利用Panabit实现中小学城域网网络监控
利用Panabit实现中小学城域网网络监控广东省佛山市南海区盐步中心小学
摘
要:随着信息化在教育上的深入应用,很多中小学已组建成完善的教育城域网。城域网为教学提供丰富多彩的网络教学资源外,网络中也出现一些不良的信息、不健康网站、病毒、p2p大量占用资源等问题。作为中小学的信息技术教师,在缺乏相对高新技术的支持和较充裕的教育资金下,如何建立低成本高效易用的流量网络监控,是目前校内局域网管理中亟待解决的问题。本文通过部署低成本的Panabit流控软件,有效地对校内网络进行网络监控,提高校园网的运行效率。
关键词:Panabit、局域网、网络监控
正
文:一、网络教学中的问题分析与研究
南海区是佛山市五区之一,地处珠三角腹地,重视教育教学,辖区内一千多所中小学已建立完善的城域网,各校通过10M、50M、100M光纤连接信息中心,信息中心与国际互联网实现300M带宽的光纤相接。300M的带宽对于一千多所学校连接点,每所学校有100-400台电脑不等,如此庞大的网络规模,很难想象当网络其中某一个点发生网络攻击是怎样的一个现象,为此,信息中心制定了一套完善的网络管理机制,根据每一点的带宽分配它们的网络使用配额。
学生偷偷上QQ聊天,偷玩电脑游戏等情况,这是很多老师觉得头痛的事,大部分学生能通过老师讲解纪律约束和纠正这些行为,但还有一少部分学生不专心听讲,仍是我行我素。也有个别老师因个人的喜好,经常长时间使用BT方式下载大软件或电影,占尽了整个网络的带宽,其他人上网时就卡得很;很多老师的电脑技术水平一般,电脑上安装了什么软件不清不楚,有些只是会用,有些软件是被迫强行安装,有些甚至是病毒感染了病毒也不大知晓,常有中毒就向网关发起攻击,只要一两台电脑对网关发起ARP攻击,马上就可以使网络瘫痪;有些老师虽没有长时间使用BT下载大软件大电影,但很多一些影音软件使用了P2P模式工作,如Kugoo、快播等,很多这类的软件是随系统启动而启动,那怕老师没有使用它,但它却不断地作为其中的一个下载点,使用P2P方式向网络其他用户传送文件,这无疑是占用了网络资源;个别老师使用班上的电脑时缺乏管理和节约的意识,使用完毕没有关闭电源,任其开启着,通宵达旦,甚至长期24小时开启着,作为学校管理者也没多较多的精力每个班、功能室等去巡查……
在缺乏相关的网络管理下,网络带宽被占用了,上网速度慢,甚至网络出现瘫痪。信息技术教师通常充当了网络管理的角色,不懂得网络故障排查。很多学校只是简单地配备了电信部门的单一低端路由,这样的路由没有一个完整出色的网络监控功能,不能使用它而排查网络问题。信息中心给每一所学校分配的总网络带宽是一定的,如何利用好呢?那就需要对网络进行管理,从而了解网络使用情况,对网络的行为进行指导和限制,这样才使网络更顺畅地为教学服务。
二、网络监控硬件与软件的比较和常见监控软件的分析
网络监控产品主要分为监控软件与监控硬件两种。硬件稳定性相对较好,支持较大的用户数(1000以上),但价格较昂贵、扩展性能差、升级维护技术难度较大。软件以低廉的价格便可以搭配,用户可以自定义访问规则,扩展性好。因此,在缺乏较充裕的教育资金下,以学校为单位的小规模局域网,软件类的监控实为首选。
很多监控软件集成了多种功能防火墙、路由、网络监控等功能。由Microsoft推出的ISA是专业级防火墙软件,功能非常强大,用户可以设置访问规则,指引内部用户上网行为,集成了防火墙,有完善的网络分析报告。但ISA发行的版本售价不菲,售价上万元。
Panabit是由北京派网软件有限公司出品的新一代应用层流量管理产品。针对以上各种技术的不足,Panabit采用了基于节点的有状态识别技术,不仅检测准确性高(采用独有的主动探测和服务伪装技术,精确识别9大类80余种常用协议),而且检测实时性强。还通过自主研发的PDSL(协议特征描述语言)来识别新的P2P类型程序。Panabit使用Intel x86硬件平台,工作在FreeBSD环境下,一般作为网关类设备部署在网络出口,硬件配置要求低,安装时间只需十来分钟,而且标准版是实行免费使用,相比起同等级用ASIC、NP硬件处理的产品,具有成本低、性能高、升级灵活等优势。
三、部署Panabit流量监控
1、 Panabit硬件部署
Panabit有两种安装模式,一种是Live CD,不需要安装到硬盘上,通过CD启动,所有数据存放于内存中,安装速度快,但由于没有写入硬盘中,关闭后再启动时须重新设置访问规则;另一种是安装模式,通过CD启动,对硬盘进行分区和安装FreeBSD,再安装Panabit,这种安装模式也非常快,只需几个操作或命令就完成。Panabit执行两种模式:透明网桥模式和旁路监听模式。由于旁路监听模式只能对流量进行分析统计而不能控制,所以一般以部署透明网桥模式为主,如图1所示。透明网桥模式将Panabit部署在出口链路上,对出口链路上的双向流量进行协议分析和统计,同时根据所设定的规则对流量进行限制和分配。透明网桥模式下必须要3块网卡,1块用于管理,另外2块分别用于上传和下载流量的数据采集。这种模式下,所有客户机的访问都经过Panabit透明网桥,客户机本地不需要任何设置,所以感受不到Panabit在网路上的存在,Panabit经过分析、收集数据和按照设定的规则进行网络监控。
2、 Panabit软件部署Panabit软件部署需经过三个步骤:网络配置、对象管理和策略管理。网络配置是将3块网卡分别进行管理接口和数据接口的设置;对象管理主要是为了方便以后进行策略配置,而根据现有网络内的实际情况,进行自定义IP群组、协议和协议组(Panabit已经内置P2P下载、网络电视等协议组,一般不需进行设定,这里只需根据实际情况设置IP群组);策略管理则是流量控制、连接控制等功能的具体配置。Panabit软件部署主要是对策略管理进行设置,分三步骤完成:①定义数据通道(分配带宽数值);②编辑策略组(控制规则集合);③定义策略调度表(策略生效)。如果仅配置允许、阻断策略,直接编辑策略组,仅②、③步骤即可。3、Panabit软件策略部署与网络监控报告
(1)、限制或禁止某些协议的访问
Panabit已识别80多种协议,策略管理中添加相应的策略,通过策略调度实现定时执行。例如:通过限制访问QQ,只需要在协议上选择即时通讯中的“QQ”,动作中选择“阻断”;P2P越来越流行,但占用宽带是非常利害的,Panabit限制P2P下载却非常简单,在协议中选择“p2p下载”,在动作仍是“允许”,但“内网单IP限速”指定为100K,则客户端使用P2P下载最高速为100K。
(2)、限制或禁止某些网址的访问
学生喜爱玩电脑游戏,甚至沉迷,这要进行限制。Panabit可以识别QQ农场、梦幻西游等80多种游戏,除了通过选择协议进行限制外,可以对域名或IP进行限制访问。学生喜欢登陆“7K7K”,“4399”等之类游戏网站,对于网站域名的限制,只要在“对象管理”自定义一个域名组和IP组,添加限制访问的域名和IP,如“4399.com”,然后在“策略管理”中使用“HTTP管控”选择刚才的自定义域名,就已完成该域名访问的限制。
(3)、网络流量监控分析报告
Panabit有强大的监控分析,它集成了多种数据分析统计列表,如图2的Panabit流量分布图。从图2看出局域网内看网络电视和使用p2p下载的用户占用较多的带宽,通过查看“Top应用”、“Top IP”马上获得当前看网络电视和p2p下载的IP名单;查看在线用户可以列出该用户接入IP、MAC、连接数、流入流出和在线时间等,对整个网络的使用情况了如指掌。
查看“Top应用”可以得知下载资源最多的是什么用户,“在线时间”更可以看出哪台电脑开启了多长时间从而得知有没有关电脑。
4、使用软路由RouterOS和Panabit进行搭配使用
很多学校单位使用的硬路由是由电信配备,已有十年八年的历史了,经过长年累月的使用,经常由于网络问题或者不能满足需求而挂起停止服务。RouterOS是一个专业的路由软件,它配置也非常简单,但提供强大的路由和防火墙功能,支基于路由、VPN、PPPoE认证、Web认证、流量控制、Web-proxy、专业无线等功能,和Panabit搭配使用,相得益彰。
中国自93年加入国际互联网后,经过近20年的发展,网络已慢慢普及到社会每一个角落。教育行业也充分认识到网络教学的优势,各中小学也铺设了网络,我们需要关注网络的性能和安全,方可能更好地为教学服务。Panabit有着强大的网络管理和监控功能,Panabit标准版一直以来是免费使用,它所需要的硬件要求低,性能稳定,扩展性强,它能有效监控几百个客户端,满足校内局域网的需求。作为学校网络管理者,装备这样的功能强大而又价格低廉的网络监控设备,网络使用情况一目了然,满足我们对网络管理的需求。
不知道这套系统卖了南海教育局多少钱? szbaby 发表于 2014-3-1 20:54
不知道这套系统卖了南海教育局多少钱?
哈哈,我想也是! 还是学到蛮多东西 szbaby 发表于 2014-3-1 20:54
不知道这套系统卖了南海教育局多少钱?
不要以小人之腹度量君子之心! SO?这个是可以实现的 楼主 免费版 你用单独IP限速 根本达不到效果的 何况用户哪么多? pa能识别二级路由吗? 布恩 发表于 2014-7-21 15:56
pa能识别二级路由吗?
可以,我们能检测到共享用户 本帖最后由 xiejin 于 2014-8-8 14:14 编辑
”信息中心与国际互联网实现300M带宽的光纤相接“國際出口帶寬?那很牛逼啊,如果只是城域網接口,300M也太寒酸了,我們那裡一個小縣城的幾十所中小學規模的教育網出口現在都1G了:lol
页:
[1]
2