1 / 50

聚生网管软件在校园网 管理中的应用 经验共享 共同提高 王永会

聚生网管软件在校园网 管理中的应用 经验共享 共同提高 王永会. 能实现什么?. 网管员在局域网同一工作组内任何一台电脑上 “控制”其他机器的上网行为 : P2P 下载、带宽、流量、游戏、股票、聊天软件 …… 可以控制其他机器在某些时段不能干什么(这对于限制学生在上非网络课时的上网行为很有帮助)可以对指定端口进行封堵,规定指定电脑只能上指定站点; 监控对象可以是局域网内同一工作组内的部分或全部电脑,也可以对不同部门的电脑分配不同的上网限制内容。. 原理: ARP 欺骗.

lee-dickson
Download Presentation

聚生网管软件在校园网 管理中的应用 经验共享 共同提高 王永会

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 聚生网管软件在校园网 管理中的应用 经验共享 共同提高王永会

  2. 能实现什么? • 网管员在局域网同一工作组内任何一台电脑上 “控制”其他机器的上网行为: P2P下载、带宽、流量、游戏、股票、聊天软件…… • 可以控制其他机器在某些时段不能干什么(这对于限制学生在上非网络课时的上网行为很有帮助)可以对指定端口进行封堵,规定指定电脑只能上指定站点; • 监控对象可以是局域网内同一工作组内的部分或全部电脑,也可以对不同部门的电脑分配不同的上网限制内容。

  3. 原理: ARP欺骗 将装软件的电脑映射为局域网的网关进行数据包的捕获和监控。 电脑A将使用arp攻击,也就是IP地址欺骗!欺骗电脑B(局域网所有电脑)告诉他们我就是网关,电脑B(局域网所有电脑)将把所有要发给路由的数据发到电脑A,再通过电脑A发给网关,这样就可以控制其他电脑的访问了

  4. 安装

  5. 配置1-新建网段

  6. 配置2-输入网段名称 • 2-输入网段名称

  7. 配置3-选择待监控网段网卡

  8. 配置4-选择监控网段出口带宽

  9. 主界面

  10. 网络主机扫描 说明:”主机说明”用于添加自定义说明信息(新增) 如果不想控制某一台机,但要知道上下行带宽,只须在要控制的主机前勾选,点击应用控制设置。

  11. 流量实时检测

  12. 控制策略设置

  13. 策略设置

  14. 控制策略 → 带宽限制

  15. 控制策略 → 流量限制

  16. 控制策略 → P2P下载限制 限制所有流行的P2P下载工具和流媒体工具

  17. 控制策略 → 普通下载限制

  18. 控制策略 → 游戏限制

  19. 控制策略 → 股票限制

  20. 控制策略 → 聊天限制 新增了多种聊天工具,以及禁止QQ\MSN传送文件功能

  21. 控制策略 → ACL规则

  22. 控制策略 → 时间管理 时间控制精确到半小时!蓝色选中的区域所有策略生效!白色区域为不控制!

  23. 网络安全管理

  24. 网络实用工具

  25. 软件配置

  26. 多网段并发监控方案 • 一、分散监控 通过在每一个VLAN(网段)指定某一台电脑(此电脑可以是在局域网内同时承担其他任务,比如打印机服务器、文件服务器的电脑,无需单独配备)作为监控主机部署聚生网管系统,分别负责监管本网段的网络主机。这样不同网段可以灵活制定监控策略,同时分散监控相对于集中监控对网络性能的影响也更小,也可以分散集中统一监控所造成的系统负荷,也避免了集中监控的情况下,因为监控主机出现意外而影响全部网段的网络畅通和安全。

  27. 多网段并发监控方案 • 二、集中监控 在本机部署多个网卡,分别接入到相应网段的交换机上即可,但是有时候电脑可能没有更多地PCI插槽来插入多个网卡。这种情况下,也可以高性能适配器,单个适配器可以提供高达2~4个的以太网接口,相当于在本地部署2~4个网卡,也就是单个网络适配器(相当于一个网卡)可以并发监控2~4个网段,如果按照每个网段最多支持250台电脑计算,则理论监控可高达1000台;同时如果企业划分更多的VLAN,则可以在PCI插槽上部署多个网络适配器,现在电脑最多可以支持6个PCI插槽计算,则理论监控网段可以达到12~24个,可以充分满足企业划分多个网段的网络管理需求。 这种集中监控的方案的实施也很简单,只要将适配器的相应的接口分别通过网线接到相应VLAN的交换机上,然后通过聚生网管分别对相应的网段进行监控设置即可。

  28. 多网段并发监控方案 • 二、集中监控

  29. 多网段并发监控方案 • 三、网桥模式 为了更好地适应某些大型客户对多网段监控的需要,聚生网管2008系统采用全新的技术架构,用户可以通过在网络出口架设网桥的模式,来实现对多网段监控的需要;通过架设网桥,聚生网管2008版所监控的网段数目在理论上不受限制,更好地满足大型用户的监控需要。

  30. 多网段并发监控方案 • 三、网桥模式

  31. 思考:建立符合本校的策略 • 通过聚生网管来限制BT上、下行速度都低于50KB/s。 • 通过聚生网管来管理学生机房,上课时间只能访问学校网站,不能上QQ. • 教师办公室禁止访问财经、股票网站 • 提供某一机器某一月WEB上网记录……

  32. FAQ: • 1.软件应该安装在什么主机上比较好,对于网络环境有什么要求?  聚生网管可以安装在子网内的任意主机上,如采用ADSL宽带路由器或者路由器接入公网,那么把软件安装在接在交换机上的任意一台主机即可,但为保证软件的运行效率,安装主机最好不要同时兼任其他任务,有条件的学校,建议选用一台专门主机作为控制机。如果网络是采用代理服务器方式接入,建议仍然采用类似于上面所述的安装方式,如果安装在代理服务器上,有一些功能则会无法使用。 • 2.为什么启动软件时候出现“启动服务失败”提示?   可以查看是不是本机安装了其他网络控制类软件,很有可能使用的Winpcap驱动版本不同而导致。  解决方法是:到“控制面板”找到winpcap,然后删除;或者在系统目录下搜索wpcap.dll和packet.dll,找到后删除,然后重新运行聚生网管源安装目录下的Winpcap.exe,然后重新启动聚生网管。  确认你在软件配置里面选择了网卡,并保存。确认是否启动了网络控制服务;  确认你是否选择了特定的主机,并选择了应用控制设置;  确认你在网络应用管理那里选定要了控制的项目并且进行保存;  确认本机不是装在局域网的代理服务器上面,有些功能可能不稳定;  系统是否安装了采用winpcap驱动的监控软件,这有可能造成系统的无法运行。解决方案:先到控制面板卸载winpcap驱动,然后重新启动电脑,然后重新安装本软件;  确认校园网没有进行ip-mac绑定,如果已经进行了绑定那么运行本软件就会导致局域网被控主机掉线;  确认你的电脑是否安装了其他类似的监控软件,如有,请卸载后重新测试;  重新启动一下系统,因为有时候是你的系统环境有问题。

  33. FAQ • 3.为什么软件已经提示了系统控制x.x.x.xP2P下载信息,可是它还能下载?P2P下载的特点就是不断的去连接新的IP地址,所以软件提示的信息表示正在拦截该主机连接更多的IP,而已经建立的连接聚生网管是无法区分的,所以就会造成还有下载速度。 解决方法:让聚生网管软件处于一直运行状态,这样新的P2P下载就会受到控制;或者限制发现P2P下载时的上行和下行速度,这样Bt下载就会受到有效的抑制。 • 4.为什么网络带宽查看里面显示的主机实时流量和我在主机上查看的流量有差异?  因为聚生网管对网络主机的公网下行带宽是根据报文数采用一定算法进行估算而来,而不是根据字节计算,所以就有可能出现一定偏差,但是仍然可以在很大程度上准确反映出当前公网带宽占用情况。 • 5.为什么对局域网的主机进行了限制,却导致了主机不能上网。  请查看是否在代理服务器上或者路由器中起用了ip-mac绑定,如启用,取消绑定设置;可以使用聚生网管提供的Ip-mac绑定功能来实现绑定;因为聚生网管采用了虚拟路由技术,在被控制主机发出数据报文后,经过控制主机虚拟路由后,报文的源MAC地址会发生变化,而如果在代理服务器上或者路由器上启用了IP-MAC绑定,那么这种源MAC地址已经发生变化的报文就会被代理服务器或者路由器丢弃,从而造成被控制主机无法上网。 • 6.为什么主机名显示:“——”?   这种情况下,一般是装有软件的主机没有安装netbios协议,系统不让查看机器名。  方法:右键点击“网上邻居”——“属性”——“本地连接”——“属性”——“安装”——“协议”——“添加”——“NWLINK NETBIOS”。然后点击“确定”,退出即可;如果仍有个别主机名无法显示,一般情况下就是对方主机开了防火墙,禁止了本地主机的查询,可以将其关闭即可。无论防火墙开启与关闭,均不影响程序的监控。

  34. FAQ • 10.为什么我控制了QQ、MSN等聊天工具,对方怎么还能继续聊天?在控制某个主机的QQ、MSN等聊天工具后,仍然能够看到对方显示在线,并且在说话,因为QQ服务器不会立即把没有受到报文的QQ显示为下线(但实际上QQ与腾讯服务器的连接已经被切断),并且软件本身还有一个时滞,也就是控制后约为30秒,就可以完全控制,此后QQ所发出的全部报文都会被拦截,发送消息会显示“发送消息失败,是否重试”等等,这样就会迫使QQ下线,其他聊天工具截获原理同QQ一样。 • 11.为什么我控制了对方进行http和ftp下载,但是对方仍旧在下载? 对http和ftp下载的控制,必须在客户机进行下载之前,就启动本软件的控制功能;否则,一旦对方已经开始了下载,软件就会默认对方是只是在进行http和ftp通讯,就会不加拦截,因此客户机可以一直下载。 • 12.直接断电或者按下Reset重新启动电脑会有何影响? 当控制主机被直接断电或者手工按下Reset键导致操作系统重新启动,会造成局域网被控主机的暂时断线,但正常关机(通过开始-)关闭计算机)不会导致上述问题。

  35. 聚生网管2008版功能

  36. 一、高达六种监控模式 分别是:主动引导模式、网关模式、网桥模式、旁路模式、监视模式

  37. 二、新增自动发现新主机,并自动进行控制! 说明:软件扫描到的主机信息和所创建并应用到主机的策略可以导入导出,方便了管理!

  38. 三、对P2P工具首创六层过滤机制 从而管理员可以根据需要实施过滤强度,防止封堵过严!

  39. 四、新增多项智能、安全措施 说明:聚生网管2008新增:电脑开机自动运行,并且自动转入控制状态;监控意外中断时自动重新加载,并且运行一段时间可以自动释放内存,以及定时自动关机的功能!

  40. 五、优化IP-MAC绑定功能 聚生网管2008版新增:自动发现新主机并自动进行绑定;IP-MAC绑定关系导入、导出功能!

  41. 六、新增是否强制试用版退出功能! 说明:聚生网管2008版新增可以强制局域网内的测试版或者其他版本退出的功能!

  42. 七、主机带宽控制达到10兆级!

  43. 网络管理的目的 • 提前发现问题 • 及时发现问题 • 及时解决问题 • 为什么坏了? • 什么时候坏的? • 是第一次坏吗? • 怎么修? • 找谁修? • 过保了没? • 还值得修吗? • 文档、日志和即时监测的重要性

  44. 网络管理的模式 • 被动管理 出了问题才去找原因,堵漏洞 • 主动管理 通过浏览日志,报警汇总,主动发现问题 • 异常管理 发生异常情况时,通过预案中的步骤进行有序的紧急处理

  45. 网络管理的目标 • 网络管理的目标 – 轻松、有效,有条不紊 • IT 技术部门的最佳工作状态: 电话不响、手机不响、无人投诉 - 确实很难 • 到位的网络部署和管理可以让 IT 工作很惬意,只需要看看日 志,通过技术手段防患于未然 • 解决问题的关键:管理与技术手段并行 包括:人员、流程、系统、基础设施

  46. 这个系统本没打算发展成这样, 但现在已无药可救,唯有抓狂 这个系统本没打算发展成这样, 但现在已无药可救,唯有抓狂

  47. 网络管理目标实现的基础 • 为达到轻松、有效的网络管理目标,有很多量化了的具体工 作: • 人员职责、流程清楚 • 文档齐全、内容详尽 • 文档及时更新 • 应急预案真实、可行 • 备份完整、可用 • 对使用者全面培训,规范用户行为

  48. 经验总结 • 以适合的网络规划开始 • 以完整、详尽的文档和流程管理为主 • 以良好的硬件设备与基础设施为辅 • 不要忽略小问题,杜绝侥幸心理 • 用完整的技术手段与措施实施管理

  49. 解决问题的方法 • 硬件设备:对比法、排除法 • 对服务器:最近是否作过更改? • 注意: 服务器设置做实验更改后,如不想实 施,一定要及时改回。否则定会产生后果。

  50. 不会的问题怎么办? • 向有实践经验的人请教 • 打厂商技术支持电话 • http://www.google.com … • 相关论坛 • 静下心来,分析各种可能性 • 往往发现 - 最终解决问题的人就是你自己

More Related