深信服設備上線配置記錄

為了進一步管理公司的網絡， 以及加強公司的網絡使用行為進行有效的管理。

公司上線了深信服行為管理設備。在幾次電話催促以后， 設備終于在某個工作日達到了公司的警衛處， 我自取了設備， 比起臺式機箱要輕些， 比起手提電腦要重些，比較輕松就提到了機房。

行為管理設備的上線， 首先要了解公司的網絡架構， 很多中小企業的網絡都比較適合使用這樣的設備，一般會有路由模式， 旁路模式， 橋接模式， 看著這些名詞，大家都會知道， 路由模式會增加路由條目， 會改變整個網絡的結構，對很多應用，客戶端等都會有影響。 旁路模式是利用交換機的鏡像接口， 去抓取數據， 只能審計，不能進行策略過濾， 橋接模式， 一般是把設備串接到二層交換機和三層設備上， 做成透明網橋的模式， 你可以直接把它認為是一條網線。這種模式是不會改變網絡結構的。 當然， 設備考慮到公司的一些復雜情況， 還會有一些特殊功能， 比如支持多條WLAN線路， 以及支持HSRP。這些可以具體問題， 具體分析和選擇。

首先設備上架， 在機柜預留1U的機架空間， 一般可以根據網絡設備層次， 介于三層和二層之間。

固定好設備， 上號螺絲， 確認設備已經牢固以后， 就可以開始通電，開機， 配置設備了。

設備的配置， 可以先登錄以太口， 參照設備說明書。面板接口介紹。設備會有通用的管理員賬號和密碼，登錄到管理界面。

首先要完成接口的配置， 定義網橋的管理IP， 以及定義內網和外網接口的流向。在設定網橋管理IP時候， 需要注意有些啟用了VLAN 管理，VLAN接口的IP可能跟內網的ip地址是不一樣的， 需要注意保證通網段，以及網絡的連通性。 

設備接口定義好以后， 可以繼續配置為網橋模式， 可以根據設備的提示，進行按向導設置。

配置完基本設置以后， 可以切換網絡了， 三層設備竄 管理設備 下接到二層設備上。

線路切換以后，首先要測試一下網絡是否是正常能訪問外網。

然后， 在是對設備的進行審計管理， 行為管理策略配置了。

審計開啟， 主要可以對內網的所有的使用行為， 數據流量， 進行記錄， 以便在數據中心中可以查到需要的報表。

行為管理設備的策略， 需要根據公司的IT管理策略，進行配置， 一般很多情況下， 視頻，P2P下載， 購物網站等都會被禁止掉； 

通訊軟件的， QQ， MSN等設備，有需要的也被禁用。

策略的配置，比較簡單， 直接在相應的行為策略下， 按照設置要求一步一步配置，就可以。

注意， 時間策略， 用戶組別的建立，， 相應的策略的動作， 拒絕，記錄等。

這樣就配置差不多了， 可是奇怪事情發生了， 試用了一段時間，老會出現掉線， 網絡中斷的情況。

后來通過廠商客戶，電話咨詢，找了問題所在， 公司員工的網絡行為是不固定，無規律的，這樣就會出現某個時間段， 用戶的流量特別高， 某個時間段又比較少。 

在高峰流量時候， 設備的CPU， 內存的使用率都是90%以上， 甚至會直接到達100% 

為了防止這樣情況出現， 需要對線路的流量做優化， 具體可以根據公司的帶寬， 注意換算100M/8

得到換算后的帶寬流量后， 可以對線路帶寬進行限制。 一般設備里面還會有已經設定要的優化模式， 比如對郵件的流量會限定出充足的帶寬，優先轉發。

在做完設定以后， 網絡掉線的情況基本不會再出現。在設備基本運行正常的基礎上， 我們可以定期的觀察網絡的狀態， 以便觀察到網絡的使用情況， 針對不同的情況， 可以調整對應的策略。 

很多外資企業會比較注重個人的隱私， 因此在導出報表， 報告的時候也需要考慮到個人隱私問題。

報告只針對整體的網絡使用情況， 不需要針對個人。