什么是网络分流器？主要用处是什么？

网络分流器是用于网络入侵检测系统 （IDS），网络探测器和分析器。端口镜像，分流模式，是将被监控的UTP链路（非屏蔽链路）用TAP分流设备一分为二，分流出来的数据接入采集接口，为互联网信息安全监控系统采集数据。

作用：

1、协议转换

由于ISP采用的主流互联网数据通讯接口有40GPOS、10GPOS/WAN/LAN、2.5GPOS、GE等，而应用服务器通常采用的数据接收接口为GE和10GE LAN接口，所以通常大家在互联网通信接口上提到的协议转换主要是指40GPOS、10GPOS和2.5GPOS到10GELAN或者GE之间的转换，10GEWAN到10GELAN、GE的双向协转。

2、数据采集、分流

多数的数据采集应用，基本都只是提取所关心的流量，丢弃不关心的流量。对于关心的流量通过五元组（源IP、目的IP、源端口、目的端口、协议）收敛的方式来提取特定IP、特定协议、特定端口的数据流量。输出时，根据特定的HASH算法，确保同源同宿、负载均衡输出。

3、特征码过滤

对于P2P流量的采集，应用系统很可能只关注其中特定的某些流量，比如：流媒体PPStream、BT、迅雷、以及http上常见的关键字GET和POST等特征码等，均可采用特征码匹配的方式进行提取和收敛。分流器支持固定位置特征码过滤、浮动特征码过滤。浮动特征码即在固定位置特征码实现的基础上指定的偏移量，适用于明确需要过滤的特征码，但不明确特征码具体位置的应用。

4、会话管理

对会话连接进行流量识别，并可灵活配置会话转发N值（N=1～1024）。即将每条会话的前N个报文提取转发给后端的应用分析系统，丢弃N值之后的报文，为下游的应用分析平台节约了资源开销。通常在用IDS监测事件的时候，就不需要处理整条会话所有包，仅需要转提取每条会话的前N个包即可完成事件的分析和监测。

5、数据镜像、复制

分流器可实现对输出接口上数据的镜像和复制，保证了多套应用系统的数据接入。

扩展资料：

特征

1、独立

它是一个独立的硬件，它不会对已有网络设备的负载带来任何影响，这与端口镜像等方式相比具有极大的优势。

它是一种在线（in-line）的设备，简单一点说就是它需要串接到网络中。但是，这也带来了一个缺点，那就是引入了一个故障点，同时也正是因为它是一个在线设备，所以在部署时，需要中断当前网络，当然具体中断的影响需要看它部署的地方。

2、透明

透明的含义是指针对当前网络。接入网络分流器后，对于当前网络中的所有设备，没有任何影响，对于它们而言完全是透明的，当然这也包含网络分流器将流量送给监控设备，这个监控设备对网络而言也是透明的。

参考资料来源：百度百科—网络分流器

通常用于网络入侵检测系统 （IDS），网络探测器和分析器。

宽带分流器不会对已有网络设备的负载带来任何影响，这与端口镜像等方式相比具有极大的优势。

简单一点说就是它需要串接到网络中，但是，这也带来了一个缺点，那就是引入了一个故障点，同时也正是因为它是一个在线设备，所以在部署时，需要中断当前网络，当然具体中断的影响需要看它部署的地方。

扩展资料

分流器将广泛应用于网络监控、信令分析、大数据分析、IDC防护、实时广告竞价等领域。然而，分流器不仅仅是链路带宽升级的问题，必须要解决下列挑战：

（1）设备的密度、体积和功耗：由于光传输的价格仍然比较昂贵，这类设备通常会部署在运营商的机房，而运营商机房的空间是有限的，通常需要层层审批。如果能够将设备的密度提高，体积和功耗降低，则有利于设备的部署和实施。

（2）设备的成本：1链路的带宽是万兆链路的10倍。目前万兆分流器的价格已经比较便宜，但是在运营商的汇聚层部署10G设备，过多的链路割接会带来施工问题。

（3）更精细的流量分类：链路所带来的高带宽使得后端分析服务器的压力剧增，传统的基于多元组的流量衰减方式已经无法满足要求。完美的解决方案是在分流器上执行DFI（深度流检测，是DPI的一种更具体的形式），过滤掉不关心的协议报文和特定网站发出的报文。

（4）设备的稳定性：由于设备更多部署在运营商而非用户则，分流器的维护将比较困难，采用ATCA设备是一种有效的解决方案，同时进行更好稳定性设计，更严格的元器件选型以及老化实验才能确保设备的可靠性达到99.999%以上。

参考资料来源：百度百科-网络分流器

---