1、什么是旁路部署?
旁路部署指在交换机或者路由器上配置端口镜像,然后把上网行为管理设备接在镜像口上,从而实现上网行为管理的功能。
旁路部署的网络结构图如下(以WFilter上网行为管理软件为例):
2、旁路部署方案的优点
1. 旁路部署方案是对当前网络影响最小的监控模式。
2. 充分利用已有硬件的功能,部署方便,不会影响现有的网络结构。
3. 不会对网速造成任何影响。旁路模式分析的是镜像端口拷贝过来的数据,对原始数据包不会造成延时。
4. 旁路监控设备一旦故障或者停止运行,不会影响现有网络。
5. 旁路部署方案一样可以对上网行为进行控制。
3、旁路部署方案的缺点
1. 需要交换机或者路由支持“端口镜像”功能才可以实现监控。
2. 旁路模式采用发送RST包的方式来断开TCP连接,不能禁止UDP通讯。对于UDP应用,一般还需要在路由器上面禁止UDP端口进行配合。
4、旁路部署方案总结
如果现有的网络设备运行稳定,且对网络的稳定性要求高。在不考虑升级硬件的情况下,首先应当考虑旁路部署的软件方案,这样可以以最小的代价来部署上网行为管理,而且不会影响现有网络的稳定性。
