网络分流器是用于网络入侵检测系统 (IDS),网络探测器和分析器。端口镜像,分流模式,是将被监控的UTP链路(非屏蔽链路)用TAP分流设备一分为二,分流出来的数据接入采集接口,为互联网信息安全监控系统采集数据。
作用:
1、协议转换
由于ISP采用的主流互联网数据通讯接口有40G POS、10G POS/WAN/LAN、2.5G POS、GE等,而应用服务器通常采用的数据接收接口为GE和10GE LAN接口,所以通常大家在互联网通信接口上提到的协议转换主要是指40G POS、10G POS和2.5G POS到10GE LAN或者GE之间的转换,10GE WAN到10GE LAN、GE的双向协转。
2、数据采集、分流
多数的数据采集应用,基本都只是提取所关心的流量,丢弃不关心的流量。对于关心的流量通过五元组(源IP、目的IP、源端口、目的端口、协议)收敛的方式来提取特定IP、特定协议、特定端口的数据流量。输出时,根据特定的HASH算法,确保同源同宿、负载均衡输出。
3、特征码过滤
对于P2P流量的采集,应用系统很可能只关注其中特定的某些流量,比如:流媒体PPStream、BT、迅雷、以及http上常见的关键字GET和POST等特征码等,均可采用特征码匹配的方式进行提取和收敛。分流器支持固定位置特征码过滤、浮动特征码过滤。浮动特征码即在固定位置特征码实现的基础上指定的偏移量,适用于明确需要过滤的特征码,但不明确特征码具体位置的应用。
4、会话管理
对会话连接进行流量识别,并可灵活配置会话转发N值(N=1~1024)。即将每条会话的前N个报文提取转发给后端的应用分析系统,丢弃N值之后的报文,为下游的应用分析平台节约了资源开销。通常在用IDS监测事件的时候,就不需要处理整条会话所有包,仅需要转提取每条会话的前N个包即可完成事件的分析和监测。
5、数据镜像、复制
分流器可实现对输出接口上数据的镜像和复制,保证了多套应用系统的数据接入。
扩展资料:
特征
1、独立
它是一个独立的硬件,它不会对已有网络设备的负载带来任何影响,这与端口镜像等方式相比具有极大的优势。
它是一种在线(in-line)的设备,简单一点说就是它需要串接到网络中。但是,这也带来了一个缺点,那就是引入了一个故障点,同时也正是因为它是一个在线设备,所以在部署时,需要中断当前网络,当然具体中断的影响需要看它部署的地方。
2、透明
透明的含义是指针对当前网络。接入网络分流器后,对于当前网络中的所有设备,没有任何影响,对于它们而言完全是透明的,当然这也包含网络分流器将流量送给监控设备,这个监控设备对网络而言也是透明的。
参考资料来源:百度百科—网络分流器
网络分流器是一种可应用于运营商骨干网、移动核心网、城域网或IDC等多种网络的大数据采集、接入及分析设备,可用于链路流量采集、汇聚、过滤、分流、复制以及负载均衡等。
目前,国内做的比较好的厂商有中创腾锐,是信威集团投资成立的专注于IP网络业务分析和管理方向的专业公司。其iDirector系列产品能提供业界领先的10GE最高口密度的端口接入,主要功能包括如下三大类:
1.流量负载均衡
用于针对大规模的数据链路进行负载均衡,保证后端设备处理的准确性和完整性,同时可以把不需要的流量通过配置进行过滤。
2.流量汇聚
通过GE接口对输入的流量进行汇聚。把需要的流量通过万兆接口进行转发,送交后端的处理设备;比如将20个万兆接口(总流量不超过10GE)作为输入接口接收输入的流量,过滤后通过万兆接口输出。
3.流量镜像
把需要采集的流量提取备份,镜像到多个接口上,同时可以根据下发的配置,把不需要的流量进行屏蔽作丢弃处理。在某些网络节点,由于需要处理的端口密度过多,导致单台设备的采集和分流接口数量不足,此时可以把多台iDirector进行级联,完成流量的采集、汇聚、过滤和负载均衡,满足更高的需求。
具体可实现业务功能:
1.IPv4/IPv6七元组过滤分流
2.字符串匹配规则
3.流量汇聚
4.流量负载均衡
5.流量镜像
6.每报文时间戳
7.报文去重
8.基于DNS发现的规则过滤
9.报文处理——截短、添加和删除VLAN TAG
10.IP分片处理
11.GTPv0/v1/v2信令面和用户面关联分流
12.GTP隧道头剥离
13.MPLS协议的支持
14.Gb\IuPS信令提取
15.面板接口速率统计
16.物理接口速率及单纤模式
声明:本人与戎腾无任何利益关系,只因工作在运营商,对很多网络分流器比较了解!
湖南戎腾网络网络分流器通常用于网络入侵检测系统 (IDS),网络探测器和分析器。端口镜像。分流模式,是将被监控的UTP链路(非屏蔽链路)用TAP分流设备一分为二,分流出来的数据接入采集接口,为互联网信息安全监控系统采集数据。
通过对网络分流器输入数据,进行复制、汇聚、过滤,通过协议转换把万兆POS数据转换成千兆LAN数据,按照特定的算法进行负载均衡输出,输出的同时保证同一会话的所有数据包,或者同一IP用户的所有数据包从同一个接口输出
随着防火墙、入侵检测系统、高速网络管控、CDN、运营商信令分析、垃圾邮件分类等领域的发展,对高速链路进行深度报文检测(Deep Packet Inspection,简称DPI)和分类的要求越来越高。一方面是带宽越来越高,另一方面是检测特征越来越复杂,特征种类越来越多,这为DPI技术的发展提出了非常高的要求。湖南戎腾网络核心成员在国家自然科学基金的支持下,突破多级状态技术,单板复杂正则表达式性能匹配达到40Gbqs 特征串匹配性能达到 58Gbqs.
深度报文检测是使用预定义的一系列规则在流级上对报文载荷(而非仅仅是报文头)进行匹配,并根据匹配的结果决定对报文所采用的动作的一个过程。
汇聚分离设备做的比较好的厂家是成都数维通信技术有限公司,相比于其他品牌优势比较大,具体可以从他们官网了解,
www.nettap.com.cn,镜像交换机可以解决如下问题:
1、交换机镜像端口不足:基于交换机镜像端口旁路部署的安全设备逐渐增多,在同时部署两个或以上的旁路监听设备之时不仅增加交换机的性能开销,且不能满足各种安全监控设备灵活部署的需要。
2、安全设备部署分散:不同种类的安全监控设备部署在网络各处进行监控分析时,容易形成信息孤岛,导致信息分散,监控资源无法管理,重复监控势必无法避免。
3、无法统一管控:不同种类的安全监控设备关注维度有所区别,监控流量也不同,因此区域管理将增加维护困难,加大了企业运维成本。
4、分析效率低:在网络带宽升级时,企业首先考虑增加安全监控设备的投资,但全量的数据监控分析,势必带有大量无用的背景流,其真正所需的数据并不多,如不能有效过滤,将降低安全设备分析效率。
5、无法监控10/40/100G链路:安全监控设备厂商擅长于从普通1G/10G以太网网卡捕获报文,通过CPU进行流重组、协议解密、数据分析,其技术架构都沉淀在X86平台上,这类解决方案由于受到网卡和硬件架构的局限性,可处理的链路介质和流量都不高
6、无法标识数据源:在采集原始数据时,不能有效的标识数据源来自那些部门或地理位置,将影响安全监控设备及时发现攻击事件或定位故障事件。
7、无法标识数据源:在采集原始数据时,不能有效的标识数据源来自那些部门或地理位置,将影响安全监控设备及时发现攻击事件或定位故障事件。
8、缺乏统一可视化管理:大量采集节点和安全监控设备管理相对独立,采用传统的区域制度进行管理,无法做到全网全局监控,存在许多管理监控盲点。
具体还是要登陆他们官网看一下,上面有他们的联系方式