wǎng)絡(luò)管理而言，IP地址不固定就無(wú)法實(shí)現(xiàn)有效的管控。作為專業(yè)的上網(wǎng)行為管理廠家，WFilter系列上網(wǎng)行為管理產(chǎn)品針對(duì)該情況可以提供兩種解決方案：

1. 先進(jìn)行IP-mac地址綁定，然后基于IP地址管控。

2. 直接基于MAC地址進(jìn)行管控。
   

以WFilter NGF（WSG網(wǎng)關(guān)）為例，具體配置介紹如下：

分支結(jié)構(gòu)和總部之間的數(shù)據(jù)通訊現(xiàn)在一般都通過(guò)VPN線路來(lái)實(shí)現(xiàn)，如果總部只有一條VPN線路，那么當(dāng)總部線路故障時(shí)，就會(huì)導(dǎo)致分支機(jī)構(gòu)數(shù)據(jù)無(wú)法上傳，影響正常的辦公需要。其解決辦法，一般是通過(guò)多條VPN線路的方式，來(lái)實(shí)現(xiàn)VPN線路備份，一條線路不通時(shí)，會(huì)自動(dòng)切換到另外一條線路，從而實(shí)現(xiàn)不間斷的VPN連接。

本文將介紹用WFilter NGF中的Open VPN（SSL VPN）組建site-to-site VPN，并且實(shí)現(xiàn)高可用性的VPN線路備份。

支持遠(yuǎn)程撥入的VPN技術(shù)，使員工在出差、下班時(shí)可以連接到公司的局域網(wǎng)處理工作，給工作帶來(lái)了很大的便利。所以現(xiàn)在很多公司都支持VPN遠(yuǎn)程撥入。本文將簡(jiǎn)單介紹VPN的幾種組建方式，以及相關(guān)的安全問(wèn)題。如果您需要?jiǎng)?chuàng)建site-to-site的VPN，請(qǐng)參考：Ipsec VPN

1. PPTP VPN

PPTP（Point to Point Tunneling Protocol），即點(diǎn)對(duì)點(diǎn)隧道協(xié)議。該協(xié)議是在PPP協(xié)議的基礎(chǔ)上開(kāi)發(fā)的一種新的增強(qiáng)型安全協(xié)議，支持多協(xié)議虛擬專用網(wǎng)（VPN），可以通過(guò)密碼驗(yàn)證協(xié)議（PAP）、可擴(kuò)展認(rèn)證協(xié)議（EAP）等方法增強(qiáng)安全性?？梢允惯h(yuǎn)程用戶通過(guò)撥入ISP、通過(guò)直接連接Internet或其他網(wǎng)絡(luò)安全地訪問(wèn)企業(yè)網(wǎng)。

VLAN可以把網(wǎng)絡(luò)劃分成多個(gè)廣播域，可以有效的控制廣播風(fēng)暴，還可以控制網(wǎng)絡(luò)中不同部門和網(wǎng)段之間的互相訪問(wèn)。如果您已經(jīng)有了三層交換機(jī)，可以直接在三層交換機(jī)上劃分VLAN，請(qǐng)參閱：多VLAN三層交換機(jī)如何連接WFilter上網(wǎng)行為管理系統(tǒng)？

在沒(méi)有三層交換機(jī)的環(huán)境下，您可以直接用WFilter NGF（WSG網(wǎng)關(guān)）來(lái)劃分VLAN。支持兩種VLAN的劃分方式：

1. 基于端口的VLAN劃分。每個(gè)端口一個(gè)VLAN接二層交換機(jī)。
   

2. 802.1Q VLAN（單臂路由）。和交換機(jī)的trunk口連接，通過(guò)一個(gè)端口實(shí)現(xiàn)多個(gè)VLAN的封裝。

本文將介紹這兩種方式如何配置。

很多企業(yè)為了數(shù)據(jù)的安全，需要對(duì)外發(fā)文件進(jìn)行管控。而手機(jī)、usb存儲(chǔ)的廣泛使用，使得外發(fā)文件的管控非常難以實(shí)現(xiàn)。在本文中，我將拋磚引玉，探討外發(fā)文件管控的幾種方式。外發(fā)文件的管控，需要考慮如下幾個(gè)方面：

• 屏蔽通過(guò)網(wǎng)絡(luò)外發(fā)文件

• 屏蔽藍(lán)牙、usb等外設(shè)外發(fā)文件
  

• 文件加密
  

對(duì)于局域網(wǎng)信息安全來(lái)說(shuō)，首要的一點(diǎn)就是接入認(rèn)證，缺少接入認(rèn)證，那內(nèi)網(wǎng)安全完全無(wú)從談起。而在接入認(rèn)證中，“Web Portal認(rèn)證”是目前應(yīng)用最為廣泛的一種方式。那么，今天我們來(lái)看看WFilter的“Web認(rèn)證”提供哪些認(rèn)證解決方案。

首先，WFilter NGF的“Web認(rèn)證”包括兩個(gè)部分：

1. 用戶名認(rèn)證：基于用戶名口令的認(rèn)證方案
   

2. 營(yíng)銷認(rèn)證：主要是微信WiFi（國(guó)內(nèi)）和Facebook WiFi（國(guó)外）。

現(xiàn)在的便攜式路由器非常的小巧輕便，而且即插即用，很受大家的喜愛(ài)。

但是，對(duì)于局域網(wǎng)的網(wǎng)管人員來(lái)說(shuō)，這個(gè)小東西造成的危害可不小，比如：

有這么一個(gè)app，很多人沉溺其中，但是你會(huì)發(fā)現(xiàn)隨隨便便刷幾個(gè)小時(shí)的短視頻，你就會(huì)收到短信提示“您本月的流量已經(jīng)用完”。即使你用wifi網(wǎng)絡(luò)，網(wǎng)管同學(xué)們也會(huì)發(fā)現(xiàn)最近公司的帶寬完全不夠用啊。這就是抖音短視頻，稱之為流量殺手絕對(duì)不過(guò)分。

今天，我就來(lái)實(shí)際測(cè)試下，看一個(gè)抖音究竟要耗費(fèi)多大的帶寬。“測(cè)試手機(jī)：iphone 7 plus，抓包工具wireshark，網(wǎng)關(guān)：WSG-500E上網(wǎng)行為管理”。

如圖所示，我用iphone7 plus刷了3個(gè)抖音視頻，耗時(shí)30秒左右。平均帶寬占用高達(dá)766Kbyte，也就是6Mbps。