網路監控工作模式：旁路映象、埠映象和旁路監控

　　閘道器模式

　　原理是把本機作為其他電腦的閘道器，設定被監視電腦的預設閘道器指向本機，分別可以作為單網路卡方式和雙網路卡甚至多網路卡方式，原始的PROXY模式目前基本淘汰了一般不再有人採用，目前常用的是NAT儲存轉發的方式。簡單說有點像個路由器工作的方式，因此控制力極強，但由於儲存轉發的方式，效能多少有點損失。不過效率已經比較好了;缺陷是假如閘道器死了，全網就癱瘓了。

　　網橋模式

　　原理是雙網路卡做成透明橋，而橋是工作在第2層的，所以可以簡單理解為橋為一條網線，因此效能是最好的幾乎沒有損失，WINPCAP本身並不支援該模式，該模式可以說是最理想的了。

　　網路監控拓撲，即使橋壞了，只要簡單做個跳線就可以了，因為橋是透明的可以看成網線，即使橋壞了就可以理解為網線壞了換一條而已。支援多VLAN、無線、千M萬M、以及VPN、多出口等等幾乎所有的網路情況，原因很簡單，因為透明橋嘛等於理解為那是網線而已。

　　旁路模式

　　原理是使用ARP技術建立虛擬閘道器，只能適合於小型的網路，並環境中不能有限制旁路模式;路由或火牆的限制或被監視電腦安裝了ARP火牆都會導致無法旁路成功，因為你一邊在禁止旁路一邊卻正在旁路，所以自相矛盾。同時，如網內同時多個旁路將會導致混亂而中斷網路。但只要條件該方式是最簡單的部署以及最方便的安裝設定。採用ARP欺騙方式會導致區域網癱瘓，一般不建議使用。

　　旁聽模式

　　原理是旁路監聽，是通過交換機的映象功能來實現監控，該模式需要採用共享式HUB或交換機映象。可是如採用老式的共享式HUB將影響網路出口效能，如採用映象模式，一方面需要投資支援雙向的映象交換機裝置，另一方面需要專業的人設定映象交換機。該模式的優點是部署方便靈活，只要在交換機上面配置映象埠即可，不需要改變現有的網路結構。而且旁路監控裝置一旦停止工作，也不會影響網路的正常執行。缺點在於，旁聽模式通過傳送RST包只能斷開TCP連線，不能控制UDP通訊，如果要禁止UDP方式通訊的軟體，需要在路由器上面做相關設定進行配合。

網路監控軟體旁路模式有3大優點：
1. 安裝操作簡單方便。旁路監控模式部署起來比較靈活方便，只需要在交換機上面配置映象埠即可。不會影響現有的網路結構。而串聯模式一般要作為閘道器或者網橋，所以需要對現有網路結構進行變動。

2. 響應速度快。旁路模式分析的是映象埠拷貝過來的資料，對原始傳遞的資料包不會造成延時，不會對網速造成任何影響。而串聯模式是串聯在網路中的，那麼所有的資料必須先經過監控系統，通過監控系統的分析檢查之後，才能夠傳送到各個客戶端，所以會對網速有一定的延時。

3. 不影響正常上網。旁路監控軟體一旦故障或者停止執行，不會影響現有網路的正常原因。而串聯監控裝置如果出現故障，會導致網路中斷，導致網路單點故障。

旁路監控和串聯監控的比較

在多網段環境下，由於路由器遮蔽了原始的MAC地址，導致WFilter不能直接監控到客戶機的MAC地址資訊。此問題可以通過安裝“MAC地址收集器”來解決。“MAC地址收集器”可以把網段內的MAC地址資訊傳送給WFilter監控伺服器，從而實現MAC地址的監控。

“MAC地址收集器”有兩種工作模式：

1. SNMP模式（推薦） : 通過網管交換機或者路由器的SNMP功能來獲取MAC地址資訊。需要裝置支援SNMP管理。
2. ARP模式 ：通過ARP協議獲取本網段的MAC地址資訊，不需要裝置支援。

本文將演示在多網段環境下通過“MAC收集器”的“ARP模式”實現“根據MAC地址監控”。網路結構圖如下：

圖 1

如上圖，WFilter通過交換機的映象口來監控不同網段，為了監控到192.168.50.x網段的MAC地址，我們需要在192.168.50.x網段內安裝“Mac收集器”（如果需要監控多個網段的MAC地址，需要在每個網段內都安裝“Mac收集器”）。步驟如下：

1. 安裝MAC收集器

如圖在192.168.50.x網段內安裝“Mac收集器”，在安裝過程中，填寫WFilter伺服器IP，網路卡選擇相對應的網路卡即可。

圖 2

2. 檢查WFilter監控效果

未安裝MAC收集器時，WFilter不能監控到實際的MAC地址，下圖為WFilter監控到的MAC地址和實際的MAC地址

圖 3（監控到的MAC地址）



圖 4（實際的MAC地址）

安裝MAC收集器後，WFilter就可以監控到實際的MAC地址，如圖所示：

圖 5