网络分流器(NPB),包括常用的2.5G分流器、10G分流器、40G分流器和测试接入端口(TAP),是一个硬件设备,它直接插入到网络电缆和发送一份网络通信给其它设备。

1.网络分流器工作原理

通过对网络分流器输入数据,进行复制、汇聚、过滤,通过协议转换把万兆POS数据转换成千兆LAN数据,按照特定的算法进行负载均衡输出,输出的同时保证同一会话的所有数据包,或者同一IP用户的所有数据包从同一个接口输出。

网络分流器工作原理

2.网络分流器的特点

1、协议转换

由于ISP采用的主流互联网数据通讯接口有40G POS、10G POS/WAN/LAN、2.5G POS、GE等,而应用服务器通常采用的数据接收接口为GE和10GE LAN接口,所以通常大家在互联网通信接口上提到的协议转换主要是指40G POS、10G POS和2.5G POS到10GE LAN或者GE之间的转换,10GE WAN到10GE LAN、GE的双向协转。

2、数据采集、分流。

多数的数据采集应用,基本都只是提取所关心的流量,丢弃不关心的流量。对于关心的流量通过五元组(源IP、目的IP、源端口、目的端口、协议)收敛的方式来提取特定IP、特定协议、特定端口的数据流量。输出时,根据特定的HASH算法,确保同源同宿、负载均衡输出。

3、特征码过滤

对于P2P流量的采集,应用系统很可能只关注其中特定的某些流量,比如:流媒体PPStream、BT、迅雷、以及http上常见的关键字GET和POST等特征码等,均可采用特征码匹配的方式进行提取和收敛。分流器支持固定位置特征码过滤、浮动特征码过滤。浮动特征码即在固定位置特征码实现的基础上指定的偏移量,适用于明确需要过滤的特征码,但不明确特征码具体位置的应用。

4、会话管理

对会话连接进行流量识别,并可灵活配置会话转发N值(N=1~1024)。即将每条会话的前N个报文提取转发给后端的应用分析系统,丢弃N值之后的报文,为下游的应用分析平台节约了资源开销。通常在用IDS监测事件的时候,就不需要处理整条会话所有包,仅需要转提取每条会话的前N个包即可完成事件的分析和监测。

5、数据镜像、复制

分流器可实现对输出接口上数据的镜像和复制,保证了多套应用系统的数据接入。

网络分流器的特点

3.网络分流器的应用

在金融领域,网络分流器作为“流量可视化分析”中一个重要的环节,通常会多台设备组网使用,构建一个统一管理的流量采集平台,将生产网或办公网的业务流量实时旁路采集后,经过汇聚、过滤、转发、负载均衡、报文去重、切片、解封装等一系列的预处理后,转发给后端网络性能分析、业务性能分析、数据库审计、网络安全分析等流量可视化分析工具。

网络分流器的应用