今天小编要和大家分享的是网络分流器简介 网络分流器特征,接下来我将从简介,特征,工作原理,这几个方面来介绍。
网路分流器(Network probe),包括常用的2.5G分流器、10G分流器、40G分流器和测试接入端口(TAP),是一个硬件设备,它直接插入到网络电缆和发送一份网络通信给其它设备。
简介
网络分流器通常用于网络入侵检测系统(IDS),网络探测器和分析器。端口镜像。分流模式,是将被监控的UTp链路(非屏蔽链路)用TAp分流设备一分为二,分流出来的数据接入采集接口,为互联网信息安全监控系统采集数据。
特征
独立
它是一个独立的硬件,它不会对已有网络设备的负载带来任何影响,这与端口镜像等方式相比具有极大的优势。
它是一种在线(in-line)的设备,简单一点说就是它需要串接到网络中。但是,这也带来了一个缺点,那就是引入了一个故障点,同时也正是因为它是一个在线设备,所以在部署时,需要中断当前网络,当然具体中断的影响需要看它部署的地方。
透明
透明的含义是指针对当前网络。接入网络分流器后,对于当前网络中的所有设备,没有任何影响,对于它们而言完全是透明的,当然这也包含网络分流器将流量送给监控设备,这个监控设备对网络而言也是透明的。
通过对网络分流器输入数据,进行复制、汇聚、过滤,通过协议转换把万兆pOS数据转换成千兆LAN数据,按照特定的算法进行负载均衡输出,输出的同时保证同一会话的所有数据包,或者同一Ip用户的所有数据包从同一个接口输出。
工作原理
1、协议转换
由于ISp采用的主流互联网数据通讯接口有40GpOS、10GpOS/WAN/LAN、2.5GpOS、GE等,而应用服务器通常采用的数据接收接口为GE和10GELAN接口,所以通常大家在互联网通信接口上提到的协议转换主要是指40GpOS、10GpOS和2.5GpOS到10GELAN或者GE之间的转换,10GEWAN到10GELAN、GE的双向协转。
2、数据采集、分流。
多数的数据采集应用,基本都只是提取所关心的流量,丢弃不关心的流量。对于关心的流量通过五元组(源Ip、目的Ip、源端口、目的端口、协议)收敛的方式来提取特定Ip、特定协议、特定端口的数据流量。输出时,根据特定的HASH算法,确保同源同宿、负载均衡输出。
3、特征码过滤
对于p2p流量的采集,应用系统很可能只关注其中特定的某些流量,比如:流媒体ppStream、BT、迅雷、以及http上常见的关键字GET和pOST等特征码等,均可采用特征码匹配的方式进行提取和收敛。分流器支持固定位置特征码过滤、浮动特征码过滤。浮动特征码即在固定位置特征码实现的基础上指定的偏移量,适用于明确需要过滤的特征码,但不明确特征码具体位置的应用。
4、会话管理
对会话连接进行流量识别,并可灵活配置会话转发N值(N=1~1024)。即将每条会话的前N个报文提取转发给后端的应用分析系统,丢弃N值之后的报文,为下游的应用分析平台节约了资源开销。通常在用IDS监测事件的时候,就不需要处理整条会话所有包,仅需要转提取每条会话的前N个包即可完成事件的分析和监测。
5、数据镜像、复制
分流器可实现对输出接口上数据的镜像和复制,保证了多套应用系统的数据接入。
6、3G网络数据采集分流
3G网络数据的采集分流区别于传统的网络分析模式:3G网络中的报文经过多层封装在骨干链路中传输,报文长度、封装格式都与普通网络中的报文有较大区别,因此简单针对五元组、特征码等进行过滤分析是不可行的;分流器具有多层封装格式分析功能,能准确识别和处理GTp、GRE等隧道协议以及多层MpLS、VLAN标签数据包,可根据报文特征提取IUpS信令报文、GTp信令报文、Radius报文到指定端口,同时还可以根据内层Ip进行分流,支持超大包(MTU>1522Byte)处理,可以完美实现3G网络数据的采集与分流应用。
关于网络分流器,电子元器件资料就介绍完了,您有什么想法可以联系小编。
