1. 为什么需要镜像交换机实现监控?
1.1 端口镜像交换机与普通交换机有什么不同?
一般情况下,与交换机或者路由器相连的电脑只能够接收到自己的数据包,为了网络管理的需要,有些交换机或者路由器提供了端口镜像的功能。
配置了镜像端口后,通过网络分析软件就可监控整个网络的运行状况和上网数据。有关一些交换机的镜像配置,请参见:超级嗅探狗部署用例。
1.2 如何判断交换机是否有端口镜像功能?
一般可以通过查看交换机的说明文档或者web配置界面来判断。
A 如果文档介绍中声称此交换机支持“端口镜像”或者“支持网管功能”,那么该交换机就可以支持端口镜像。如:
B 查看交换机的配置界面,如果存在“端口镜像”、“端口监控”之类的功能。就说明此交换机支持端口镜像。
2. 没有端口镜像交换机如何监控上网行为?
在没有端口镜像交换机的情况下,可以通过如下方式实现监控:
2.1 Windows网关、代理服务器或者网桥
当局域网是通过网关或者代理服务器上网时,把超级嗅探狗安装在网关或者代理服务器上也可以监控到所有电脑的上网行为。
[B]Windows网关[/B]就是通过一台双网卡或多网卡的机器连接上网,一块网卡连接外部网络,一块网卡连接内部网络。
具体设置可以参考:http://www.ithlj.com/news/2008-8/72423.html
[B]代理服务器[/B]就是在某一台电脑上安装代理服务(如我们的WProxy免费代理服务器),局域网内的其他电脑通过这台电脑代理上网来实现监控。
设置方法请参考:http://www.imfirewall.com/support/WFilter_4_1/Doc/deploy_proxy.htm
[B]网桥[/B]在Windows中,已经集成了连接不同网段的“网桥(Bridge)”功能,它的配置简单易行,大大方便了中小型局域网之间的互联与拓展。利用Windows自带的网桥功能,只需要将监控软件安装在网桥上就可以进行监控。
2.2 Hub集线器
Hub(集线器)是通过广播的方式进行通讯的,这样就是的Hub(集线器)上的每个端口都可以接收到其他端口的数据包。
HUB(集线器)连接方式:HUB(集线器)一般都会提供一个UPLINK口,将交换机同UPLINK端口相连(与Uplink 端口相邻的口不要接网线),并把装有监控软件的电脑直接连接到HUB(集线器)上。
但是通过集线器上网不是很稳定,而且网速很慢,所以不建议使用这种方式进行监控。
2.3 ARP欺骗
通过ARP欺骗的方式也能够实现网络监控,但是ARP欺骗是一种黑客技术,容易造成网络瘫痪,并且这种监控模式不能够穿透ARP防火墙,建议一定要慎用。
综上所述,当你选择监控软件的时候,先要了解他的监控模式,端口镜像是一种正规稳妥的方式,如果没有端口镜像建议通过网关或代理服务器的方式进行监控。