“Interfaces”的版本间的差异

来自WFilter上网行为管理系统文档和指南
跳转至: 导航搜索
内网配置
相关链接
 
(未显示同一用户的28个中间版本)
第3行: 第3行:
 
= 概述 =
 
= 概述 =
  
WFilter NGF可以作为网关或者网桥方式部署。
+
WFilter NGF支持网关、网桥、旁路三种部署方式,[[CompareFeatures|不同部署模式的功能比较]]。
* 网关模式下可以使用到WFilter的所有功能,包括:划分VLAN、端口映射、VPN等功能。
+
* 网关模式下可以使用到WFilter的所有功能,包括网桥模式下不具备的一些功能:划分VLAN、端口映射等功能。
* 网桥模式的优点在于透明部署,不需要修改现有的网络配置。
+
* 网桥模式的优点在于透明部署,不需要修改现有的网络配置。也一样可以实现上网行为管理、流控等绝大部分功能。
 +
* 旁路模式通过交换机的端口镜像功能来实现管控。因为设备并不串联在网络中,所以不具备流控、SSL监控等功能。
  
 
= 网关部署 =
 
= 网关部署 =
第14行: 第15行:
  
 
== 外网配置 ==
 
== 外网配置 ==
[[文件:interface_gateway01.png|800px]]
+
[[文件:interface_gateway01.png|900px]]
  
 
[[文件:interface_gateway02.png|600px]]
 
[[文件:interface_gateway02.png|600px]]
  
* 上网方式:支持PPPoE、动态IP(DHCP)、固定IP。
+
* '''上网方式''':支持PPPoE、动态IP(DHCP)、固定IP。
* 自动DNS:对于PPPoE和动态IP的上网方式,该选项会使用获取到的DNS服务器作为DNS。否则使用“DNS配置”中的DNS服务器。
+
* '''自动DNS''':对于PPPoE和动态IP的上网方式,该选项会使用获取到的DNS服务器作为DNS。否则使用“DNS配置”中的DNS服务器。
* MAC地址克隆:修改WAN口的MAC地址。
+
* '''MAC地址克隆''':修改WAN口的MAC地址。
* VLAN ID:在WAN口启用802.1q VLAN。
+
* '''VLAN ID''':在WAN口启用802.1q VLAN。
  
 
== 内网配置 ==
 
== 内网配置 ==
 +
 +
[[文件:interface_gateway05.png|900px]]
 +
 
[[文件:interface_gateway03.png|800px]]
 
[[文件:interface_gateway03.png|800px]]
  
[[文件:interface_gateway04.png|600px]]
+
[[文件:interface_gateway04.png|800px]]
  
每个内网接口都可以单独配置一个网段,也可以多个内网接口共享同一个网段。
+
* 每个内网接口都可以单独配置一个网段,也可以多个内网接口共享同一个网段。
 +
* 每个内网接口都可以单独启用DHCP服务。
 +
* 如果在[[ipbound|IP-MAC绑定]]中绑定了IP-MAC地址,客户机通过DHCP会获取到绑定的IP地址。
 +
=== DHCP扩展选项 ===
 +
* 如果配置了多个LAN口IP,DHCP自动开启在最小IP的网段上。
 +
* 默认情况下(不配置任何扩展选项时),默认网关和DNS服务器都指向WFilter的该网段内网IP。
 +
* 有时候我们需要修改默认的DHCP选项,可以在该扩展选项中进行配置,格式:“DHCP代码,内容”(每行一项)。一些常见的DHCP选项如下:
 +
** 3,192.168.1.1(默认网关)
 +
** 6,114.114.114.114(DNS)
 +
** 6,114.114.114.114,114.114.115.115(多个DNS)
  
 
= 网桥部署 =
 
= 网桥部署 =
网桥模式:使用网桥模式,可以在不改变现有网络结构的前提下部署WFilter上网行为管理。在网桥模式下,有一些功能是不可用的,包括:端口映射、VPN等。其他功能和网关模式一样,包括:上网行为管理、带宽优化、记录和统计等等。网桥模式的网络结构如下图:
+
网桥模式:使用网桥模式,可以在不改变现有网络结构的前提下部署WFilter上网行为管理。在网桥模式下,有一些功能是不可用的,包括:端口映射、划分网段等。其他功能和网关模式一样,包括:上网行为管理、带宽优化、记录和统计等等。网桥模式的网络结构如下图:
  
 
[[文件:ros_guide_bridge.png|600px]]
 
[[文件:ros_guide_bridge.png|600px]]
 +
 +
== 网桥配置项 ==
 +
 +
[[文件:interface_bridge01.png|900px]]
 +
 +
* 每个网桥由“内网口”和“外网口”组成。
 +
* 可以创建多个网桥。
 +
* 第一组网桥可以设置单独的管理口。
 +
 +
[[文件:interface_bridge02.png|600px]]
 +
 +
* 管理口:
 +
** 管理口用于打开Web界面;Web认证等。
 +
** '''IP地址和子网掩码''':管理口的IP地址。
 +
** '''网关''':管理口的网关地址。WFilter通过该网关来上网获取更新。
 +
** '''内网IP段''':要管理的内网客户机IP段。格式:192.168.1.0/24,每行一个,支持多个。要排除的内网网段前加“-”号,如“-192.168.1.20/32”。
 +
 +
[[文件:interface_bridge03.png|600px]]
 +
 +
“未分类”中的网卡可以创建新网桥,新网桥只需要选择内外网网卡即可。
 +
 +
= 旁路部署 =
 +
旁路部署:在交换机上配置镜像端口,本系统的监听网卡接在镜像端口上。旁路部署的网络结构如下图:
 +
 +
[[文件:ros_guide_passby.png|600px]]
 +
 +
* 监控口用于接收网络数据包,一般需要和交换机的“镜像端口”连接,从而获取上网数据。
 +
* 管理口用于设备自身连接网络,同时用于发送拦截包阻断客户机的TCP连接。管理口所在VLAN应当可以和被管控的VLAN通讯。
 +
 +
= 相关链接 =
 +
* [http://www.imfirewall.com/blog/post/413.html WSG上网行为管理网关的初步设置详细教程]
 +
* [http://www.imfirewall.com/blog/post/426.html WSG上网行为管理的网桥部署具体步骤]
 +
* [https://www.bilibili.com/video/BV1NK4y167QB WSG上网行为管理的网关部署视频教程]
 +
* [https://www.bilibili.com/video/BV18C4y1K77W WSG上网行为管理的网桥部署视频步骤]
 +
* [http://www.imfirewall.com/blog/post/542.html 一次在三层交换机环境网桥部署WSG上网行为管理的实际经历]
 +
* [http://www.imfirewall.com/blog/post/299.html WSG上网行为管理网关的几种组网方案探讨]
 +
* [http://www.imfirewall.com/blog/post/207.html 多VLAN三层交换机如何连接WSG上网行为管理网关?]
 +
* [http://www.imfirewall.com/blog/post/383.html WSG上网行为管理网关如何划分VLAN?]
 +
* [http://www.imfirewall.com/blog/post/452.html WSG上网行为管理的路由部署模式介绍]
 +
* [http://www.imfirewall.com/blog/post/471.html WSG网桥部署的两种配置方式]
 +
* [http://www.imfirewall.com/blog/post/479.html WSG上网行为管理网关的光口如何使用?]
 +
* [http://icf.imfirewall.com/Deployment 旁路部署方案(含交换机端口镜像配置)]
 +
* [https://www.bilibili.com/video/BV1Py421v7rJ/ WSG部署模式的视频介绍]
 +
* [http://www.imfirewall.com/blog/post/566.html WSG拨号上网如何配置IPv6地址?]
 +
* [http://www.imfirewall.com/blog/post/567.html WSG如何配置静态IPv6地址?]
 +
 +
[[Category:Network]]

2024年9月14日 (六) 14:30的最新版本


1 概述

WFilter NGF支持网关、网桥、旁路三种部署方式,不同部署模式的功能比较

  • 网关模式下可以使用到WFilter的所有功能,包括网桥模式下不具备的一些功能:划分VLAN、端口映射等功能。
  • 网桥模式的优点在于透明部署,不需要修改现有的网络配置。也一样可以实现上网行为管理、流控等绝大部分功能。
  • 旁路模式通过交换机的端口镜像功能来实现管控。因为设备并不串联在网络中,所以不具备流控、SSL监控等功能。

2 网关部署

网关模式:WFilter系统作为整个子网的网关提供路由功能,此模式下,一般建议用“WFilter NGF”替换掉现有的路由器,也可以在现有的路由器后再建一个子网。网络结构如下图:

Ros guide gateway.png

2.1 外网配置

Interface gateway01.png

Interface gateway02.png

  • 上网方式:支持PPPoE、动态IP(DHCP)、固定IP。
  • 自动DNS:对于PPPoE和动态IP的上网方式,该选项会使用获取到的DNS服务器作为DNS。否则使用“DNS配置”中的DNS服务器。
  • MAC地址克隆:修改WAN口的MAC地址。
  • VLAN ID:在WAN口启用802.1q VLAN。

2.2 内网配置

Interface gateway05.png

Interface gateway03.png

Interface gateway04.png

  • 每个内网接口都可以单独配置一个网段,也可以多个内网接口共享同一个网段。
  • 每个内网接口都可以单独启用DHCP服务。
  • 如果在IP-MAC绑定中绑定了IP-MAC地址,客户机通过DHCP会获取到绑定的IP地址。

2.2.1 DHCP扩展选项

  • 如果配置了多个LAN口IP,DHCP自动开启在最小IP的网段上。
  • 默认情况下(不配置任何扩展选项时),默认网关和DNS服务器都指向WFilter的该网段内网IP。
  • 有时候我们需要修改默认的DHCP选项,可以在该扩展选项中进行配置,格式:“DHCP代码,内容”(每行一项)。一些常见的DHCP选项如下:
    • 3,192.168.1.1(默认网关)
    • 6,114.114.114.114(DNS)
    • 6,114.114.114.114,114.114.115.115(多个DNS)

3 网桥部署

网桥模式:使用网桥模式,可以在不改变现有网络结构的前提下部署WFilter上网行为管理。在网桥模式下,有一些功能是不可用的,包括:端口映射、划分网段等。其他功能和网关模式一样,包括:上网行为管理、带宽优化、记录和统计等等。网桥模式的网络结构如下图:

Ros guide bridge.png

3.1 网桥配置项

Interface bridge01.png

  • 每个网桥由“内网口”和“外网口”组成。
  • 可以创建多个网桥。
  • 第一组网桥可以设置单独的管理口。

Interface bridge02.png

  • 管理口:
    • 管理口用于打开Web界面;Web认证等。
    • IP地址和子网掩码:管理口的IP地址。
    • 网关:管理口的网关地址。WFilter通过该网关来上网获取更新。
    • 内网IP段:要管理的内网客户机IP段。格式:192.168.1.0/24,每行一个,支持多个。要排除的内网网段前加“-”号,如“-192.168.1.20/32”。

Interface bridge03.png

“未分类”中的网卡可以创建新网桥,新网桥只需要选择内外网网卡即可。

4 旁路部署

旁路部署:在交换机上配置镜像端口,本系统的监听网卡接在镜像端口上。旁路部署的网络结构如下图:

Ros guide passby.png

  • 监控口用于接收网络数据包,一般需要和交换机的“镜像端口”连接,从而获取上网数据。
  • 管理口用于设备自身连接网络,同时用于发送拦截包阻断客户机的TCP连接。管理口所在VLAN应当可以和被管控的VLAN通讯。

5 相关链接