安防监控ezhf 2009-01-13
为了强化对网吧上网行为的管理,政府监管部门要求全国各地的网吧必须安装网吧上网监控管理系统。网吧上网监控系统其实是一套网络管理软件,可以监控到网吧内每台机器的上网情况。可是,一些安装了上网监监控系统的网吧经营者纷纷抱怨,安装了上网监控系统之后,网吧的网络速度变得非常慢,而一些网吧却没有受到影响。其实,网吧上网监控系统的安装也大有学问可讲,如果安装设置不恰当,会严重影响网吧的网络速度,如何才能部署一个高效又省钱的网吧上网监控方案呢?
虽然不同地区的网吧安装了不同的上网监控软件,但其原理都是一样的。要想部署一个性价比非常高的上网监控系统,必须了解网吧上网监控系统的原理及特点。
网吧上网监控软件原理及特点
由于网吧上网监控软件是政府监管部门必须强制安装的一款软件,网吧经营者只有服从的份儿,因为拒绝安装的结果将是巨额罚款。监管部门通过上网监控软件,可以限制不同机器的网络访问权限,并根据需要查看某台机器浏览的网址、聊天内容或邮件内容等。
从技术角度来讲,要实现对网吧所有机器的内容监控,并记录每台机器的通讯记录,这属于内容监控的范畴。要实现上述功能,除了需要一款专业的上网监控软件之外,还要保证安装上网监控软件的机器能够抓取网络内所有被控机器的通讯数据包。就网吧现有的网络架构而言,要想保证安装上网监控软件的机器能够"听"到所有客户机的通讯,必须改造现有的网络,因为在由交换机搭建的网络中是无法实现的,原因在于交换机的工作原理。
图一 交换机工作原理
对于由集线器搭建的网络而言,如果A机器需要与其他机器进行网络通信,A发出的数据包会被同时复制到集线器的所有其他端口上。也就是说,用集线器连接的网络,网内任何一台机器都能够"听到"其他机器的通信,当然也能够将这些通信包抓取下来。这正是内容控制类监控软件功能实现的前提。所以,在集线器网络中,任何一台机器上均可部署此类网管软件,而且功能都能正常实现,而在由交换机搭建的网络中则不能实现。交换机与集线器最大的不同是通信数据包不再复制到其他所有端口,而是"精确"地发往目标机器所在的那个端口,所以,其他机器就无法"听到"这种目的性较强的通信,当然也就无法实现数据包的抓取了,上网监管软件就无法正常工作。
就网吧网络的架构而言,要想保证上网监控软件能够正常工作,必须在网络的"出口"处设岗。所谓"出口",即指所有机器的通信都会流经的端口,这个出口可能是路由器,可能是代理服务器,
在实际应用中,如何改造网络才能保证上网监控软件能够正常工作,而且不影响网吧的网络速度呢?下面,笔者列举常用的几种上网监控系统的网络部署方案供大家参考。
网吧上网监控网络部署方案
无论使用何种方法,其目的都是在网吧的网络出口处对数据进行截流,并且保证安装上网监控软件的机器能够共享这些被截流的数据。目前,网吧上网监控网络部署的常用方案有以下几种:
1、架设代理服务器:直接在网吧出口处,架设一台代理服务器,然后在代理服务器上安装上网监控软件即可。
2、加装HUB:可以在路由器与网吧汇聚交换机之间安装一台HUB,将监控系统服务器与HUB连接在一起,这样就可以监控网吧所有客户机的数据。
3、 购买支持镜像功能的交换机:将支持端口镜像功能的交换机安装在路由器后面,安
装上网监控软件服务器直接连在镜像交换机中,并将该交换机与路由器相连端口的所有数据,镜像到与上网监控软件服务器相连的端口实现监控的目的。
上述三种方案各有优缺,下面,笔者列表阐述一下每种方案的优劣(如图二),网吧经营者可以根据自己的网吧规模选择属于自己的上网监控网络改造方案。
图二
从上面的表格可以看到每一种网络改造方案的具体区别,哪种方案最实惠,还要结合网吧的具体情况和网络规模。对于网吧经营者而言,哪种方案最实用呢?
三种网络改造方案谁最佳?
选择一种网络改造方案时,不能仅仅局限于成本,因为这一成本仅仅是孤立的成本。为此,网吧经营者在考虑使用哪种网络改造方案时,必须结合到网吧的实际情况,然后核算实际改造成本。
1、100台以下的网吧
路由器→交换机→客户机的网络架构已经成为所有通用的网络架构。对于100台以下的网吧而言,加装HUB的网络改造方案显然不适合,因为加装了HUB之后,无疑会产生大量广播消息,影响网吧的网络质量。综合对比一下不难发现,架设代理服务器是一种既省钱,又高效的网络改造方案。
图三 HUB安装位置
在架设代理服务器和安装镜像交换机这两种网络改造方案中,如果就性能而言,安装镜像交换机的网络改造方案最合适,不仅可以保证网吧的网络质量,还可以保证上网监控方案的实施。站在网吧经营的角度讲,安装上网监控软件必须占用一台机器。为此,我们可以在安装上网监控软件的机器中再增加一块网卡做代理服务器,一块网卡连接路由器,一块网卡连接网吧的汇聚交换机,这样可以省去购买镜像交换机的费用。更重要的是,100台以下的网吧,网络流量虽然相对较小,购买几百块钱一台的镜像交换机,很难保证其网络质量不会下降。
只需在上网监控服务器中安装一块网卡,既可以满足上网监控服务的需求,又不会影响网吧的网络质量,又不会增加额外的成本,可谓是一举两得。
2、100台-300台规模的网吧
当网吧的规模在100台以上300台以下时,网吧的网络流量相对较大。加之网吧要安装的上网监控软件,需要时时捕获数据,如此苛刻的需求之下,只有购买镜像交换机才能满足安装上网监控软件的需要。
在购买镜像交换机时,不要购买几百块钱的镜像交换机,而是要购买一些知名品牌的镜像交换机产品。因为在工作过程中,镜像交换机负责向上网监控服务器提供数据转发服务,如果交换机性能过于低劣,无疑会影响网吧的网络流畅度,购买一款性能优越的镜像交换机显得尤为重要。
在众多的镜像交换机产品中,友讯网络推出的DES-1228交换机是一款性能优秀的产品。更重要的是,购买了DES-1228镜像交换机,不仅可以满足上网监控服务器所需的网络环境,还可以优化网吧的网络,因为DES-1228具备更多的网络管理功能。