宽带网络运营维护管理器

　　由上图我们可以看出，NetSniper可以方便地根据用户IP地址或MAC地址控制同一网口用户数量，用户数量控制可以分八级，包括单一用户和无限用户的缺省设置，一共十级。用户数量按照按自己的意愿定义每一级用户可以管理计算机的数量，准确，灵活，是运营商增加接入服务方式的强大基础。

　　目前所知道的第一种非法运营情况：如上图中的F用户合法申请一根ADSL或其他线路然后在自己的计算机中安装代理服务软件或者连接一个路由器，就可以纠集若干住户分摊该专线的租费，并通过该出口共享带宽访问外网，而且他们同时还可以享受小区内部网络所固有的所有功能。

　　非法运营情况之二：如上图中的F用户作为运营商的合法包月用户，上网服务开通以后，在自己的计算机中安装代理服务软件或者安装路由器，这样就可以随时纠集若干住户分摊包月费用，甚至私设网吧。

　　非法运营情况之三：上图中的F用户作为运营商的合法用户，申请上网服务以后，在自己的计算机中安装代理服务软件或者连接上路由器，那么其余所有在该网段内的计算机都可以通过这台计算机上网。

　　目前有许多运营商是通过用户计算机的MAC地址来限制用户对网络的访问，由此产生了偷逃上网费用情况之四：用户F先申请开户，再报停或欠费停机，随后盗用合法用户A的MAC地址上网。通过这种手段，用户F不用付任何费用就可以上网了。

　　这是在企业网络中常见的情况：如上图中的F用户作为企业的合法用户，上网服务开通以后，有操作人员在F计算机中安装代理服务软件、NAT软件或者安装路由器软件，再安装Modem等远程接入设备。非法用户在远端通过Modem等接入设备与网络相连接。

　　在中上图中可以看到，我们的设备同时监听多至8台HUB。产品安装简便，在HUB上只需要一个网口即可。作为一种检测设备，NetSniper以数据接收为主，基本不发送数据，所以对带宽几乎是零占用，对传输效率没有任何影响。

　　上图中，NetSniper-II可以对网络内部各用户进行检测，一旦发生某个用户安装代理服务器软件，其他用户通过该用户的接口上网偷逃网费的情况，或发现盗用MAC地址上网及通过Modem回拨上网的情况，NetSniper-II即可定位这些用户，并且采取通知系统管理员或自动封堵非法用户等措施。

（1）"NetSniper网络尖兵"是一台每天连续24小时工作的智能计算机设备，可以有效地大幅度提高管理效率，降低管理成本。

　　在这三个图中，局端使用了NetSniper-II，如同在以太网络的环境下一样，NetSniper-II可以对网络内部各用户进行检测，一旦发生某个用户安装代理服务器软件，其他用户通过该用户的接口上网偷逃网费的情况，或发现盗用MAC地址上网及通过Modem回拨上网的情况，NetSniper-II即可定位这些用户，并且采取通知系统管理员或自动封堵非法用户等措施。

　　正是种种偷逃网费情况的出现，运营商投入大量财力物力铺设的网络连接设备被非法使用，无法按时回收投资。从长远的观点来看，这种现象也阻碍了运营商同大量潜在用户的密切交流，无力推进更新的增值服务。从而影响了宽带行业的发展。

　　根据市场调查，目前类似的这三种情况在宽带住宅区内已有抬头的趋势，尤其在校园网内更是如火如荼，让网管人员束手无策，运营商头痛不已。通常说来，校园网是Internet的实验应用基地，那里的任何"新发现"很快就会在整个互联网用户中普及。

　　然而，目前市场上尚未出现任何简单有效的针对性的解决办法。所以，有的运营商为防止这种可怕现象的蔓延，被迫采取划分VLAN的方式把所有用户分隔开来，使其不能相互通信。

　　我们只要了解一下VLAN技术，便知道其中运营商不得已的苦衷。

　　VLAN，又称虚拟局域网，是由位于不同物理局域网段的设备组成。虽然VLAN所连接的设备来自不同的网段，但是相互之间可以进行直接通信，好像处于同一网段中一样，由此得名虚拟局域网。
因此，运营商被迫采用VLAN的根本原因只是利用VLAN的网间隔离特征。

　　正是这个原因，VLAN技术的设计目的应用根本就不是针对目前所发现的非法用户的私自应用现象。用VLAN方式来解决这种问题，就象利用一副药的副疗效来治疗病症，得不偿失还将有其他无法估量的副作用。

我们仅仅分析几种弊端：

　　1、VLAN划分需要能够支持VLAN的专用交换机，价格高出普通交换机很多，直接增加了建设成本。

　　2、更重要的是用于网管的人力资源空前浩大。因为，如果根据交换机端口定义VLAN，通常很容易用某种拖放软件把一个或多个用户分配到特定的VLAN。在非交换环境里，移动、添加或更改操作很麻烦，有可能要改动接线板上的跳线从一个集线器端口移动到另一个端口。基于MAC地址的VLAN分配方案确实可使某些移动、添加和更改操作自动化。但为了用户的计算机可以连接交换网络的任何一个端口，所有通信量均能正确无误的到达目的地，管理员仍要要进行VLAN初始手工分配，需要接入商投入大量的劳动。事实上为了完全避免非法使用网段，需要将全部的用户都隔离开，使用VLAN划分网段的数量和用户数量相等，这种网管的工作量将让人难以接受。

　　3、即使采用VLAN分割完毕后，所有的用户分隔后又成为了信息孤岛状态，除了简单的上网浏览服务，再难享受运营商提供的增值服务和园区内充分的局域网带宽了。

　　4、采用VLAN隔离以后，虽然可以避免一部分利用现有网络资源非法使用情况，但仍然无法避免利用一个包月接口串接若干计算机或开网吧等最恶劣的情况发生。

　　5、作为一种检测设备，NetSniper以数据接收为主，基本不发送数据，所以对带宽几乎是零占用，对传输效率没有任何影响。

　　6、NetSniper检测网络上的IP包，并可以选择拦截所有非法用户的IP包，使其处于"离线"状态（由于申请另外专线的用户，其申请和使用行为是合法的，所以我们不对该用户采取任何监视与干扰措施，我们的工作目的是阻止非法的运营行为）。

　　7、我们的设备并不对这些用户应有的权利造成任何伤害，不降低网络的传输效率，不侵害用户的隐私权益，甚至小区内用户内部的局域网信息文件传递也分辨的清楚明白，实现只对非法使用现象的精确打击。

　　NetSniper网络尖兵系列产品的工作专一，安装、配置简单，免维护。我们提供的标准配置就可以满足绝大多数网络监控的需求；系统的性能可以根据硬件进行优化，可靠性高, 是宽带网络运营商与系统集成商的最佳选择。

注：
　　NetSniper及网络尖兵的名称以及相关技术的知识产权属上海上大雷克网络系统有限公司所有。其他产品及技术属于各自的拥有者。

上海上大雷克公司供稿 CTI论坛编辑