中创信测

统一管理的流量采集解决方案

【方案概述】

为保证金融业务能够稳定运行并提供增值服务，需要对金融业务承载网（生产网）进行原始数据采集和业务数据分析，这些网络流量可视化分析包括：网络性能分析、业务性能分析、可靠性分析、数据库审计等。通过这些分析工具，金融企业可以实时获取业务数据、快速定位网络故障并随时回溯分析历史数据。

进行业务分析的基础是原始数据报文捕获，通常采用端口镜像、分光、以太网TAP等方式进行数据流旁路监测，在传统方案中，各分析工具都需要从业务网中捕获数据包，然后再进行解码、合成、分析和呈现。当分析工具种类和数量较多时，会产生性能、可靠性、可管理性能等诸多问题，这些问题一方面会影响分析工具自身的性能和准确性，另一方面也会对生产网的稳定运行带来隐患。

建设统一管理的数据采集平台成为目前主流的解决方案，通过统一的网络流量采集与分配平台，在生产网与网络流量可视化分析工具之间建立一个 “适配层”，通过这个平台，可以实现如下特性：

l  数据统一管理和调度，采集数据的调整在平台内进行，不影响生产网。

l  镜像采集数据可以经过复制后分配给多个分析工具，满足各自不同的采集需求。

l  实现采集流量汇聚，充分利用分析工具的处理性能，节约投资。

l  适配已有分析工具探针的端口特性和处理性能，保护已有投资。

l  通过流量过滤和数据包预处理，过滤特定流量，提高分析工具探针的处理效率。

【主要功能】

l  流量复制：将一份采集流量复制多份后分发给不同的分析工具。

l  流量汇聚：将多个镜像端口采集的报文流量汇聚后输出，节约分析工具探针。

l  流量过滤转发：根据分析工具需要，将采集总流量中关注的业务流量过滤出来。

l  流量过滤丢弃：根据分析工具需要，将采集总流量中不关注的业务流量丢弃掉。

l  源端口标识：在报文中加入自定义标识，用于网络分析工具的故障定位。

l  负载均衡输出：调整输出端口的数量和带宽以适配分析工具探针的性能上限。

l  报文去重：自动对因为重复采集的数据报文进行去重处理，避免探针合成重复。

l  报文切片：截短报文的Payload部分，只输出报文头部数据，减小输出流量。

l  报文去封装：对于各种复杂协议（如：MPLS、GRE、VxLAN、VN tag等）封装进行识别并去除头部标签后输出。

l  隐私敏感数据处理：对报文中包含的关键字段（用户名、密码等）进行掩码加扰处理，确保信息不泄露。

l  关键字过滤：根据报文Payload中所包含的特定关键字，选取过滤符合该特征的报文或会话。

l  SSL/TLS解密：对网络中的SSL/TLS报文（如：https报文）进行解密输出，便于分析工具对这部分流量进行分析。