yinliang198524

个性签名:湖南戎腾网络科技销售总监
公司主营网络分流器,核心网采集器,大数据采集设备,移动互联网采集器!  盒式1U和

  • 2018-12-11
  • 回复了主题帖: 网络分流器-网络丢包原因以及修复办法

    欢迎大家交流,一起成长!

  • 发表了主题帖: 网络分流器-网络丢包原因以及修复办法

    戎 腾  网络分流器作为专业的流量监控采集设备,具有丢包率低,性能可靠,高速率等优势,是整个网络安全领域网络监控前端重要的基础装备!正交架构,支持1000以上10G和200以上100G,可根据需求进行调整!网络丢包的四大原因和修复方法网络链接阻塞解决方法(路由器/交换机/防火墙网络分流器/等等)的设备性能解决方法网络设备上的软件问题(bug)解决方法硬件或网络缆线的毛病解决方法引用 http://5b0988e595225.cdn.sohucs.com/images/20181210/a245a65891004fa2a27cb2288a21a0ed.jpeg网络丢包的四大原因和修复方法 网络性能问题是一个老生长谈的问题。网络是应用和数据的基础。所以一旦这一层出现问题,那么将会影响上层应用的体验。 造成网络性能问题的原因有很多种,但是在这篇文章中我们主要讨论丢包引起的网络性能问题。下面所说的引起丢包的四种原因是我们经常遇到的。网络链接阻塞数据在网络传输的过程中会经过很多设备和网路链接。 只要其中一个网路链接在数据传输过来之前已经满负载了,那么数据将会在这里阻塞一段时间,然后在经过网络线路传送(这也就是所谓的排队)。 如果说网络设备非常落后于这个网路链接的话,那么网路链接没有足够给新数据来等待的空间。所以它唯一能做的事情就是将信息丢掉。"数据被丢弃"可能会听起来很残酷,但是大多数应用程序都能在不影响用户体验的情况下,很好的处理这种问题。用户端的应用程序,一旦发现丢包情况的发生, 它就会相应地降低传输速率,或者重新传输数据。如果它不是一个实时应用,那么只要丢包不是持续发生,那么受的影响都比较小。一些应用程序在这方面处理的不好的话,那么丢包就会影响应用程序的用户体验。如果在你打电话的过程中发生丢包,由于它是一个实时性的对话,这时候没有时间 去重新发送。那么用户在丢包的时候,会发现通话断断续续,如果丢包严重的话,通话甚至可能会断掉,。另一个要低丢包率的重要程序是视频会议程序。如果两个用户端之间发生丢包,那么视频会 出现伪影,音频将会扭曲。http://5b0988e595225.cdn.sohucs.com/images/20181210/51e57b393e5e449db1663b99d00d23ff.jpeg戎 腾 高密度流量采集设备,支持48个10G和4个100G或者4个40G以太网解决方法我们可以通过以下两种方法来降低由网络链接阻塞引起的丢包的影响。增加阻塞链接的带宽使用Qos(流量优先级和资源保留控制机制)优先处理实时应用.尽管这种方法并不能缓解网络链接阻塞情况,但是它可以优先处理语音和视频来降低断线的可能性。 (路由器/交换机/防火墙/网络分流器等等)的设备性能如果带宽充足,但是如果你的路由器/交换机/防火墙不能处理流量,那么你仍然有面对丢包的情况. 让我们考虑一个场景,你刚将网络带宽从 1Gb 升级到 10Gb , 因为流量报告显示, 日高峰时期流量达到了顶点。升级之后, 你的图表显示你可以达到 1.5Gb , 但是你仍然遭受这网络性能问题。这个问题可能是应为设备能力无法处理流量, 你已经达到了你硬件所能提供的最大 的流量,而网络分流器可以处理高速率的网络流量,但网络分流器作为专用设备,通常价格上比交换机等要贵!http://5b0988e595225.cdn.sohucs.com/images/20181210/596c65d7de8a4b9080f726975a7908f4.jpeg大数据采集专用高密度大流量高性价比ATCA采集器,支持480个10G和76个100G当网络数据包传送到达网络设备,但是此时网络设备的CPU,或者内存满载了,并没有能力来处理其他的数据包。这导致设备不能处理的数据包都被丢弃。http://5b0988e595225.cdn.sohucs.com/images/20181210/f5ff669197d046469f800351b89978cb.jpeg移动信令采集设备,支持10个100G和120个10G,可根据需求调整支持,最高支持48个100G和160个10G解决方法你必须更换吞吐量更大,性能更好的网络硬件,或者构建集群来提高吞吐量。网络设备上的软件问题(bug)我们可能都希望我们网络设备上的软件是完美的,但是我可以肯定的告诉你事实并不是如此。这些网络设备十分复杂.你遇到bug只是时间问题而已。当你部署的新功能的时候,这些bug可能会导致新功能无法工作,或者你在没发现网络性能问题之前的一段时间,你可能无法察觉这些bug的存在。解决方法你必须更新受软件问题影响的设备上的软件。硬件或网络缆线的毛病你的网络报告显示,你的网络链接并没有过载,硬件也没有违规使用。另外一个常见的导致丢包的问题可能是由物理组件的故障引起的。如果硬件故障,那么它通常会在设备终端上或者系统日志中输出错误信息。如果是网络链接错误,一般是网络接口出错。这可以在铜缆线和光纤上检测到。解决方法故障的硬件必须更换, 故障的网络链接必须修复。这些是网络丢包的常见原因。但是其他很多原因也会导致丢包。确定根源的最好的方法就是通过网络评估和彻底的故障排查。一个擅长于发现的各种网络的问题的伙伴可以帮助你制定补救策略, 让你免受糟糕的网络的困扰。http://5b0988e595225.cdn.sohucs.com/images/20181210/9dfbef65971144288522dcc2f6fadf78.png戎R腾 T网络分流器

  • 2018-11-27
  • 回复了主题帖: 网络分流器-TCP报文重组和会话规则

    欢迎大家交流{:1_101:}

  • 2018-11-26
  • 发表了主题帖: 网络分流器-TCP报文重组和会话规则

    戎腾网络网络分流器又名核心网采集器,又分为固网采集器和移动信令采集器两大类!网络分流器是整个网络安全前端网络监控的重要基 础装备! 我们在网络安全当中经常听到旁路,镜像,流量采集,DPI深度数据包检测,五元组过滤等相关词汇,今天网络分流器为大家讲 讲TCP报文重组和会话规则! http://5.eewimg.cn/data/attachment/album/201809/18/143112xogwdwhh4j0ehob3.png [size=0.13]R戎 T  腾网络分流器高密度兼顾10G和100G 一、基本概念 四元组:源IP地址、目的IP地址、源端口、目的端口。 五元组:源IP地址、目的IP地址、协议号、源端口、目的端口。 六元组:源MAC地址、源IP地址、源端口号、目的MAC地址、目的IP地址和目的IP地址。 七元组:源MAC地址、源IP地址、源端口号、目的MAC地址、目的IP地址和目的IP地址和协议号。 二、五元组确定一个会话还是四元组? 五元组通常是指由源IP地址,源端口,目的IP地址,目的端口和传输层协议号这五个量组成的一个集合。例如:192.168.0.1/10000/TC P/121.14.88.76/80就构成了一个五元组。其意义是,一个IP地址为192.168.1.1的终端通过端口10000,利用TCP协议,和IP地址为121. 14.88.76,端口为80的终端进行连接通讯。 五元组能够唯一确定一个会话。 在TCP会话重组时,使用序列号确定TCP报文顺序可以解决数据报文不按顺序到达及其重传问题,并且利用二维链表对TCP会话就行还 原。难点在于解决多连接问题、IP包乱序到达和TCP会话重传的问题。 原因:TCP协议是TCP/IP协议族中一个重要组成部分,TCP数据流的重组是高层协议分析系统设计和实现的基础。TCP协议是面向连接的 可靠传输协议,而TCP下层的IP协议却是面向报文的不可靠协议,这回带来问题:IP不能保证TCP报文可靠的、顺序的传输。为了解决这 个问题,TCP采取滑动窗口机制、字节流编号机制和快速重传算法机制等。这可以保证数据的可靠传输。 TCP会话(TCP_Session_IDT)可以通过四元组唯一标识。 使用HASH表快速查找定位的特征,解决多个TCP会话同时处理的问题,快速处理多个会话问题。 在TCP头中Sequence Number是判断该数据包是否重传和包乱序的重要参数。在TCP连接刚建立时,会为后续TCP传输设置一个初始的S equenceNumber,每传送一个包含有效数据的TCP包,后续传送的TCP数据包的Sequence Number会作响应的修改,如果前一个包长 度为N,则这个包的Sequence Number为前一个包Sequence Number加N。它是为保证TCP数据包按序传输来设计的,可以有效的实 现TCP数据的完整传输,特别是当数据传输出现错误时可以有效进行错误纠正。 TCP重组数据文件写指针的SYN算法如下: File_Init_Write_Pointer= Init_Sequence Number + 1; File_write_Pointer= Current Sequence Number – File_init_Write_point; 检查TCP会话中是否存在空洞,可以来确定会话重组成功、失败和超时。 TCP建立连接需要3次握手,而终止一个连接需要4次握手。这是因为一个TCP连接时全双工的,每个方向必须单独的进行关闭。 规则1:六元组,协议号是TCP,它应该是唯一的会 话。 规则2:TCP头中4元组,它应该是唯一的,不唯一说明存在重传情况。 GEPON系列 --------------------- 网络分流器

  • 2018-10-30
  • 回复了主题帖: 网络分流器-网络分流器-DPI深度数据包检测技术及作用

    欢迎大家交流!

  • 2018-10-29
  • 发表了主题帖: 网络分流器-网络分流器-DPI深度数据包检测技术及作用

    戎腾网络分流器又名核心网采集器,作为网络安全领域网络监控前端重要的基础装备,是整个网络安全中不可缺少的必要装备!对网络安全起到了关键作用! 戎腾网络当前固网已经升级到400G,支持不同链路,移动互联网信令采集流量升级到100G接口,支持不同运营商分别分流,且支持IPV4和IPV6 ! 今天具体介绍一下当前比较热的深度数据包检测技术及其作用!---网络分流器 http://5.eewimg.cn/data/attachment/album/201809/18/143112xogwdwhh4j0ehob3.png [size=0.13]网络分流器ATCA框式主打高密度高性价比 http://5.eewimg.cn/data/attachment/album/201809/05/150525ube219v7xh89msa9.jpg[size=0.13]网络分流器盒式支持48个10G[size=0.13] 戎腾网络ATCA框式网络分流器最大14槽,支持480个10G和76个100G,交换能力达到12.8T 最新正交架构16槽网络分流器,交换能力达到52.6T,数据处理能力达26.5T http://5.eewimg.cn/data/attachment/forum/201809/05/151104ywmm7mt0wfhchqzh.jpg [size=0.13]戎腾移动互联网采集器,信令采集器 移动互联网信令采集当前最大支持384个10G或者48个100G和96个10G,为14槽ATCA框式 何谓DPI DPI 全称为“Deep Packet Inspection”,称为“深度包检测”。所谓“深度”是和普通的报文 分析层次相比较而言的,“普通报文检测”仅分析IP包的层4 以下的内容,包括源地址、目的地 址、源端口、目的端口以及协议类型,而DPI 除了对前面的层次分析外,还增加了应用层分析, 识别各种应用及其内容,基本概念如下图所示: https://pic.rmb.bdstatic.com/166e37c281a7968b2253de68bdfdc84b.jpeg@wm_2,t_55m+5a625Y+3L+e9kee7nOWIhua1geWZqA==,fc_ffffff,ff_U2ltSGVp,sz_10,x_7,y_7 [size=0.13]戎腾网络分流器之DPI示意图 DPI技术原理 DPI 的技术关键是高效的识别出网络上的各种应用。 普通报文检测是通过端口号来识别应用类型的。如检测到端口号为80时,则认为该应用代表着普 通上网应用。而当前网络上的一些非法应用会采用隐藏或假冒端口号的方式躲避检测和监管,造 成仿冒合法报文的数据流侵蚀着网络。此时采用L2~L4层的传统检测方法已无能为力了。 DPI 技术就是通过对应用流中的数据报文内容进行探测,从而确定数据报文的真正应用。因为非 法应用可以隐藏端口号,但目前较难以隐藏应用层的协议特征。 DPI的识别技术可以分为以下几大类: (1)基于“特 征 字”的识别技术 不同的应用通常依赖于不同的协议,而不同的协议都有其特殊的指纹,这些指纹可能是特定的端 口、特定的字符串或者特定的Bit 序列。基于“特 征 字”的识别技术通过对业务流中特定数据报 文 中的“指纹”信息的检测以确定业务流承载的应用。 根据具体检测方式的不同,基于“特征字”的识别技术又可以被分为固定位置特征字匹配、变动 位置的特征匹配以及状态特征匹配三种技术。 通过对“指纹”信息的升级,基于特征的识别技术可以很方便的进行功能扩展,实现对新协议的 检测。 DPI的关键在于,它要不断地在格式不定的数据包中判断出各种特征字,实现这一过程的基础技术 就是模式匹配。通俗地讲,就是字符串匹配,即从数据中搜索是否存在目 标字符串。通常,目标字符串采用正则表达式标准语法来描述。 (2)应用层网关识别技术 某些业务的控制流和业务流是分离的,业务流没有任何特征。这种情况下,我们就需要采用应用 层网关识别技术。 应用层网关需要先识别出控制流,并根据控制流的协议通过特定的应用层网关对其进行解析,从 协议内容中识别出相应的业务流。 对于每一个协议,需要有不同的应用层网关对其进行分析。 如SIP、H323协议都属于这种类型。SIP/H323通过信令交互过程,协商得到其数据通道,一般是 RTP格式封装的语音流。也就是说,纯粹检测RTP流并不能得出这条RTP流是那通过那种协议建立 的。只有通过检测SIP/H323的协议交互,才能得到其完整的分析。 https://pic.rmb.bdstatic.com/dda017cbadbc1fb565bae8c2529ed375.png@wm_2,t_55m+5a625Y+3L+e9kee7nOWIhua1geWZqA==,fc_ffffff,ff_U2ltSGVp,sz_14,x_9,y_9 [size=0.13]戎腾网络分流器 (3)行为模式识别技术 行为模式识别技术基于对终端已经实施的行为的分析,判断出用户正在进行的动作或者即将实施 的动作。行为模式识别技术通常用于无法根据协议判断的业务的识别。例如:SPAM(垃圾邮 件)业务流和普通的Email业务流从Email的内容上看是完全一致的,只有通过对用户行为的分 析,才能够准确的识别出SPAM业务。 以上三种识别技术分别用于不同类型协议的识别,无法相互替代。而华为公司在应用DPI 技术部 署DPI 系统时采用了多业务控制网关MSCG分层DPI 解决方案,综合运用了这三种技术,在检测 效率和灵活性方面均达到最优。 DPI 技术的应用 利用DPI 技术在IP网络中部署DPI 系统可实现网络运营中的业务识别、业务控制和业务统计三大 功能。 业务识别 一般而言,对于业务识别有两种方法,一种是对运营商开通的合法业务,另外一种是运营商需要 进行监管的业务。 前者可以通过业务流的五元组来标识,如VOD业务,其业务流的地址是属于VOD服务器网段的地 址,其端口是一个固定的端口。系统一般采用ACL的方式,识别出该类业务。 后者需求DPI技术,通过前述的业务识别方法,通过对IP数据包的内容进行分析,通过特征字的查 找或者业务的行为统计,得到业务流的类型。 业务控制 通过DPI 技术识别出各类业务流之后,根据网络配置的组合条件,如用户、时间、带宽、历史流 量等,对业务流进行控制。控制方法包括:正常转发、阻塞、限制带宽、整形、重标记优先级 等。 为了便于业务的运营,业务控制策略一般集中配置在策略服务器中,用户上线后动态下发。 https://pic.rmb.bdstatic.com/99684e653649d3fc42f912567184b4e9.jpeg@wm_2,t_55m+5a625Y+3L+e9kee7nOWIhua1geWZqA==,fc_ffffff,ff_U2ltSGVp,sz_18,x_12,y_12 [size=0.13]戎腾网络分流器盒式支持4个100G 业务统计 DPI 的业务统计功能是为了直观的统计网络的业务流量分布和用户的各种业务使用情况,从而更 好的发现促进业务发展和影响网络正常运营的因素,为网络和业务优化提供依据。如:发掘对用 户有吸引力的业务、验证业务提供水平是否达到了用户的服务等级协议SLA、统计分析出网络中 的攻击流量占多少比例、多少用户正在使用某种游戏业务、哪几种业务最消耗网络的带宽和哪些 用户使用了非法VOIP等等。 DPI 技术的发展 可以看出,DPI 的检测技术和网络上非正常应用的反检测是矛和盾的关系。前面谈到的DPI技术不 是静止不变的,随着检测技术的发展,非正常应用的隐藏技术也在演进。如对数据部分加密、隐 藏特征字和通过隧道技术躲避检测等等。 DPI 技术在发展中将不断调整上述的检测方法,从而达到比较高的检测精度。 总之,DPI 技术将逐渐在安全、业务控制等方面广泛应用,为运营商精细控制和运营网络提供一 种利器---网络分流器 http://5.eewimg.cn/data/attachment/forum/201809/05/151205upyyeuguihnvegqz.pnghttp://5.eewimg.cn/data/attachment/album/201809/05/150500ysutlubcqoioqtpq.jpghttp://5.eewimg.cn/data/attachment/album/201809/05/150329yh82ebpetqbhke2l.pnghttp://5.eewimg.cn/data/attachment/album/201809/05/150335xvlvilaiwr7t9bu5.jpghttp://5.eewimg.cn/data/attachment/album/201809/05/150233kkzhx1oz11olkfl8.png

  • 2018-10-10
  • 回复了主题帖: 网络分流器-网络分流器-DPI深度数据包检测

    欢迎大家交流!

  • 回复了主题帖: 网络分流器-网络分流器-DPI深度数据包检测

    欢迎大家交流!:)

  • 发表了主题帖: 网络分流器-网络分流器-DPI深度数据包检测

    网络分流器-戎腾网络-DPI检测是当前比较流行的网络监控前端的一种模式,而网络分流器对于网络安全的重要性可以说是到头重要的!今天我们来聊聊DPI检测深度数据包检测(DPI)深度数据包检测(Deep packet inspection,缩写为 DPI)是一种特殊的网络技术,一般网络设备只会查看以太网头部、IP头部而不会分析TCP/UDP里面的内容这种被称为浅数据包检测;与之对应的DPI会检查TCP/UDP里面的内容,所以称为深度数据包检测。DPI一般是一个硬件或者软件,一般用“旁挂”的方式接入到网络。它会对网络中的每个数据包进行检查,识别出应用层协议,根据识别的协议采取一定的措施(比如记录HTTP访问行为)。对于TCP协议它可以识别完整的TCP交互过程(比如HTTP请求从请求到响应中间会有多次TCP数据包发送)。 网络分流器 戎腾移动互联网采集器支持160个10G和20个100GnDPInDPI是一个C语言编写的DPI库,用来实现软件DPI系统。它是从OpenDPI扩展而来,二者的架构和实现基本上差不多。https://github.com/ntop/nDPI此处是它的老巢,大家可以自己下载编译它。怎么编译,它的README写 的非常清楚了我就不废话了(文明用语一个文档~~囧)。编译安装之后它生成/usr/local/lib/libndpi.(a,so)库文件(a静态库文件,so动态链接库);/usr/local/include/会安装相关的头文件。我个人喜欢用 静态库文件,这样会把所有的二进制代码合并到一个可执行文件中运行的时候不需要安装一大堆库。另外我也不喜欢把东西放到/usr/local/lib下,所以我提供的代码是通过cmake做了一个“all in one”的编译。github上放到是1.6版本的,如果你想更新代码只要替换src文件夹就行了。如何用nDPInDPI的代码写 的很烂,也没有什么架构就是一团乱麻(其实稍微写写都要比这个好)。但是它至少还能正常工作而且是文明用语一个“开放”的DPI库,所以无论什么原因你选择了它都必须忍受它的“丑陋”。nDPI几乎没有文档说明,只带了一个“ndpiReader”的例子,写的“洋洋洒洒”如行云流水一般(就不吐槽了)。这就是我这篇文章的写作原因,希望能给使用nDPI的同学一点帮助。初始化nDPI最重要的一个数据结构是ndpi_detection_module_struct_t它通过ndpi_init_detection_module构造出来http://g5/M00/0D/09/ChMkJlu8HFuIPtZJAAAjJRbaonMAAsXPAPVmtEAACM9962.jpg网络分流器第一个参数用来计算nDPI分析协议的各种超时时间,一般精确到毫秒就可以了1000(nDPI协议分析部分和“全局部分”耦合非常紧,这个数据其实只有“协议分析模块”需要)第二个、三个参数是封装过的“内存分配”函数;nDPI的内存管理非常乱,有些地方是我们自己申请内存而由nDPI内部帮我们释放。所以必须nDPI并不直接使用malloc、free之类的申请、释放内存而是交由程序员自己提供函数;第三个参数是调试函数,如果定义了NDPI_ENABLE_DEBUG_MESSAGES那么nDPI会调用这个函数输出一些调试信息;所有的nDPI API都是这种“鬼畜”风格,几乎是各种纠结。。。万幸我们只需要使用很少的API就可以完成任务了。配置协议分析模块nDPI支持多种协议,都在protocols文件夹中。编译的时候所有协议都会被放到nDPI库中。使用的时候我们可以自己设置需要开启那些分析模块http://g5/M00/0D/09/ChMkJ1u8HFuIJTaRAAA2QSB3OQ4AAsXPAPaz9wAADZZ618.jpg网络分流器NDPI_PROTOCOL_BITMASK定义开启协议的“位图”,通过NDPI_BITMASK_ADD函数可以添加支持的协议,最后调用ndpi_set_protocol_detection_bitmask2配置位图。ndpi_set_protocol_detection_bitmask2函数的第一个参数就是ndpi_detection_module_struct_t(上面我们初始化的那个数据结构);第二个参数是位图标志。特别注意:开启的协议越多识别速度越慢;nDPI识别协议的时候是一个串行结构,无论是否被成功是被都会认认真真遍历完我们配置好的协议子协议子协议是某个协议的细分,比如我们想要分析所有“Google”的HTTP请求那么第一步是分析出“HTTP”请求,第二步是判断HOST包含google.com。这里的第二步就是“子协议”。nDPI文明用语的一份“QuickStartGuide”对这个有进一步解释,子协议识别是以配置文件的方式提供给nDPI的。比如http://5b0988e595225.cdn.sohucs.com/images/20181008/07db4a8084e7439b99308a3d500cfd4a.jpeg 网络分流器它还支持端口的方式(TCP的81、8181直接被标记为HTTP不再做内容检测)http://g5/M00/0D/09/ChMkJlu8HFyIIA0aAABCHFSqqoIAAsXPAPqY9oAAEI0467.jpg网络分流器nDPI此处的实现使用了一个非常有名的算法—— Aho-Corasick。以第一幅图为例子,里面配置了两条规则“Google”和“Veneer”,我们有一个字符串(HOST),怎么判断这个字符串符合那个规则呢?最简单的办法是循环所有的规则,如果规则条目很多那么速度会非常慢。Aho-Corasick就是这样一种算法,它可以在O(n)中完成所有的匹配任务。通过ndpi_load_protocols_file函数加载“子协议”。开始识别识别协议的API非常简单——ndpi_detection_process_packet函数。就是这个坑爹的函数,变态程度几乎可以说用令人发指来形容。ndpi_struct全局的结构体 flow比较特殊,我们后面讲 packet指向IP头部的指针 packetlen数据包大小 current_tick_l当前时间(精确到毫秒)用于判断“过期的TCP请求” src,dst其实没有什么用途,文档上说是跟状态机有关其实没有半毛钱关系。文明用语的用途是更新“分析协议”的配置。一般设置为NULL就行了 TCP协议是一个流(flow)式的协议,经过从三次握手开始通讯双方都是“请求->响应”的结构。DPI可以跟踪其中的一个或者几个数据包,也可以实现全部跟踪(后续我会交叉使用TCP会话、会话、flow,三个名词其实是一样的)。nDPI内部不会记录完整的TCP数据包,而是用一个定义非常模糊的ndpi_flow_struct类型来表示一个TCP会话(这个数据结构还包含了“协议分析”部分数据,所以定义非常模糊)。为了便于分析完整的TCP请求我们定义了一个自己的数据结构dpi_flow_t,ndpi_flow_struct作为它的一个成员。用伪代码表示分析过程:落到代码上就是get_ndpi_flow函数;实现上我们会对目标、源端口排序再做hash;这是由于数据包是“相互通讯”的所以发送方、接收方是相对而言,否则识别到的可能是“一方”的数据。一般我们用一个二叉树存放所有正在分析的TCP会话,nDPI移植了FreeBSD中的一组函数ndpi_tfind、ndpi_tsearch、ndpi_twalk、ndpi_tdelete等用来实现常用的数据结构操作。基于NPS400的多核数据处理板CDP4000戎腾

  • 发表了日志: 网络分流器-DPI深度数据包检测

  • 2018-10-08
  • 回复了主题帖: 网络分流器-网络分流器-网络监控镜像模式

    国庆归来,欢迎交流!:handshake

  • 2018-09-30
  • 回复了主题帖: 网络分流器-网络分流器-网络监控镜像模式

    欢迎大家交流,一起学习成长!  关注网络安全的朋友!

  • 发表了主题帖: 网络分流器-网络分流器-网络监控镜像模式

    戎腾网络分流器作为网络安全领域网络监控前端的重要基础装备,对整个网络安全起到了至关重要 的作用! [size=0.13]戎腾盒式网络分流器 从接口上来看,设备的密度非常高,支持48个10G,支持GE,LAN,WAN,POS [size=0.13]戎腾ATCA框式网络分流器 从接口上来看,主要用于大流量核心网数据采集,支持480个10G和76个100G 常见的网络监控模式可以分为两种:一种是旁路监控模式,另一种是串联监控模式。 “旁路监控模式”一般是指通过交换机\骨干网通过网络分流器即核心网采集器等网络设备的“端 口镜像”功能来实现监控,在此模式下,监控设备只需要连接到交换机的指定镜像端口,或者通 过分光器分出部份流量来采集数据,所以形象 的 称之为“旁路监控”。 而串联模式一般是通过网关、网桥或者代理服务器的模式来进行监控,即网络监控前瘿设备网络 分流器做为网关或者网桥串联在网络中,所以称之为“串联监控模式”。 [size=0.13]支持DPI五元组过滤网络分流器 旁路模式的优缺点优点:[size=0.18]旁路监控模式部署起来比较灵活方便,通过分光器分出流量由网络分流器进行流量采集汇聚分流即可! 最简单的就是通过在交[size=0.18]换机上面配置镜像端口即可, 不会影响现有的网络结构。而串联模式一般要作为网关、网桥或者代理服务器,所以需要对现有[size=0.18]网络结构进行变动,且监控设备一旦故障则有可能导致现有网络中断,风险系数偏高! [size=0.18]旁路模式分析的是通过网络分流器的镜像端口拷贝过来的数据,对原始传递的数据包不会造成延时,不会对网速造成任何影[size=0.18]响。而串联模式是串联在网络中的,那么所有的数据必须先经过监控系统,通过监控系统的分析检查之后,才能够发送到各个[size=0.18]客户端,所以会对网速有一定的延时。[size=0.18]旁路监控设备一旦故障或者停止运行,不会影响现有网络。而串联监控设备如果出现故障,会导致网络中断。[size=0.18]缺点:[size=0.18]需要网络分流器或者交换机路由支持“端口镜像”功能才可以实现监控。[size=0.18]旁路模式采用发送RST包的方式来断开TCP连接,不能禁止UDP通讯。对于UDP应用,一般还需要在路由器上面禁止UDP端口[size=0.18]进行配合。而串联模式不存在该问题。[size=0.18] [size=0.18]串联模式的优缺点[size=0.18]优点:[size=0.18]利用windows自带的“网关”、“网桥”功能即可实现,不需要硬件设备的支持。[size=0.18]可以禁止UDP通讯数据包。[size=0.18]缺点:[size=0.18]需要更改现有的网络结构。[size=0.18]与“旁路监控”相比较,“网关”、“网桥”的配置更加复杂些。[size=0.18]由于是串联模式,当局域网电脑台数多时,对网速有少许的影响。这个主要取决于电脑的硬件配置。 [size=0.13]戎腾网络移动互联网采集器 此网络分流器设备支持移动互联网双线解析,支持160个10G和20个100G,支持4800万用户,关联成功率 达99%

  • 2018-09-26
  • 回复了主题帖: 网络分流器-LTE面临的挑战

    :handshake 欢迎大家交流,批评指正!

  • 发表了主题帖: 网络分流器-LTE面临的挑战

    网络分流器-戎腾网络分流器-LTE面临的挑战http://5b0988e595225.cdn.sohucs.com/images/20180925/77cbd16ae1574ac8b2643e76bd3af628.jpeg戎腾移动互联网采集器无线资源的深度挖掘频域扩展: 大宽带解决方案 不同带宽,统一处理空域扩展 真正的自适应MIMO 全面的模式,统一框架http://5b0988e595225.cdn.sohucs.com/images/20180925/91c8f22eb8bb42908ff2a1aeb6a733ca.jpegLTE发展面临的困境网络结构的简化层次简化——网络对用户来说:更近、更快、更简单、更透明。横向灵活互联——全IP路由,移动性操作层面下放 ,更优化的局域漫游切换。http://5b0988e595225.cdn.sohucs.com/images/20180925/577e185444bc44c8b74f13894d9c3956.jpeg网络分流器LTE面临的挑战LTE标准定义了比3G标准具备更强的能力,但同时也对设备研发带来了更大挑战:•OFDM/SC-FDMA的挑战 •MIMO技术的挑战 •组网技术的挑战更充沛的时、频、空域资源、更灵活(某种程度上说“过于灵活”了)的系统设计蕴含了更强大的技术潜力,但能否很好的利用这些资源,为我们资源管理算法提出了挑战:MIMO模式选择及实现问题LTE在同频组网方面相对3G系统面临更大挑战LTE测试的挑战http://5b0988e595225.cdn.sohucs.com/images/20180925/eb7e852807b348d39d5083f6b626b057.jpeg戎腾移动互联网采集器,支持160个10G和20个100G,支持IPV4和IPV6双线解析,支持4800万用户,关联成功率达99%LTE的进一步演进LTE-Advanced的目的主要是满足IMT-Advanced的需求,占领更长期演进的制高点。LTE-A的技术核心仍然是LTE(强兼容),只是在外延上继续创新。LTE LTE-A类似于HSPA 多载波HSPA+的关系: •频域扩展:20MHz n×20MHz •空域扩展:8天线,CoMP、Relay •细节技术完善http://5b0988e595225.cdn.sohucs.com/images/20180925/c0b2367177fd45ba908b81bc1d5cd0ab.jpegLTE面临的挑战

  • 2018-09-20
  • 发表了日志: 网络分流器-网络分流器的区分?

  • 2018-09-18
  • 回复了主题帖: 网络分流器-网络分流器-移动互联网采集部署方案

    更新三张图片,抱歉了,发帖不严谨!   

  • 回复了主题帖: 网络分流器-网络分流器-移动互联网采集部署方案

    内容当中图片出错,重新输入一下!谢谢

  • 回复了主题帖: 网络分流器-网络分流器-移动互联网采集部署方案

    欢迎大家交流!

  • 发表了主题帖: 网络分流器-网络分流器-移动互联网采集部署方案

    网络分流器-戎腾网络分流器-移动互联网采集方案当前市场主流的移动互联网数据采集通常是10G的,随着市场的飞速发展,流量升级势在必行!  作为国内固网以及移动互联网分流器,采集设备,汇聚分流设备一些厂商, ,率先推出了100G的移动互联网采集设备,下面介绍几个比较简易的移动互联网采集方案! http://g5/M00/03/06/ChMkJ1ucdNqIV3h0AABfPv1avVcAArunQHsAqMAAF9W942.jpg http://g5/M00/03/06/ChMkJ1ucdPeISLssAAAzFYrK3S0AArunQJRjNcAADMt311.jpg http://g5/M00/03/06/ChMkJ1ucdRCIdFPlAABHt4DDwBkAArunQKtZAUAAEfP794.jpg一.  移动互联网采集器应用方案http://g5/M00/03/06/ChMkJ1ucdWSIfGnlAABF3w72EV0AArunQPk4BMAAEX3793.jpg http://g5/M00/03/06/ChMkJ1ucdWSIFDatAACI8WSbJO8AArunQPnLXsAAIkJ767.jpg http://g5/M00/03/06/ChMkJ1ucdNqIV3h0AABfPv1avVcAArunQHsAqMAAF9W942.jpg此设备为RTL6401 支持120个10G,支持IPV4 和 IPV6双线解析,支持3200万用户,关联成功率达99% http://g5/M00/03/06/ChMkJ1ucdPeISLssAAAzFYrK3S0AArunQJRjNcAADMt311.jpg此设备为戎腾RTL9807,支持160个10G或者20个100G,支持IPV4 和 IPV6 双线解析,支持4800万用户,关联成功率达99% 二:  方案流程:S1-MME、S10/11、S5/S8和Gn多接口信令按用户关联,输出XDR信息。S1-U、S8用户面数据经过五元组过滤后,与用户信息关联并负载均衡输出

最近访客

< 1/1 >

统计信息

已有5人来访过

  • 芯币:104
  • 好友:--
  • 主题:12
  • 回复:16
  • 课时:--
  • 资源:3

留言

你需要登录后才可以留言 登录 | 注册


yinliang198524 2018-9-5
国防科大创业公司戎腾网络专注网络安全领域网络监控17年,核心网数据采集分流,大数据采集,移动互联网采集设备研发制造商! 企业,学校,公安,持侦,军队,政府,IDC,运营商核心枢纽机房,银行证券数据采集\流量审计,流量管控,入侵检测,负载均衡,汇聚分流等!盒式1U和ATCA框式设备皆有,欢迎咨询,联系人尹先生,电话微信同号:18774055368
查看全部