網絡分流器:獨立的硬件-中文百科頻道

概述

網絡分流器通常用于網絡入侵檢測系統（IDS），網絡探測器和分析器。給網絡設備複制通信現在典型的由通過交換端口分析器（SPAN端口）完成，在網絡交換中也稱作端口鏡像。分流模式，是将被監控的UTP鍊路用TAP分流設備一分為二，分流出來的數據接入采集接口，為互聯網信息安全監控系統采集數據。

特征

獨立

它是一個獨立的硬件，它不會對已有網絡設備的負載帶來任何影響，這與端口鏡像等方式相比具有極大的優勢。

在線

它是一種在線（in-line）的設備，簡單一點說就是它需要串接到網絡中。但是，這也帶來了一個缺點，那就是引入了一個故障點，同時也正是因為它是一個在線設備，所以在部署時，需要中斷當前網絡，當然具體中斷的影響需要看它部署的地方。

透明

透明的含義是指針對當前網絡。接入網絡分流器後，對于當前網絡中的所有設備，沒有任何影響，對于它們而言完全是透明的，當然這也包含網絡分流器将流量送給監控設備，這個監控設備對網絡而言也是透明的。

工作原理

通過對網絡分流器輸入數據，進行複制、彙聚、過慮，通過協議轉換把萬兆POS數據轉換成千兆LAN數據，按照特定的算法進行負載均衡輸出，輸出的同時保證同一會話的所有數據包，或者同一IP用戶的所有數據包從同一個接口輸出。

功能特點

協議轉換

由于目前ISP采用的主流互聯網數據通訊接口有40GPOS、10GPOS/WAN/Lana、2.5GPOS、GE等，而應用服務器通常采用的數據接收接口為GE和10GELAN接口，所以通常大家在互聯網通信接口上提到的協議轉換主要是指40GPOS、10GPOS和2.5GPOS到10GELAN或者GE之間的轉換，10GEWAN到10GELAN、GE的雙向協轉。

數據采集、分流

多數的數據采集應用，基本都隻是提取所關心的流量，丢棄不關心的流量。對于關心的流量通過五元組（源IP、目的IP、源端口、目的端口、協議）收斂的方式來提取特定IP、特定協議、特定端口的數據流量。輸出時，根據特定的Hash算法，确保同源同宿、負載均衡輸出。

特征碼過濾

對于P2P流量的采集，應用系統很可能隻關注其中特定的某些流量，比如：流媒體ppstream、BT、迅雷、以及http上常見的關鍵字GET和POST等特征碼等，均可采用特征碼匹配的方式進行提取和收斂。分流器支持固定位置特征碼過濾、浮動特征碼過濾。浮動特征碼即在固定位置特征碼實現的基礎上指定的偏移量，适用于明确需要過濾的特征碼，但不明确特征碼具體位置的應用。

會話管理

對會話連接進行流量識别，并可靈活配置會話轉發N值（N=1～1024）。即将每條會話的前N個報文提取轉發給後端的應用分析系統，丢棄N值之後的報文，為下遊的應用分析平台節約了資源開銷。通常在用IDS監測事件的時候，就不需要處理整條會話所有包，僅需要轉提取每條會話的前N個包即可完成事件的分析和監測。

數據鏡像、複制

分流器可實現對輸出接口上數據的鏡像和複制，保證了多套應用系統的數據接入。

3G網絡數據采集分流

3G網絡數據的采集分流區别于傳統的網絡分析模式：3G網絡中的報文經過多層封裝在骨幹鍊路中傳輸，報文長度、封裝格式都與普通網絡中的報文有較大區别，因此簡單針對五元組、特征碼等進行過濾分析是不可行的；分流器具有多層封裝格式分析功能，能準确識别和處理GTP、GRE等隧道協議以及多層MPLS、VLAN标簽數據包，可根據報文特征提取IUPS信令報文、GTP信令報文、Radius報文到指定端口，同時還可以根據内層IP進行分流，支持超大包（MTU>1522 Byte）處理，可以完美實現3G網絡數據的采集與分流應用。