網路分流器

網路分流器通常用於網路入侵檢測系統（IDS），網路探測器和分析器。埠鏡像。分流模式，是將被監控的UTP鏈路（非屏蔽鏈路）用TAP分流設備一分為二，分流出來的數據接入採集介面，為網際網路信息安全監控系統採集數據。

它是一個獨立的硬體，它不會對已有網路設備的負載帶來任何影響，這與埠鏡像等方式相比具有極大的優勢。

它是一種在線（in-line）的設備，簡單一點說就是它需要串接到網路中。但是，這也帶來了一個缺點，那就是引入了一個故障點，同時也正是因為它是一個在線設備，所以在部署時，需要中斷當前網路，當然具體中斷的影響需要看它部署的地方。

透明的含義是指針對當前網路。接入網路分流器后，對於當前網路中的所有設備，沒有任何影響，對於它們而言完全是透明的，當然這也包含網路分流器將流量送給監控設備，這個監控設備對網路而言也是透明的。

通過對網路分流器輸入數據，進行複製、匯聚、過濾，通過協議轉換把萬兆POS數據轉換成千兆LAN數據，按照特定的演演算法進行負載均衡輸出，輸出的同時保證同一會話的所有數據包，或者同一IP用戶的所有數據包從同一個介面輸出。

1、協議轉換

由於ISP採用的主流網際網路數據通訊介面有40G POS、10G POS/WAN/LAN、2.5G POS、GE等，而應用伺服器通常採用的數據接收介面為GE和10GE LAN介面，所以通常大家在網際網路通信介面上提到的協議轉換主要是指40G POS、10G POS和2.5G POS到10GE LAN或者GE之間的轉換，10GE WAN到10GE LAN、GE的雙向協轉。

2、數據採集、分流。

多數的數據採集應用，基本都只是提取所關心的流量，丟棄不關心的流量。對於關心的流量通過五元組（源IP、目的IP、源埠、目的埠、協議）收斂的方式來提取特定IP、特定協議、特定埠的數據流量。輸出時，根據特定的HASH演演算法，確保同源同宿、負載均衡輸出。

3、特徵碼過濾

對於P2P流量的採集，應用系統很可能只關注其中特定的某些流量，比如：流媒體PPStream、BT、迅雷、以及http上常見的關鍵字GET和POST等特徵碼等，均可採用特徵碼匹配的方式進行提取和收斂。分流器支持固定位置特徵碼過濾、浮動特徵碼過濾。浮動特徵碼即在固定位置特徵碼實現的基礎上指定的偏移量，適用於明確需要過濾的特徵碼，但不明確特徵碼具體位置的應用。

4、會話管理

對會話連接進行流量識別，並可靈活配置會話轉發N值（N=1～1024）。即將每條會話的前N個報文提取轉發給後端的應用分析系統，丟棄N值之後的報文，為下游的應用分析平台節約了資源開銷。通常在用IDS監測事件的時候，就不需要處理整條會話所有包，僅需要轉提取每條會話的前N個包即可完成事件的分析和監測。

5、數據鏡像、複製

分流器可實現對輸出介面上數據的鏡像和複製，保證了多套應用系統的數據接入。

6、3G網路數據採集分流

3G網路數據的採集分流區別於傳統的網路分析模式：3G網路中的報文經過多層封裝在骨幹鏈路中傳輸，報文長度、封裝格式都與普通網路中的報文有較大區別，因此簡單針對五元組、特徵碼等進行過濾分析是不可行的；分流器具有多層封裝格式分析功能，能準確識別和處理GTP、GRE等隧道協議以及多層MPLS、VLAN標籤數據包，可根據報文特徵提取IUPS信令報文、GTP信令報文、Radius報文到指定埠，同時還可以根據內層IP進行分流，支持超大包（MTU>1522 Byte）處理，可以完美實現3G網路數據的採集與分流應用。

支持按L2-L7應用協議來分流。

支持按照源IP、目的IP、源埠、目的埠、協議等精確和帶掩碼的5元組過濾。

支持輸出負載均衡、輸出同源同宿。

支持按照字元串特徵碼過濾轉發。

支持會話管理。轉發每條會話的前N個數據包，N值可以自行指定。

支持多用戶。命中同一條規則的數據包可以同時提供給第三方，或者可對輸出介面上數據的鏡像和複製，保證了多套應用系統的數據接入。

運營商關心的網路數據協議分析、VOIP流量、P2P流量的監控和控制、監控寬頻用戶的非法接入、入侵監測系統IDS、突發流量如攻擊和病毒的監測與防範、網路流量審計等領域。其典型的應用模式如下圖所示：