网络分流器是网络安全领域监控前端重要的基础装备，对于整个网络安全起到关键作用！ 戎腾网络分流器

首先讲一下 流量采集

流量采集，主要就是将网络流量通过物理层、数据链路层的信号解析和解帧，实现对IP原始报文的获取。骨干网核心网流

量采集分流系统是一种对骨干网进行流量获取并分析的系统，主要应用于政府网络管理、运行商广告推送、运行商计费取

证服务、运行商信令监控服务、园区网审计、公*安网络监*、大中小型企业及学校医院等流量数据汇聚分流，大数据分析

等领域。

2  高速网络流量采集系统

随着以太网技术和光纤通信技术的应用，骨干网带宽的增长及规模不断扩大，大规模的网络流量采集面临着数据规模庞大

且流量日益复杂的挑战，面对这样的局面.传统的基于软件的流量采集技术的性能已然无法满足现实需求。现有的高速骨干

网流量采集方案主要分为三类：

2.1基于多核处理器的流量采集方案.

2.2基于交换芯片的流量采集方案.

2.3基于FPGA的网络流量采集方案。

2.4基于国产飞腾芯片的流量采集方案。

网络分流器

戎腾网络分流器

每种方案特色。

2.1 基于多核处理器的高速网络流量采集系统

多核处理器能够提供强大的并行计算能力，应用于流量采集系统的主要型号有博通，英特尔的。采用此方案的系统可编程

实现流量采集，还可对报文进行修改，具有非常高的灵活性。但系统CPU的处理能力有限，无法真正实现线速处理，整体

性能不会很高，而由于有处理器的参与，能够实现比较复杂的相关处理，如流表的管理、应用层协议识别、Radius上线与

报文绑定等功能比较容易实现。

2.2 基于交换芯片的高速网络流量采集系统

交换芯片的价格较便宜，且有成熟的套片解决方案可供参考。但其过滤功能非常弱，只支持非常简单的精确多元组过滤，

无法做深度报文检测（DPI: Deep Package Inspection），且无法支持POS和WAN等以太网接口，这也使得基于交换芯片

的流量采集方案在实际应用范围上受到限制。

2.3 基于FPGA的高速网络流量采集系统

基于FPGA的解决方案目前较少，主要原因是FPGA芯片价格较贵，且需自行设计所有高速电路和过滤算法，技术门槛较

高，需要深厚的研发能力。但其兼有多核系统的高灵活性和交换系统的高性能，优势也是非常明显的。

基于多核处理器+交换芯片的流量采集方案是目前应用最为普遍的方案，虽然系统整体价格略贵，但软硬件发开难度不大，

入门门槛较低。

但随着FPGA的发展，其内部资源日益丰富，特别是内部嵌入了大量IP核，在处理速率、逻辑容量等方面不断提升，基于

FPGA的方案受到了越来越多的关注，国内外许多研究机构及公司先后推出了基于FPGA的网络流量采集系统。

常见基于FPGA的流量采集系统结构，流量采集及预处理平台获取网络端口送来的网络数据包，并对数据包进行流量统计和

分析，最终根据流量分析的结果将网络数据包进行分流重新转发回网络中。系统采用硬件和软件协同实现设计思路，对于

数据包的协议解析、数据预处理都由硬件电路实现；后端服务器进行流量的具体分析处理。通过预处理平台对流量进行分

类归并和低负载数据传输，有效减少了后端服务器的工作量；服务器对预处理后的数据进行处理，可以有效降低流量处理

过程的负载开销\戎腾网络分流器

2.4

戎腾Lite880自主可控分流器

戎腾基于国产飞腾芯片的网络分流器

基于国产CPU、国产交换芯片和国产操作系统实 现的网络分流器，支持4个100G以太网接口和48个万兆以太网接口任意流

量转发，主要用于核心网络流量采集、过滤汇 聚、负载均衡等应用。Lite880为1U盒式设备，具有高可靠、高密度、高性

能、低功耗等特点，可部署于政府、金融、运营商等单位用于网络监控、网络行为分析、入侵检测及网络优化，为用户提

供性价比高和扩展性好的解决方案。系统累计实网运行一百余套，稳定运行一年2个月时间，表明100G流量采集与分流的

国产化替代已经成熟。

系统主要特点：

l 高速转发：设备所有端口均能线速转发处理，时延小于50us。

l 接口逻辑化：实现物理接口的逻辑化使用，将接收和发送流量通过不同的逻辑口进行标识，分别用于接入源和输出源的使

用，使设备的接口密度翻倍。

l 分类灵活：可根据输入报文的源IP、目的IP、协议类型、源端口、目的端口、TCP Flag、输入接口等对报文进行汇聚、分

流、过滤、复制、标记等。

l MAC标识：输出报文可在MAC头部携带报文输入/输出端口、规则号、设备号等信息，便于后端分析工具提取并使用。

l 管理便捷：支持字符型（Telnet、SSH）和图形化（Web）的管理方式。

l 使用安全：支持用户的分权分级管理和AAA认证。

l 智能均衡：可检测与输出端口相连的后端设备LINK状态，在其LINK DOWN时自动负载分摊到组内其他端口。

l 同源同宿：提供多种灵活的负载均衡算法，保证流的完整性。

l 日志完备：提供完备的日志（包括接口流量、操作和异常信息等）。

网络分流器，正交，戎腾网络

网络分流器

来自 “ ITPUB博客 ” ，链接：http://blog.itpub.net/31546517/viewspace-2641249/，如需转载，请注明出处，否则将追究法律责任。