网络分流器｜100Ｇ网络分流器，不单单是带宽升级！

时间 2019-11-10

原文原文链接

网络分流器是一种网络流量过滤采集设备，工做在第3、四层，专门用于互联网流量分析领域，是一种为下降后端分析而进行流量过滤、衰减、交换和分流的设备。目前已有的戎腾分流器包括千兆、万兆(POS、WAN、LAN)、40G(POS、LAN)、100G以太网、PON(EPON、GPON)、WIFI、3G和LTE等。

　　1.引言正则表达式

　　因为IPTV、视频点播等业务，远程存储、移动宽带业务、×××服务等普遍应用，运营商骨干网的流量在持续增长，Internet服务提供商(ISP)和网络服务提供商(NSP)对高带宽的需求不断增长。目前，客户到运营商的链接已经在快速扩展到10GE，典型状况下，骨干网络的链接须要客户链接的4到10倍，才能保证足够的性能。后端

　　随着多核处理、虚拟化、网络存储等技术的发展，企业计算环境和骨干链路对链路带宽的要求愈来愈高。对当前数据中心中的10G以太网计算机设备和未来40G以太网须要交换机到交换机之间的链接采用100G接口。一样的要求，在ISP处也有。100G是如今未来一段时间内Internt互联及新服务和消费者及企业用户的完美解决方案。服务器

　　2.挑战网络

　　将来一段时间，100G分流器将普遍应用于网络监控、信令分析、大数据分析、IDC防御、实时广告竞价等领域。然而，100G分流器不只仅是链路带宽升级的问题，要解决在100G链路上执行流量分析，必需要解决下列挑战：ide

　　(1)设备的密度、体积和功耗：因为100G光传输的价格仍然比较昂贵，这类设备一般会部署在运营商的机房，而运营商机房的空间是有限的，一般须要层层审批。若是可以将设备的密度提升，体积和功耗下降，则有利于设备的部署和实施。性能

　　(2)设备的成本：100G链路的带宽是万兆链路的10倍。目前万兆分流器的价格已经比较便宜，可是在运营商的汇聚层部署10G设备，过多的链路割接会带来施工问题。在100G以太网上分光能够下降施工的难度，可是设备的自己的成本不能比10个万兆链路高太多，不然用户更趋向于使用万兆分流器。大数据

　　(3)更精细的流量分类：100G链路所带来的高带宽使得后端分析服务器的压力剧增，传统的基于多元组的流量衰减方式已经没法知足要求。完美的解决方案是在分流器上执行DFI(深度流检测，是DPI的一种更具体的形式)，过滤掉不关心的协议报文和特定网站发出的报文。目前能够商用的DPI能力单板不超过40Gbps，以多元组和DPI相结合的流量过滤方式是必需要解决的技术难题。网站

　　(4)设备的稳定性：因为设备更多部署在运营商而非用户测，分流器的维护将比较困难，采用ATCA设备是一种有效的解决方案，同时进行更好稳定性设计，更严格的元器件选型以及老化实验才能确保设备的可靠性达到99.999%以上。编码

　　3.解决方案设计

　　100G分流器要充分考虑设备的密度、体积、功耗和成本，可以执行更精细的流量分类。能够采用下面的解决方案：100G线卡自己完成输入输出，执行多元组过滤，通过多元组过滤的流量部分输出，部分丢弃，须要进行深度检测的流量传送专用的DPI板卡进行深度流量检测。为知足此要求，湖南戎腾网络科技有限公司(www.rtnetworks.com.cn)采用图1所示的设计方案。光接口采用的是商用的100GE的CFP或者CFP2光模块，实现100GE光信号到CAUI电接口的转换，经过使用不一样光模块能够支持100GBASE-SR十、100GBASE-LR4和100GBASE-ER4等应用场合，光模块输出的是10路10Gbps的数据，再进行后续的处理。

　　在100G流量获取中，包括PMA、PCS和MAC共三个模块。PMA实现100GE的介质接口，由高性能FPGA自带的高速SERDES实现，一个100GE接口须要10路高速SERDES，每一个SERDES将10Gb/s的串行数据转换为相对低速的40-Bits并行数据。

　　PCS模块彻底兼容802.3ba规范。实现的主要功能以下：

　　1 10*40-Bit与PMA接口

　　2 多通道分发(MLD)机制，支持100Gbps数据传输

　　3 周期性对齐标记插入/剥离

　　4 数据加扰或解扰

　　5 64b/66b编码/解码

　　6 66b-40b数据宽度转换gearbox功能。

　　7 384-bit@260MHz MAC数据接口

QQ图片20150721110934.png

　

　　(1)当不须要使用DPI和DFI时，可使用两槽的ATCA机箱，单板自己支持有必定冗余的流量输出，知足网络监控、信令分析、大数据分析、IDC防御、实时广告竞价等领域的需求。

　　图2 两槽100G分流器解决方案

　　(2)当要执行DPI和DFI时，可使用14槽机箱，经过交换将报文送到专用的DPI板卡执行深度流检测，检测模式能够是字符串或者正则表达式，须要输出时仍然经过100G板卡(HFC602)自身的万兆接口输出。

　　图3 14槽100G分流器解决方案

　　4.结论

　　在高速网络环境下，随着主干网络带宽和流量的急剧增长，复杂网络应用的层出不穷，传统网络取证系统在数据捕获和数据处理方面面临很大的挑战。

　　戎腾100G分流器是一个复杂的系统，设计和实现这样的系统须要综合考虑成本、体积、功耗、密度，以及所须要的精细分流功能