网路分流器－网络分流器的定义与功能特点

网络分流器的定义

当需要对网络中的流量进行监控，例如用户上网行为分析、异常流量监测、网络应用监控等，就需要收集网络流量，这里说收集可能不太准确，实际上就是copy一份当前网络流量发送给监控设备，当然这里的copy要讲究实时性。网络分流器，又称network tap，就是做这个工作的，下面先看下关于网络分流器的定义：

通过对网络分流器输入数据，进行复制、汇聚、过滤，通过协议转换把万兆POS数据转换成千兆ＬＡＮ数据，按照特定的算法进行负载均衡输出，输出的同时保证同一会话的所有数据包，或者同一IP用户的所有数据包从同一个接口输出

网络分流器的功能特点

戎腾网络分流器的功能特点

1、协议转换

由于ISP采用的主流互联网数据通讯接口有40G POS、10G POS/WAN/LAN、2.5G POS、ＧＥ等，而应用服务器通常采用的数据接收接口为GE和10GE ＬＡＮ接口，所以通常大家在互联网通信接口上提到的协议转换主要是指40G POS、10G POS和2.5G POS到10GE LAN或者GE之间的转换，10GE WAN到10GE LAN、GE的双向协转，像戎腾网络已经支持100Ｇ，且400Ｇ的相关技术已经在研究中！

2、数据采集、分流。

多数的数据采集应用，基本都只是提取所关心的流量，丢弃不关心的流量。对于关心的流量通过五元组（源IP、目的IP、源端口、目的端口、协议）收敛的方式来提取特定IP、特定协议、特定端口的数据流量。输出时，根据特定的HASH算法，确保同源同宿、负载均衡输出。　网络分流器

3、特征码过滤ＤＰＩ

对于P2P流量的采集，应用系统很可能只关注其中特定的某些流量，比如：流媒体PPStream、BT、迅雷、以及http上常见的关键字GET和POST等特征码等，均可采用特征码匹配的方式进行提取和收敛。分流器支持固定位置特征码过滤、浮动特征码过滤。浮动特征码即在固定位置特征码实现的基础上指定的偏移量，适用于明确需要过滤的特征码，但不明确特征码具体位置的应用。

4、会话管理

对会话连接进行流量识别，并可灵活配置会话转发N值（N=1～1024）。即将每条会话的前N个报文提取转发给后端的应用分析系统，丢弃N值之后的报文，为下游的应用分析平台节约了资源开销。通常在用IDS监测事件的时候，就不需要处理整条会话所有包，仅需要转提取每条会话的前N个包即可完成事件的分析和监测。

5、数据镜像、复制

网络分流器可实现对输出接口上数据的镜像和复制，保证了多套应用系统的数据接入。

6、3G网络数据采集分流

3G网络数据的采集分流区别于传统的网络分析模式：3G网络中的报文经过多层封装在骨干链路中传输，报文长度、封装格式都与普通网络中的报文有较大区别，因此简单针对五元组、特征码等进行过滤分析是不可行的；分流器具有多层封装格式分析功能，能准确识别和处理GTP、GRE等隧道协议以及多层ＭＰＬＳ、ＶＬＡＮ标签数据包，可根据报文特征提取IUPS＼信令报文、GTP信令报文、Radius报文到指定端口，同时还可以根据内层IP进行分流，支持超大包（MTU>1522 Byte）处理，可以完美实现3G网络数据的采集与分流应用。

从上面的三个定义中，我们基本上可以得出网络分流器(Network tap)的几个特征：

硬件、在线、透明

下面就专门介绍一下这几个特性：

1、网络分流器它是一个独立的硬件，也正因为此，它不会对已有网络设备的负载带来任何影响，这与端口镜像等方式相比具有极大的优势

2、网络分流器它是一种在线（in-line）的设备，简单一点说就是它需要串接到网络中，这个可以理解，如果旁接的话，又怎么能看到不经过自己的网络流量呢？但是，这也带来了一个缺点，那就是引入了一个故障点，同时也正是因为它是一个在线设备，所以在部署时，需要中断当前网络，当然具体中断的影响需要看它部署的地方。

3、透明的含义是指针对当前网络。接入网络分流器后，对于当前网络中的所有设备，没有任何影响，对于它们而言完全是透明的，当然这也包含网络分流器将流量送给监控设备，这个监控设备对网络而言也是透明的！