在“旁路”过滤模式(通过镜像端口实现监控)下,WFilter(超级嗅探狗)通过在“通讯网卡”上发送RST包来阻断TCP连接。所以如果通讯网卡不能通讯或者通讯不畅,就可以导致封堵功能不起作用。
什么情况下需要用两块网卡
一般情况,用同一块网卡就可以同时实现监控和封堵,当下列情况出现时,需要用两块网卡。
1. 交换机的镜像端口不允许通讯。有些交换机是不允许镜像上网的,该镜像口只能收包,不能发包。你可以在监控的电脑上ping其他的电脑来检查这一项。改变交换机的设置(如果支持的话)或者增加一个独立的通讯网卡就可以解决这个问题。比如Cisco交换机有一个参数“ingress”,它能允许镜像端口进行通讯。
2. 监听网卡过于繁忙。由于镜像端口要接收其他电脑的上网数据包,网络压力大时网卡的负荷会很大。如果需要监控50台及以上的电脑,我们建议您使用两块网卡。点击“系统配置”—>“配置检测”可以检查监控网卡是否存在此问题(存在此问题时会提示“封堵效率过低”)。
增加通讯网卡的具体步骤
- 1. 添加一块物理网卡并连接到交换机的正常端口,如果有多个VLAN,通讯网卡所属的VLAN必须能够和其他VLAN通信(一般属于管理vlan)。
- 2. 为新网卡分配一个可用的IP地址和网关。
- 3. 点击WFilter的“系统配置”—>“监听配置”,如果超级嗅探狗没有检测到新网卡,则点击“开始”—>“超级嗅探狗”—>“工具”—>“重启监控服务”重新加载网卡列表。
- 4. 点击“系统配置”—>“监听配置”—>“监控设备配置”,选择新添加的网卡作为通讯网卡。
- 5. 点击“系统配置”—>“配置检测”进行检测。
有时候windows不能选择正确的网卡进行通讯,如果监控主机上网不稳定,建议阅读此文章来设置“自动跃点数”:使用两块网卡进行监控时上不了网的解决办法