時間：6月11日，下午6：00-8：00左右

地點：單位的恐怖機房

人物：筆者小周、同事強盜一號

過程：

我們單位是一家大型礦業集團下屬的中型礦山，全部員工大概2000人左右。由于這幾年集團的效益還不錯，所以我們的信息化做的還不錯。我們單位通過一條1G光纖接入到集團總部，通過總部連接到互聯網絡。 單位內部，網絡設備全部采用光纖系統，一臺老的阿爾卡特核心交換，下面有數不清的、也不知道有多少層的交換設備，IP管理機器混亂。作為網管人員，非常頭疼，一直想將單位的設備規整規整，特別是IP地址統一管理起來。苦于位卑言輕，建議了若干次，都讓領導給“暫緩”了。

上周，集團公司分配了一臺青蓮網絡行為管理與審計系統AOS，說是一個網管設備，仔細研究了一下文檔等等，發現還比較符合我們的需求，提供了簡單的網管功能，而且能夠根據集團的需要設置相應的上網策略。

按照要求，本周需要把AOS部署完畢，花了兩天時間將單位內部的交換機、PC等等做了一個詳細的信息表，將網絡也做了簡單的調整，按照標準三層結構做了重新規劃，對于不非典型IP也重新做了調整。萬事具備，就準備正式部署青蓮AOS.

由于我們網絡設備都是采用光纖線路，所以沒有辦法在安裝AOS之前，只能去找廠家要兩個光纖模塊，AOS和我們核心交換都支持SFP單模，OK!就是花了點時間，確定波長問題，沒有辦法，誰叫我上崗才1年，對這些光纖還不是很熟悉。

我們經過討論，決定采用透明方式部署。首先給單位所有的人發通知，告訴他們從晚上6點到9點單位網絡升級，可能會斷網。 首先，按照AOS快速安裝手冊的指引先配置好了有關網絡地址等等內容，然后斷網、將AOS通過光纖串聯到網絡上去，在沒有開機的情況下，網絡居然是通的（后來廠家的工程師解釋說，因為有硬件BYPASS功能）。開機！ 問題就來了： 首先是網絡立即斷了，崩潰！ 通過帶外管理口172.21.0.1進入AOS后，IP地址等配置均沒有錯，而且用系統自帶的工具測試，連接網絡正常，可后面的計算機就是顯示網絡是斷的狀態，崩潰！ 電話聯系廠商工程師，才發現一個小細節沒有顧及到“AOS在默認狀態下，禁止所有非法用戶的互聯網連接”，我暈！  我們想著先部署產品，再來慢慢的導入有關用戶信息的。沒有辦法，在專家指引下，將AOS的這個訪問控制設置改成“非法用戶可以上網”。OK!通了！ 然后順利的掃描用戶，導出用戶、編輯用戶、導入用戶等等。

基本上也能看到所有的用戶的上網內容，嘿嘿！ 好有成就感！ 緊接著又崩潰了一次！根據單位的要求，禁止所有的電子游戲、在線電影、BT等等非法應用，可是就在禁止流媒體的時候發現不起作用了，明明禁止了土豆啊什么的，但后面用戶照樣可以看這些在線的東西！ 試了很多次，都沒有用！ 沒有辦法，又聯系專家，專家告知要同時把迅雷禁止掉，因為部分視頻流媒體等采用了迅雷和HTTP高速下載技術，所有要同時禁止！ 崩潰，這么復雜。

所有的設置完畢后，各種網絡應用的日志逐漸的出來了，讓我們比較驚喜的是，AOS提供的一些分析功能，非常的新穎，角度獨特：他們提供一種叫用戶行為軌跡的一個分析系統，在界面上看，就是每個應用在每個時間段的分布情況，并且將圖形和數據關聯，點擊一下應用分布態勢圈，就可以看到相應的用戶和應用信息，包括用戶名、應用名稱、流量等等，可以第一時間掌握系統的情況。如下圖：

圖1

點擊相應的應用趨勢圖，可以顯示如下信息：

圖2

其他的功能，都和網絡上其他的一些上網行為管理產品沒有大的區別，可能在細節上有些不同。 最大的不同，可能就是AOS的硬件平臺，采用了多核處理器平臺，是專用硬件設備，速度非常好！ 而且設備非常的輕，不像X86的硬件很笨重！

總結：

（1）部署AOS前，首先要導入用戶；并且將“禁止非法用戶上網”設置改成“允許非法用戶上網”。注意，AOS的斷電狀態下，網絡是通的，但在開機后的系統啟動一段時間，網絡是斷的。

（2）AOS采用的“先配置策略，再分別應用”的管理思路，所以要做訪問控制授權策略、審計類別策略等等，都需要我們事先根據單位的管理需要，先做和策略預設，然后在分別的應用，這樣就可以實現個性化的策略應用。

（3）AOS功能非常多，比如多線路負載均衡、流量管理、ARP防護等等，但在不同的部署方式下，有些功能不一定能夠用，但在網關部署方式下，所有的功能都提供的。

（4）AOS提供了7層管理策略，所以我們在配置策略的時候一定要小心，千萬不要因為策略問題，導致用戶對我們網管有意見。

（5）AOS的界面，比較崩潰，沒有按照中國人的傳統思維方式提供(居廠家工程師說，新的界面已經做完，7月份版本就可以用我們bi叫習慣的界面了)。