1. 為什么需要鏡像交換機實現監控?
1.1 端口鏡像交換機與普通交換機有什么不同?
一般情況下,與交換機或者路由器相連的電腦只能夠接收到自己的數據包,為了網絡管理的需要,有些交換機或者路由器提供了端口鏡像的功能。
配置了鏡像端口后,通過網絡分析軟件就可監控整個網絡的運行狀況和上網數據。有關一些交換機的鏡像配置,請參見:超級嗅探狗部署用例。
1.2 如何判斷交換機是否有端口鏡像功能?
一般可以通過查看交換機的說明文檔或者web配置界面來判斷。
A 如果文檔介紹中聲稱此交換機支持“端口鏡像”或者“支持網管功能”,那么該交換機就可以支持端口鏡像。如:
B 查看交換機的配置界面,如果存在“端口鏡像”、“端口監控”之類的功能。就說明此交換機支持端口鏡像。
2. 沒有端口鏡像交換機如何監控上網行為?
在沒有端口鏡像交換機的情況下,可以通過如下方式實現監控:
2.1 Windows網關、代理服務器或者網橋
當局域網是通過網關或者代理服務器上網時,把超級嗅探狗安裝在網關或者代理服務器上也可以監控到所有電腦的上網行為。
[B]Windows網關[/B]就是通過一臺雙網卡或多網卡的機器連接上網,一塊網卡連接外部網絡,一塊網卡連接內部網絡。
具體設置可以參考:http://www.ithlj.com/news/2008-8/72423.html
[B]代理服務器[/B]就是在某一臺電腦上安裝代理服務(如我們的WProxy免費代理服務器),局域網內的其他電腦通過這臺電腦代理上網來實現監控。
設置方法請參考:http://www.jsyt0518.cn/support/WFilter_4_1/Doc/deploy_proxy.htm
[B]網橋[/B]在Windows中,已經集成了連接不同網段的“網橋(Bridge)”功能,它的配置簡單易行,大大方便了中小型局域網之間的互聯與拓展。利用Windows自帶的網橋功能,只需要將監控軟件安裝在網橋上就可以進行監控。
2.2 Hub集線器
Hub(集線器)是通過廣播的方式進行通訊的,這樣就是的Hub(集線器)上的每個端口都可以接收到其他端口的數據包。
HUB(集線器)連接方式:HUB(集線器)一般都會提供一個UPLINK口,將交換機同UPLINK端口相連(與Uplink 端口相鄰的口不要接網線),并把裝有監控軟件的電腦直接連接到HUB(集線器)上。
但是通過集線器上網不是很穩定,而且網速很慢,所以不建議使用這種方式進行監控。
2.3 ARP欺騙
通過ARP欺騙的方式也能夠實現網絡監控,但是ARP欺騙是一種黑客技術,容易造成網絡癱瘓,并且這種監控模式不能夠穿透ARP防火墻,建議一定要慎用。
綜上所述,當你選擇監控軟件的時候,先要了解他的監控模式,端口鏡像是一種正規穩妥的方式,如果沒有端口鏡像建議通過網關或代理服務器的方式進行監控。
