VSS产品功能介绍完整版.pdfVIP

VSS 产品功能介绍 VSS Monitoring 公司是分布式流量捕获系统和网络Tap 的领导 者，系统级的硬件设计实现网络的全面可视性，配合监测系统为最终用户带来高效率、低 成本的监测解决方案。 VSS Monitoring 公司是流量捕获方案的革新者。高扩展性的产品线不仅包括基本的网络 Tap 及镜像流量捕获工具，还有分布式流量捕获系统，该系统不但从根本上提升了网络分析 器的效率和性价比，并能增加网络可视性、缩短故障响应时间。 一、Tap 是什么？ 网络Tap 是一种为网络分析、IDS/ IPS 及其他监测接入设备所专用的网络流量捕获方案； 网络Tap 设计为永久嵌入网络且拥有掉电安全(fail safe)设置，即便是Tap 电源掉电也不会中 断网络连接。 Tap 提供使用者全面可视的网络数据流，对全线速的双向会话进行准确无误的监测，且 无丢包和迟延。此外Tap 可以对网络监测工具提供一层隐蔽性，网络入侵者不会发觉Tap 的 存在，从而能够保护用户网络监测系统不受入侵者攻击。 二、为什么需要Tap ？ 1、交换机镜像端口（Span ）问题 以往网络监测主要依靠镜像端口（Span ）从多个数据源采集数据，但是这种方式存在明 显的网络监测能力和网络实用性的不足，越来越难以适应当前飞速发展和不断变化的网络监 测的需求：  丢包问题  Span 端口在交换机里的路由层级为低优先权 对于大多数交换机而言，镜像端口与其他端口相比，路由层级的优先权总是 较低。因此当交换机高负载使CPU 效率降低时，可能会引起镜像端口的丢包 甚至完全关闭。  全双工监测通常无法实现 镜像端口（如Cisco Catalyst 的snoop 端口）不允许双工监测，因此用户不能 同时监测双向会话，这对网络安全监测来说，是一个根本上的不足之处。  不能监测 OSI 第1、2 层错误包 镜像端口无法监测许多网络1、2 层的错误包。比如CRC 是以太网帧的一个组 成部分，对 2 层做包长和内容的统计，如果双向数据流的任意一个元素出现 问题，CRC 会显示错误。有MAC 层芯片的交换机将会丢弃所有CRC 错误的包， 这些帧将不会被传到监测设备上，因此无法通过镜像端口监测链路错误。 此外，镜像端口往往过载（许多个端口镜像数据到一个端口）导致严重丢包。为避免 这个问题，应该选择不会有过载问题导致错误冲突的inline 网络监测系统。  对于避免网络攻击的隐蔽性有限 许多镜像端口允许双向收、发数据包，使监测设备易遭受恶意入侵。  潜在网络故障点 交换机无法提供掉电安全(fail safe)的监测，如果交换机掉电了，网络也会停止运作。而 Tap 可提供掉电安全的监测环境，即使Tap 电源掉电，网络连接仍不受影响。  Span 的端口数量有限 交换机的主要功能是处理流量转发，Span 功能只是交换机的附属功能，因此，一台交 换机往往只提供一到两个镜像端口，无法满足对多个网段的同时监测需要。  Span 流量无法复制成多份 对于现在越来越多监测设备（如IDS、网络分析探针、网络审计等）需要对同一链路实 现可视性的需求，Span 无法实现。  多份Span 流量无法汇聚 为了节约监测系统的整体成本，需要对多链路流量进行汇聚，以有效的减少监测设备 的数量，显然，Span 无法满足这一需求。 2、集线器（Hub）问题  降低链路一半以上的带宽 Hub 是半双工的以太网设备，将一个来源的数据包同时广播传向所有的路径。在广播 数据包时，无法同时进行反方向的数据流传输，因此以Hub 作为监测工具时，在一个 时间点只能查看单一方向的会话。  导致错误冲突 使用Hub 的情况下，当两边同时传输数据时，冲突会经常发生；当冲突发生时，每个 冲突会被两个终端站记下，然后在一段时间后重新传送数据包。不但冲突是