旁听模式
原理是旁路监听,是通过交换机的镜像功能来实现监控,该模式需要采用共享式HUB或交换机镜像。可是如采用老式的共享式HUB将影响网络出口性能,如采用镜像模式,一方面需要投资支持双向的镜像交换机设备,另一方面需要专业的人设置镜像交换机。该模式的优点是部署方便灵活,只要在交换机上面配置镜像端口即可,不需要改变现有的网络结构。而且旁路监控设备一旦停止工作,也不会影响网络的正常运行。缺点在于,旁听模式通过发送RST包只能断开TCP连接,不能控制UDP通讯,如果要禁止UDP方式通讯的软件,需要在路由器上面做相关设置进行配合。
网络监控软件旁路模式有3大优点:
1. 安装操作简单方便。旁路监控模式部署起来比较灵活方便,只需要在交换机上面配置镜像端口即可。不会影响现有的网络结构。而串联模式一般要作为网关或者网桥,所以需要对现有网络结构进行变动。
2. 响应速度快。旁路模式分析的是镜像端口拷贝过来的数据,对原始传递的数据包不会造成延时,不会对网速造成任何影响。而串联模式是串联在网络中的,那么所有的数据必须先经过监控系统,通过监控系统的分析检查之后,才能够发送到各个客户端,所以会对网速有一定的延时。
3. 不影响正常上网。旁路监控软件一旦故障或者停止运行,不会影响现有网络的正常原因。而串联监控设备如果出现故障,会导致网络中断,导致网络单点故障。
旁路监控和串联监控的比较
常见的网络监控模式可以分为两种:一种是串联监控模式,另一种是旁路监控模式。
旁路模式一般是指通过交换机等网络设备的“端口镜像”功能来实现监控,在此模式下,监控设备只需要连接到交换机的指定镜像端口,所以形象的称之为“旁路监控”;而串联模式一般是通过网关或者网桥的模式来进行监控,由于监控设备做为网关或者网桥串联在网络中,所以称之为“串联监控模式”。
旁路模式和串联模式各有其优缺点,比较如下:
旁路模式的优点:
1. 旁路监控模式部署起来比较灵活方便,只需要在交换机上面配置镜像端口即可。不会影响现有的网络结构。而串联模式一般要作为网关或者网桥,所以需要对现有网络结构进行变动。
2. 旁路模式分析的是镜像端口拷贝过来的数据,对原始传递的数据包不会造成延时,不会对网速造成任何影响。而串联模式是串联在网络中的,那么所有的数据必须先经过监控系统,通过监控系统的分析检查之后,才能够发送到各个客户端,所以会对网速有一定的延时。
3. 旁路监控设备一旦故障或者停止运行,不会影响现有网络的正常原因。而串联监控设备如果出现故障,会导致网络中断,导致网络单点故障。
旁路模式的缺点:
1. 需要交换机支持端口镜像才可以实现监控。
2. 旁路模式采用发送RST包的方式来断开TCP连接,不能禁止UDP通讯。对于UDP应用,一般还需要在路由器上面禁止UDP端口进行配合。而串联模式不存在该问题。
3.旁路模式不处理原始数据包,所以无法分配实时带宽。关于如何在旁路模式下实现流量监控和局域网限速,请参见:www.imfirewall.com/blog/post/48.html
在多网段环境下,由于路由器屏蔽了原始的MAC地址,导致WFilter不能直接监控到客户机的MAC地址信息。此问题可以通过安装“MAC地址收集器”来解决。“MAC地址收集器”可以把网段内的MAC地址信息发送给WFilter监控服务器,从而实现MAC地址的监控。
“MAC地址收集器”有两种工作模式:
- SNMP模式(推荐) : 通过网管交换机或者路由器的SNMP功能来获取MAC地址信息。需要设备支持SNMP管理。
- ARP模式 :通过ARP协议获取本网段的MAC地址信息,不需要设备支持。
本文将演示在多网段环境下通过“MAC收集器”的“ARP模式”实现“根据MAC地址监控”。网络结构图如下:
图 1
如上图,WFilter通过交换机的镜像口来监控不同网段,为了监控到192.168.50.x网段的MAC地址,我们需要在192.168.50.x网段内安装“Mac收集器”(如果需要监控多个网段的MAC地址,需要在每个网段内都安装“Mac收集器”)。步骤如下:
1. 安装MAC收集器
如图在192.168.50.x网段内安装“Mac收集器”,在安装过程中,填写WFilter服务器IP,网卡选择相对应的网卡即可。
图 2
2. 检查WFilter监控效果
未安装MAC收集器时,WFilter不能监控到实际的MAC地址,下图为WFilter监控到的MAC地址和实际的MAC地址
图 3(监控到的MAC地址)
图 4(实际的MAC地址)
安装MAC收集器后,WFilter就可以监控到实际的MAC地址,如图所示:
图 5
原文链接:https://blog.csdn.net/enweitech/article/details/73201237