说起网管软件,就不能不提“聚生网管”,这款软件是国内最早的专业网管软件之一,目前国内做网管的几乎都知道,在前几年控制BT下载、限制聊天、限制带宽流量、限制局域网游戏等方面赫赫有名,现在在百度搜索“网管软件”,聚生网管也排在首页的最显著位置(广告除外),可以说,聚生网管在某种意义上已经成为国内网管软件的一个代名词。聚生网管之所以出名,笔者以为主要是以下几个方面:
安装部署简单。照聚生网管的安装说明,只需要将聚生网管系统安装在局域网一台电脑就可以控制整个局域网的上网行为,不需要像其他网管软件那样需要在交换机上做端口镜像,安装HUB集线器或代理服务器等,也不需要在被控制的电脑上安装客户端软件,不需要调整网络结构等等。这种安装部署方式比较适合国内企事业单位网络管理的情况。其实国内一般公司都没有专门的网管人员,一般是由单位的行政或管理人员兼任,这种情况下就需要比较简单、易用的网管软件。聚生网管很好地满足了这些网管人员的需求,安装非常简单,功能界面一目了然,使用上点点鼠标就可以实现。
网络监控功能实用。聚生网管控制迅雷下载、限制BT,限制上网带宽,控制局域网游戏,限制局域网聊天,限制网址浏览等功能是当前网络管理、网络监控所迫切需要的。其实,上述这些网络限制功能一般的网管软件也都可以实现,但是都没有聚生网管做得好。比如限制迅雷下载,一般的网管软件无法有效限制,而聚生网管可以完全禁用迅雷下载;比如限制电脑上网速度,一般的网管软件只能限制电脑一段时间的上网流量(类似于流量统计),而不能限制电脑实时的带宽。而目前由于中国宽带运营商给国内企事业单位的出口带宽普遍较小,一般公司的带宽资源常常捉襟见肘,不够用。而P2P软件占用带宽较为惊人,因此,必须有效控制P2P下载才可能从根本上解决单位带宽被P2P下载、P2P视频消耗殆尽的窘况;同时,即便控制了局域网P2P流量,也必须对局域网电脑上网带宽进行限制,防止个别人莫名其妙地占用较大的带宽而导致其他人上网速度慢、网络性能下降的情况。
聚生网管和国内其他网管软件不同的另一个重要方面就是,实行一次收费,永久使用,永久免费升级的策略。这与国内其他网管软件一般只是升级一年不同,给用户感觉性价比很高。从聚生网管这几年的升级来看,的确是给客户免费升级,给了用户切实的实惠。
笔者以为,聚生网管正是契合了当前国内企事业单位网络管理的执行者、网络管理的核心需求和网络管理的持久性等三个方面的需求,使得聚生网管在国内网管软件领域颇具竞争力,使得聚生网管系统上市不久就沉重打击了国内更早的网管软件,比如那些采用端口镜像、部署HUB集线器或代理服务器的网管软件,这些架构的网管软件由于其架构部署复杂、功能侧重点等方面已经越来越受到聚生网管的严重挤压,生存空间越来越小;同时,采用端口镜像、部署HUB集线器或代理服务器架构的网管软件由于无法有效监控P2P软件、禁止聊天软件、限制上网带宽而越来越无法满足用户的网络管理需要。笔者的一个朋友曾经采购了一款这种架构的网管软件,想完全禁用BT下载,结果厂家的技术人员竟然告知将BT的网站全部封堵;想限制电脑的网速,结果这样的网管软件只能控制一天用了多少兆流量;想封堵QQ聊天、禁止玩QQ游戏,却让笔者的朋友去抓取QQ登录IP地址、QQ游戏的服务器IP和端口,然后在路由器里面过滤QQ和Q Q游戏的登录IP地址和端口,差点让笔者的朋友吐血。
笔者今天并不是讨论国内网管软件的优劣,而是想和广大网友深入分析一下,聚生网管究竟采用何种原理,为何在国内如此大受欢迎呢?
其实,从聚生网管的安装部署方式来看,我们不难看出这种部署方式绝非一般的网管软件部署方式,也就是我们常常说的ARP地址解析技术。这种ARP技术是将局域网电脑的ARP表项中所存储的网关的IP对应的MAC地址表更改成聚生网管的控制机的MAC地址。这样由于局域网电脑的报文是通过MAC地址传输的,因此经过聚生网管这种“主动引导”之后,局域网电脑发送的数据包就直接发送到聚生网管所在的电脑了,这样聚生网管系统就可以通过将网卡置于混杂模式而抓取局域网电脑的公网报文,然后根据其内置的过滤规则来对数据包进行过滤,然后再将数据包转发到真正的网关,从而达到对局域网电脑进行控制的目的。毋庸置疑,这种通过ARP方式来控制局域网电脑的方法在早期的网管软件中应用都非常普遍,但是由于其他一些网管软件厂家这些对ARP技术的掌握和功能设计上存在缺陷,使得他们在使用ARP模式监控时常常导致内网电脑掉线,不得已很多网管软件被迫放弃了这种部署方式。而聚生网管由于早期对ARP监控模式的开发和实践较早,对ARP技术的掌握也更为成熟。因此聚生网管系统一般不会导致内网电脑掉线,因此也没有理由放弃这种ARP监控模式。因此,聚生网管一直没有放弃通过ARP方式监控,国内广大用户似乎也乐意接受这种监控模式。
公平地说,这种ARP方式进行的监控,如果应用得当,的确是一种很好的网络管理解决方案,尤其是可以不用调整网络结构,不需要在交换机做端口镜像,加装HUB集线器或代理服务器的方式,确实简化了网管人员的工作量和复杂性。同时,这种监控模式由于只是抓取和过滤局域网电脑的上行报文,而对局域网电脑下行报文不抓取、不过滤、不拦截。因此,考虑到局域网电脑的上行报文一般较小,下行报文是一般较大(比如用迅雷下载),因此这种监控方式也不会导致局域网电脑上网变慢、网络性能下降的情况;同时,由于很多网络应用,一般只需要打断其上行报文就可以完全禁止其报文传输,因此也没有必要将下行报文抓取、过滤和限制了。比如,禁止迅雷的上传就可以完全禁止迅雷下载;禁止QQ的上行报文就可以完全阻断QQ登录。但是,这种方式被一些不太懂技术的或者一些竞争对手说成是“ARP欺骗”,然后信誓旦旦地说这种监控模式会引发多少危害云云,就有点耸人听闻、贻笑大方了。
首先,无论怎么部署网管软件,前提是必须能抓取局域网电脑的上网报文,否则网络监控根本无从谈起,就像很多网管软件通过在交换机和路由器之间搭建“网络桥”(一般是通过双网卡或双网口)的方式进行监控一样;同时,由于这种“网络桥”的方式由于是局域网电脑上网的唯一出口,因此局域网电脑所有的上下行公网报文都会流经此网络桥,因此一旦网络桥所在的网络设备无法及时、高效处理这些报文(尤其下行的大量的P2P报文),将会导致网络丢包、延迟甚至崩溃,从而使得局域网电脑的网络通讯完全切断,导致内网大面积掉线。因此,这种网络桥的部署方式容易引发单点故障、成为性能瓶颈,同时部署也较为复杂。聚生网管的ARP方式也只不过是利用一种比较简单、快捷的方式来达到抓取局域网电脑上网报文,进而进行过滤和控制的目的,同时这种模式也省却了用户做端口镜像、部署HUB集线器或代理服务器的繁琐。因此,这种模式从监控的方式来说无可厚非,甚至还节省了客户的工作量,为客户带来了诸多便捷;而从监控的实际效果上,可以完全屏蔽P2P下载、限制电脑聊天、禁止局域网电脑玩游戏、实时控制电脑网速、限制网址访问等等主流的网络控制功能。因此,用最少的工作量实现最大的网络管理效果,网管人员没有理由拒绝。
其次,ARP报文只是互联网基础通讯协议的一种,是局域网电脑通讯、电脑上网的必需协议。当前一些防火土啬、路由器、交换机为了引导局域网电脑上网、防御ARP病毒等,也不断地、周期性地向局域网电脑广播ARP报文。笔者通过对H3C、Dlink公司路由器的验证,他们的路由器产品发包的速度默认是每个/2-4秒不等,个别品牌的路由器甚至一秒向整个局域网广播一次ARP报文。而笔者研究聚生网管的ARP发包速度,默认为5秒每个,网管人员可以在一定条件下延长ARP报文的发包延时,比如设置10秒,甚至30秒发送一次。因此,从发包力度和频率来说,聚生网管系统远远小于路由器、防火土啬和交换机等主流网络设备的发包频率,因此对网络几乎没有任何影响。此外,这些ARP报文相对于局域网动辄成千上万、难以估量的TCP、UDP报文来说,显得微乎其微,对网络不可能产生可以察觉的影响。
再其次,由于聚生网管的这种ARP报文是为了达到网络管理、网络控制的目的,因此总体来说这是一种种良性的ARP报文,是为了帮助网管人员以最简单、最直接的方式达到网络控制的目的。因此,聚生网管的ARP机制与那些ARP木马、ARP攻击和ARP欺骗不同,后者的目的是直接搞垮局域网电脑的上网行为,是为了破坏局域网的正常通讯,达到某种罪恶的目的。因此,聚生网管的ARP方式监控不能称之为ARP攻击或ARP欺骗。相反,如果局域网真有ARP攻击、ARP欺骗等危害网络行为的发生时,聚生网管的ARP机制在一定程度上可以将这些ARP攻击行为的危害降到最低。因为,这些ARP攻击木马在发作时会向局域网广播大量的、伪造的、虚假的ARP报文,以此来破坏局域网电脑的ARP表项里面所存储的正确的网关MAC地址;而这种情况下,如果开启了聚生网管系统就会向局域网广播聚生网管控制的MAC地址,从而及时更新局域网电脑的ARP表项,使得局域网电脑的网络报文发送到聚生网管控制机,而聚生网管会将数据包抓取、过滤之后转发到真正的网关,从而可以保证网络通讯的正常进行;同时,聚生网管系统还可以在一定条件下加大ARP发包的力度和频率,从而可以有力地对抗ARP攻击、ARP欺骗的危害网络的行为。此外,聚生网管系统还提供了检测局域网ARP攻击、ARP欺骗行为的攻击源主机,可以精确定位局域网发动ARP攻击的电脑,并且还可以在一定条件下将攻击源主机完全隔离开局域网,使之无法与局域网其他电脑通讯,也无法上网,从而完全杜绝ARP攻击和ARP欺骗行为的肆虐,从根源上治理ARP攻击行为的发生。
最后,很多人担心这种模式部署聚生网管监控软件会影响网络性能,导致局域网网速变慢、网络性能下降,加剧网络丢包,其实这种担心毫无道理。因为,一款网管软件性能的高低,一方面取决于软件自身的代码、逻辑架构和算法,另一方面也很大程度上取决于运行软件的硬件载体。一个很烂的软件即便在IBM的大型服务器上也跑不出令人满意的性能,而一款各方面都优秀的网管软件,即便是在一个普通PC机上也能跑出令人满意的效果。因此,从上面的分析我们可以得出,单纯从聚生网管的自身来看,由于其仅仅3兆的大小,同时采用C++编程语言,加上聚生网管多年来的架构整合、优化,综合性能已经非常优秀;同时,经过笔者的测试,在同样的网络环境下,运行聚生网管的硬件平台性能越高,聚生网管的运行效率也越高。因此,聚生网管的运行性能如何很大程度上取决于硬件平台的性能,这一点,企事业单位在部署网管软件的时候要注意一下。笔者的建议是,如果单位有空余的服务器,则最好用服务器来跑,一方面可以避免服务器资源闲置,另一方面也可以实现更高的网络监控性能,同时以后服务器性能不够了可以直接将聚生网管移植到一个更高的服务器平台上,升级维护较为简单、灵活。同时,笔者也不建议购买硬件的网管系统,笔者的一个朋友来了一款硬件的网管系统,当时用的还可以,但是中途出现几次故障,维修花了好长时间,而且硬件升级也较为困难,厂家给出的报价也极为高昂,随着公司电脑数量的增多,现在已经明显感觉到对网络性能的影响了。
因此,从以上各种理由来看,聚生网管的ARP监控模式不是所谓的ARP攻击或ARP欺骗,而只是用了一种巧妙的办法来帮助网管人员达到网络管理的目的。同时,这种监控模式不需要调整网络结构,不需要加装网络设备,不需要安装客户端,也不会导致网络性能的降低,也没有什么网络风险。因此,这种监控模式能够满足国内大部分中小型企事业单位网络管理、网络监控的需要。因此,聚生网管可能会继续保留这种通过ARP方式监控的功能。
但是,也许聚生网管研发团队和市场部门已经注意到用户的担心,以及竞争对手一次次利用ARP向聚生网管发难,聚生网管在2008年推出了带有更多监控模式的新版本,集成了“网关模式、网桥模式、旁路模式、监视模式”等主流网管软件所采用的部署方式。同时,针对三层交换机大规模网络监控的需要,聚生网管在2011年推出了“创新直连”监控模式,通过在三层交换机的一个特定的VLAN部署聚生网管,就可以完全实现对三层交换机所有VLAN电脑上网行为的全面监控,遥遥领先国内同类网管软件单纯的“串接”、“桥接”模式,部署更为快捷、简单,风险也更小,综合性能更高。聚生网管在监控模式的变革和创新,使得聚生网管以一种更正派的网管软件形象出现,同时也极大地增强了聚生网管在大规模网络环境中的竞争优势。
综上所述,从聚生网管在国内广大网管人员中的知名度,聚生网管的各项网络限制功能,聚生网管的部署和使用等等方面。我们不难看出,聚生网管很好地切合了国内网管人员的知识水平、企事业单位的网络管理需要。聚生网管的成功也给国内广大网管软件厂家一个很好的启迪,我们预祝聚生网管系统能够再接再厉,继续为中国广大企事业单位作出更好的网管软件产品。
