您当前位置:首页 > 解决方案 > 技术解决方案 > 跨网段监控解决方案
跨网段监控解决方案


聚生网管监控多网段、跨网段监控上网、控制多VLAN环境下电脑上网行为解决方案

——国内跨网段监控电脑上网、管理多VLAN电脑上网最简单、最快捷、最安全的网络管理方案

作者:大势至 日期:2013.5.2

产品详解 产品功能 领先优势 同类对比 产品截图 版本分类
下载聚生网管PPT 下载聚生网管介绍 下载聚生网管白皮书 下载聚生网管试用
下载网管软件试用(不带聚生网管字样、不带我公司联系方式) 产品报价

注意:


1、聚生网管系统是国内唯一可以实现三层交换机多网段环境下进行IP和MAC地址绑定的网管系统品牌,国内唯一可以跨网段绑定IP和MAC地址、跨VLAN绑定电脑IP和MAC地址;

2、聚生网管软件也是独家可以实现跨网段防ARP攻击、跨VLAN防止ARP攻击、防止多网段ARP攻击的网管系统品牌,从而防止了多网段环境下的ARP攻击行为,保护了网络安全。



针对企事业单位个别客户划分多个VLAN的网络管理状况。为了更好地部署聚生网管系统、网络特警系统,我们特别提供了以下的解决方案:分散监控、集中监控、串接监控(支持但不推荐!)、“创新直连”监控(强烈推荐!)。对于划分网段较少的客户,我们强烈建议采用分散监控或者集中监控的方式;对于划分vlan较多的客户,我们建议采用网桥模式、“创新直连”的监控方式。
 

一、分散监控
 
 
通过在每一个VLAN(网段)指定某一台电脑(此电脑可以是在局域网内同时承担其他任务,比如打印机服务器、文件服务器的电脑,无需单独配备)作为监控主机部署聚生网管系统,分别负责监管本网段的网络主机。这样不同网段可以灵活制定监控策略,同时分散监控相对于集中监控对网络性能的影响也更小,也可以分散集中统一监控所造成的系统负荷,也避免了集中监控的情况下,因为监控主机出现意外而影响全部网段的网络畅通和安全。
 
 
但有时候可能是同一个网管负责企业全部网段监控,所以,为了更好地进行统一管理。我们特别了“远程桌面”和“广域互联”插件,可以让网管人员足不出户即可管理全部网段,而不管这些网段或者局域网是本地还是世界各地!有关远程监控的设置请参阅:远程多子网监控方案: http://www.grablan.com/solutions3.asp

 
二、集中监控
 
 
如果企业网管希望集中监控,则可以在本机部署多个网卡,分别接入到相应网段的交换机上即可,但是有时候电脑可能没有更多地PCI插槽来插入多个网卡。这种情况下,也可以通过我们提供的高性能适配器,单个适配器可以提供高达2~4个的以太网接口,相当于在本地部署2~4个网卡,也就是单个网络适配器(相当于一个网卡)可以并发监控2~4个网段,如果按照每个网段最多支持250台电脑计算,则理论监控可高达1000台;同时如果企业划分更多的VLAN,则可以在PCI插槽上部署多个网络适配器,现在电脑最多可以支持6个PCI插槽计算,则理论监控网段可以达到12~24个,可以充分满足企业划分多个网段的网络管理需求。
 
 
这种集中监控的方案的实施也很简单,只要将适配器的相应的接口分别通过网线接到相应VLAN的交换机上,然后通过聚生网管分别对相应的网段进行监控设置即可。

 
多网卡监控的部署方式见下图:
 
 
 
单一高性能网络适配器的图示以及部署方式见下图:
 
 
 
 
*注 多网卡和单一高性能适配器的主要区别是:前者需要购买多个网卡,需要分别占用PCI插槽,这就对多网段监控的扩展受限,因为一般电脑PCI插槽为1-3个不等;而单一高性能适配器单个就有四个接口,相当于四个网卡,但却只占用一个PCI插槽,从而可以多次扩展,更能适应多网段监控的需要。
 
 
三、串接(网桥)模式(支持但不推荐!)
 

为了更好地适应某些大型客户对多网段监控的需要,聚生网管2011版本开始采用全新的技术架构,用户可以通过在网络出口架设网桥的模式,来实现对多网段监控的需要;通过架设网桥,聚生网管2011版本所监控的网段数目在理论上不受限制,更好地满足大型用户的监控需要。如下图所示:

聚生网管串接模式部署图


图2:聚生网管网桥模式监控部署图

这种方式监控的优点:
 

1、 可以集中监控三层交换机所有VLAN电脑的上网行为,同时监控的VLAN数量理论上没有上限;


2、 可以对各个VLAN、各个电脑所有公网报文进行限制,从而从理论上可以实现对局域网电脑所有上网行为的完全控制。
 

这种方式监控的缺点(我们不推荐客户采用这种方式部署):
 

1、 由于所有的VLAN的电脑的上网数据包都流经网络桥,所以即便不被监控的电脑,如领导的电脑或公司的重要服务器的数据包也同样需要流经此监控主机或监控设备。这样,一方面容易引发网络延迟、丢包现象(因为只要是网管软件通过网桥部署方式或多或少都会对网速有一定影响);同时,领导或服务器的电脑的数据包由于都可以被捕获和监控,这样容易造成商业机密或重要信息的泄密。


2、 由于所有电脑的数据报文都要流经此监控设备,所以容易引发性能瓶颈,一旦监控主机或监控设备无法处理这些数据报文,则将会造成局域网大面积网络延迟、丢包甚至断网现象,从而不利于网络的安全、畅通和高效;同时,由于网络桥本身就是操作系统虚拟出来的一种通讯通道,而操作系统对网络性能的消耗通常也比较大,从而也更进一步加剧了网络丢包、网络延迟的情况。


3、 由于在网络桥部署或串接部署下,所有电脑的下行报文也必须经由网络桥回发给交换机再到各个电脑,而下行报文通常也远大于下行报文,这就极大地增加监控主机或监控设备的负荷,从而进一步引发网络延迟或丢包现象,对局域网网络性能造成了较大影响。


4、 容易引发单点故障,从而造成整个局域网无法上网。由于所有数据包都流经监控设备或监控主机,则一旦监控软件或安装监控软件的电脑出现故障停止工作时将会直接造成局域网电脑全部掉线,从而导致网络通信中断,影响企事业单位正常的生产经营活动。
 

三、 基于聚生网管系统独有的“创新直连”的监控模式部署更优监控多VLAN、多网段环境。
 

为了避免目前国内同类网管软件或硬件网管系统所采用的网桥或串接方式面临的诸多不足,同时也为了给用户提供在三层交换机多网段环境下最优监控电脑上网行为的目标。大势至公司研发团队经过对三层交换机传输原理以及综合应用各种互联网基础通讯协议,经过全面的技术研发和反复实践,终于成功研发了基于“创新直连”的监控模式。所谓“创新直连”模式就是将聚生网管系统不是串接在三层交换机和路由器之间,而是直接将聚生网管系统接入到三层交换机的某一个特定的VLAN内,不需要调整网络结构,不需要做端口镜像或加装任何设备,就可以控制整个三层交换机所有VLAN电脑的上网行为,从而大大简化了部署聚生网管系统所带来的工作量、网络结构调整带来的复杂性和不确定性,是一种完全透明、近乎傻瓜式的部署方式。如下图所示:



图3:聚生网管系统基于”创新直连“模式监控图


“创新直连“监控模式部署的优点:
 

1、 不改变现有的网络结构,近乎热插拔式的部署方式,国内最快捷、最简单;


2、 基于外发报文的单向监控,只过滤上行(外发)报文,从而不可能出现性能瓶颈,不会引发网络延迟、丢包现象,不会承载下行报文的转发,而是由网关发送到三层交换机并分发到各个电脑上,从而保持高性能的线速传输优势,也极大地降低了负荷。


3、 基于三层交换机通讯原理构建,一旦监控软件或监控主机自身出现问题,网络恢复的时间不超过5秒,从而避免了单点故障,不会出现局域网网络延迟、丢包甚至掉线现象。


4、 对于不需要监控的电脑或服务器,同样在物理上实现免监控,也就是说免监控的电脑的数据包(同时也包括企业关键应用,包括VPN和视频会议)将直接通过三层交换机再到出口网关进行传输,完全不经过聚生网管系统所在的电脑,从而一方面保证了网络通信的高性能,另一方面也极大地保护了信息安全和商业机密。


5、国内唯一可以实现跨网段绑定电脑IP和MAC地址、跨VLAN进行IP和MAC地址绑定,从而可以有效防止各个网段电脑修改IP地址导致的IP冲突攻击、IP地址盗用情况的发生,规范了局域网IP地址管理。


6、国内唯一可以跨网段防止ARP攻击、跨VLAN防范ARP攻击的网管系统,可以有效防止多网段电脑ARP攻击导致的断网和掉线现象,从而有效保护了局域网网络安全。

 

“创新直连“监控模式部署的缺点:
 

1、 只是聚生网管系统所独有,同类网管软件无法采用:)


2、 其他没有了:)
 

四、针对一些用户通过子网掩码划分了多个IP段,但网关同为一个IP地址的网络环境,聚生网管也可以完全支持,如下图所示:


如下图所示:安装聚生网管的电脑IP地址为:182.16.4.167;子网掩码为:255.255.240.0;网关的IP地址为:182.16.1.1,则聚生网管系统可以扫描从182.16.1.1-182.16.16.255之间的所有电脑进行控制,从而完全满足了用户对多IP段网络环境下电脑上网管理的需求。
 




图:聚生网管软件管理多IP段网络环境下电脑网络行为
 

总之,聚生网管系统是国内同类网管软件里面监控三层交换机多VLAN环境、普通路由器多IP段环境下部署最快捷、网络结构适应性最强、监控效率和性能最高、风险最低、确保关键应用和网络通信正常进行的最优网管系统,可以为帮助国内广大企事业单位创造最大的网络管理收益和经济效益。

 

相关链接
 


 

公司简介:大势至公司是国内最早的企业网管软件提供商,可以为企事业单位提供整体的企业网络管理方案和企业网络管理平台,通过全系列的公司监控员工电脑软件教你如何控制员工上网、如何控制局域网内电脑上网以及如何保护电脑文件安全等。公司核心产品“聚生网管系统”是一款专门的公司网管必备软件、查看网络流量软件、网络流量监控软件和办公室电脑监控软件;“网络特警”则是一款专门的网络流量监控设备、上网行为管理服务器、网络行为管理设备,可以实现更为强大的局域网网络行为管理;大势至USB接口禁用软件则是一款专门的数据防泄密产品、屏蔽U盘软件、电脑USB端口禁用软件,可以严防通过一切途径泄露电脑文件,保护单位无形资产和商业机密安全;大势至共享文件夹管理软件则是一款专门的共享文件权限设置软件和共享文件设置密码软件,全面保护共享文件安全;大势至共享文件审计系统则是一款专门的服务器共享文件夹设置软件、服务器共享文件访问日志记录软件,可以详细记录局域网用户访问共享文件的行为,更好地管理共享文件的安全;大势至局域网网络准入控制系统则是一款专门防止未经授权的电脑接入公司局域网的行为,防止外来电脑访问局域网共享文件、防止蹭网以及绑定IP和MAC地址,保护网络安全;大势至FTP服务器日志记录软件则是一款专门记录局域网用户访问FTP服务器日志的软件,可以有效保护FTP服务器文件安全。
收缩

售前咨询

  • 电话:010-82825512
  • 电话:010-82825051
  • 电话:010-82825052
  • 电话:010-62656060

技术支持

  • 电话:010-82825062