微信目前已经成为一个不可或缺的通讯工具。在带宽有限的情况下，要保证微信的正常使用，究竟需要多大的带宽呢？为了研究此问题，我们做了如下的测试。

1. 不做任何限速

如上图所示，微信的初始化大概占用了50KBps的带宽，而发送文字消息的带宽占用则小于1kBps。

我们一般把WSG上网行为管理的使用分为三个步骤：安装部署、基本配置、策略配置。

1. 安装部署：把设备安装到网络中，使网络能正常工作。
   

2. 基础配置：DHCP和VLAN设置、防火墙策略、端口映射、分组设置等基本配置。

3. 策略配置：上网行为的审计策略、过滤策略、查询和报表等功能和配置。

在本文中，我将介绍WSG网关的安装部署的具体步骤。用户拿到设备后，按此步骤即可完成安装部署工作，并且开通远程管理访问。使技术人员可以进行远程协助配置。

来宾用户、流动人员比较多的局域网，如果不对来宾上网进行管控，不但会占用企业带宽资源，还会带来安全隐患和政策风险。对于企业环境来说，一般推荐来宾和办公网络采用不同的无线SSID，分开进行管控。具体方案如下：

1. 来宾和办公网络采用不同的无线SSID。
   

2. 对来宾和办公采用不同的限速和行为管理策略。

3. 来宾和办公网络采用不同的VLAN，并且不允许来宾访问公司内网。

4. 不但要设置不同的无线密码，而且需要进行IP-MAC绑定等策略，禁止来宾用户接入到办公网络。

对于企业局域网来说，一个合理的IP地址分配是网络安全和网络管理的基础，IP地址管理的好坏直接影响着企业员工的工作效率及企业的信息安全。
局域网的IP地址分配，需要考虑到如下方面：

1. 服务器的IP地址段和办公电脑的IP地址段要区分开。

2. 手机、pad等移动设备需要自动获取IP。

3. 无线由于安全性比较低，一般需要用VLAN进行隔离。

4. 每个网段的客户机数量不宜过多，有线250以内，无线150以内比较合理。否则会引起网络风暴。
   

下面是我总结的企业局域网IP地址分配方案，EMC易倍体育能对大家有帮助。

现在无线组网越来越普遍，但是不合理的组网方案，往往会导致无线接入缓慢、网络卡的情况。根据我们的经验和抓包分析，由于无线设备（包括AP、AC等）在通讯过程会更多的依赖广播包，非常容易出现广播风暴。无线网络的稳定运行，请注意如下几点：

1. 首先要合理的进行AP布局，保证无线信号强度、并且避免无线信号的互相干扰。

2. 合理的VLAN划分。无线设备的广播包比较多，非常容易产生广播风暴。一个VLAN容纳的无线设备要控制在200以内。

3. 主路由网关的性能要强劲，并且设置上网行为管理策略和流控策略。
   

4. 定期检测广播风暴等网络问题

某企业由于网络架设比较早，网络设备和网络结构已经不再适合当前的网络需要。为了更好的实现网络管理和信息安全的需要，提出了如下升级改造需求：

1. 带宽扩容，采用两条宽带接入。
   

2. 内网需要划分不同的VLAN，分为办公、监控、生产几大网段。

3. 内网客户机需要进行严格的IP-MAC绑定，只有绑定后的设备才可以接入。

4. 全网上网行为审计记录。

5. 部署上网行为管理策略，建立上网秩序。

对于局域网而言，断网基本上都是灾难性的，领导、同事立刻唉声占道、催个不停。作为一名网络管理人员，不可避免经常会碰到断网的情况。保持冷静的头脑，迅速的定位问题所在，可以说是一个网管必备的基本素养。

本文中，我将介绍几条dos下的命令，掌握好这几条命令，一分钟内就可以定位断网原因。

很多企业为了解决网速不够用的问题，都升级了带宽资源。比如50M升级到100M，或者干脆多拉几根外线。但是，很多用户发现，带宽升级了但是网络还是慢。

本文中，我整理了企业带宽优化的三点要求。带宽升级后，一定要注意这三点，才能真正的享受带宽升级带来的更好宽带体验。

随着互联网的飞速发展，对带宽的要求也越来越高。一些办公软件动辄就需要几个G，视频会议、视频播放等都需要稳定的带宽资源保障；而且员工的办公和娱乐需要也会占用了大量的带宽。

这种情况下，不但需要对企业的带宽进行升级，而且要对带宽的使用进行更加合理的分配和管理；才可以有效的提高网速和优化带宽的使用效率。本文中，我将列出我们在网络升级中需要重点关注的几点建议，从而真正的达到优化带宽的目的。

1. 多WAN口接入

由于企业业务的需要，很多企业都会申请专线接入。但是专线的费用比较高，如果用专线来提供办公上网就会非常浪费。所以一般推荐“专线+家庭带宽“的方式：

1. 一根较小带宽的专线接入（比如20M专线），用于提供业务相关的网络服务。
   

2. 一根较大带宽的家庭带宽，用于提供办公上网。

不合法(私接)的DHCP服务，会使局域网其他客户机获取到错误的IP地址，从而导致上不了网。为了诊断此问题，WFilter的网络健康度检测插件的再次升级添加了"DHCP冲突检测”的功能。具体步骤如下图：

本文将介绍如何用WFilter NGF来实现短信认证网关，以及短信平台的具体实现步骤。

1. 首先要搭建短信Web服务

WFilter NGF的短信发送通过调用Web API来实现，支持Web API接口的短信平台很多（一些短信猫也可以支持Web API）。下文中，我们以阿里云的短信服务为例。首先需要创建AccessKey，如下图：

ping命令可以说是网络管理中最常用的一个命令行工具了，利用ping可以非常迅速的诊断出网络问题。今天，我就来教大家如何用ping来检测网络问题。

当网络缓慢，上不了网时，请按如下步骤来执行ping命令：

1. ping内网网关

首先要先ping内网的网关地址，确保内网是畅通的。如下图：

内网的丢包率应该为0，有线ping值一般在1ms以内，无线ping值1ms-20ms之间。如果存在丢包或者ping值很高，那么问题就在内网。需要排查内网网线、环路、交换机等设备问题。

我们在选择网关设备的时候，经常会面临选择路由器还是专业网关（x86架构工控机）的问题。本文将从硬件角度来解释这两者的差别。

两者的硬件架构都由CPU、存储、内存（RAM）组成，但是配件的差别非常大。

这里说的硬件防火墙，就是专业防火墙，入侵检测，主动防御，病毒防护，这些基本的以外，还有杀毒库，针对病毒查杀。这样的硬件防火墙一般过万，甚至过大几万。什么样的局域网环境才需要呢。毋庸置疑，经济上得是一个宽裕的局域网。技术上以及必要性上呢。

其实就一个必要性，局域网里面有对外网发布的WEB服务，比如WEB服务器，邮件服务器等。这样可以从互联互直接访问，容易遭遇黑客，攻击，这样的环境，不管大小，千万别吝啬，买一台硬防，有力又有利。

但是如果只是普通局域网，没有需要外部访问的服务器 ，有的路由上甚至连做端口映射 外部也就访问不到内部的服务器了 
那么就没有必要安装硬件防火墙了。哪怕有ERP，有组网VPN，用不用专业硬件防火墙，技术上真的不重要，国内现在运营商已经把常见的80端口都禁止掉了，直接通过80端口连不了。而普通局域网要注重的则是内网安全，内网安全防护好了，外网自然也不会有任何问题。所谓安全，所谓防护，所谓上网行为管理，并不是局域网出了问题了，才来解决，而是平时上网建立良好的上网秩序，规范上网行为和内容，养成良好的上网行为习惯，网络自然健康通畅。

划分VLAN一般出于如下几个目的：

1. 把内网划分为不同的网段，可以提高内网安全性，而且更加便于管理。比如：有线和无线处于不同的网段，不允许无线设备访问企业内网，这样可以保护内部信息安全；而且可以对不同网段配置不同的上网策略和流控策略。

2. 分割广播域，避免广播风暴。广播风暴这个现象，在无线时代更加突出，AP设备的发现、管理等操作都会产生广播包。

那么，什么情况下需要划分VLAN呢？主要考虑以下几点：

为了管理和安全需要，很多局域网都要求固定IP，每个设备的IP地址和mac地址都登记在案，结合IP-mac绑定，从而使上网记录、病毒攻击都有据可查，并且可以迅速定位到个人。但是和自动获取IP地址比较，固定IP也有一些弊端：

1. 配置较复杂，一些非技术人员不懂也不会配置IP地址。需要网管人员全局维护。
   

2. 固定IP地址列表需要维护。人员离职、电脑报废后，IP地址如果没有及时回收，会导致IP地址不够用。

本文我将结合WFilter（WSG网关）的IP-mac绑定功能，介绍如何分配、管理和回收IP地址。

2018俄罗斯世界杯大幕拉开，世界杯期间球迷们将通过各种途径观看世界杯。互联网作为世界杯的主要承载媒体，也使得我们的网络感受到了前所未有的压力。对于各类企事业单位来说，首要保障公司业务所需的带宽资源，同时也要人性化的满足世界杯的激情需要。

因此在世界杯期间，无论是门户网站、运营商或是企事业单位，都需要解决带宽分配和流量管理的问题。既让客户和员工可以观看世界杯，同时又要让企业的网络带宽不被抢占，关键应用的质量不受影响。

在大部分公司，客人用的WiFi和员工用的WiFi都是分开的。从理论上来说，这样有利于局域网的信息安全。但是有些员工缺乏安全意识，会有意无意的泄漏办公WiFi的密码，甚至公开张贴WiFi密码，再加上一些共享WiFi密码的app；实际上你自认为安全的办公WiFi密码实际上并不安全。

一旦来宾、其他人员接入了公司WiFi，就可以直接访问到企业内网，这时候勒索病毒、黑客入侵就已经离你不远了。所以，企业在提供WiFi时，安全是头等大事，绝对不容忽视。

本文，我们将探讨如何禁止客人wifi访问到公司内部的局域网？具体方案如下：

现在大部分局域网都提供了无线上网的功能。无线主要用于满足以下几种需求：

1. 无线办公的需要，比如无线pos机等办公设备。
   

2. 员工无线上网的需要。

3. 来宾、客人的无线上网。

这样就带来了相关的安全性问题：

1. 来宾有可能通过无线接入到企业内网，导致安全隐患。

2. 员工有可能通过来宾的无线网络上网，从而绕开公司的行为管理策略，影响工作效率。

目前大部分解决方案都是来宾网络和内部无线网络使用不同的无线SSID和密码。但是实际上这个方案存在很大的漏洞：密码泄漏。来宾可以直接询问到内网的无线密码，甚至很多无线密码都是公开张贴的。而企业员工更是可以直接通过来宾网络上网。

本文将结合WFilter NGF的相关功能，来介绍更进阶的解决方案。

这里说的路由，是千元以上的路由，一千块以下的就不谈的。现在很多企业路由，都说有这样的功能，

IP-MAC绑定是很多路由，网关的一个常见功能，主要用来绑定局域网终端的IP地址，防止终端随便修改IP，导致网内IP地址冲突，而导致网络歇火。先来说IP-MAC绑定的原理分两个部分：前部分，所谓绑定，就是让这台电脑的MAC始终获取同一个ip地址或者指定ip，这个做到很容易，很多路由都号称有这样功能称之IP-MAC绑定。但是做到这一步，没啥意义，因为上网终端一旦修改了IP，照样可以上网，照样IP冲突，真正夯实IP-MAC绑定的是后半部分，这个上网行为管理才可以做到（核心交换机也能做到，但是配置很麻烦费事）要有上网数据，通过行为管理来检测这个这个MAC是不是一直都是获取的这个IP，一旦不是获取的这个IP或者IP被擅自修改了，就会让MAC断网。或者一旦有新的没有登记再案的终端进来（电脑，路由或者手机）进来，即使插上，也无法上网

DHCP服务用于给局域网的客户机分配IP地址，从而实现统一的IP地址管理，可以有效简化配置过程，并且防止IP冲突等异常。但是有时候我们也会发现电脑获取不到IP的情况。这时候该怎么诊断呢？分两种情况：

1. 所有的电脑都获取不到IP，基本可以判断是DHCP服务出了问题，一般需要检查和重启DHCP。
   

2. 只有个别电脑获取不到IP，首先要排除网线接触问题和系统问题。

实际工作中发现，即使网线和系统都不存在问题时，有时候也会获取不到IP。这个情况是怎么产生的呢？请继续往下看。

IP地址冲突是网络管理的一个常见问题。尤其在企业局域网内部，由于管控策略的存在，总会有人试图通过修改IP地址来绕开管控、获取更多的上网权限以及更高的带宽。修改的IP一旦和公司的服务器发送IP冲突，会直接影响到办公和业务的正常运行。IP冲突的危害如下：

1. 绕开行为管理策略和流控策略的管控。
   

2. 导致被冲突的客户机断网。
   

3. 和服务器IP冲突会影响业务的正常运行。

4. 难以定位，使网络管理混乱无序。

微信WiFi的默认流程，已经从最初的“关注公众号”变成了目前的“打开公众号”。应该说，“打开公众号但是不强制关注“其实是一个更加人性化的做法；因为任何诱导/强制关注，都会影响最终用户的体验和公正性原则；长远来看会影响公众号的发展。微信WiFi如下图：