WFilter的“SSL監(jiān)控”模塊，可以對(duì)https以及SSL加密的smtp/imap/pop3的內(nèi)容進(jìn)行解密從而記錄其內(nèi)容。該SSL監(jiān)控模塊，既可以對(duì)電腦進(jìn)行管控，而且對(duì)手機(jī)一樣生效。但是要不影響客戶(hù)機(jī)的正常使用，首先需要在客戶(hù)機(jī)上安裝ca證書(shū)。電腦上安裝ca證書(shū)比較簡(jiǎn)單，我們不再贅述。本文中，我將介紹如何在蘋(píng)果手機(jī)（iphone）上安裝SSL監(jiān)控的ca證書(shū)，從而實(shí)現(xiàn)對(duì)iphone的SSL監(jiān)控。

1. 開(kāi)啟SSL監(jiān)控

說(shuō)到https，不得不提http（HyperText Transfer Protocol）這個(gè)互聯(lián)網(wǎng)上用的最廣泛的網(wǎng)絡(luò)協(xié)議，其技術(shù)架構(gòu)，協(xié)議功能，協(xié)議原理百度或者google都有詳細(xì)解釋。而https（Hyper Text Transfer Protocol over Secure Socket Layer）多就多在這個(gè)S上，SSL加密，通常理解，https就是http加入SSL加密層變成以安全為目標(biāo)的http傳輸。那么SSL是個(gè)啥呢，SSL是一個(gè)目前應(yīng)用非常廣泛的一種非對(duì)稱(chēng)加密方式，也是公認(rèn)破解不了的。安全，又好用，所以才能廣泛應(yīng)用，除了http,郵件的pop3,smtp，IM通訊等等，都能用上，是個(gè)很好的加密方式。起初用https通常都是金融類(lèi)網(wǎng)站用到財(cái)務(wù)交易，時(shí)光如水，歲月如歌，IT技術(shù)一日百里的飛速發(fā)展，現(xiàn)在很多門(mén)戶(hù)網(wǎng)站，企業(yè)網(wǎng)站也都逐漸使用https協(xié)議，這個(gè)也是事實(shí)的趨勢(shì)。概念就是這個(gè)概念了，那么https如何監(jiān)控管理呢？以下說(shuō)明是獻(xiàn)給非專(zhuān)業(yè)IT技術(shù)人員，非專(zhuān)業(yè)碼農(nóng)的。為了大家都能明白，可能有些敘述比較幼稚和粗淺，請(qǐng)多多理解。

WFilter上網(wǎng)行為管理軟件（WFilter ICF）是基于網(wǎng)絡(luò)監(jiān)控技術(shù)的上網(wǎng)行為管理軟件，其原理和客戶(hù)端監(jiān)控（內(nèi)網(wǎng)監(jiān)控）的技術(shù)原理有著很大的差異。

本文將分析這兩種方案的優(yōu)缺點(diǎn)，以協(xié)助您做出正確的選擇。

一個(gè)有效的網(wǎng)址庫(kù)是上網(wǎng)行為管理產(chǎn)品進(jìn)行網(wǎng)頁(yè)過(guò)濾的基本條件?，F(xiàn)在市場(chǎng)上的大部分上網(wǎng)行為管理產(chǎn)品，都自帶了網(wǎng)址庫(kù)功能，但是各家的實(shí)現(xiàn)方式差別挺大的。大部分廠商都著重于宣傳自己的“大”，動(dòng)輒號(hào)稱(chēng)幾千萬(wàn)網(wǎng)址庫(kù)，殊不知相對(duì)于數(shù)以?xún)|計(jì)（2015年網(wǎng)站總數(shù)已經(jīng)超過(guò)3億）的互聯(lián)網(wǎng)而言，千萬(wàn)級(jí)的網(wǎng)址庫(kù)也只是覆蓋了一小部分而已。

WFilter系列上網(wǎng)行為管理產(chǎn)品，在”網(wǎng)址庫(kù)“方面，采用了如下三種技術(shù)：

1. 自帶基本百萬(wàn)級(jí)網(wǎng)址庫(kù)；涵蓋alex排名前百萬(wàn)的網(wǎng)站列表。

2. 本地自動(dòng)分類(lèi)技術(shù)；對(duì)于未知的網(wǎng)站類(lèi)型，可以基于網(wǎng)站的內(nèi)容，實(shí)時(shí)進(jìn)行自動(dòng)分類(lèi)。

3. 云主機(jī)分類(lèi)技術(shù)；對(duì)于未知的網(wǎng)址類(lèi)型，可以發(fā)送到我們的網(wǎng)站分類(lèi)云主機(jī)進(jìn)行查詢(xún)，由主機(jī)進(jìn)行分類(lèi)后返回。

網(wǎng)址庫(kù)是網(wǎng)頁(yè)過(guò)濾的基礎(chǔ)。網(wǎng)頁(yè)分類(lèi)就是根據(jù)網(wǎng)站的內(nèi)容，將網(wǎng)站分為什么類(lèi)型，比如門(mén)戶(hù)網(wǎng)站、購(gòu)物類(lèi)、信息類(lèi)、技術(shù)類(lèi)等等等。這樣的產(chǎn)品早在N年前，Websence，surfcontrol就有號(hào)稱(chēng)千萬(wàn)級(jí)的網(wǎng)址庫(kù)，甚至有些國(guó)內(nèi)的行為管理硬件，動(dòng)輒需要1T的內(nèi)存空間，都是因?yàn)榫W(wǎng)址庫(kù)不夠精簡(jiǎn)的原因。但是互聯(lián)網(wǎng)的網(wǎng)址就跟汪洋大海的海水一樣，數(shù)不過(guò)來(lái)。

實(shí)際使用過(guò)程中，尤其是工作局域網(wǎng)環(huán)境，只會(huì)訪問(wèn)到網(wǎng)址庫(kù)中1%的網(wǎng)址，其余的99%網(wǎng)址庫(kù)幾乎不用。這樣大型網(wǎng)址庫(kù)的優(yōu)點(diǎn)僅有一個(gè)就是“大型”而這樣的“大型”網(wǎng)址庫(kù)也會(huì)造成軟件性能滯后，軟件自身文件過(guò)大。

WFilter系統(tǒng)產(chǎn)品的網(wǎng)址庫(kù)收錄了常用的百萬(wàn)級(jí)網(wǎng)址（實(shí)時(shí)更新），但是互聯(lián)網(wǎng)的工作內(nèi)容又是千變?nèi)f化，如果網(wǎng)址庫(kù)的定義不夠，我們另外有動(dòng)態(tài)網(wǎng)址分類(lèi)，讓您根據(jù)自己的目標(biāo)，要求去定義您對(duì)網(wǎng)站分類(lèi)的理解或者新增您的網(wǎng)站分類(lèi)。

除了自帶的60多種網(wǎng)頁(yè)分類(lèi)外，您還可以在“WFilter上網(wǎng)行為管理軟件”中根據(jù)管理需要自定義網(wǎng)頁(yè)分類(lèi)。具體步驟如下：

HTTPS就是HTTP over SSL（通過(guò)SSL加密的HTTP網(wǎng)頁(yè)瀏覽協(xié)議），而SSL采用了非對(duì)稱(chēng)密鑰的加密方式，在目前的硬件條件下，不知道私鑰是不可能解密SSL的密文的。

對(duì)于HTTP的網(wǎng)頁(yè)瀏覽內(nèi)容，“WFilter（超級(jí)嗅探狗）”和“WFilter上網(wǎng)行為管理系統(tǒng)（WFilter NGF）”無(wú)需額外配置，都可以直接記錄網(wǎng)址、網(wǎng)頁(yè)標(biāo)題和瀏覽器類(lèi)型。但是，對(duì)于https的訪問(wèn)，默認(rèn)情況下，只能記錄域名。如下圖：

域服務(wù)器使用越來(lái)越廣泛了，對(duì)于局域網(wǎng)設(shè)備機(jī)動(dòng)使用的，用了域賬號(hào)，能準(zhǔn)確管理到位。那么如何監(jiān)控到客戶(hù)機(jī)登陸的域賬號(hào)呢？

本文將介紹如何用”WFilter（超級(jí)嗅探狗）“軟件來(lái)監(jiān)控局域網(wǎng)客戶(hù)機(jī)登錄的域賬號(hào)。

1. 什么是根據(jù)MAC地址監(jiān)控？

WFilter支持“根據(jù)IP地址監(jiān)控”和“根據(jù)MAC地址監(jiān)控”兩種方案（如果您有AD域，還可以根據(jù)域賬號(hào)進(jìn)行監(jiān)控）?！案鶕?jù)MAC地址監(jiān)控”模式下，WFilter通過(guò)被監(jiān)控設(shè)備的物理MAC地址來(lái)進(jìn)行識(shí)別，即使客戶(hù)機(jī)修改了IP（或者自動(dòng)獲取了一個(gè)新的IP），仍然可以準(zhǔn)確識(shí)別。所以“MAC監(jiān)控模式”在自動(dòng)獲取IP地址，或者IP地址不固定的網(wǎng)絡(luò)中，有很大的優(yōu)越性。

我們一般建議用戶(hù)采用如下的監(jiān)控方式：

1. 已經(jīng)是固定IP或者可以實(shí)現(xiàn)固定IP的情況下，優(yōu)先采用“根據(jù)IP監(jiān)控”的模式。
2. 動(dòng)態(tài)IP的局域網(wǎng)，單網(wǎng)段情況下，優(yōu)先采用“根據(jù)MAC監(jiān)控”模式。

2. 多網(wǎng)段根據(jù)MAC監(jiān)控方案

多網(wǎng)段的情況下，由于三層交換機(jī)的存在，屏蔽了客戶(hù)機(jī)實(shí)際的MAC地址，從而無(wú)法直接實(shí)現(xiàn)“根據(jù)MAC地址”監(jiān)控。

一個(gè)WFilter監(jiān)控主機(jī)可以監(jiān)控一個(gè)局域網(wǎng)的上網(wǎng)行為，當(dāng)您有多個(gè)局域網(wǎng)需要管理的時(shí)候，需要在每個(gè)網(wǎng)絡(luò)都安裝一套WFilter才可以。

為管理多個(gè)WFilter服務(wù)器，我們推薦您在WFilter界面中直接切換到不同的服務(wù)器進(jìn)行查看。請(qǐng)參考：[URL=http://www.naplesflguns.com/blog/post/148.html]如何集中管理多個(gè)超級(jí)嗅探狗監(jiān)控服務(wù)器？[/URL]

有些情況下，個(gè)別用戶(hù)可能需要把數(shù)據(jù)集中存放以便于管理。要實(shí)現(xiàn)這樣的功能，您必須安裝WFilter的數(shù)據(jù)庫(kù)版本。從而利用數(shù)據(jù)庫(kù)的管理功能來(lái)同步WFilter數(shù)據(jù)庫(kù)。

本例中，我們將演示如何用mysqldump來(lái)同步WFilter數(shù)據(jù)庫(kù)（mysql版本）

WFilter（超級(jí)嗅探狗）4.1版本中新增了“網(wǎng)頁(yè)推送”功能，可以在滿足指定條件時(shí)給客戶(hù)機(jī)來(lái)推送web頁(yè)面，它可以用于企業(yè)公告、內(nèi)容推送、報(bào)表推送等功能的實(shí)現(xiàn)。 本例中，我們將演示如何使用WFilter進(jìn)行網(wǎng)頁(yè)推送。

根據(jù)我們最新的壓力測(cè)試，WFilter（超級(jí)嗅探狗）4.1版本的性能得到了大幅提升，監(jiān)控5000臺(tái)毫無(wú)壓力，相比4.0大幅提升啦。 測(cè)試環(huán)境是Server 2008 R2，dlink千兆交換機(jī)。測(cè)試機(jī)的內(nèi)存只有2G、CPU是Intel Celeron E3200@2.4GHZ。由于測(cè)試的硬件配置比較低，帶機(jī)量還存在大幅的上升空間。 [IMG]upload/wfilter_performance_1.png[/IMG] [IMG]upload/wfilter_performance_2.png[/IMG]

雖然WFilter（超級(jí)嗅探狗）提供了一系列的統(tǒng)計(jì)報(bào)表，但是有時(shí)候您可能需要對(duì)數(shù)據(jù)進(jìn)行一些處理。以“網(wǎng)頁(yè)明細(xì)統(tǒng)計(jì)”報(bào)表為例，該報(bào)表列出了日期、姓名、網(wǎng)站分類(lèi)、網(wǎng)站、訪問(wèn)次數(shù)的信息。如果您需要按日期求和，可以先把該報(bào)表導(dǎo)出為csv格式，然后在excel中利用“數(shù)據(jù)透視”功能進(jìn)行二次統(tǒng)計(jì)。

終端服務(wù)給企業(yè)局域網(wǎng)的網(wǎng)絡(luò)管理帶來(lái)了很多好處，不少企業(yè)都在自己的局域網(wǎng)內(nèi)架設(shè)了終端服務(wù)器來(lái)提供網(wǎng)絡(luò)服務(wù)。但是，因?yàn)榭蛻?hù)端都共享了終端服務(wù)器的網(wǎng)絡(luò)資源，所以傳統(tǒng)的基于IP或者M(jìn)AC地址的上網(wǎng)行為管理無(wú)法對(duì)終端服務(wù)器上的不同用戶(hù)進(jìn)行監(jiān)控和管理。 最新發(fā)布的超級(jí)嗅探狗zh.4.0.200版本新增了代理服務(wù)器用戶(hù)驗(yàn)證功能，使用WFilter（超級(jí)嗅探狗）的“帳號(hào)監(jiān)控功能”和“代理服務(wù)器功能”相結(jié)合，可以監(jiān)控到終端服務(wù)器上的不同用戶(hù)，且可以給每個(gè)用戶(hù)設(shè)置單獨(dú)的上網(wǎng)策略。 具體方案請(qǐng)參考：[URL=http://www.www.naplesflguns.com/help/doc/WFilter_monitor_terminalserver.htm]如何監(jiān)控終端服務(wù)器上不同用戶(hù)的上網(wǎng)行為?[/URL]

我們?cè)谑褂贸?jí)嗅探狗網(wǎng)絡(luò)監(jiān)控軟件對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)控管理的時(shí)候還要結(jié)合路由器或者防火墻封堵UDP端口。為什么旁路模式不能封堵UDP端口？

本例中演示了如何在dlink 7300路由器上面禁止UDP端口。

1. 首先登陸路由器，在“網(wǎng)絡(luò)安全- - >防火墻設(shè)置”里面對(duì)防火墻進(jìn)行設(shè)置，具體設(shè)置如下圖所示：

現(xiàn)在很多軟件不僅僅通過(guò)TCP 方式進(jìn)行通訊，還能夠通過(guò)UDP方式進(jìn)行通訊。所以我們?cè)谑褂贸?jí)嗅探狗網(wǎng)絡(luò)監(jiān)控軟件對(duì)網(wǎng)絡(luò)進(jìn)行管理的時(shí)候還要結(jié)合路由器或者防火墻封堵UDP端口。為什么旁路模式不能封堵UDP端口？

1. 首先登陸路由器，在“高級(jí)-->防火墻&DMZ”里面對(duì)防火墻進(jìn)行設(shè)置，具體設(shè)置如下圖所示：

有些公司會(huì)采用多寬帶接入的方式來(lái)聯(lián)接互聯(lián)網(wǎng)，例如，公司內(nèi)部有20臺(tái)電腦通過(guò)兩條獨(dú)立的ADSL寬帶上網(wǎng)，10臺(tái)劃分為192.168.1.0網(wǎng)段，通過(guò)192.168.1.1的路由器上網(wǎng)；另外10臺(tái)劃分為192.168.2.0網(wǎng)段，通過(guò)192.168.2.1的路由器上網(wǎng)。

這種環(huán)境下實(shí)現(xiàn)監(jiān)控，一般是把兩臺(tái)路由器同時(shí)接到鏡像交換機(jī)上，然后在鏡像端口安裝超級(jí)嗅探狗來(lái)實(shí)現(xiàn)監(jiān)控。

但是由于這兩個(gè)網(wǎng)段互相獨(dú)立，而且這兩個(gè)路由器之間并不能互相轉(zhuǎn)發(fā)數(shù)據(jù)，導(dǎo)致在默認(rèn)配置下，超級(jí)嗅探狗只能禁止其中一個(gè)網(wǎng)段的上網(wǎng)行為。要實(shí)現(xiàn)同時(shí)可以禁止多個(gè)網(wǎng)段，需要修改嗅探狗電腦的“子網(wǎng)掩碼”配置，使嗅探狗的電腦同時(shí)屬于這兩個(gè)網(wǎng)段。

現(xiàn)在很多軟件不僅僅通過(guò)TCP 方式進(jìn)行通訊，還能夠通過(guò)UDP方式進(jìn)行通訊。所以我們?cè)谑褂贸?jí)嗅探狗網(wǎng)絡(luò)監(jiān)控軟件對(duì)網(wǎng)絡(luò)進(jìn)行管理的時(shí)候還要結(jié)合路由器或者防火墻封堵UDP端口。[URL=http://www.naplesflguns.com/blog/post/108.html]為什么旁路模式不能封堵UDP端口？[/URL]

1. 首先登陸路由器，在“安全設(shè)置- - >防火墻設(shè)置”里面對(duì)防火墻進(jìn)行設(shè)置，具體設(shè)置如下圖所示：

這一步需要注意的是：

（1）首先需要勾選“開(kāi)啟防火墻”和“開(kāi)啟IP地址過(guò)濾”。

（2）在“缺省過(guò)濾規(guī)則”當(dāng)中，一定要選擇“凡是不符合已設(shè)IP地址過(guò)濾規(guī)則的數(shù)據(jù)包，允許通過(guò)本路由器”。

2．接下來(lái)打開(kāi)“安全設(shè)置-- >IP地址過(guò)濾”配置需要禁止的UDP端口，具體配置如下圖所示：

常見(jiàn)的網(wǎng)絡(luò)監(jiān)控模式可以分為兩種：一種是串聯(lián)監(jiān)控模式，另一種是旁路監(jiān)控模式。

旁路模式一般是指通過(guò)交換機(jī)等網(wǎng)絡(luò)設(shè)備的“端口鏡像”功能來(lái)實(shí)現(xiàn)監(jiān)控，在此模式下，監(jiān)控設(shè)備只需要連接到交換機(jī)的指定鏡像端口，所以形象的稱(chēng)之為“旁路監(jiān)控”；而串聯(lián)模式一般是通過(guò)網(wǎng)關(guān)或者網(wǎng)橋的模式來(lái)進(jìn)行監(jiān)控，由于監(jiān)控設(shè)備做為網(wǎng)關(guān)或者網(wǎng)橋串聯(lián)在網(wǎng)絡(luò)中，所以稱(chēng)之為“串聯(lián)監(jiān)控模式”。

旁路模式和串聯(lián)模式各有其優(yōu)缺點(diǎn)，比較如下：

[B]旁路模式的優(yōu)點(diǎn)：[/B]

1. 旁路監(jiān)控模式部署起來(lái)比較靈活方便，只需要在交換機(jī)上面配置鏡像端口即可。不會(huì)影響現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)。而串聯(lián)模式一般要作為網(wǎng)關(guān)或者網(wǎng)橋，所以需要對(duì)現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行變動(dòng)。

利用交換機(jī)的端口鏡像功能，可以把鏡像源端口的數(shù)據(jù)包，拷貝到指定的目的端口。從而在管理口可以實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的監(jiān)控管理。

端口鏡像功能是通過(guò)交換機(jī)的硬件芯片來(lái)實(shí)現(xiàn)的，理論上講不會(huì)對(duì)網(wǎng)絡(luò)產(chǎn)生任何影響。但是在啟用了鏡像功能后，不合理的配置會(huì)導(dǎo)致數(shù)據(jù)量過(guò)大，從而導(dǎo)致鏡像口丟包。

所以我們?cè)谂渲苗R像的時(shí)候，要考慮到幾個(gè)原則：

1. 盡量采用一對(duì)一鏡像。就是說(shuō)，一個(gè)鏡像源端口對(duì)應(yīng)一個(gè)目的端口。試想一下，如果你把兩個(gè)100M口的數(shù)據(jù)都發(fā)送到一個(gè)100M的目的端口，目的端口怎么能夠來(lái)得及處理呢。

2. 如果由于某些原因必須要有多個(gè)鏡像源端口，一定要考慮到每個(gè)源端口的最大流量，總和不能超過(guò)目標(biāo)端口（一般是100M），否則會(huì)有丟包。

3.如果只需要對(duì)上網(wǎng)情況進(jìn)行監(jiān)測(cè)，只鏡像互聯(lián)網(wǎng)數(shù)據(jù)即可。

4. 在交換機(jī)不支持鏡像口通訊的情況下，或者監(jiān)控的電腦臺(tái)數(shù)比較多時(shí)（超過(guò)50臺(tái)），建議使用兩塊網(wǎng)卡：一塊用于監(jiān)聽(tīng)、另外一塊用于封堵和通訊。

[B]網(wǎng)絡(luò)監(jiān)控[/B]

網(wǎng)絡(luò)監(jiān)控這里指的是對(duì)使用互聯(lián)網(wǎng)的人員的上網(wǎng)行為進(jìn)行監(jiān)控管理。

[B]網(wǎng)絡(luò)監(jiān)控設(shè)備[/B]

從實(shí)現(xiàn)方式上來(lái)分可以分為：網(wǎng)絡(luò)監(jiān)控軟件和網(wǎng)絡(luò)監(jiān)控硬件。

網(wǎng)絡(luò)監(jiān)控軟件只需要在一臺(tái)監(jiān)控服務(wù)器上面安裝，即可對(duì)整個(gè)局域網(wǎng)的上網(wǎng)行為進(jìn)行監(jiān)控管理。

硬件網(wǎng)絡(luò)監(jiān)控設(shè)備實(shí)質(zhì)上是將軟件預(yù)先安裝在硬件監(jiān)控系統(tǒng)中，然后捆綁銷(xiāo)售給客戶(hù)。而客戶(hù)從傳統(tǒng)的思維方式認(rèn)為，硬件的監(jiān)控系統(tǒng)一定比軟件的監(jiān)控性能要好。實(shí)際上是錯(cuò)誤的，因?yàn)楸O(jiān)控系統(tǒng)性能的高低取決于多種因素。

網(wǎng)絡(luò)監(jiān)控軟件與網(wǎng)絡(luò)監(jiān)控硬件相比較的優(yōu)缺點(diǎn)：

[B]優(yōu)點(diǎn)：[/B]

[B]1. 安裝使用方便[/B]

軟件的試用、升級(jí)、安裝都比較方便，只要下載安裝即可使用；而硬件的試用、升級(jí)由于涉及到硬件的替換，比較而言要麻煩一些。

[B]2. 價(jià)格方面[/B]

網(wǎng)絡(luò)監(jiān)控軟件的價(jià)格不涉及硬件費(fèi)用，所以相對(duì)來(lái)說(shuō)要便宜些。

[B]缺點(diǎn)：[/B]

[B]1. 部署方式[/B]

網(wǎng)絡(luò)監(jiān)控軟件一般通過(guò)旁路模式（如超級(jí)嗅探狗網(wǎng)絡(luò)監(jiān)控軟件）來(lái)進(jìn)行監(jiān)控，而網(wǎng)絡(luò)監(jiān)控硬件除了旁路模式外，一般都可以還替代網(wǎng)關(guān)，部署方式上更加靈活一些。更多旁路監(jiān)控和串聯(lián)監(jiān)控的比較請(qǐng)參見(jiàn)：

[B]2. 兼容性問(wèn)題[/B]

網(wǎng)絡(luò)監(jiān)控軟件安裝時(shí)不可避免要與其他的軟件共存，這樣不可避免就會(huì)存在一些兼容性問(wèn)題。而網(wǎng)絡(luò)監(jiān)控硬件則只安裝了監(jiān)控系統(tǒng)，從而幾乎不存在兼容性問(wèn)題。

端口鏡像（Port Mirroring）

一般情況下，與交換機(jī)或者路由器相連的電腦只能夠接收到自己的數(shù)據(jù)包，為了網(wǎng)絡(luò)管理的需要，有些交換機(jī)或者路由器提供了端口鏡像的功能。

配置了鏡像端口后，通過(guò)網(wǎng)絡(luò)分析軟件就可監(jiān)控整個(gè)網(wǎng)絡(luò)的運(yùn)行狀況，和上網(wǎng)數(shù)據(jù)。

如下圖所示，此例中把1號(hào)口鏡像到16號(hào)口,從而在16號(hào)口安裝監(jiān)控軟件，即可實(shí)現(xiàn)監(jiān)控。

1. 為什么需要鏡像交換機(jī)實(shí)現(xiàn)監(jiān)控？

1.1 端口鏡像交換機(jī)與普通交換機(jī)有什么不同？

一般情況下，與交換機(jī)或者路由器相連的電腦只能夠接收到自己的數(shù)據(jù)包，為了網(wǎng)絡(luò)管理的需要，有些交換機(jī)或者路由器提供了端口鏡像的功能。

配置了鏡像端口后，通過(guò)網(wǎng)絡(luò)分析軟件就可監(jiān)控整個(gè)網(wǎng)絡(luò)的運(yùn)行狀況和上網(wǎng)數(shù)據(jù)。有關(guān)一些交換機(jī)的鏡像配置，請(qǐng)參見(jiàn)：[URL=http://www.www.naplesflguns.com/help/doc/deployment_example.htm]超級(jí)嗅探狗部署用例[/URL]。

1.2 如何判斷交換機(jī)是否有端口鏡像功能？

一般可以通過(guò)查看交換機(jī)的說(shuō)明文檔或者web配置界面來(lái)判斷。

A 如果文檔介紹中聲稱(chēng)此交換機(jī)支持“端口鏡像”或者“支持網(wǎng)管功能”，那么該交換機(jī)就可以支持端口鏡像。如：

[IMG]upload/TPL.jpg[/IMG]      [IMG]upload/HW.jpg[/IMG]

B 查看交換機(jī)的配置界面，如果存在“端口鏡像”、“端口監(jiān)控”之類(lèi)的功能。就說(shuō)明此交換機(jī)支持端口鏡像。

[IMG]upload/H3CS.JPG[/IMG]

網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，企事業(yè)單位的網(wǎng)絡(luò)管理人員逐漸意識(shí)到網(wǎng)絡(luò)監(jiān)控的重要性，因此出現(xiàn)了功能各異，技術(shù)不同的監(jiān)控管理軟件。面對(duì)市場(chǎng)上良莠不齊的品牌，作為企事業(yè)單位的網(wǎng)管人員，如何從中選擇能夠適合本單位的上網(wǎng)監(jiān)控需要的網(wǎng)絡(luò)監(jiān)控軟件，成為非常重要的問(wèn)題。

在使用超級(jí)嗅探狗監(jiān)控局域網(wǎng)時(shí)，如果交換機(jī)的鏡像口不允許通訊，或者需要監(jiān)控的電腦臺(tái)數(shù)比較多，一般需要分開(kāi)設(shè)置通訊網(wǎng)卡和監(jiān)聽(tīng)網(wǎng)卡。而在windows系統(tǒng)中，當(dāng)本機(jī)有兩塊網(wǎng)卡時(shí)，默認(rèn)使用第二塊網(wǎng)卡進(jìn)行通訊。如果第二塊網(wǎng)卡不是通訊網(wǎng)卡的時(shí)候，您的計(jì)算機(jī)可能會(huì)出現(xiàn)無(wú)法正常上網(wǎng)的情況。此時(shí)，您可以通過(guò)設(shè)置TCP/IP協(xié)議配置中的“自動(dòng)躍點(diǎn)計(jì)數(shù)”來(lái)解決此問(wèn)題。

躍點(diǎn)數(shù)是windows給特殊網(wǎng)絡(luò)接口的IP路由分配的值，用來(lái)標(biāo)識(shí)與使用該路由有關(guān)的成本，系統(tǒng)會(huì)自動(dòng)選擇躍點(diǎn)數(shù)低的網(wǎng)卡接入網(wǎng)絡(luò)。Windows XP 中，默認(rèn)啟用“自動(dòng)躍點(diǎn)計(jì)數(shù)”功能，為較慢的網(wǎng)絡(luò)接口分配較高的躍點(diǎn)數(shù)，強(qiáng)制流向Internet的所有流量使用可用的最快網(wǎng)絡(luò)接口。同樣，您可以通過(guò)手動(dòng)配置躍點(diǎn)數(shù)，使系統(tǒng)通過(guò)你所配置的網(wǎng)卡接入網(wǎng)絡(luò)。

網(wǎng)絡(luò)監(jiān)控的正規(guī)辦法是通過(guò)交換機(jī)的“端口鏡像”功能，[URL=http://baike.baidu.com/view/1381921.html?wtp=tt]端口鏡像[/URL]可以把其他端口的網(wǎng)絡(luò)通訊數(shù)據(jù)包都拷貝到某一個(gè)指定的端口，從而實(shí)現(xiàn)監(jiān)控。 但是現(xiàn)在有些網(wǎng)管軟件，采用[URL=http://www.www.naplesflguns.com/arp-spoof.htm]ARP欺騙[/URL]的方式來(lái)欺騙其他機(jī)器把數(shù)據(jù)包發(fā)送到監(jiān)控機(jī)。這樣來(lái)實(shí)現(xiàn)監(jiān)控，雖然省略了配置交換機(jī)這個(gè)步驟，但是卻帶來(lái)了一些問(wèn)題： 1). ARP廣播風(fēng)暴 ARP欺騙需要發(fā)送大量的ARP Reply數(shù)據(jù)包來(lái)欺騙被監(jiān)控機(jī)，同時(shí)發(fā)送大量的ARP廣播包。會(huì)給局域網(wǎng)帶來(lái)廣播風(fēng)暴，從而導(dǎo)致網(wǎng)絡(luò)緩慢。 2). 導(dǎo)致局域網(wǎng)不穩(wěn)定 由于數(shù)據(jù)包都需要從監(jiān)控主機(jī)轉(zhuǎn)發(fā)，一旦監(jiān)控主機(jī)出現(xiàn)不穩(wěn)定、掉電、斷線等情況，會(huì)導(dǎo)致局域網(wǎng)癱瘓。另外，如果局域網(wǎng)中有多個(gè)人同時(shí)進(jìn)行ARP欺騙，將直接導(dǎo)致局域網(wǎng)癱瘓。