当前,国内很多企事业单位的局域网,由于电脑数量较多,或者处于网络安全的考虑,通常都通过三层交换机划分了Vlan,并且通常设置了各个网段之间禁止通讯,以保护各个网段、不同部门之间的网络安全。但在加强了网络安全控制的同时,也导致了网络管理相对较为复杂,如何跨网段监控电脑上网、跨网段控制电脑网速、跨网段绑定IP和MAC地址就成为网管员不得不考虑的一个网络管理问题。


目前国内同类网管软件在监控多网段环境下电脑上网行为时,一般采用旁路模式(通常采用在核心交换机做端口镜像、部署代理服务器、HUB集线器的方式)或串接模式部署(通过电脑安装两块网卡,一个网卡连接核心交换机,另一块网卡连接出口网关),并将这两块网卡桥接起来进行监控。但是这两种部署模式均面临着诸多不足和缺陷。首先,通过旁路方式部署网管软件,由于其架构的先天性局限,使得无法有效封堵P2P软件(如BT、电驴和迅雷)、聊天软件、股票软件,也无法有效控制电脑上网带宽,从而导致网络管理无法真正实现;而通过串接方式部署网管软件,虽然可以实现大部分的网络管理功能,但是由于局域网电脑公网上行报文(即外发报文)和下行报文(即下载报文)来回都要流经网管软件所在电脑或设备,从而极容易出现因为数据包较多、处理不及时引发的网络延迟、丢包现象,出现性能瓶颈;同时一旦网管软件或其依附的网络设备出现单点故障,将会使得整个局域网的电脑上网被切断,造成大规模掉线、断网现象,网络风险极大。此外,无论是旁路还是串接模式都需要对局域网网络结构做出调整,从而一方面增加了网管人员的工作量,另一方面如果调整不当也会对网络的安全、稳定和畅通造成负面影响。有鉴于此,虽然聚生网管系统完全支持上述部署方式,但是我们不推荐用户使用。


鉴于采用旁路模式和串接模式部署网管系统面临的一些不足,以及用户对于高可靠性、高安全性、更快捷部署、更简单设置网管系统的强烈需求,并且通过对当前最新网络管理技术的深入研究和大胆突破。大势至(北京)软件工程有限公司推出了基于“创新直连”架构的聚生网管上网行为管理系统,通过直接连接二层交换机或者三层交换机的任意网段的任意一个端口即可实现对局域网全部电脑、三层交换机所有网段电脑的全方位监控(当然也可以免监控三层交换机的某些网段,甚至可以设定这些网段的数据包不流经聚生网管所在的设备),一举解决了当前硬件架构网管系统通过串接、桥接的各种不足,可以实现更安全、更精确、更智能、更快捷的网络管理。


基于“创新直连”架构的部署方式是聚生网管引领网管系统未来发展趋势的部署方式,安装部署极为简单,可以实现所有的网络管理功能,全透明部署,不会出现单点故障,不需要调整任何结构或加装任何设备,超高速转发数据包,不会出现性能瓶颈,不会导致网络延迟,是当前国内监控多网段、多VLAN环境下最优的部署方式。


具体部署如下图所示:

聚生网管基于“创新直连”技术最优监控多网段电脑上网行为 - 过滤布 - GRABSUN

 

聚生网管可以接入划分VLAN的核心交换机、三层交换机的任意网段内


基于“创新直连”架构的聚生网管上网行为管理系统,通过深入研究交换机传输原理和互联网基础通讯协议的基础上研发成功的。“创新直连”的具体含义和领先优势如下:


1、 通过聚生网管硬件平台自带的单块高性能网口直接连接交换机或者路由器。不论是二层交换机、还是三层交换机、甚至是核心交换机,即可实现对下面所有网段、所有电脑的上网行为的全面控制。同时,也只需要连接交换机,而不需要连接出口网关或者其他设备,也不需要对网络做出任何调整或加装任何其他网络设备。


2、 聚生网管采用单块网卡进行抓包、识别、过滤和转发。聚生网管直接从网卡高速缓存抓取数据包进行处理,处理完毕之后直接放入网卡高速缓存,网卡通过内部集成的高速芯片(峰值传输速度可以达到2.5G,远超主板总线传输速度)直接将数据包发送到公网出口,而不是给监控设备的主板总线和另一块网卡,从而避免了网络数据包的多次中转、来回公网报文都要中转对网络性能的消耗,大幅度提升了监控效率,避免了网络延迟。如下图所示:
 

聚生网管基于“创新直连”技术最优监控多网段电脑上网行为 - 过滤布 - GRABSUN

 
聚生网管数据包流转图


3、 基于单向监控的模式下,下行数据包由出口网关直接发送到交换机并最终分发给局域网相应的电脑,这样下行的网络数据包不需要再流经聚生网管监控设备,考虑到下行包常常远大于上行包,尤其是局域网某些情况下常常用P2P软件(如迅雷等)下载大的文件,从而可以更进一步避免网络延迟,同时也极大地降低了监控设备的负荷,提升了聚生网管的监控效率。


4、 对于局域网一些免监控的电脑,如领导或服务器等主机的公网报文,通过简单设置,即可完全不流经聚生网管的监控设备,而是直接通过交换机发送到出口网关到达互联网,而回来的互联网报文由网关直接发给领导电脑和服务器。由于领导电脑和服务器的公网数据包不流经聚生网管的监控设备,从而一方面降低了监控设备负荷,避免了公网报文的拥堵排队情况;另一方面也避免了监控设备出现单点故障可能影响领导上网或者服务器关键业务出现中断的风险;最后,由于领导或服务器的公网报文不流经聚生网管监控设备,从而也使得这些重要电脑的数据报文不会被监控设备等第三方设备捕获,有利于保护信息安全和商业机密。如下图所示:


聚生网管基于“创新直连”技术最优监控多网段电脑上网行为 - 过滤布 - GRABSUN

 

 领导上网、员工上网和服务器数据包流转图


聚生网管免监控电脑数据包(领导电脑和服务器)和被监控电脑(如员工电脑)流转图

聚生网管基于“创新直连”技术最优监控多网段电脑上网行为 - 过滤布 - GRABSUN

  
如图:领导上网和服务器、业务系统等主机的公网流量不经过聚生网管监控设备


5、 安装部署方式同时向下兼容,可以适应国内各种网络环境,是国内监控模式最多的硬件行为网关系统。也即,聚生网管也可以完全采用旁路方式(连接交换机镜像端口、HUB集线器或代理服务器来进行部署);也可以完全按照串接、桥接模式进行部署,并可以实现上述部署方式下所有其他软硬件网管系统所能实现的所有功能,从而可以满足某些客户的特定网络结构和特殊网络管理需要。


6、全透明安装,支持热插拔网络自动导通。在某些不需要监控的情况下,可以直接停止监控设备的工作,甚至可以将监控设备直接移除,网络即可自动、智能恢复,从而极大地降低了特殊情况下的网络通讯风险。


总之,聚生网管基于“创新直连”架构的部署网管软件的技术,不但避免了传统部署网管系统的复杂性、网络性能消耗、数据包延迟、单点故障风险等诸多不足和缺陷,而且还大幅度提升了监控设备的监控效率、优化了整体网络性能、降低了部署网管设备的复杂性和工作量,而且可以进一步保护企业信息安全和商业机密,从根本上保证网络的安全、稳定和畅通。