旁听模式
原理是旁路监听,是经过交换机的镜像功能来实现监控,该模式须要采用共享式HUB或交换机镜像。但是如采用老式的共享式HUB将影响网络出口性能,如采用镜像模式,一方面须要投资支持双向的镜像交换机设备,另外一方面须要专业的人设置镜像交换机。该模式的优势是部署方便灵活,只要在交换机上面配置镜像端口便可,不须要改变现有的网络结构。并且旁路监控设备一旦中止工做,也不会影响网络的正常运行。缺点在于,旁听模式经过发送RST包只能断开TCP链接,不能控制UDP通信,若是要禁止UDP方式通信的软件,须要在路由器上面作相关设置进行配合。
网络监控软件旁路模式有3大优势:
1. 安装操做简单方便。旁路监控模式部署起来比较灵活方便,只须要在交换机上面配置镜像端口便可。不会影响现有的网络结构。而串联模式通常要做为网关或者网桥,因此须要对现有网络结构进行变更。
2. 响应速度快。旁路模式分析的是镜像端口拷贝过来的数据,对原始传递的数据包不会形成延时,不会对网速形成任何影响。而串联模式是串联在网络中的,那么全部的数据必须先通过监控系统,经过监控系统的分析检查以后,才可以发送到各个客户端,因此会对网速有必定的延时。
3. 不影响正常上网。旁路监控软件一旦故障或者中止运行,不会影响现有网络的正常缘由。而串联监控设备若是出现故障,会致使网络中断,致使网络单点故障。
旁路监控和串联监控的比较
常见的网络监控模式能够分为两种:一种是串联监控模式,另外一种是旁路监控模式。
旁路模式通常是指经过交换机等网络设备的“端口镜像”功能来实现监控,在此模式下,监控设备只须要链接到交换机的指定镜像端口,因此形象的称之为“旁路监控”;而串联模式通常是经过网关或者网桥的模式来进行监控,因为监控设备作为网关或者网桥串联在网络中,因此称之为“串联监控模式”。
旁路模式和串联模式各有其优缺点,比较以下:
旁路模式的优势:
1. 旁路监控模式部署起来比较灵活方便,只须要在交换机上面配置镜像端口便可。不会影响现有的网络结构。而串联模式通常要做为网关或者网桥,因此须要对现有网络结构进行变更。
2. 旁路模式分析的是镜像端口拷贝过来的数据,对原始传递的数据包不会形成延时,不会对网速形成任何影响。而串联模式是串联在网络中的,那么全部的数据必须先通过监控系统,经过监控系统的分析检查以后,才可以发送到各个客户端,因此会对网速有必定的延时。
3. 旁路监控设备一旦故障或者中止运行,不会影响现有网络的正常缘由。而串联监控设备若是出现故障,会致使网络中断,致使网络单点故障。
旁路模式的缺点:
1. 须要交换机支持端口镜像才能够实现监控。
2. 旁路模式采用发送RST包的方式来断开TCP链接,不能禁止UDP通信。对于UDP应用,通常还须要在路由器上面禁止UDP端口进行配合。而串联模式不存在该问题。
3.旁路模式不处理原始数据包,因此没法分配实时带宽。关于如何在旁路模式下实现流量监控和局域网限速,请参见:www.imfirewall.com/blog/post/48.html
在多网段环境下,因为路由器屏蔽了原始的MAC地址,致使WFilter不能直接监控到客户机的MAC地址信息。此问题能够经过安装“MAC地址收集器”来解决。“MAC地址收集器”能够把网段内的MAC地址信息发送给WFilter监控服务器,从而实现MAC地址的监控。
“MAC地址收集器”有两种工做模式:
SNMP模式(推荐) : 经过网管交换机或者路由器的SNMP功能来获取MAC地址信息。须要设备支持SNMP管理。
ARP模式 :经过ARP协议获取本网段的MAC地址信息,不须要设备支持。
本文将演示在多网段环境下经过“MAC收集器”的“ARP模式”实现“根据MAC地址监控”。网络结构图以下:
图 1
如上图,WFilter经过交换机的镜像口来监控不一样网段,为了监控到192.168.50.x网段的MAC地址,咱们须要在192.168.50.x网段内安装“Mac收集器”(若是须要监控多个网段的MAC地址,须要在每一个网段内都安装“Mac收集器”)。步骤以下:
1. 安装MAC收集器
如图在192.168.50.x网段内安装“Mac收集器”,在安装过程当中,填写WFilter服务器IP,网卡选择相对应的网卡便可。
图 2
2. 检查WFilter监控效果
未安装MAC收集器时,WFilter不能监控到实际的MAC地址,下图为WFilter监控到的MAC地址和实际的MAC地址
图 3(监控到的MAC地址)
图 4(实际的MAC地址)
安装MAC收集器后,WFilter就能够监控到实际的MAC地址,如图所示:
图 5
903
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
