Как обеспечить «перевод функции обеспечения интернета с маршрутизатора»?
Здравствуйте.
Признаюсь, я пока не настолько хорошо разбираюсь в сетях, и все же, надеюсь, подскажете.
1. Есть функционирующий маршрутизатор, на котором настроен интернет, корпор.сеть бухгалтер.
2. Задача: обеспечить хранение и анализ трафика использования интернета пользователями. Блокировка по белым/черным спискам.
3. Есть Мощный ПК с Windows Server 2012 R2. Настроен контроллер домена(далее КД).
Вопросы:
1. Как реализовать функции "перевод функции обеспечения интернета с маршрутизатора" для выполнения 2.п.? Имеется в виду, куда подключать патч-корды от сетевых карт КД? (я предполагаю, но сомневаюсь в моем понимании)
3. И как вы реализовали 2п., исходя из вышеприведенных условий для выполнения 2п.?
Признаю, вопросы глупые, но надеюсь, проясните. Спасибо за внимание.
Нужен коммутатор с поддержкой netflow. Это сейчас умеют почти все управляемые коммутаторы.
На сервере подымаете flowtools или что-то типа того (под винду я не знаю). На комутаторе настраиваете netflow, и направляете инфу о траффике с нужного порта коммутатора на сервер netflow. Про нетфлоу почитайте в гугле. Будете видеть статистику по любому траффику - tcp, udp.
Если нужны только логи http, то просто поставьте squid и настройте в нем логи.
proxyR, немного не так. Зеркалирование траффика - это одно. Netflow - это другое. Netflow отправляет не траффик на сервер, а информацию о том, кто куда и на какой порт отправил данные. То есть грубо говоря только информацию о траффике а не сам траффик.
proxyR, не перенаправлять, а клонировать.
И этот способ не позволит вам видеть то, что пересылается по HTTPS - а это большая часть современного трафика.
Хранить гигабайты шифрованных данных - так себе удовольствие.
Армянское Радио, основная задумка в том, чтобы логировать походы пользователей по интернету и ограничить их по по отдельным пк.(не все должны иметь доступ к интернету.)
proxyR, насчет виндовса не подскажу, но по поводу маршрутизатора на компе - у нас около 2-х тыс абонентов NAT'ит обычный системник с гигом оперативки (используется мегабайт 400), в который воткнуто 4 гиговые сетевухи, и поднят EtherChannel.
Нагрузка на проц - никакая вообще. Но это линукс. Там этой всей фигней ядро занимается. Винду я давно уже не трогал, увы.
Я к тому, что вы можете собрать из Б/У запчастей из кладовки такой же системник, и сделать его роутером на бесплатной ОС.
Талян, 4 сетевухи как раз и КД. Поставлена задача на ем все и сделать. С настройками разберусь, а как на аппаратном уровне как оно должно быть? Куда от сетевых карт ПК подключать кабели?
poisons,
1. извините, я неправильно выразился. Вы правы, анализ это то что мне нужно, как и логирование белые/черные списки.
2. я как раз таки и хочу squid использовать.
3. Почему плохая идея на КД перевести функции маршрутизатора?
poisons, честно говоря, я сам не вижу смысла в этом. И по моему мнению..достаточно работы КД..но начальник в госучреждениях почти божество.) Приходится выполнять.
Ваш вариант звучит интересно и как я понял, проблема решается программными средствами.
poisons, я попробую изучить вариант с squid и с бухгалтером обсудить, Вы выше написали..подключить в сеть машину..как обычный пк? Я так сделал и настроил КД. Правильно подключил? Спасибо
Зависит от того, насколько глубокий анализ нужен будет. В простейшем случае достаточно netflow писать (я когда-то trafd для этого использовал), но там никаких черных и белых списоков конечно же нет.
В более сложном случае - поставить squid, правда нужно помнить, что нынешний тырнет практически весь на https, так что бампинг будет просто насущной необходимостью.
Перетыкать ничего никуда не надо, все делается на логическом уровне.
