随着网络规模变得越来越大,流量变得难以监测,对网络安全、网络管理的要求不断提高。要监控的网络端口越来越多,接入的监控设备也大幅增加,网络盲点可以轻易对网络产生巨大影响。传统接入监测方法(例如端口镜像)的成本非常高且会对被镜像设备造成非常大的压力。由于网络正以前所未有的速度急剧增长,如今高性能、可扩展的监测解决方案已成为当务之急。
正是由于全流量采集的不断演进和发展,需要越来越多的网络流量分析设备、安全审计类设备和辅助分析类设备通过旁路部署到网络中,TAP交换机逐步走到了前台。
TAP和网络流量分析设备通常是配套使用的,更像是一种合作关系:TAP提供了复制流量的功能,而网络流量分析设备则提供了对复制流量进行分析的能力。
科来网络采集分流器是一款增强型的万兆以太网采集分流设备,本设备最多支持 24/48 万兆,或 8 个100GE和 48 个万兆端口,可部署在高密度万兆网络、或者 100G 与 10G 汇聚分流环境中。 设备提供灵活高效的流量采集、过滤、汇聚、分流、负载均衡、复制输出等功能。为各类数据流控、数据备份和数据安全等领域提供便捷高效的数据采集解决方案。
强大的L2-L7层报文识别能力。支持MAC地址、VLAN和类型过滤,支持隧道数据包过滤,并可选择按内外层信息分类,载荷特征码过滤,帮助用户实现全面的网络数据监测和安全保护。
无需更换硬件,同一套硬件可支持不同类型的接口,功能与接口封装类型可支持软件定义的重构,为用户节省网络硬件资金投入。
高速并行的算法实现报文的线速处理,在全线速的情况依旧保证不会丢包,且时延小于5us,确保用户网络数据的完整性、可用性及可靠性。
最大具有256K的位掩码规则和百万级别精确五元组规则,规则的大小与性能无关即使在规则满载的情况下,也能线速处理。
报文可复制多份输出,每份输出的报文可选择不同的负载均衡算法且对系统性能无影响。
可修改输出报文的链路层首部的源、目的MAC地址,以标识输出报文的相关信息。可给报文按规则分配宿MAC标签、输入端口、大移动核心网的增强支持:MAC标签、输入端口或者精确时间戳等信息。
强大的L2-L7层报文识别能力。支持MAC地址、VLAN和类型过滤,普通IPv4/IPv6过滤和GTP、L2TP、PPTP、PPPOE、GRE等隧道数据包过滤,并可选择按内外层信息分类,载荷特征码过滤。
设备端口除了支持传统的以太网10GE/1GE接口外,还支持多速率的POS接口如155M/622M/2.5G/10G POS的接入采集,且4种速率可分接口动态切换,满足现场多种速率配比的需求。设备自动将POS接口的PPP/HDLC协议转换为传统以太网协议输出,满足后端分析系统的需要。
分流器设备拥有高性能大窗口的报文对比去重技术,最大可支持1秒内的重复报文检查,单设备最大可支持400G bps的全包内容的去重判断,且可分输入接口或输出接口配置去重的使能,同时可支持按单接口对比去重,输入组内对比去重和全局对比去重等多种方式进行去重判断,灵活适应各种去重场景需求。
流量复制又称流量镜像,是指将一个网络端口的所有数据包复制到多个不同目标端口上,以便进行并行的监视和分析。其中,镜像复制可以分为1对1和1对多两种模式。
1对1镜像复制:在这种模式下,一个网络端口的所有数据包被复制到一个单独的监测端口上。这种配置适用于只需要单一监测设备或应用程序的情况。
1对多镜像复制:在这种模式下,一个网络端口的所有数据包可以同时被复制到多个不同的监测端口上。这种配置适用于需要多个监测设备或应用程序并行监控的情况。
汇聚输出是指将多条链路上的数据流量汇聚成一份完整的流量输出,以便进行集中监视和分析。其中,汇聚输出可以分为多对1和多对多两种模式。
多对1汇聚输出:多个不同的链路上的数据流量都被复制到一个单独的监测设备或应用程序上进行监控和分析。这种配置适用于需要将多个源的数据流量集中到一个位置进行统一管理的情况。
多对多汇聚输出:多个不同的链路上的数据流量可以同时被复制到多个不同的监测设备或应用程序上进行并行监控和分析。这种配置适用于需要多个监测设备或应用程序并行处理分散在多个源的数据流量的情况。
TAP报文去重是指在TAP交换机上对重复的数据包进行去重处理,以便减少分析设备的网络端口带宽占用、网络分析性能占用和存储空间浪费。其主要目的是为了优化分析设备处理性能、存储空间以及数据准确率。
在TAP报文去重中,可以使用各种算法来识别和比较数据包的唯一标识符,例如数据包源地址、目标地址、协议、端口号、序列号等数据包内容信息。当TAP交换机发现重复的数据包时,仅保留一个数据包,并将其余的数据包删除或回收。这样可以有效地减少网络带宽占用和存储空间浪费,提高分析设备网络性能和效率。
TAP过滤输出是指在TAP交换机上对复制的全流量数据包进行过滤和筛选,只选取符合特定条件的数据包输出到指定的端口上。其主要目的是为了实现更精细、更高效的网络流量监控和管理。
在TAP过滤输出中,可以使用各种过滤规则来选取需要的数据包,例如基于源地址、目标地址、协议类型、端口号、数据包内容等多个维度的过滤条件。这些过滤规则可以根据企业的需求和实际情况来配置和优化,以便更精确地捕获和分析关键的网络流量。
报文截断功能指对网络中传输的数据报文进行裁剪,而网络传输的数据包长度MTU(Maximum Transmission Unit)最大为1500字节。
针对一些特珠流量分析审计需求不需要分析完整的数据包长度,如对视频流的网络性能分析、流量压测性能分析、特定数据存储空间优化等场景,在TAP交换机上配置报文截断功能,将指定字节数的报文(截断后的数据)送到分析设备,进一步提升分析设备的处理性能,节省存储空间 。
分流输出是指在TAP交换机上将多个链路输入的数据流量按照一定的规则进行分配和负载均衡算法,输出给后端分析设备,实现后端分析设备的流量均衡以及会话完整性,实现报文同源同宿输出,保证同一台服务器的会话完整度。
根据后端分析设备监控分析审计流量,可以使用各种负裁均衡算法来实现流量分配和优化,例如轮询、源IP哈希、目标IP哈希、SDIP对称哈希等。
TAP报文标签是指在TAP交换机上对流量数据包进行标记或标识,以便进行分类、筛选、管理和分析。其主要目的是为了提高网络流量监控和管理的精度和效率。
在TAP报文标签中,可以使用不同的标记方式和标签类型,例如VLAN标签、IP地址标签、MAC地址标签、应用程序标签等多种维度的标记方法。这些标签可以根据企业的需求和实际情况来配置和优化,以实现更准确、更全面的网络流量监控和管理。
数据报文是用户通信真实访问行为,会涉及敏感数据信息,为保证其数据的安全性,可根据用户数据安全法的要求以及结合实际流量分析审计需求在TAP交换机上配置报文脱敏功能。
TAP交换机会将从业务网络采集到的数据包对其IP、port、payload内容进行脱敏,输出分析审计设备,分析设备只能基于报文已脱敏的数据进行业务分析,从而降低了敏感数据泄漏的风险。
NPM物理分析端口资源有限,而监控节点数量大于NPM物理接口数量,整体监控流量小于NPM处理能力,如何解决NPM监控所有节点流量,实现设备利用监控最大化?
在TAP交换机入出接口对数据报文打上VLAN_TAG标签,汇聚输出至NPM分析设备,NPM分析设备通过VLAN_TAG标签实现识别SPAN镜像流量来源,标识对应节点名称,实现NPM分析设备对全网流量全路径细化监控。
客户的数据中心安全、负载等设备大多都是采用旁挂的架构,交换机镜像无法区分旁挂设备的前后的流量,如何实现关键旁挂设备前后节点的网络业务性能监控分析成为了一个难题。
在TAP交换机对镜像流量通过过滤SMAC、DMAC规则等方式识别关键设备前后节点流量打上VLAN_TAG标签,通过NPM虚接口标识功能实现前后节点流量区分,实现网络节点精细化监控,解决用户监控痛点,实现NPM场景价值的最大化。
NPM物理分析端口资源有限,单一或多节点流量容易超出分析设备的端口物理瓶颈,可通过TAP交换机的负载均衡(round robin、SDIP )hash算法将流量均衡的输出至NPM分析设备,通过NPM分析设备下的多个物理端口下虚拟子接口标识聚合链路功能实现多节点的流量全量监控,解决单一节点流量瓶颈问题。
由于交换机镜像资源不足,又需要全量多节点监控,数据流量混杂在一起,无法区分,可根据业务流向,剥离各区域的流量,在TAP交换机通过过滤规则对特定的数据报文(IP会话等)打上VLAN_TAG标签,通过虚接口功能实现识别SPAN镜像流量来源,标识对应节点名称,实现NPM分析设备对全网流量全路径细化监控。
业务流量走向以及二层原因,交换机镜像数据会出现大量的重复,重复数据消耗了NPM分析设备的分析处理性能以及对流量分析指标的准确率产生了影响,为减少对NPM分析设备影响,需要在流量分析前对流量进行处理。
在TAP交换机对端口、数据包特征进行报文截断功能,缩减数据包的长度,通过NPM设备截断数据包分析功能还原裁剪前的真实业务流量趋势,提升NPM分析设备的处理能力和数据存储时长。
在TAP交换网络中,也可以对GRE和ERSPAN流量进行预前处理。
ERSPAN(Encapsulated Remote Switched Port Analyzer)是一种网络流量监测技术,可以在不影响网络正常运行的情况下,通过将远程交换机上的交换端口数据复制到本地设备上进行分析和监控。ERSPAN技术可以将SPAN功能扩展到其他网络中,并且可以跨越多个网络。
ERSPAN技术使用的是一种封装技术,通过在源交换机和目标交换机之间建立一个隧道,将复制的数据包封装成一个新的封装数据包,并通过IP网络传输到目标设备上进行解封和解析。在ERSPAN中,源交换机将要监控的数据流量封装为GRE(Generic Routing Encapsulation)数据包,然后通过网络传输到目标设备。在目标设备上,将GRE数据包解封,并将其中的原始数据包还原出来,以便进一步进行分析和处理。
GRE预前流量处理是指在TAP交换机上对GRE隧道中的数据包进行预处理和分析,以便更好地管理和监控网络流量。其主要目的是为了提高网络性能和可靠性。
在GRE和ERSPAN预前流量处理中,可以使用各种算法和技术来优化数据包负载均衡、去重、过滤、标签等操作。例如,可以通过源IP地址哈希或目标IP地址哈希的方式,将GRE隧道中的数据流量分配到不同的链路上,从而实现负载均衡;也可以通过过滤规则和标签标识,对数据包进行筛选和分类,提高网络流量监控的效率和精度。