網絡分析系列之四_網絡數據包採集硬體和部署

隨著對前面網絡分析基礎知識的了解，我們知道了網絡通訊的基礎原理，可攜式數據採集工具和企業級流量分析系統的異同等內容。這一節介紹抓包可能涉及的相關硬體信息，以及企業級流量分析系統的部署方式。

為什麼能採集到網絡數據包

網絡抓包軟體或流量分析系統之所以能夠抓取到不屬於自身接入到網絡中接口的數據報文，是由於該網卡啟用了一種叫混雜模式的方式，這種方式能扣看到所有流經這個網口的數據包信息。

Wireshark或企業級流量分析系統的流量採集網卡含有libpcap/WinPcap驅動，該驅動讓網卡變為混雜模式。

常見數據包採集硬體

數據包採集過程需要接入網絡中的硬體，常見硬體有集線器（hub，古老的設備，現在很少用到）、交換機（埠鏡像）、TAP（網絡分流器）等等。

集線器

在早期的數據包採集環境中，集線器是最常見的硬體設備之一。

使用集線器連接的網絡中，任意數據包都可以流經接入的其它集線器或設備。在這種環境下，你不需要做任何準備工作，接入安裝了抓包軟體的電腦就可以採集到所有的數據包。

但稍有遺憾的是，集線器由於自身的工作機制，會對網絡傳輸造成極大的影響，目前基本被完全淘汰。

交換機

交換機是當前網絡中最常見的數據轉發設備之一，但對於數據包採集來說，則不像集線器那樣方便了。因為每個交換機的埠是一個衝突域，即這個埠接入安裝了抓包軟體的電腦後，抓包軟體只能採集到交換機這一個埠的流量，無法採集其它埠流量信息。

在交換機環境下，通過埠鏡像，可以完整的採集流經交換機所有埠的流量。

埠鏡像的原理是告訴交換機，將一個埠上的所有數據包複製到另外一個 埠上。目前，基本所有的可管理交換機都支持埠精細。

如上圖所示，鏡像埠是管理人員通過配置，指定的埠，觀察埠連接抓包軟體，這樣，任何流經鏡像埠的數據包，都會在觀察埠被採集到。

TAP

TAP（Test Access Point），常見稱呼網絡分流器，還有人叫它NPB (Network Packet Broker)，或者匯聚分流器。其核心功能就是架設於生產網絡鏡像口和分析設備集群之間，將一臺或者多臺生產網絡設備鏡像出來的流量匯聚後，分發到一臺或者多臺數據分析設備。

基於TAP的流量複製/聚合器，由硬體設備和其中自帶管理軟體組成，能夠支持多埠的流量聚合，實現完整的複製多個監聽埠，供多套分析系統使用。

業內知名的TAP廠商有big switch、brocade、Gigamon、VSS等等，處理速率從1G和10 G逐漸上升到40G和100G。

當然，除了上述常見的幾種跟數據包採集相關的硬體外，還有諸如分光器之類的其它硬體，這裡不再一一列舉和細述。

企業級流量數據採集系統部署

通常情況下，專業的流量分析設備部署在靠近監控的線路旁，監控方法是通過從交換機把流量鏡像，然後把鏡像的流量導入到設備裡分析。

為實現全面的鏈路和應用監控，常見的數據採集方式有2種：

多層應用架構環境

用戶環境由多個設備組成的多層架構應用環境中，數據源來自多臺網絡設備，需要匯聚數據，然後接入到性能分析設備。

單一應用架構環境

當應用架構較為集中時，數據源可從少量設備鏡像獲得，只需在對應設備進行鏡像設置，然後將鏡像流量接入性能分析設備。

專業流量分析系統支持多種原始數據存儲方式，針對不同的應用，可選擇是全包存儲，還是截取包頭一部分存儲。

同時，所有的分析數據以動態聚合的方式，長期保存在設備中。