聚生網(wǎng)管軟件在校園網(wǎng)管理中的應(yīng)用經(jīng)驗(yàn)共享共同提高.ppt

1、a,1,聚生網(wǎng)管軟件在校園網(wǎng) 管理中的應(yīng)用 經(jīng)驗(yàn)共享 共同提高 王永會(huì),a,2,能實(shí)現(xiàn)什么,網(wǎng)管員在局域網(wǎng)同一工作組內(nèi)任何一臺(tái)電腦上 “控制”其他機(jī)器的上網(wǎng)行為: P2P下載、帶寬、流量、游戲、股票、聊天軟件 可以控制其他機(jī)器在某些時(shí)段不能干什么（這對(duì)于限制學(xué)生在上非網(wǎng)絡(luò)課時(shí)的上網(wǎng)行為很有幫助）可以對(duì)指定端口進(jìn)行封堵，規(guī)定指定電腦只能上指定站點(diǎn)； 監(jiān)控對(duì)象可以是局域網(wǎng)內(nèi)同一工作組內(nèi)的部分或全部電腦，也可以對(duì)不同部門(mén)的電腦分配不同的上網(wǎng)限制內(nèi)容,a,3,原理： ARP欺騙,將裝軟件的電腦映射為局域網(wǎng)的網(wǎng)關(guān)進(jìn)行數(shù)據(jù)包的捕獲和監(jiān)控,電腦A將使用arp攻擊,也就是IP地址欺騙！欺騙電腦B（局域網(wǎng)所有電

2、腦）告訴他們我就是網(wǎng)關(guān)，電腦B（局域網(wǎng)所有電腦）將把所有要發(fā)給路由的數(shù)據(jù)發(fā)到電腦A,再通過(guò)電腦A發(fā)給網(wǎng)關(guān)，這樣就可以控制其他電腦的訪問(wèn)了,a,4,安裝,a,5,配置 1-新建網(wǎng)段,a,6,配置 2-輸入網(wǎng)段名稱,2-輸入網(wǎng)段名稱,a,7,配置 3-選擇待監(jiān)控網(wǎng)段網(wǎng)卡,a,8,配置 4-選擇監(jiān)控網(wǎng)段出口帶寬,a,9,主界面,a,10,網(wǎng)絡(luò)主機(jī)掃描,說(shuō)明：”主機(jī)說(shuō)明”用于添加自定義說(shuō)明信息（新增） 如果不想控制某一臺(tái)機(jī)，但要知道上下行帶寬,只須在要控制的主機(jī)前勾選，點(diǎn)擊應(yīng)用控制設(shè)置,a,11,流量實(shí)時(shí)檢測(cè),a,12,控制策略設(shè)置,a,13,策略設(shè)置,a,14,控制策略 帶寬限制,a,15,控制策略

3、 流量限制,a,16,控制策略 P2P下載限制,限制所有流行的P2P下載工具和流媒體工具,a,17,控制策略 普通下載限制,a,18,控制策略 游戲限制,a,19,控制策略 股票限制,a,20,控制策略 聊天限制,新增了多種聊天工具，以及禁止QQMSN傳送文件功能,a,21,控制策略 ACL規(guī)則,a,22,控制策略 時(shí)間管理,時(shí)間控制精確到半小時(shí)！藍(lán)色選中的區(qū)域所有策略生效！白色區(qū)域?yàn)椴豢刂?a,23,網(wǎng)絡(luò)安全管理,a,24,網(wǎng)絡(luò)實(shí)用工具,a,25,軟件配置,a,26,多網(wǎng)段并發(fā)監(jiān)控方案,一、分散監(jiān)控 通過(guò)在每一個(gè)VLAN(網(wǎng)段)指定某一臺(tái)電腦（此電腦可以是在局域網(wǎng)內(nèi)同時(shí)承擔(dān)其他任務(wù)，比如打印

4、機(jī)服務(wù)器、文件服務(wù)器的電腦，無(wú)需單獨(dú)配備）作為監(jiān)控主機(jī)部署聚生網(wǎng)管系統(tǒng)，分別負(fù)責(zé)監(jiān)管本網(wǎng)段的網(wǎng)絡(luò)主機(jī)。這樣不同網(wǎng)段可以靈活制定監(jiān)控策略，同時(shí)分散監(jiān)控相對(duì)于集中監(jiān)控對(duì)網(wǎng)絡(luò)性能的影響也更小，也可以分散集中統(tǒng)一監(jiān)控所造成的系統(tǒng)負(fù)荷，也避免了集中監(jiān)控的情況下，因?yàn)楸O(jiān)控主機(jī)出現(xiàn)意外而影響全部網(wǎng)段的網(wǎng)絡(luò)暢通和安全,a,27,多網(wǎng)段并發(fā)監(jiān)控方案,二、集中監(jiān)控 在本機(jī)部署多個(gè)網(wǎng)卡，分別接入到相應(yīng)網(wǎng)段的交換機(jī)上即可，但是有時(shí)候電腦可能沒(méi)有更多地PCI插槽來(lái)插入多個(gè)網(wǎng)卡。這種情況下，也可以高性能適配器，單個(gè)適配器可以提供高達(dá)24個(gè)的以太網(wǎng)接口，相當(dāng)于在本地部署24個(gè)網(wǎng)卡，也就是單個(gè)網(wǎng)絡(luò)適配器（相當(dāng)于一個(gè)網(wǎng)卡）可以

5、并發(fā)監(jiān)控24個(gè)網(wǎng)段，如果按照每個(gè)網(wǎng)段最多支持250臺(tái)電腦計(jì)算，則理論監(jiān)控可高達(dá)1000臺(tái)；同時(shí)如果企業(yè)劃分更多的VLAN，則可以在PCI插槽上部署多個(gè)網(wǎng)絡(luò)適配器，現(xiàn)在電腦最多可以支持6個(gè)PCI插槽計(jì)算，則理論監(jiān)控網(wǎng)段可以達(dá)到1224個(gè)，可以充分滿足企業(yè)劃分多個(gè)網(wǎng)段的網(wǎng)絡(luò)管理需求。 這種集中監(jiān)控的方案的實(shí)施也很簡(jiǎn)單，只要將適配器的相應(yīng)的接口分別通過(guò)網(wǎng)線接到相應(yīng)VLAN的交換機(jī)上，然后通過(guò)聚生網(wǎng)管分別對(duì)相應(yīng)的網(wǎng)段進(jìn)行監(jiān)控設(shè)置即可,a,28,多網(wǎng)段并發(fā)監(jiān)控方案,二、集中監(jiān)控,a,29,多網(wǎng)段并發(fā)監(jiān)控方案,三、網(wǎng)橋模式 為了更好地適應(yīng)某些大型客戶對(duì)多網(wǎng)段監(jiān)控的需要，聚生網(wǎng)管2008系統(tǒng)采用全新的技術(shù)架

6、構(gòu)，用戶可以通過(guò)在網(wǎng)絡(luò)出口架設(shè)網(wǎng)橋的模式，來(lái)實(shí)現(xiàn)對(duì)多網(wǎng)段監(jiān)控的需要；通過(guò)架設(shè)網(wǎng)橋，聚生網(wǎng)管2008版所監(jiān)控的網(wǎng)段數(shù)目在理論上不受限制，更好地滿足大型用戶的監(jiān)控需要,a,30,多網(wǎng)段并發(fā)監(jiān)控方案,三、網(wǎng)橋模式,a,31,思考:建立符合本校的策略,通過(guò)聚生網(wǎng)管來(lái)限制BT上、下行速度都低于50KB/s。 通過(guò)聚生網(wǎng)管來(lái)管理學(xué)生機(jī)房，上課時(shí)間只能訪問(wèn)學(xué)校網(wǎng)站，不能上QQ. 教師辦公室禁止訪問(wèn)財(cái)經(jīng)、股票網(wǎng)站 提供某一機(jī)器某一月WEB上網(wǎng)記錄,a,32,FAQ,1.軟件應(yīng)該安裝在什么主機(jī)上比較好，對(duì)于網(wǎng)絡(luò)環(huán)境有什么要求？聚生網(wǎng)管可以安裝在子網(wǎng)內(nèi)的任意主機(jī)上，如采用ADSL寬帶路由器或者路由器接入公網(wǎng)，那么

7、把軟件安裝在接在交換機(jī)上的任意一臺(tái)主機(jī)即可，但為保證軟件的運(yùn)行效率，安裝主機(jī)最好不要同時(shí)兼任其他任務(wù)，有條件的學(xué)校，建議選用一臺(tái)專門(mén)主機(jī)作為控制機(jī)。如果網(wǎng)絡(luò)是采用代理服務(wù)器方式接入，建議仍然采用類似于上面所述的安裝方式，如果安裝在代理服務(wù)器上，有一些功能則會(huì)無(wú)法使用。 2.為什么啟動(dòng)軟件時(shí)候出現(xiàn)“啟動(dòng)服務(wù)失敗”提示？ 可以查看是不是本機(jī)安裝了其他網(wǎng)絡(luò)控制類軟件，很有可能使用的Winpcap驅(qū)動(dòng)版本不同而導(dǎo)致。解決方法是：到“控制面板”找到winpcap，然后刪除；或者在系統(tǒng)目錄下搜索wpcap.dll和packet.dll，找到后刪除，然后重新運(yùn)行聚生網(wǎng)管源安裝目錄下的Winpcap.exe，

8、然后重新啟動(dòng)聚生網(wǎng)管。確認(rèn)你在軟件配置里面選擇了網(wǎng)卡，并保存。確認(rèn)是否啟動(dòng)了網(wǎng)絡(luò)控制服務(wù)；確認(rèn)你是否選擇了特定的主機(jī)，并選擇了應(yīng)用控制設(shè)置；確認(rèn)你在網(wǎng)絡(luò)應(yīng)用管理那里選定要了控制的項(xiàng)目并且進(jìn)行保存；確認(rèn)本機(jī)不是裝在局域網(wǎng)的代理服務(wù)器上面，有些功能可能不穩(wěn)定；系統(tǒng)是否安裝了采用winpcap驅(qū)動(dòng)的監(jiān)控軟件，這有可能造成系統(tǒng)的無(wú)法運(yùn)行。解決方案：先到控制面板卸載winpcap驅(qū)動(dòng)，然后重新啟動(dòng)電腦，然后重新安裝本軟件；確認(rèn)校園網(wǎng)沒(méi)有進(jìn)行ip-mac綁定，如果已經(jīng)進(jìn)行了綁定那么運(yùn)行本軟件就會(huì)導(dǎo)致局域網(wǎng)被控主機(jī)掉線；確認(rèn)你的電腦是否安裝了其他類似的監(jiān)控軟件，如有，請(qǐng)卸載后重新測(cè)試；重新啟動(dòng)一下系統(tǒng)，因?yàn)?/p>

9、有時(shí)候是你的系統(tǒng)環(huán)境有問(wèn)題,a,33,FAQ,3.為什么軟件已經(jīng)提示了系統(tǒng)控制x.x.x.xP2P下載信息，可是它還能下載？ P2P下載的特點(diǎn)就是不斷的去連接新的IP地址，所以軟件提示的信息表示正在攔截該主機(jī)連接更多的IP，而已經(jīng)建立的連接聚生網(wǎng)管是無(wú)法區(qū)分的，所以就會(huì)造成還有下載速度。 解決方法：讓聚生網(wǎng)管軟件處于一直運(yùn)行狀態(tài)，這樣新的P2P下載就會(huì)受到控制；或者限制發(fā)現(xiàn)P2P下載時(shí)的上行和下行速度，這樣Bt下載就會(huì)受到有效的抑制。 4.為什么網(wǎng)絡(luò)帶寬查看里面顯示的主機(jī)實(shí)時(shí)流量和我在主機(jī)上查看的流量有差異？ 因?yàn)榫凵W(wǎng)管對(duì)網(wǎng)絡(luò)主機(jī)的公網(wǎng)下行帶寬是根據(jù)報(bào)文數(shù)采用一定算法進(jìn)行估算而來(lái)，而不是根據(jù)

10、字節(jié)計(jì)算，所以就有可能出現(xiàn)一定偏差，但是仍然可以在很大程度上準(zhǔn)確反映出當(dāng)前公網(wǎng)帶寬占用情況。 5.為什么對(duì)局域網(wǎng)的主機(jī)進(jìn)行了限制，卻導(dǎo)致了主機(jī)不能上網(wǎng)。請(qǐng)查看是否在代理服務(wù)器上或者路由器中起用了ip-mac綁定，如啟用，取消綁定設(shè)置；可以使用聚生網(wǎng)管提供的Ip-mac綁定功能來(lái)實(shí)現(xiàn)綁定；因?yàn)榫凵W(wǎng)管采用了虛擬路由技術(shù)，在被控制主機(jī)發(fā)出數(shù)據(jù)報(bào)文后，經(jīng)過(guò)控制主機(jī)虛擬路由后，報(bào)文的源MAC地址會(huì)發(fā)生變化，而如果在代理服務(wù)器上或者路由器上啟用了IP-MAC綁定，那么這種源MAC地址已經(jīng)發(fā)生變化的報(bào)文就會(huì)被代理服務(wù)器或者路由器丟棄，從而造成被控制主機(jī)無(wú)法上網(wǎng)。 6.為什么主機(jī)名顯示：“”？ 這種情況下，

11、一般是裝有軟件的主機(jī)沒(méi)有安裝netbios協(xié)議，系統(tǒng)不讓查看機(jī)器名。方法：右鍵點(diǎn)擊“網(wǎng)上鄰居”“屬性”“本地連接”“屬性”“安裝”“協(xié)議”“添加”“NWLINK NETBIOS”。然后點(diǎn)擊“確定”，退出即可；如果仍有個(gè)別主機(jī)名無(wú)法顯示，一般情況下就是對(duì)方主機(jī)開(kāi)了防火墻，禁止了本地主機(jī)的查詢，可以將其關(guān)閉即可。無(wú)論防火墻開(kāi)啟與關(guān)閉，均不影響程序的監(jiān)控,a,34,FAQ,10.為什么我控制了QQ、MSN等聊天工具，對(duì)方怎么還能繼續(xù)聊天？在控制某個(gè)主機(jī)的QQ、MSN等聊天工具后，仍然能夠看到對(duì)方顯示在線，并且在說(shuō)話，因?yàn)镼Q服務(wù)器不會(huì)立即把沒(méi)有受到報(bào)文的QQ顯示為下線（但實(shí)際上QQ與騰訊服務(wù)器的連接

12、已經(jīng)被切斷），并且軟件本身還有一個(gè)時(shí)滯，也就是控制后約為30秒，就可以完全控制，此后QQ所發(fā)出的全部報(bào)文都會(huì)被攔截，發(fā)送消息會(huì)顯示“發(fā)送消息失敗，是否重試”等等，這樣就會(huì)迫使QQ下線，其他聊天工具截獲原理同QQ一樣。 11.為什么我控制了對(duì)方進(jìn)行http和ftp下載，但是對(duì)方仍舊在下載？ 對(duì)http和ftp下載的控制，必須在客戶機(jī)進(jìn)行下載之前，就啟動(dòng)本軟件的控制功能；否則，一旦對(duì)方已經(jīng)開(kāi)始了下載，軟件就會(huì)默認(rèn)對(duì)方是只是在進(jìn)行http和ftp通訊，就會(huì)不加攔截，因此客戶機(jī)可以一直下載。 12.直接斷電或者按下Reset重新啟動(dòng)電腦會(huì)有何影響？ 當(dāng)控制主機(jī)被直接斷電或者手工按下Reset鍵導(dǎo)致操作

13、系統(tǒng)重新啟動(dòng)，會(huì)造成局域網(wǎng)被控主機(jī)的暫時(shí)斷線，但正常關(guān)機(jī)（通過(guò)開(kāi)始-）關(guān)閉計(jì)算機(jī)）不會(huì)導(dǎo)致上述問(wèn)題,a,35,聚生網(wǎng)管2008版功能,a,36,一、高達(dá)六種監(jiān)控模式,分別是：主動(dòng)引導(dǎo)模式、網(wǎng)關(guān)模式、網(wǎng)橋模式、旁路模式、監(jiān)視模式,a,37,二、新增自動(dòng)發(fā)現(xiàn)新主機(jī)，并自動(dòng)進(jìn)行控制,說(shuō)明：軟件掃描到的主機(jī)信息和所創(chuàng)建并應(yīng)用到主機(jī)的策略可以導(dǎo)入導(dǎo)出，方便了管理,a,38,三、對(duì)P2P工具首創(chuàng)六層過(guò)濾機(jī)制,從而管理員可以根據(jù)需要實(shí)施過(guò)濾強(qiáng)度，防止封堵過(guò)嚴(yán),a,39,四、新增多項(xiàng)智能、安全措施,說(shuō)明：聚生網(wǎng)管2008新增：電腦開(kāi)機(jī)自動(dòng)運(yùn)行，并且自動(dòng)轉(zhuǎn)入控制狀態(tài)；監(jiān)控意外中斷時(shí)自動(dòng)重新加載，并且運(yùn)行一段時(shí)間

14、可以自動(dòng)釋放內(nèi)存，以及定時(shí)自動(dòng)關(guān)機(jī)的功能,a,40,五、優(yōu)化IP-MAC綁定功能,聚生網(wǎng)管2008版新增：自動(dòng)發(fā)現(xiàn)新主機(jī)并自動(dòng)進(jìn)行綁定；IP-MAC綁定關(guān)系導(dǎo)入、導(dǎo)出功能,a,41,六、新增是否強(qiáng)制試用版退出功能,說(shuō)明：聚生網(wǎng)管2008版新增可以強(qiáng)制局域網(wǎng)內(nèi)的測(cè)試版或者其他版本退出的功能,a,42,七、主機(jī)帶寬控制達(dá)到10兆級(jí),a,43,網(wǎng)絡(luò)管理的目的,提前發(fā)現(xiàn)問(wèn)題 及時(shí)發(fā)現(xiàn)問(wèn)題 及時(shí)解決問(wèn)題 為什么壞了？ 什么時(shí)候壞的？ 是第一次壞嗎？ 怎么修？ 找誰(shuí)修？ 過(guò)保了沒(méi)？ 還值得修嗎？ 文檔、日志和即時(shí)監(jiān)測(cè)的重要性,a,44,網(wǎng)絡(luò)管理的模式,被動(dòng)管理 出了問(wèn)題才去找原因，堵漏洞 主動(dòng)管理 通過(guò)瀏

15、覽日志，報(bào)警匯總，主動(dòng)發(fā)現(xiàn)問(wèn)題 異常管理 發(fā)生異常情況時(shí)，通過(guò)預(yù)案中的步驟進(jìn)行有序的緊急處理,a,45,網(wǎng)絡(luò)管理的目標(biāo),網(wǎng)絡(luò)管理的目標(biāo) 輕松、有效，有條不紊 IT 技術(shù)部門(mén)的最佳工作狀態(tài)： 電話不響、手機(jī)不響、無(wú)人投訴 - 確實(shí)很難 到位的網(wǎng)絡(luò)部署和管理可以讓 IT 工作很愜意，只需要看看日 志，通過(guò)技術(shù)手段防患于未然 解決問(wèn)題的關(guān)鍵：管理與技術(shù)手段并行 包括：人員、流程、系統(tǒng)、基礎(chǔ)設(shè)施,a,46,這個(gè)系統(tǒng)本沒(méi)打算發(fā)展成這樣, 但現(xiàn)在已無(wú)藥可救，唯有抓狂,這個(gè)系統(tǒng)本沒(méi)打算發(fā)展成這樣, 但現(xiàn)在已無(wú)藥可救，唯有抓狂,a,47,網(wǎng)絡(luò)管理目標(biāo)實(shí)現(xiàn)的基礎(chǔ),為達(dá)到輕松、有效的網(wǎng)絡(luò)管理目標(biāo)，有很多量化了的具體工 作： 人員職責(zé)、流程清楚 文檔齊全、內(nèi)容詳盡 文檔及時(shí)更新 應(yīng)急預(yù)案真實(shí)、可行 備份完整、可用 對(duì)使用者全面培訓(xùn)，規(guī)范用戶行為,a,48,經(jīng)