基本介紹
- 中文名:網路分流器
- 外文名:Network probe
- 類型:2.5G分流器、10G分流器
- 特徵:獨立、透明
- 類別:分流器
簡介,特徵,獨立,透明,工作原理,功能特點,特性需求,適用領域,
簡介
網路分流器通常用於網路入侵檢測系統 (IDS),網路探測器和分析器。連線埠鏡像。分流模式,是將被監控的UTP鏈路(非禁止鏈路)用TAP分流設備一分為二,分流出來的數據接入採集接口,為網際網路信息安全監控系統採集數據。
特徵
獨立
它是一個獨立的硬體,它不會對已有網路設備的負載帶來任何影響,這與連線埠鏡像等方式相比具有極大的優勢。
它是一種線上(in-line)的設備,簡單一點說就是它需要串接到網路中。但是,這也帶來了一個缺點,那就是引入了一個故障點,同時也正是因為它是一個線上設備,所以在部署時,需要中斷當前網路,當然具體中斷的影響需要看它部署的地方。
透明
透明的含義是指針對當前網路。接入網路分流器後,對於當前網路中的所有設備,沒有任何影響,對於它們而言完全是透明的,當然這也包含網路分流器將流量送給監控設備,這個監控設備對網路而言也是透明的。
工作原理
通過對網路分流器輸入數據,進行複製、匯聚、過濾,通過協定轉換把萬兆POS數據轉換成千兆LAN數據,按照特定的算法進行負載均衡輸出,輸出的同時保證同一會話的所有數據包,或者同一IP用戶的所有數據包從同一個接口輸出。
功能特點
1、協定轉換
由於ISP採用的主流網際網路數據通訊接口有40G POS、10G POS/WAN/LAN、2.5G POS、GE等,而套用伺服器通常採用的數據接收接口為GE和10GE LAN接口,所以通常大家在互聯網通信接口上提到的協定轉換主要是指40G POS、10G POS和2.5G POS到10GE LAN或者GE之間的轉換,10GE WAN到10GE LAN、GE的雙向協轉。
2、數據採集、分流。
多數的數據採集套用,基本都只是提取所關心的流量,丟棄不關心的流量。對於關心的流量通過五元組(源IP、目的IP、源連線埠、目的連線埠、協定)收斂的方式來提取特定IP、特定協定、特定連線埠的數據流量。輸出時,根據特定的HASH算法,確保同源同宿、負載均衡輸出。
3、特徵碼過濾
對於P2P流量的採集,套用系統很可能只關注其中特定的某些流量,比如:流媒體PPStream、BT、迅雷、以及http上常見的關鍵字GET和POST等特徵碼等,均可採用特徵碼匹配的方式進行提取和收斂。分流器支持固定位置特徵碼過濾、浮動特徵碼過濾。浮動特徵碼即在固定位置特徵碼實現的基礎上指定的偏移量,適用於明確需要過濾的特徵碼,但不明確特徵碼具體位置的套用。
4、會話管理
對會話連線進行流量識別,並可靈活配置會話轉發N值(N=1~1024)。即將每條會話的前N個報文提取轉發給後端的套用分析系統,丟棄N值之後的報文,為下游的套用分析平台節約了資源開銷。通常在用IDS監測事件的時候,就不需要處理整條會話所有包,僅需要轉提取每條會話的前N個包即可完成事件的分析和監測。
5、數據鏡像、複製
分流器可實現對輸出接口上數據的鏡像和複製,保證了多套套用系統的數據接入。
6、3G網路數據採集分流
3G網路數據的採集分流區別於傳統的網路分析模式:3G網路中的報文經過多層封裝在骨幹鏈路中傳輸,報文長度、封裝格式都與普通網路中的報文有較大區別,因此簡單針對五元組、特徵碼等進行過濾分析是不可行的;分流器具有多層封裝格式分析功能,能準確識別和處理GTP、GRE等隧道協定以及多層MPLS、VLAN標籤數據包,可根據報文特徵提取IUPS信令報文、GTP信令報文、Radius報文到指定連線埠,同時還可以根據內層IP進行分流,支持超大包(MTU>1522 Byte)處理,可以完美實現3G網路數據的採集與分流套用。
特性需求
支持按L2-L7套用協定來分流。
支持按照源IP、目的IP、源連線埠、目的連線埠、協定等精確和帶掩碼的5元組過濾。
支持輸出負載均衡、輸出同源同宿。
支持按照字元串特徵碼過濾轉發。
支持會話管理。轉發每條會話的前N個數據包,N值可以自行指定。
支持多用戶。命中同一條規則的數據包可以同時提供給第三方,或者可對輸出接口上數據的鏡像和複製,保證了多套套用系統的數據接入。