网络流量采集中分光器的介绍与应用

概述

    在基于网络流量分析（NTA）的应用中，首先需要对网络流量采集。为了降低对原链路的影响，通常采用旁路分光与交换机镜像方式获得原始流量的一份拷贝。

    采用分光获得流量拷贝的方式需要借助分光器设备，分光器是一种无源光器件，可对光信号的功率强度按照需要的比例进行再分配。分光器可进行1分2，1分4以及1分多路的分光。分光比也可以按需灵活定制，满足多种应用需求，数据中心为了减少对原链路的影响，通常采用80：20，70：30的分光比，其中70，80比例的光信号送回原链路；个人测试开发使用场景，由于传输距离短，也可在网上购买50：50均匀分光比例的，成本较便宜，无需定制。目前，光纤分光器广泛应用于网络性能分析（NPM/APM）、审计系统、用户行为分析、网络入侵检测等多种场景。

    如上图为一款高密度机架式分光器，1U机箱可支持40路LC光纤输入，80路不同分光比的LC光纤输出，常用于机房链路多的场景。 

 

    上图为网上购买的1分2均匀分光的简单分光器，常用于实验室做测试开发。

数据示意图

典型应用

    通常会有多个后端业务分析系统都需要得到一份原始流量的拷贝，比如同时部署了入侵检测系统（IDS、IPS、APT、DDOS），网络性能分析系统（NPM、APM），上网用户行为分析，流量回溯系统等。为了解决多次分光导致光信号衰减太多和布线杂乱不易管理的问题，通常只在原始链路进行一次分光，分光后的流量通过TAP网络分流器分发到多个后端业务系统。这样既有OEO的功能保证了光信号的再生，而且只有一次分光使得机房部署简单，数据安全。

    网络分流器可以对数据汇聚、分流、复制多份，过滤衰减无关流量（比如只输出DNS、HTTP GET报文），对于链路上下行流量同源同宿输出，对多个分光点导致的重复流量去重，对于敏感数据可以截断与脱敏操作。与分光器搭配使用，为数据采集提供了便捷高效的解决方案。