公司使用的ROS 软路由 和Cisco 交换机,划分的Vlan网络,路由器是ROS,在部署行为管理时,只能用端口镜像,但效果,表现比较一般,不能过滤内容,且公司终端数据比较多,网络出口压力日渐增大,需要部署WEB CACHE 缓存服务器,但是并不想改变现有的网络架构,也不想增加过多的网络成本,所以使用ROS+Squid+网络岗的部署方案。
ROS是很不错的软件路由器,功能很强大,不是一般的路由器能与之相提并论的,虽然ROS也有类似WEB Cache的功能(WEB代理),但功能较弱,且管理能力也比较弱,与专业的Squid还是有比较大的距离,所以我们要在ROS下,把 WEB 端口数据,80和8080重定向到Squid 上,通过Squid 代理浏览网页,并对网络内容进行缓存,客户端不用进行任何设置。
为了大家容易理解,上图把Squid 放到了和ROS放在了一起,实际上是不在一起的,ROS可以把端口重定向到局域网内任意一台机器。
部署过程:
Windows 版本 Squid:下载:www.os-v.com/download/squid-2.7.STABLE8-bin.zip
网络岗:就请百度啦,我们用的可是正版,我们也是干软件开发的,也要照顾下同行,虽然不是同一个行业的,我们是做虚拟化的,他们是做行为管理的,呵呵
注: 这里要说明下,我们公司部署过Hyper-v Server ,虚拟机较多,我们是做了一台全新的虚拟机,用来安装Squid 和网络岗的,虚拟机中的操作系统为 windows server 2008 r2,记住要关掉 防火墙或者统计例外哦。
第一步:
将下载的squid-2.7.STABLE8-bin.zip 解压到以C:/根目录,进入到C:\squid\etc 目录,将mime.conf.default 改名为 mime.conf squid.conf.default 改名为squid.conf
第二步:
配置刚刚改名的squid.conf
找到# http_port
修改为 http_port 8080 transparent
找到 cache_dir
修改为 cache_dir ufs c:/squid/var/cache 204800 16 256
找到 cache_mem
修改为 cache_mem 256 MB
添加下面二个配置:
maximum_object_size 1024 MB
quick_abort_min -1 KB
Squid 到现在基本配置完成了,如果高组配置缓存,还请百度啊,网上教程还是比较多的。
第三步:
注册服务:
开始,运行 C:\squid\sbin\squid.exe –i
C:\squid\sbin\squid.exe –z
Sc start squid 启动服务
第四步,
安装行为管理软件,这里就不详细介绍了,因为使用了重定向,在网络岗下,只能看见一台机器,IP是路由,我们在这里,只把网络岗作为WEB过滤使用,在交换机上,做了端口镜像,安装了行为管理软件,进行网络审计。
第五步
调整ROS,使用Winbox 连接ROs,执行
/ip firewall nat
add action=dst-nat chain=dstnat comment=web_cache disabled=no \
dst-address-type=”" dst-port=80,8080 in-interface=!PPPOE protocol=tcp \
src-address=!192.168.88.189 src-address-type=”" to-addresses=\
192.168.88.189 to-ports=8080
作用是 将 所有接口的80,8080这二个端口重定向到 192.168.88.189 这个IP的8080端口上,并排除Squid(当然了不能把Squid也重定向了,所以要排除)
到此为止,部署完成,实现了行为管理,也对WEB进行了缓存,提升用户体验和降低对出口的带宽的压力,整个做下来,与原有架构比,没有改变网络架构,也没有多花一分钱,行为管理是早就买上了的,这种架构的好处在于,如果Squid挂了,只用调整ROS,就能恢复网页的浏览,或者高手可以直接写一个ROS角本,自动检查Squid的工作状态,如果不正常,则直接关掉重定向,完全不影响用户,Squid 也能调的缓存视频,但我们公司不认看视频,所以就没去试验,而是在网络岗中直接封了视频。
原文链接:http://www.os-v.com/blog/192.html