網絡分流器

網絡分流器通常用於網絡入侵檢測系統 （IDS），網絡探測器和分析器。端口鏡像。分流模式，是將被監控的UTP鏈路（非屏蔽鏈路）用TAP分流設備一分為二，分流出來的數據接入採集接口，為互聯網信息安全監控系統採集數據。

它是一個獨立的硬件，它不會對已有網絡設備的負載帶來任何影響，這與端口鏡像等方式相比具有極大的優勢。

它是一種在線（in-line）的設備，簡單一點説就是它需要串接到網絡中。但是，這也帶來了一個缺點，那就是引入了一個故障點，同時也正是因為它是一個在線設備，所以在部署時，需要中斷當前網絡，當然具體中斷的影響需要看它部署的地方。

透明的含義是指針對當前網絡。接入網絡分流器後，對於當前網絡中的所有設備，沒有任何影響，對於它們而言完全是透明的，當然這也包含網絡分流器將流量送給監控設備，這個監控設備對網絡而言也是透明的。

通過對網絡分流器輸入數據，進行復制、匯聚、過濾，通過協議轉換把萬兆POS數據轉換成千兆LAN數據，按照特定的算法進行負載均衡輸出，輸出的同時保證同一會話的所有數據包，或者同一IP用户的所有數據包從同一個接口輸出。 ^[1] 

1、協議轉換

由於ISP採用的主流互聯網數據通訊接口有40G POS、10G POS/WAN/LAN、2.5G POS、GE等，而應用服務器通常採用的數據接收接口為GE和10GE LAN接口，所以通常大家在互聯網通信接口上提到的協議轉換主要是指40G POS、10G POS和2.5G POS到10GE LAN或者GE之間的轉換，10GE WAN到10GE LAN、GE的雙向協轉。

2、數據採集、分流。

多數的數據採集應用，基本都只是提取所關心的流量，丟棄不關心的流量。對於關心的流量通過五元組（源IP、目的IP、源端口、目的端口、協議）收斂的方式來提取特定IP、特定協議、特定端口的數據流量。輸出時，根據特定的HASH算法，確保同源同宿、負載均衡輸出。

3、特徵碼過濾

對於P2P流量的採集，應用系統很可能只關注其中特定的某些流量，比如：流媒體PPStream、BT、迅雷、以及http上常見的關鍵字GET和POST等特徵碼等，均可採用特徵碼匹配的方式進行提取和收斂。分流器支持固定位置特徵碼過濾、浮動特徵碼過濾。浮動特徵碼即在固定位置特徵碼實現的基礎上指定的偏移量，適用於明確需要過濾的特徵碼，但不明確特徵碼具體位置的應用。

4、會話管理

對會話連接進行流量識別，並可靈活配置會話轉發N值（N=1～1024）。即將每條會話的前N個報文提取轉發給後端的應用分析系統，丟棄N值之後的報文，為下游的應用分析平台節約了資源開銷。通常在用IDS監測事件的時候，就不需要處理整條會話所有包，僅需要轉提取每條會話的前N個包即可完成事件的分析和監測。

5、數據鏡像、複製

分流器可實現對輸出接口上數據的鏡像和複製，保證了多套應用系統的數據接入。

6、3G網絡數據採集分流

3G網絡數據的採集分流區別於傳統的網絡分析模式：3G網絡中的報文經過多層封裝在骨幹鏈路中傳輸，報文長度、封裝格式都與普通網絡中的報文有較大區別，因此簡單針對五元組、特徵碼等進行過濾分析是不可行的；分流器具有多層封裝格式分析功能，能準確識別和處理GTP、GRE等隧道協議以及多層MPLS、VLAN標籤數據包，可根據報文特徵提取IUPS信令報文、GTP信令報文、Radius報文到指定端口，同時還可以根據內層IP進行分流，支持超大包（MTU>1522 Byte）處理，可以完美實現3G網絡數據的採集與分流應用。

支持按L2-L7應用協議來分流。

支持按照源IP、目的IP、源端口、目的端口、協議等精確和帶掩碼的5元組過濾。

支持輸出負載均衡、輸出同源同宿。

支持按照字符串特徵碼過濾轉發。

支持會話管理。轉發每條會話的前N個數據包，N值可以自行指定。

支持多用户。命中同一條規則的數據包可以同時提供給第三方，或者可對輸出接口上數據的鏡像和複製，保證了多套應用系統的數據接入。 ^[1] 

運營商關心的網絡數據協議分析、VOIP流量、P2P流量的監控和控制、監控寬帶用户的非法接入、入侵監測系統IDS、突發流量如攻擊和病毒的監測與防範、網絡流量審計等領域。其典型的應用模式如圖1所示： ^[1] 

在金融領域，網絡分流器作為“流量可視化分析”中一個重要的環節，通常會多台設備組網使用，構建一個統一管理的流量採集平台，將生產網或辦公網的業務流量實時旁路採集後，經過匯聚、過濾、轉發、負載均衡、報文去重、切片、解封裝等一系列的預處理後，轉發給後端網絡性能分析、業務性能分析、數據庫審計、網絡安全分析等流量可視化分析工具。