真正的聚生網管原理大揭秘、大匯總,僅此一篇!
說起網管軟件,就不能不提“聚生網管”,這款軟件是國內最早的專業網管軟件之一,目前國內做網管的幾乎都知道,在前幾年控制BT下載、限制聊天、限制帶寬流量、限制局域網游戲等方面赫赫有名,現在在百度搜索“網管軟件”,聚生網管也排在首頁的最顯著位置(廣告除外),可以說,聚生網管在某種意義上已經成為國內網管軟件的一個代名詞。聚生網管之所以出名,筆者以為主要是以下幾個方面:
1、安裝部署簡單。照聚生網管的安裝說明,只需要將聚生網管系統安裝在局域網一臺電腦就可以控制整個局域網的上網行為,不需要像其他網管軟件那樣需要在交換機上做端口鏡像,安裝HUB集線器或代理服務器等,也不需要在被控制的電腦上安裝客戶端軟件,不需要調整網絡結構等等。這種安裝部署方式比較適合國內企事業單位網絡管理的情況。其實國內一般公司都沒有專門的網管人員,一般是由單位的行政或管理人員兼任,這種情況下就需要比較簡單、易用的網管軟件。聚生網管很好地滿足了這些網管人員的需求,安裝非常簡單,功能界面一目了然,使用上點點鼠標就可以實現。
2、網絡監控功能實用。聚生網管控制迅雷下載、限制BT,限制上網帶寬,控制局域網游戲,限制局域網聊天,限制網址瀏覽等功能是當前網絡管理、網絡監控所迫切需要的。其實,上述這些網絡限制功能一般的網管軟件也都可以實現,但是都沒有聚生網管做得好。比如限制迅雷下載,一般的網管軟件無法有效限制,而聚生網管可以完全禁用迅雷下載;比如限制電腦上網速度,一般的網管軟件只能限制電腦一段時間的上網流量(類似于流量統計),而不能限制電腦實時的帶寬。而目前由于中國寬帶運營商給國內企事業單位的出口帶寬普遍較小,一般公司的帶寬資源常常捉襟見肘,不夠用。而P2P軟件占用帶寬較為驚人,因此,必須有效控制P2P下載才可能從根本上解決單位帶寬被P2P下載、P2P視頻消耗殆盡的窘況;同時,即便控制了局域網P2P流量,也必須對局域網電腦上網帶寬進行限制,防止個別人莫名其妙地占用較大的帶寬而導致其他人上網速度慢、網絡性能下降的情況。
3、聚生網管和國內其他網管軟件不同的另一個重要方面就是,實行一次收費,永久使用,永久免費升級的策略。這與國內其他網管軟件一般只是升級一年不同,給用戶感覺性價比很高。從聚生網管這幾年的升級來看,的確是給客戶免費升級,給了用戶切實的實惠。
筆者以為,聚生網管正是契合了當前國內企事業單位網絡管理的執行者、網絡管理的核心需求和網絡管理的持久性等三個方面的需求,使得聚生網管在國內網管軟件領域頗具競爭力,使得聚生網管系統上市不久就沉重打擊了國內更早的網管軟件,比如那些采用端口鏡像、部署HUB集線器或代理服務器的網管軟件,這些架構的網管軟件由于其架構部署復雜、功能側重點等方面已經越來越受到聚生網管的嚴重擠壓,生存空間越來越小;同時,采用端口鏡像、部署HUB集線器或代理服務器架構的網管軟件由于無法有效監控P2P軟件、禁止聊天軟件、限制上網帶寬而越來越無法滿足用戶的網絡管理需要。筆者的一個朋友曾經采購了一款這種架構的網管軟件,想完全禁用BT下載,結果廠家的技術人員竟然告知將BT的網站全部封堵;想限制電腦的網速,結果這樣的網管軟件只能控制一天用了多少兆流量;想封堵QQ聊天、禁止玩QQ游戲,卻讓筆者的朋友去抓取QQ登錄IP地址、QQ游戲的服務器IP和端口,然后在路由器里面過濾QQ和Q Q游戲的登錄IP地址和端口,差點讓筆者的朋友吐血。
筆者今天并不是討論國內網管軟件的優劣,而是想和廣大網友深入分析一下,聚生網管究竟采用何種原理,為何在國內如此大受歡迎呢?
其實,從聚生網管的安裝部署方式來看,我們不難看出這種部署方式絕非一般的網管軟件部署方式,也就是我們常常說的ARP地址解析技術。這種ARP技術是將局域網電腦的ARP表項中所存儲的網關的IP對應的MAC地址表更改成聚生網管的控制機的MAC地址。這樣由于局域網電腦的報文是通過MAC地址傳輸的,因此經過聚生網管這種“主動引導”之后,局域網電腦發送的數據包就直接發送到聚生網管所在的電腦了,這樣聚生網管系統就可以通過將網卡置于混雜模式而抓取局域網電腦的公網報文,然后根據其內置的過濾規則來對數據包進行過濾,然后再將數據包轉發到真正的網關,從而達到對局域網電腦進行控制的目的。毋庸置疑,這種通過ARP方式來控制局域網電腦的方法在早期的網管軟件中應用都非常普遍,但是由于其他一些網管軟件廠家這些對ARP技術的掌握和功能設計上存在缺陷,使得他們在使用ARP模式監控時常常導致內網電腦掉線,不得已很多網管軟件被迫放棄了這種部署方式。而聚生網管由于早期對ARP監控模式的開發和實踐較早,對ARP技術的掌握也更為成熟。因此聚生網管系統一般不會導致內網電腦掉線,再加上聚生網管在新版本中已經可以完全突破ARP防火墻進行監控,因此也沒有理由放棄這種ARP監控模式。因此,聚生網管一直沒有放棄通過ARP方式監控,國內廣大用戶似乎也樂意接受這種監控模式。
公平地說,這種ARP方式進行的監控,如果應用得當,的確是一種很好的網絡管理解決方案,尤其是可以不用調整網絡結構,不需要在交換機做端口鏡像,加裝HUB集線器或代理服務器的方式,確實簡化了網管人員的工作量和復雜性。同時,這種監控模式由于只是抓取和過濾局域網電腦的上行報文,而對局域網電腦下行報文不抓取、不過濾、不攔截。因此,考慮到局域網電腦的上行報文一般較小,下行報文是一般較大(比如用迅雷下載),因此這種監控方式也不會導致局域網電腦上網變慢、網絡性能下降的情況;同時,由于很多網絡應用,一般只需要打斷其上行報文就可以完全禁止其報文傳輸,因此也沒有必要將下行報文抓取、過濾和限制了。比如,禁止迅雷的上傳就可以完全禁止迅雷下載;禁止QQ的上行報文就可以完全阻斷QQ登錄。但是,這種方式被一些不太懂技術的或者一些競爭對手說成是“ARP欺騙”,然后信誓旦旦地說這種監控模式會引發多少危害云云,就有點聳人聽聞、貽笑大方了。
首先,無論怎么部署網管軟件,前提是必須能抓取局域網電腦的上網報文,否則網絡監控根本無從談起,就像很多網管軟件通過在交換機和路由器之間搭建“網絡橋”(一般是通過雙網卡或雙網口)的方式進行監控一樣;同時,由于這種“網絡橋”的方式由于是局域網電腦上網的唯一出口,因此局域網電腦所有的上下行公網報文都會流經此網絡橋,因此一旦網絡橋所在的網絡設備無法及時、高效處理這些報文(尤其下行的大量的P2P報文),將會導致網絡丟包、延遲甚至崩潰,從而使得局域網電腦的網絡通訊完全切斷,導致內網大面積掉線。因此,這種網絡橋的部署方式容易引發單點故障、成為性能瓶頸,同時部署也較為復雜。聚生網管的ARP方式也只不過是利用一種比較簡單、快捷的方式來達到抓取局域網電腦上網報文,進而進行過濾和控制的目的,同時這種模式也省卻了用戶做端口鏡像、部署HUB集線器或代理服務器的繁瑣。因此,這種模式從監控的方式來說無可厚非,甚至還節省了客戶的工作量,為客戶帶來了諸多便捷;而從監控的實際效果上,可以完全屏蔽P2P下載、限制電腦聊天、禁止局域網電腦玩游戲、實時控制電腦網速、限制網址訪問等等主流的網絡控制功能。因此,用最少的工作量實現最大的網絡管理效果,網管人員沒有理由拒絕。
其次,ARP報文只是互聯網基礎通訊協議的一種,是局域網電腦通訊、電腦上網的必需協議。當前一些防火墻、路由器、交換機為了引導局域網電腦上網、防御ARP病毒等,也不斷地、周期性地向局域網電腦廣播ARP報文。筆者通過對H3C、Dlink公司路由器的驗證,他們的路由器產品發包的速度默認是每個/2-4秒不等,個別品牌的路由器甚至一秒向整個局域網廣播一次ARP報文。而筆者研究聚生網管的ARP發包速度,默認為5秒每個,網管人員可以在一定條件下延長ARP報文的發包延時,比如設置10秒,甚至30秒發送一次。因此,從發包力度和頻率來說,聚生網管系統遠遠小于路由器、防火墻和交換機等主流網絡設備的發包頻率,因此對網絡幾乎沒有任何影響。此外,這些ARP報文相對于局域網動輒成千上萬、難以估量的TCP、UDP報文來說,顯得微乎其微,對網絡不可能產生可以察覺的影響。
再其次,由于聚生網管的這種ARP報文是為了達到網絡管理、網絡控制的目的,因此總體來說這是一種種良性的ARP報文,是為了幫助網管人員以最簡單、最直接的方式達到網絡控制的目的。因此,聚生網管的ARP機制與那些ARP木馬、ARP攻擊和ARP欺騙不同,后者的目的是直接搞垮局域網電腦的上網行為,是為了破壞局域網的正常通訊,達到某種罪惡的目的。因此,聚生網管的ARP方式監控不能稱之為ARP攻擊或ARP欺騙。相反,如果局域網真有ARP攻擊、ARP欺騙等危害網絡行為的發生時,聚生網管的ARP機制在一定程度上可以將這些ARP攻擊行為的危害降到最低。因為,這些ARP攻擊木馬在發作時會向局域網廣播大量的、偽造的、虛假的ARP報文,以此來破壞局域網電腦的ARP表項里面所存儲的正確的網關MAC地址;而這種情況下,如果開啟了聚生網管系統就會向局域網廣播聚生網管控制的MAC地址,從而及時更新局域網電腦的ARP表項,使得局域網電腦的網絡報文發送到聚生網管控制機,而聚生網管會將數據包抓取、過濾之后轉發到真正的網關,從而可以保證網絡通訊的正常進行;同時,聚生網管系統還可以在一定條件下加大ARP發包的力度和頻率,從而可以有力地對抗ARP攻擊、ARP欺騙的危害網絡的行為。此外,聚生網管系統還提供了檢測局域網ARP攻擊、ARP欺騙行為的攻擊源主機,可以精確定位局域網發動ARP攻擊的電腦,并且還可以在一定條件下將攻擊源主機完全隔離開局域網,使之無法與局域網其他電腦通訊,也無法上網,從而完全杜絕ARP攻擊和ARP欺騙行為的肆虐,從根源上治理ARP攻擊行為的發生。
最后,很多人擔心這種模式部署聚生網管監控軟件會影響網絡性能,導致局域網網速變慢、網絡性能下降,加劇網絡丟包,其實這種擔心毫無道理。因為,一款網管軟件性能的高低,一方面取決于軟件自身的代碼、邏輯架構和算法,另一方面也很大程度上取決于運行軟件的硬件載體。一個很爛的軟件即便在IBM的大型服務器上也跑不出令人滿意的性能,而一款各方面都優秀的網管軟件,即便是在一個普通PC機上也能跑出令人滿意的效果。因此,從上面的分析我們可以得出,單純從聚生網管的自身來看,由于其僅僅3兆的大小,同時采用C++編程語言,加上聚生網管多年來的架構整合、優化,綜合性能已經非常優秀;同時,經過筆者的測試,在同樣的網絡環境下,運行聚生網管的硬件平臺性能越高,聚生網管的運行效率也越高。因此,聚生網管的運行性能如何很大程度上取決于硬件平臺的性能,這一點,企事業單位在部署網管軟件的時候要注意一下。筆者的建議是,如果單位有空余的服務器,則最好用服務器來跑,一方面可以避免服務器資源閑置,另一方面也可以實現更高的網絡監控性能,同時以后服務器性能不夠了可以直接將聚生網管移植到一個更高的服務器平臺上,升級維護較為簡單、靈活。同時,筆者也不建議購買硬件的網管系統,筆者的一個朋友來了一款硬件的網管系統,當時用的還可以,但是中途出現幾次故障,維修花了好長時間,而且硬件升級也較為困難,廠家給出的報價也極為高昂,隨著公司電腦數量的增多,現在已經明顯感覺到對網絡性能的影響了。
因此,從以上各種理由來看,聚生網管的ARP監控模式不是所謂的ARP攻擊或ARP欺騙,而只是用了一種巧妙的辦法來幫助網管人員達到網絡管理的目的。同時,這種監控模式不需要調整網絡結構,不需要加裝網絡設備,不需要安裝客戶端,也不會導致網絡性能的降低,也沒有什么網絡風險。因此,這種監控模式能夠滿足國內大部分中小型企事業單位網絡管理、網絡監控的需要。再加上,聚生網管已經完全突破各種ARP防火墻進行無縫監控,因此,聚生網管可能會繼續保留這種通過ARP方式監控的功能。
但是,也許聚生網管研發團隊和市場部門已經注意到用戶的擔心,以及競爭對手一次次利用ARP向聚生網管發難,聚生網管在2008年推出了帶有更多監控模式的新版本,集成了“網關模式、網橋模式、旁路模式、監視模式”等主流網管軟件所采用的部署方式。同時,針對三層交換機大規模網絡監控的需要,聚生網管在2011年推出了“創新直連”監控模式,通過在三層交換機的一個特定的VLAN部署聚生網管,就可以完全實現對三層交換機所有VLAN電腦上網行為的全面監控,遙遙領先國內同類網管軟件單純的“串接”、“橋接”模式,部署更為快捷、簡單,風險也更小,綜合性能更高。聚生網管在監控模式的變革和創新,使得聚生網管以一種更正派的網管軟件形象出現,同時也極大地增強了聚生網管在大規模網絡環境中的競爭優勢。
綜上所述,從聚生網管在國內廣大網管人員中的知名度,聚生網管的各項網絡限制功能,聚生網管的部署和使用等等方面。我們不難看出,聚生網管很好地切合了國內網管人員的知識水平、企事業單位的網絡管理需要。聚生網管的成功也給國內廣大網管軟件廠家一個很好的啟迪,我們預祝聚生網管系統能夠再接再厲,繼續為中國廣大企事業單位作出更好的網管軟件產品。
共有條評論
