超强性能的网络监测数据接入平台课件

超强性能的网络监测数据接入平台超强性能的网络监测数据接入平台7

Gigamon公司简介7Gigamon公司简介专有及保密信息Gigamon——数据监测领域的领导者成立于2003年DAN数据接入领域（DataAccessNetwork）的开拓者一直引领DAN的技术发展2008年被Frost&Sullivan评为全球监测领域最佳新兴技术公司现已服务于全球50个国家的运营商、金融、政府和制造等行业专有及保密信息Gigamon——数据监测领域的领导者成立5电信业保险业金融与银行业计算机与网络业政府与国防大学与医疗卫生制造、公用事业和零售业MGICNEBRASKAIT酒店业5电信业保险业金融与计算机与政府与大学与医疗卫生制造、公用事部分技术合作伙伴部分技术合作伙伴7

网络监测现状分析7网络监测现状分析日益增多的网络监测设备警报服务水平监测VoIP监测企业管理环境监测事件日志监测系统监测网络诊断工具

网络流量监测网络性能监测网络协议分析网络安全监测数据库监测SNMP监测应用监测Web监测其它日益增多的网络监测设备警报网络流量监测如何将监测流量传送给监测设备？IDS网络基础架构数据库监测网络性能监测监测设备...Web安全??面临很多问题...SPAN如何将监测流量传送给监测设备？IDS网数据库监测网络性能专有及保密信息????

问题一怎样将一个监测数据流传送给多台监测设备？

span交换机的SPAN口不够，更改监测设备的连接线，轮流使用？？专有及保密信息????问题一怎样将一个监测数据流传送给专有及保密信息问题二怎样将多个监测数据流传送到单台监测设备？？？经常更改监测工具的连接线？？带着监测工具赶去各个监测地点？？放弃一部分数据流？专有及保密信息问题二怎样将多个监测数据流传送到单台监测

数据流过多，超过监测工具的处理能力，升级更换监测设备？？问题三监测设备只需要指定的流量，如何剔除无用流量？无数的IP、端口号、协议流等等只需数据库流量？数据流过多，超过监测工具的处理能力，升级更换监测设备？？其他问题——无法实现法规要求的在线实时监测

监测要求变化，需要对网络部署及配置进行频繁修改

——频繁更改网络配置可能导致网络崩溃？其他问题——7

如何解决监测中存在的问题？7如何解决监测中存在的问题？组建集中统一的网络监测数据接入平台核心交换机汇聚层交换机接入交换机TAPSPANTAPSPANTAPSPAN

Gigamon网络监测数据接入平台网络性能监测Netscout数据库安全Guardium其他监测工具………网络安全监测IDS组建集中统一的网络监测数据接入平台核心汇聚层接入TAPS随时为客户的监测管理系统提供线速数据服务随时为客户的监测管理系统提供线速数据服务网络架构业务数据✔✖✔✔✖✖

监测设备灵活添加删除监测数据和监测设备，便于监测设备测试或扩容网络架构业✔✖✔✔✖✖监测设备灵活添加删除监测数据和监测专有及保密信息将一个数据流传送到多个监测设备——数据复制分发功能，轻松解决SPAN口不够的问题SPAN复制分发专有及保密信息将一个数据流传送到多个监测设备——数据复制分发专有及保密信息将数据流汇聚到整合工具并对其进行均衡将多个数据流汇聚到一台监测设备——数据汇聚功能，可适量减少监测设备的数量专有及保密信息将数据流汇聚到整合工具并对其进行均衡将多个数（1）采用智能过滤，只输出特定的流量，无需升级监测工具（2）对流量实现负载均衡数据量增大时，帮客户降低整体组网成本智能过滤/负载均衡SPAN——智能过滤或流量负载均衡（1）采用智能过滤，只输出特定的流量，无需升级监测工具数据量7

Gigamon的技术实现7Gigamon的技术实现GigaVUE的架构设计基于ASIC硬件的带外数据接入设备全球唯一做到ASIC设计不基于软件，没有操作系统，没有CPU采用模块化设计：所有的端口/电源/风扇均为模块化，支持热插拔专用的、无拥塞的、交叉连接硬件交换基于电路交换端口到端口之间超低时延（低于8微秒）GigaVUE的架构设计基于ASIC硬件的带外数据接入设备GigaVUE的强大功能线速性能单一设备支持超过4000条的过滤/映射规则

开启所有过滤时，所有端口都完全实现100%的线速性能端口灵活定义所有端口均可自定义为数据输入或输出端口，灵活适应各种业务需求和变化高扩展性模块化扩展支持堆叠，最大可堆叠至23台快速适应增长的更复杂的业务要求

GigaVUE的强大功能线速性能

把多个链路汇聚至任意工具

把任意链路复制分流至多个工具

对数据进行智能过滤，将数据包映射至工具

通过智能过滤器在监测设备之间进行负载均衡1对11对多多对1智能过滤专有及保密信息数据处理举例把多个链路汇聚至任意工具1对11对多多对1智能过滤专有能对数据包128字节报头进行过滤允许（allow）或阻止（deny）模式匹配同时使用布尔“and”（与）或“or”（或）模式基于硬件的过滤几乎消除了延时过滤器规则可能基于预先定义的模板，包括：

MAC源或目标地址

VLANID以太网类型

IPversionIP源/目标地址/IP子网会话，使用多对源和目标IP地址TOS/DSCPMAC地址、IP地址、VLANID或应用端口范围

TCP/UDP端口号带有奇偶判断的范围掩码（RTP/RTCP过滤）用户自定义的位模式和偏移量协议（GRE/ICMP/IGMP/RSVP/TCP/UDP/...）智能过滤能力能对数据包128字节报头进行过滤智能过滤能力

Gigamon案例分析Gigamon案例分析XX银行数据中心整体监测解决方案需求需要监测的数据源：数据中心的骨干环网与第三方机构的外联（如网银等）员工上网内外IT应用区内外业务服务器全部核心交换机和接入层交换机上联链路监测工具：Netscout（网络性能监测）IDSSymantecDLP（数据丢失防护）Compuware（应用程序性能管理）其他监测工具XX银行数据中心整体监测解决方案需求Gigamon解决方案架构骨干环网外联NetscoutIDSCompuwareSymantecDLPSPANGigaVUE-420服务器区Gigamon解决方案架构骨干环网外联NetscoutIDS帮助客户可以为全网所有监测节点提供大量的数据输入接口，解决了监测工具端口数量少的问题；针对不同的监测需求，提供数据复制、分流、汇聚和过滤等多种方式来处理数据流；通过GigaVUE组建一个集中监测管理配置平台，可以对所有的监测数据流和监测工具进行统一集中的监控管理；面对监测工具新增或扩容，无需再修改网络配置，而只需要对GigaVUE进行配置即可满足需求，避免因修改网络配置导致网络瘫痪的威胁；帮助客户XX银行数据中心Gigamon监测方案现有的网络监测工具网络流量分析工具—Sniffer入侵检测系统—IDS数据库安全审计工具—Imperva未来会进行监测工具的扩容网络监测规划需要将生产网中所有的接入层和汇聚层交换机的上联链路的流量纳入到监测体系中需要将核心交换机的主要链路的流量纳入监测体系所有监测流量都是采用SPAN端口镜像获取XX银行数据中心Gigamon监测方案现有的网络监测工具面临的问题

如何将大量交换机的监测流传送到监测工具？（1）如何将多链路的流量汇聚给监测工具？（2）汇聚之后的流量过大，会超过监测工具（如Imperva）的处理能力，如何解决？（3）如何将汇聚之后的同一份流量传送给不同的监测工具？面临的问题Gigamon部署示意图Gigamon部署示意图帮助客户Gigamon帮助招商银行解决监测中的问题：GigaVUE设备实现了多链路数据流的汇聚GigaVUE能够将汇聚后的数据流复制成多份，发送给不同的监测工具通过GigaVUE组建一个了集中监测管理配置平台，可以对所有的监测数据流和监测工具进行统一集中的监控管理；面对以后的监测工具测试或扩容，无需再修改生产网络的配置，避免因修改网络配置给生产网络带来威胁；帮助客户Gigamon帮助招商银行解决监测中的问题：保险行业多业务监测解决方案需求越来越多的监测工具，网络部门必须保证网络安全和业务网络的正常运作维护更庞大和复杂的网络各类法规的审计要求当前需要对9条链路进行监测，需要支持18个监测设备：3个数据防护工具Vontu；3个充分应用行为分析工具Qradar；3个Niksun；4个IDS；2个网络探针流量记录器——用于取证和故障排除的RUM探测器——用于观察客户体验状况的资源使用情况

Tealeaf监测器——用于进行web体验监测保险行业多业务监测解决方案需求核心交换机核心交换机服务器交换机服务器交换机服务器交换机服务器交换机服务器交换机服务器交换机GigaVUE-MP9115311210Infinistream数据记录器IDSIDS后过滤器131564应用监视器（VLAN122和123）IDS后过滤器1614Infinistream流量记录器28应用监视器（VLAN120和121）后过滤器应用监视器（VLAN126和127）7应用监视器（VLAN124和125）后过滤器VLAN128~131VLAN120~123SPAN端口SPAN端口18分析器到第二个GigaVUE-MP的10G链路IDSVLAN124~127应用监视器（VLAN130和131）应用监视器（VLAN128和129）GigaVUE-MP解决方案架构核心交换机核心交换机服务器服务器服务器服务器服务器服务器Gi帮助客户通过丰富的接口，很好地解决端口争用根据需求灵活地对数据进行汇聚和分配通过热插拔模块来简化操作可以随意连接和断开工具可视化管理，为一切管理系统提供最短的响应时间帮助客户电信级VoIP监测方案问题VoIP服务质量投诉合法监听要求被监测节点数量较多在网络核心开启SPAN端口，会出现丢包VOIP的监测设备—QOS探测器成本较高电信级VoIP监测方案问题传统解决方案代表五个100M连接

每个探测器可以探测2个链路，总共60个连接，60个连接/每个探测器2个连接＝30个探测器，成本大概230w美金传统解决方案代表五个每个探测器可以探测2个链路，总共60GSXSBCPSXL2交换机L2交换机L2交换机ASXEMSMSSGX分路器分路器分路器ECE分路器GigaVUE入站光纤或千兆位以太网流量千兆位以太网入站流量来自GigaVUE的GigaVUE探测器分路器Gigamon解决方案1个探测器+2个GigaVUE+45个分路器

成本不到40万美元GSXSBCPSXL2交换机L2交换机L2交换机ASX实现了集中监测通过汇聚和智能过滤，只接受VOIP流量，提高了监测设备的工作效率监测流量完整，无数据包丢失，实现了全网监测的统一可视化管理，提升了故障响应时间降低了现行项目及扩容项目的成本投入帮助客户实现了集中监测帮助客户XX运营商3G业务监测解决方案需求需要对3G网络数据进行更严格的监测,以适应3G网络的发展数据业务可视化监测及控制突发流量如病毒和攻击的监测和防范网络流量审计XX运营商3G业务监测解决方案需求1Gb/秒10Gb/秒10Gb/秒1Gb/秒1Gb/秒10Gb/秒10Gb/秒合法监听运行Wireshark的PCGiGnGGSNGigamon解决方案架构1Gb/秒10Gb/秒10Gb/秒1Gb/秒1Gb/秒1帮助客户通过智能过滤，将指定的数据包传送给监测设备，提高监测设备的工作效率保证实时监测的数据完整和低延时方便以后数据量增大后的监测扩容帮助客户提高运营维护系统的灵活度组建集中监测管理平台给监测设备传送指定的数据流量加强网络的实时可视化管理，缩短管理响应时间帮助IT团队应对各种监测维护需求及扩容降低整体组网和运营维护成本减少监测设备的数量无需对监测设备进行升级或更换Gigamon的价值——提高运营维护系统的灵活度Gigamon的价值——

Gigamon产品介绍Gigamon产品介绍Gigamon产品系列

GigaVUE-420GigaVUE-2404GigaVUE-212G-TAPGigamon产品系列Web管理界面CitrusWeb管理界面CitrusGigaVUE-212前端视图高1U

支持2个10Gport

最大支持12个1Gport（基础为8个，可扩展4个）管理口Mgmt和console口8个千兆光电复用口2个10Gport可扩展模块，支持4个千兆SFP端口（可为光或电）GigaVUE-212前端视图高1U管理口Mgmt和conGigaVUE-212后端视图

双冗余AC或DC电源双冗余风扇

电源和风扇模块支持热插拔双冗余风扇双冗余电源GigaVUE-212后端视图双冗余AC或DC电源双冗余GigaVUE-420前端视图

最大支持4个万兆端口和20个千兆端口1U高度

可堆叠至10台，240个端口可扩展端口模块，提供4个千兆光电复用端口‏基础单元，提供4个千兆电口或4个千兆光口扩展模块，内置电口双容错TapGigaTAP-Tx扩展模块，内置电口双容错TapGigaTAP-SxMgmt端口Console口GigaVUE-420前端视图最大支持4个万兆端口和20个GigaVUE-420后端视图

双冗余AC或DC电源双冗余风扇

所有模块支持热插拔4个万兆插槽冗余风扇冗余电源模块GigaVUE-420后端视图双冗余AC或DC电源4个万兆GV-420内置扩展模块

PRT-4004个千兆光电复用口万兆模块Tap-202千兆光纤Tap模块GigaLINK-SR/LR/ERGigaLINK-Cu(10GBASE-CX4copper)万兆Tap模块Tap-201千兆电口Tap模块GV-420内置扩展模块PRT-400万兆模块TapGigaVUE-2404前端视图高2U，支持3个模块化插板

1至24个万兆端口

1至4个千兆端口

4至8个可选内置万兆Tap（可加2个插板，1个插板有4个Tap）可与420堆叠Mgmt和console端口中间的插板为基础单元，包含4个1GSFP端口和8个10GSFP+端口可扩展插板，支持8个10Gport或4个Tap，图上为8个10Gport可扩展插板，支持8个10Gport或4个Tap，图上为4个TapGigaVUE-2404前端视图高2U，支持3个模块化插板GigaVUE-2404后端视图双冗余AC或DC电源双冗余风扇双冗余电源双冗余风扇未使用，未来高级属性刀片式插槽GigaVUE-2404后端视图双冗余AC或DC电源双冗余G-Tap

½U无源外置分路器最多支持8条全双工链路支持1G和10G光纤链路G-Tap½UGigaSMART

GigaVUE-2404的内置扩展模块

6个端口支持10GbSFP+或1GbSFP

支持PacketSlicing切片支持Masking屏蔽支持TimeStamping时间戳（支持外部GPS信号输入和10ns级精度）支持Sourcelabeling源端口标签

GPS天线TNC-