公司使用的ROS 軟路由 和Cisco 交換機,劃分的Vlan網絡,路由器是ROS,在部署行爲管理時,只能用端口鏡像,但效果,表現比較一般,不能過濾內容,且公司終端數據比較多,網絡出口壓力日漸增大,需要部署WEB CACHE 緩存服務器,但是並不想改變現有的網絡架構,也不想增加過多的網絡成本,所以使用ROS+Squid+網絡崗的部署方案。
ROS是很不錯的軟件路由器,功能很強大,不是一般的路由器能與之相提並論的,雖然ROS也有類似WEB Cache的功能(WEB代理),但功能較弱,且管理能力也比較弱,與專業的Squid還是有比較大的距離,所以我們要在ROS下,把 WEB 端口數據,80和8080重定向到Squid 上,通過Squid 代理瀏覽網頁,並對網絡內容進行緩存,客戶端不用進行任何設置。
爲了大家容易理解,上圖把Squid 放到了和ROS放在了一起,實際上是不在一起的,ROS可以把端口重定向到局域網內任意一臺機器。
部署過程:
Windows 版本 Squid:下載:www.os-v.com/download/squid-2.7.STABLE8-bin.zip
網絡崗:就請百度啦,我們用的可是正版,我們也是幹軟件開發的,也要照顧下同行,雖然不是同一個行業的,我們是做虛擬化的,他們是做行爲管理的,呵呵
注: 這裏要說明下,我們公司部署過Hyper-v Server ,虛擬機較多,我們是做了一臺全新的虛擬機,用來安裝Squid 和網絡崗的,虛擬機中的操作系統爲 windows server 2008 r2,記住要關掉 防火牆或者統計例外哦。
第一步:
將下載的squid-2.7.STABLE8-bin.zip 解壓到以C:/根目錄,進入到C:\squid\etc 目錄,將mime.conf.default 改名爲 mime.conf squid.conf.default 改名爲squid.conf
第二步:
配置剛剛改名的squid.conf
找到# http_port
修改爲 http_port 8080 transparent
找到 cache_dir
修改爲 cache_dir ufs c:/squid/var/cache 204800 16 256
找到 cache_mem
修改爲 cache_mem 256 MB
添加下面二個配置:
maximum_object_size 1024 MB
quick_abort_min -1 KB
Squid 到現在基本配置完成了,如果高組配置緩存,還請百度啊,網上教程還是比較多的。
第三步:
註冊服務:
開始,運行 C:\squid\sbin\squid.exe –i
C:\squid\sbin\squid.exe –z
Sc start squid 啓動服務
第四步,
安裝行爲管理軟件,這裏就不詳細介紹了,因爲使用了重定向,在網絡崗下,只能看見一臺機器,IP是路由,我們在這裏,只把網絡崗作爲WEB過濾使用,在交換機上,做了端口鏡像,安裝了行爲管理軟件,進行網絡審計。
第五步
調整ROS,使用Winbox 連接ROs,執行
/ip firewall nat
add action=dst-nat chain=dstnat comment=web_cache disabled=no \
dst-address-type=”" dst-port=80,8080 in-interface=!PPPOE protocol=tcp \
src-address=!192.168.88.189 src-address-type=”" to-addresses=\
192.168.88.189 to-ports=8080
作用是 將 所有接口的80,8080這二個端口重定向到 192.168.88.189 這個IP的8080端口上,並排除Squid(當然了不能把Squid也重定向了,所以要排除)
到此爲止,部署完成,實現了行爲管理,也對WEB進行了緩存,提升用戶體驗和降低對出口的帶寬的壓力,整個做下來,與原有架構比,沒有改變網絡架構,也沒有多花一分錢,行爲管理是早就買上了的,這種架構的好處在於,如果Squid掛了,只用調整ROS,就能恢復網頁的瀏覽,或者高手可以直接寫一個ROS角本,自動檢查Squid的工作狀態,如果不正常,則直接關掉重定向,完全不影響用戶,Squid 也能調的緩存視頻,但我們公司不認看視頻,所以就沒去試驗,而是在網絡崗中直接封了視頻。