——聚生网管跨VLAN监控、监控多网段环境上网、监控三层交换机环境下上网行为的方案
作者:大势至 日期:2012/10/24
|
http://www.grablan.com/download/AboutLanQos.rar">下载聚生网管系统全方位介绍(PDF)
|
http://www.grablan.com/download/LanQosbps.rar" target="_blank">下载聚生网管系统技术白皮书(PDF)
|
http://www.grablan.com/download/grabsun.rar" target="_blank">下载聚生网管试用(RAR)
|
作为国内久负盛名的专业网络管理软件,聚生网管系统一直以部署较快捷、功能较实用、操作较简单等诸多优势先进国内同类网管软件。这种优势同样体现在监控三层交换机划分了多VLAN、多网段的网络环境。与同类网管系统相比,聚生网管系统在监控三层交换机多网段环境电脑的上网行为,具有部署灵活、适应性强、不需要调整网络结构、不会引发性能瓶颈、不会引发单点故障风险等等优势。
针对划分的VLAN的数量、要监控的电脑数量多少等因素,聚生网管系统具体部署方法如下:
一、 针对划分了2-4个网段的环境,我们建议可以通过在安装聚生网管系统的电脑安装多块网卡的方式来进行监控。
具体方法:根据要监控的VLAN数量,在安装聚生网管系统的电脑安装对应安装多块网卡,然后将每个网卡通过网线接入到各个VLAN的某个端口上,然后启动聚生网管系统根据各个网卡来创建多个监控网段,然后连续启动聚生网管系统依次进入所创建的各个网段进行监控。也就是说,每次启动聚生网管系统都进入一个网段进行监控,这样右下角就同时有多个聚生网管的图标在运行,从而实现了对多个网段的并发、同时监控,如下图1所示。同时,如果各个VLAN并没有在一起,而是分散各处,或者不太方便通过布线来监控,则我们建议可以在各个VLAN内找一台电脑安装部署聚生网管系统以便监控各自所在的网段。如下图所示:
图1:通过在控制机安装多个网卡的方式进行监控
这种方式进行监控的优点:
1、 各个VLAN分散监控,尤其是每个VLAN都单独使用一台电脑进行监控的情况下可以极大地避免集中一台电脑或一台设备进行监控的风险;
2、 多个聚生网管系统进程同时运行,各自监控所在的VLAN,相当于多个线程并发运行,可以大幅度提升监控效率,避免单一网管系统同时监控多VLAN环境所可能出现的性能瓶颈。
3、 由于聚生网管系统独有的免监控电脑的数据包不流经聚生网管系统所在的控制机而直接发送到网关出去(在聚生网管主机列表里面取消勾选某个主机,也即不控制某个电脑,则完全等同没部署网管软件之前的情况),从而对于局域网领导的电脑或服务器等不需要监控的终端可以实现较高的性能,避免串接方式下部署网管软件或网管设备,即便不监控某些电脑,但是数据包仍然流经监控网管软件或网管设备而导致的网络延迟、丢包等降低网络性能的情况。
4、购买正式版聚生网管的用户,可以由我公司免费提供USB网卡(根据vlan数量对应提供相应网卡),用户只需要将网卡插到USB接口接上网线即可使用,无需拆卸电脑安装网卡,更为简单。
这种方式监控的缺点:
1、 需要另行配备网卡、网线,并进行相关的设置。
2、 在监控VLAN数量超过电脑可以安装网卡的数量的情况下将无法实施。
二、 针对划分了5个以上VLAN的网络环境,我们建议可以通过网桥或串接的方式进行监控,也即同类网管软件或硬件网管系统通常所采用的监控模式。
这种部署方式需要在安装聚生网管系统的电脑安装一块网卡,并和电脑自身集成的网卡搭建成网桥,并其中一个网卡连接三层交换机(当然,你连接在二层交换机,二层交换机再接三层交换机也完全可以,因为二层交换机就相当于一根网线),一个网卡连接出口网关(如路由器、防火墙等)。然后将聚生网管系统部署在“网络桥”上,由于三层交换机所有VLAN的电脑上网数据包都会通过“网络桥”进出,从而这种方式就可以控制三层交换机所有VLAN电脑的上网行为。如下图所示:
.jpg)
图2:聚生网管网桥模式监控部署图
这种方式监控的优点:
1、 可以集中监控三层交换机所有VLAN电脑的上网行为,同时监控的VLAN数量理论上没有上限;
2、 可以对各个VLAN、各个电脑所有公网报文进行限制,从而从理论上可以实现对局域网电脑所有上网行为的完全控制。
这种方式监控的缺点(我们不推荐客户采用这种方式部署):
1、 由于所有的VLAN的电脑的上网数据包都流经网络桥,所以即便不被监控的电脑,如领导的电脑或公司的重要服务器的数据包也同样需要流经此监控主机或监控设备。这样,一方面容易引发网络延迟、丢包现象(因为只要是网管软件通过网桥部署方式或多或少都会对网速有一定影响);同时,领导或服务器的电脑的数据包由于都可以被捕获和监控,这样容易造成商业机密或重要信息的泄密。
2、 由于所有电脑的数据报文都要流经此监控设备,所以容易引发性能瓶颈,一旦监控主机或监控设备无法处理这些数据报文,则将会造成局域网大面积网络延迟、丢包甚至断网现象,从而不利于网络的安全、畅通和高效;同时,由于网络桥本身就是操作系统虚拟出来的一种通讯通道,而操作系统对网络性能的消耗通常也比较大,从而也更进一步加剧了网络丢包、网络延迟的情况。
3、 由于在网络桥部署或串接部署下,所有电脑的下行报文也必须经由网络桥回发给交换机再到各个电脑,而下行报文通常也远大于下行报文,这就极大地增加监控主机或监控设备的负荷,从而进一步引发网络延迟或丢包现象,对局域网网络性能造成了较大影响。
4、 容易引发单点故障,从而造成整个局域网无法上网。由于所有数据包都流经监控设备或监控主机,则一旦监控软件或安装监控软件的电脑出现故障停止工作时将会直接造成局域网电脑全部掉线,从而导致网络通信中断,影响企事业单位正常的生产经营活动。
三、 基于聚生网管系统独有的“创新直连”的监控模式部署更优监控多VLAN、多网段环境。
为了避免目前国内同类网管软件或硬件网管系统所采用的网桥或串接方式面临的诸多不足,同时也为了给用户提供在三层交换机多网段环境下较优监控电脑上网行为的目标。大势至公司研发团队经过对三层交换机传输原理以及综合应用各种互联网基础通讯协议,经过全面的技术研发和反复实践,终于成功研发了基于“创新直连”的监控模式。所谓“创新直连”模式就是将聚生网管系统不是串接在三层交换机和路由器之间,而是直接将聚生网管系统接入到三层交换机的某一个特定的VLAN内,不需要调整网络结构,不需要做端口镜像或加装任何设备,就可以控制整个三层交换机所有VLAN电脑的上网行为,从而大大简化了部署聚生网管系统所带来的工作量、网络结构调整带来的复杂性和不确定性,是一种完全透明、近乎傻瓜式的部署方式。如下图所示:
图3:聚生网管系统基于”创新直连“模式监控图
“创新直连“监控模式部署的优点:
1、 不改变现有的网络结构,近乎热插拔式的部署方式,国内较快捷、较简单;
2、 基于外发报文的单向监控,只过滤上行(外发)报文,从而不可能出现性能瓶颈,不会引发网络延迟、丢包现象,不会承载下行报文的转发,而是由网关发送到三层交换机并分发到各个电脑上,从而保持高性能的线速传输优势,也极大地降低了负荷。
3、 基于三层交换机通讯原理构建,一旦监控软件或监控主机自身出现问题,网络恢复的时间不超过5秒,从而避免了单点故障,不会出现局域网网络延迟、丢包甚至掉线现象。
4、 对于不需要监控的电脑或服务器,同样在物理上实现免监控,也就是说免监控的电脑的数据包(同时也包括企业关键应用,包括VPN和视频会议)将直接通过三层交换机再到出口网关进行传输,完全不经过聚生网管系统所在的电脑,从而一方面保证了网络通信的高性能,另一方面也极大地保护了信息安全和商业机密。
“创新直连“监控模式部署的缺点:
1、 只是聚生网管系统所独有,同类网管软件无法采用:)
2、 其他没有了:)
四、针对一些用户通过子网掩码划分了多个IP段,但网关同为一个IP地址的网络环境,聚生网管也可以完全支持,如下图所示:
如下图所示:安装聚生网管的电脑IP地址为:182.16.4.167;子网掩码为:255.255.240.0;网关的IP地址为:182.16.1.1,则聚生网管系统可以扫描从182.16.1.1-182.16.16.255之间的所有电脑进行控制,从而完全满足了用户对多IP段网络环境下电脑上网管理的需求。
图:聚生网管软件管理多IP段网络环境下电脑网络行为
总之,聚生网管系统是国内同类网管软件里面监控三层交换机多VLAN环境、普通路由器多IP段环境下部署较快捷、网络结构适应性较强、监控效率和性能较高、风险较低、确保关键应用和网络通信正常进行的较优网管系统,可以为帮助国内广大企事业单位创造较大的网络管理收益和经济效益。
