《VSS产品功能介绍》由会员分享,可在线阅读,更多相关《VSS产品功能介绍(8页珍藏版)》请在金锄头文库上搜索。
1、VSS产品功能介绍VSSMonitoring公司是分布式流量捕获系统和网络Tap的领导者,系统级的硬件设计实现网络的全面可视性,配合监测系统为最终用户带来高效率、低成本的监测解决方案。VSSMonitoring公司是流量捕获方案的革新者。高扩展性的产品线不仅包括基本的网络Tap及镜像流量捕获工具,还有分布式流量捕获系统,该系统不但从根本上提升了网络分析器的效率和性价比,并能增加网络可视性、缩短故障响应时间。一、Tap是什么?网络Tap是一种为网络分析、IDS/IPS及其他监测接入设备所专用的网络流量捕获方案;网络Tap设计为永久嵌入网络且拥有掉电安全(failsafe)设置,即便是Tap电源掉
2、电也不会中断网络连接。Tap提供使用者全面可视的网络数据流,对全线速的双向会话进行准确无误的监测,且无丢包和迟延。此外Tap可以对网络监测工具提供一层隐蔽性,网络入侵者不会发觉Tap的存在,从而能够保护用户网络监测系统不受入侵者攻击。二、为什么需要Tap?1、交换机镜像端口(Span)问题以往网络监测主要依靠镜像端口(Span)从多个数据源采集数据,但是这种方式存在明显的网络监测能力和网络实用性的不足,越来越难以适应当前飞速发展和不断变化的网络监测的需求:丢包问题 Span端口在交换机里的路由层级为低优先权对于大多数交换机而言,镜像端口与其他端口相比,路由层级的优先权总是较低。因此当交换机高负
3、载使CPU效率降低时,可能会引起镜像端口的丢包甚至完全关闭。 全双工监测通常无法实现镜像端口(如CiscoCatalyst的snoop端口)不允许双工监测,因此用户不能同时监测双向会话,这对网络安全监测来说,是一个根本上的不足之处。不能监测OSI第1、2层错误包镜像端口无法监测许多网络1、2层的错误包。比如CRC是以太网帧的一个组成部分,对2层做包长和内容的统计,如果双向数据流的任意一个元素出现问题,CRC会显示错误。有MAC层芯片的交换机将会丢弃所有CRC错误的包,这些帧将不会被传到监测设备上,因此无法通过镜像端口监测链路错误。此外,镜像端口往往过载(许多个端口镜像数据到一个端口)导致严重丢
4、包。为避免这个问题,应该选择不会有过载问题导致错误冲突的inline网络监测系统。 对于避免网络攻击的隐蔽性有限许多镜像端口允许双向收、发数据包,使监测设备易遭受恶意入侵。 潜在网络故障点交换机无法提供掉电安全(failsafe)的监测,如果交换机掉电了,网络也会停止运作。而Tap可提供掉电安全的监测环境,即使Tap电源掉电,网络连接仍不受影响。 Span的端口数量有限交换机的主要功能是处理流量转发,Span功能只是交换机的附属功能,因此,一台交换机往往只提供一到两个镜像端口,无法满足对多个网段的同时监测需要。 Span流量无法复制成多份对于现在越来越多监测设备(如IDS、网络分析探针、网络审
5、计等)需要对同一链路实现可视性的需求,Span无法实现。 多份Span流量无法汇聚为了节约监测系统的整体成本,需要对多链路流量进行汇聚,以有效的减少监测设备的数量,显然,Span无法满足这一需求。2、集线器(Hub)问题 降低链路一半以上的带宽Hub是半双工的以太网设备,将一个来源的数据包同时广播传向所有的路径。在广播数据包时,无法同时进行反方向的数据流传输,因此以Hub作为监测工具时,在一个时间点只能查看单一方向的会话。 导致错误冲突使用Hub的情况下,当两边同时传输数据时,冲突会经常发生;当冲突发生时,每个冲突会被两个终端站记下,然后在一段时间后重新传送数据包。不但冲突是不应发生的,重传数
6、据包也会降低链路带宽可用性。如果使用像Tap这样的双工设备,这种冲突及带宽问题将不会发生。 无千兆方案Hub不能用于10/100/1000或千兆网络,这更显示了以Hub作为监测工具是一个过时的方法,其监测网络的能力相当有限。 潜在网络故障点Hub无法提供掉电安全(failsafe)的监测,如果hub掉电了,该链路也会停止运作。而Tap可提供掉电安全的监测环境,即使Tap电源掉电,网络连接仍不受影响。三、使用Tap的好处 可视性(Visibility)VSSMonitoring公司的Tap可呈现全部网络数据,提供对网路的完全可视性,可监测任何双工网路,实现全线速100%数据捕获(包含错误包在内)
7、。此外,提供高密度Tap、各种接口的转换(如光电接口转换)和各种过滤、复制、汇聚等高级特性,为监测系统带来灵活组网的可能。 隐蔽性(Stealth)在监测过程中,Tap提供一层隐蔽性(接入端口无MAC和IP地址),网络入侵者无法查觉Tap的存在,因此这层隐蔽性成为第一道防线,免除Tap和其它监测设备遭受黑客恶意攻击的可能性。 安全性(Security)即使在掉电状态下,VSSMonitoring公司的Tap仍然能安全保障100%的网络连通和数据传输,没有如镜像端口和Hub容易成为潜在网络故障点的问题。VSSMonitoring公司名字“VSS”的缩写代表了可视性(Visibility)、隐蔽性
8、(Stealth)和安全性(Security)。四、VSS分布式流量捕获Tap解决方案的特点VSSMonitoring公司的分布式流量捕获是网络监测的基础,它是一个智能的监测架构,提高分析设备对网络的可视性,即使面向最复杂的大型网络,也可以捕获所有网络流量,同时并能增加用户生产效率、提高网络监测和安全工具的投资回报率。分布式Tap是新-代的流量捕获工具,由可高度灵活应用的设备组成。运用分布式Tap可以组成一个具有分路、选择性汇聚、过滤、负载均衡、远程管理(用户图形界面/命令行)及流量统计等功能的硬件接入平台,能够在不影响网络运行下收集多个网络流量,并依用户选择设定将流量数据传输到多个独立的监测
9、端口,为每台监测设备提供其各别所需的网络数据。用户通过分布式Tap可按需求灵活配置来集中监测设备,在用户网络基础架构和所有监测设备之间形成一个统一的接入平台,代表了网络监测的新方法,提供完全的、可随网络规模扩展的、集中的网络可视性。从而在最大化网络可视性的同时,能够显著降低部署和营运成本。VSS分布式Tap可为网络分析取证、网络安全、网络性能监测、用户行为分析、VOIP、IPTV、新媒介分析等方案提供inline和span(mirror)的端口应用。竺函AhilrMfFwhrRjKWXfe-Dtc4ioi却CiFkigFarbiHrcVSS分布式流量捕获系统示意图 降低整体监测部署和维护成本达
10、80% 全线速完整数据捕获 增进现有网络监测架构效能 支持集中管理多个分布式流量捕获设备和监测系统 通过管理界面连接所有数据捕获点,缩短故障处理和安全事故的响应时间 在网络中隐蔽且不影响网络运行,为实时监测提供完全真实复制的网络流量 广泛的产品线支持几乎所有最新及传统的网络架构1、vAssure创新专利技术VSSMonitoring公司的vAssure是一项独特的被动Tap功能专利设计,可以安全保障网络不受设备运行影响而中断。vAssure能够缩短千兆fail-over时间到100ms左右,确保在千兆铜缆网络上运行的关键应用系统(如VoIP和IPTV等)能够不受干扰的正常工作、不会掉包,确保服
11、务水平。如果千兆Tap没有vAssure功能,当掉电和电源恢复时会引起瞬间的链路中断,这不仅会中断对于时间敏感的数据流量,而且可能会导致不必要的生成树重新配置和路由改变,造成网络迟延。VSS的网络Tap是市场上链路切换时间最快、并且唯一能确保不会引起网络中断的Tap产品。vAssure在下面几个方面实现功能:对10/100铜缆以太网,vAssure提供100%的被动,完全确保网络接入的掉电安全(failsafe)。许多其他品牌的10/100铜缆Tap声称是被动的,其实是使用了“failover”机制,如果Tap掉电,网络信号重建链路需要3003000毫秒。这样的时延对于灵敏的网络往往是不能接受
12、的。使用VSS的vAssure技术,10/100网络连接就没有时延,因为网络信号从不丢失,当Tap掉电时,网络信号仍会持续通过设备不会中断。对铜缆介质的千兆以太网,vAssure保障了最短的failover时间和网络零中断!由于以太网标准,千兆铜缆Tap不可能达成100%被动,所以无法完全避免failover时间。但是VSS的专利技术,将千兆铜缆failover时间从一般的300毫秒到3秒大幅度减少到200毫秒以下;如此一来,failover仅仅表现为传输上的噪音,而不会导致链路丢失或生成树重配(spanningtreereconfiguration)o具备vAssure的Tap只要一接上网络
13、,这项功能立即启动,不需要用户另外操作任何设置。在千兆光纤以太网中Tap则是100%被动,即使failover发生也是完全无缝,网络运行绝不中断。2、LinkSafe创新专利技术普通的千兆以太网铜缆Tap和许多其他10M、100MTap设计为分别连接两端的网络设备,当某一侧的链路故障时,Tap另一侧的设备并无法察觉。这种当Tap一侧链路中断另一侧却正常运行的情况下,冗余机制不会被激活,便导致了网络中断,数据丢失。没有LinkSafe机制的千兆以太网铜缆Tap是潜在故障点,会使关键网络冗余路由机制无法启动。LinkSafe是VSSMonitoring公司千兆以太铜缆Tap的专利技术,设计于保障冗
14、余路由机制正常运作。LinkSafe使用了智能控制器,确保当任何一边链路中断时,Tap两边的网络设备都可以察觉故障。这项技术使得路由器和交换机在网络设备故障的情况下可以完成冗余路由转换。VSSMonitoring的LinkSafe专利技术使得千兆铜缆Tap消除在Inline方式下的网络潜在故障点,确保Tap在千兆电网络中是真正的掉电安全。3、过滤功能过滤功能是VSSMonitoring公司专为Tap捕获流量后过滤输出到监测端口所设计的机制用户能够灵活设定哪些监测端口可以查看哪些网络端口或何种条件的网络数据流。过滤功能使得Tap设备在汇聚条件下也能确保不丢包,且可增加网络数据的输入流量。过滤功能
15、还可以通过各种过滤条件设置将网络流量数据区分开来提供给不同的监测处理系统。VSS分布式流量捕获系统提供简单的图形化用户界面,帮助用户轻松指定将需要的数据流输出到监测端口。VSSTap支持OSI27层的过滤条件,包括如下: MAC地址(源,目的) IP地址(源,目的,范围) UDP/TCP/ICMP(端口,范围) VLAN,QoS,IPServiceType RTP/RTCP的奇偶端口 针对嵌入协议,支持用户自定义最大127字节偏移量过滤4、复制功能Tap的复制功能可以汇集一个或多个网络的流量,并复制到多个监测端口。在监测工具数量大于网络数量时,复制网络流量可以容许更多监测工具同时接入并获取同一个或多个网络的数据。5、选择性汇聚功能Tap的汇聚功能将一个或多个全双工网络的数据流量全部汇聚成一个数据流,然后输出到一个或多个监测工具。当网络数量大于监测工具数量时,网络数据的汇聚可以帮助减少监测网络所需的连接端口及监测工具数量。VSSMonitoring公司的Tap允许选择不同的汇聚条件,可实现网络端口与监视端口的多种输入/输出组合,包括一对一、一对多、多对一、多对多等,满足用户监测系统的对流量汇聚的按需设置需求。6、负载均衡功能Tap的流量负载均衡功能防止监测端口数据溢出,保证会话完整性的同时在监测端口均衡分配
