V 12.4 C.C-EF-AS-V2
v12x4 10/100-1000 Port Aggregator
Twelve 10/100 UTP network input port pairs, Two 10/100/1000 UTP monitor output ports, Two 1G SFP monitor output ports
VSS' 10/100 v6x4, v12x4, and v24x4 Port Aggregators provide simultaneous traffic access of up to 6 and 12 Inline networks, or 12 and 24 SPAN ports to 4 monitor ports. Users have complete control over how the Port Aggregators, operating fully at layers 1 and 2, deliver traffic to their selected passive monitoring tools with selective aggregation.
Secure: Without an IP address, TAPs have no presence on the network which safeguards users' security and performance monitoring.
High Performance: Full line rate throughput, all layer 1 and 2 functionality, and low latency throughput to monitor output guarantee full visibility at line speeds.
Reliable: Redundant power supplies and 100% passive inline electrical access ensure your network never goes down.
Scalable: Work independently or in conjunction with each other and any DTCS as part of a traffic access architecture.
|
V 12.4 C.C-EF-AS-V2特性 |
|
|
100%掉电安全 |
|
|
全线速流量接入 |
|
|
监测输出吞吐量低时延 |
|
|
占数据中心空间较小 |
|
|
双冗余、全球通用电源(交直流可选) |
|
|
端口状态和活动LED指示灯 |
|
V 12.4 C.C-EF-AS-V2法规遵从
|
|
|
100% IEEE |
|
|
ISO 9001 |
|
|
CB/CE/FCC/UL |
|
|
RoHS |
|
|
美国生产制造 |
V 12.4 C.C-EF-AS-V2工作示意图
V 12.4 C.C-EF-AS-V2
VSS VSS Monitoring Tap
网络Tap是一种为网络分析、IDS/IPS及其他监测接入设备所专用的网络流量捕获方案;网络Tap设计为永久嵌入网络且拥有掉电安全(fail safe)设置,即便是Tap电源掉电也不会中断网络连接。
V 12.4 C.C-EF-AS-V2Tap提供使用者全面可视的网络数据流,对全线速的双向会话进行准确无误的监测,且无丢包和迟延。此外Tap可以对网络监测工具提供一层隐蔽性,网络入侵者不会发觉Tap的存在,从而能够保护用户网络监测系统不受入侵者攻击。
以往网络监测主要依靠镜像端口(Span)从多个数据源采集数据,但是这种方式存在明显的网络监测能力和网络实用性的不足,越来越难以适应当前飞速发展和不断变化的网络监测的需求:
Span端口在交换机里的路由层级为低优先权对于大多数交换机而言,镜像端口与其他端口相比,路由层级的优先权总是较低。因此当交换机高负载使CPU效率降低时,可能会引起镜像端口的丢包甚至完全关闭。
全双工监测通常无法实现
镜像端口(如Cisco Catalyst的snoop端口)不允许双工监测,因此用户不能同时监测双向会话,这对网络安全监测来说,是一个根本上的不足之处。
不能监测 OSI 第1、2层错误包镜像端口无法监测许多网络1、2层的错误包。比如CRC是以太网帧的一个组成部分,对2层做包长和内容的统计,如果双向数据流的任意一个元素出现问题,CRC会显示错误。有MAC层芯片的交换机将会丢弃所有CRC错误的包,这些帧将不会被传到监测设备上,因此无法通过镜像端口监测链路错误。
此外,镜像端口往往过载(许多个端口镜像数据到一个端口)导致严重丢包。为避免这个问题,应该选择不会有过载问题导致错误冲突的inline网络监测系统。 许多镜像端口允许双向收、发数据包,使监测设备易遭受恶意入侵。交换机无法提供掉电安全(fail safe)的监测,如果交换机掉电了,网络也会停止运作。而Tap可提供掉电安全的监测环境,即使Tap电源掉电,网络连接仍不受影响。交换机的主要功能是处理流量转发,Span功能只是交换机的附属功能,因此,一台交换机往往只提供一到两个镜像端口,无法满足对多个网段的同时监测需要。对于现在越来越多监测设备(如IDS、网络分析探针、网络审计等)需要对同一链路实现可视性的需求,Span无法实现。为了节约监测系统的整体成本,需要对多链路流量进行汇聚,以有效的减少监测设备的数量,显然,Span无法满足这一需求。Hub是半双工的以太网设备,将一个来源的数据包同时广播传向所有的路径。在广播数据包时,无法同时进行反方向的数据流传输,因此以Hub作为监测工具时,在一个时间点只能查看单一方向的会话。使用Hub的情况下,当两边同时传输数据时,冲突会经常发生;当冲突发生时,每个冲突会被两个终端站记下,然后在一段时间后重新传送数据包。不但冲突是不应发生的,重传数据包也会降低链路带宽可用性。如果使用像Tap这样的双工设备,这种冲突及带宽问题将不会发生。Hub不能用于10/100/1000或千兆网络,这更显示了以Hub作为监测工具是一个过时的方法,其监测网络的能力相当有限。Hub无法提供掉电安全(fail safe)的监测,如果hub掉电了,该链路也会停止运作。而Tap可提供掉电安全的监测环境,即使Tap电源掉电,网络连接仍不受影响。
VSS Monitoring公司的Tap可呈现全部网络数据,提供对网路的完全可视性,可监测任何双工网路,实现全线速100%数据捕获(包含错误包在内)。此外,提供高密度Tap、各种接口的转换(如光电接口转换)和各种过滤、复制、汇聚等高级特性,为监测系统带来灵活组网的可能。
Stealth
在监测过程中,Tap提供一层隐蔽性(接入端口无MAC和IP地址),网络入侵者无法查觉Tap的存在,因此这层隐蔽性成为第一道防线,免除Tap和其它监测设备遭受黑客恶意攻击的可能性。
Security
即使在掉电状态下,VSS Monitoring公司的Tap仍然能安全保障100%的网络连通和数据传输,没有如镜像端口和Hub容易成为潜在网络故障点的问题。
VSS Monitoring公司名字“VSS”的缩写代表了可视性(Visibility)、隐蔽性(Stealth)和安全性(Security)。
VSS Tap
VSS Monitoring公司的分布式流量捕获是网络监测的基础,它是一个智能的监测架构,提高分析设备对网络的可视性,即使面向最复杂的大型网络,也可以捕获所有网络流量,同时并能增加用户生产效率、提高网络监测和安全工具的投资回报率。 分布式Tap是新一代的流量捕获工具,由可高度灵活应用的设备组成。运用分布式Tap可以组成一个具有分路、选择性汇聚、过滤、负载均衡、远程管理(用户图形界面/命令行)及流量统计等功能的硬件接入平台,能够在不影响网络运行下收集多个网络流量,并依用户选择设定将流量数据传输到多个独立的监测端口,为每台监测设备提供其各别所需的网络数据。用户通过分布式Tap可按需求灵活配置来集中监测设备,在用户网络基础架构和所有监测设备之间形成一个统一的接入平台,代表了网络监测的新方法,提供完全的、可随网络规模扩展的、集中的网络可视性。从而在最大化网络可视性的同时,能够显著降低部署和营运成本。
VSS 分布式Tap可为网络分析取证、网络安全、网络性能监测、用户行为分析、VOIP、IPTV、新媒介分析等方案提供inline 和span(mirror)的端口应用。 VSS
分布式流量捕获系统示意图
.降低整体监测部署和维护成本达80%
.全线速完整数据捕获
.增进现有网络监测架构效能
.支持集中管理多个分布式流量捕获设备和监测系统
.通过管理界面连接所有数据捕获点,缩短故障处理和安全事故的响应时间
.在网络中隐蔽且不影响网络运行,为实时监测提供完全真实复制的网络流量
广泛的产品线支持几乎所有最新及传统的网络架构
VSS Monitoring公司的vAssure是一项独特的被动Tap功能专利设计,可以安全保障网络不受设备运行影响而中断。vAssure? 能够缩短千兆fail-over时间到100ms左右,确保在千兆铜缆网络上运行的关键应用系统(如VoIP和IPTV等)能够不受干扰的正常工作、不会掉包,确保服务水平。如果千兆Tap没有vAssure功能,当掉电和电源恢复时会引起瞬间的链路中断,这不仅会中断对于时间敏感的数据流量,而且可能会导致不必要的生成树重新配置和路由改变,造成网络迟延。VSS 的网络Tap是市场上链路切换时间最快、并且唯一能确保不会引起网络中断的Tap产品。
vAssure在下面几个方面实现功能:
对10/100铜缆以太网,vAssure?提供100%的被动,完全确保网络接入的掉电安全(failsafe)。许多其他品牌的10/100铜缆Tap声称是被动的,其实是使用了“failover”机制,如果Tap掉电,网络信号重建链路需要300~3000毫秒。这样的时延对于灵敏的网络往往是不能接受的。使用VSS的vAssure?技术,10/100网络连接就没有时延,因为网络信号从不丢失,当Tap掉电时,网络信号仍会持续通过设备不会中断。对铜缆介质的千兆以太网,vAssure?保障了最短的failover时间和网络零中断!由于以太网标准,千兆铜缆Tap不可能达成100%被动,所以无法完全避免failover时间。但是VSS的专利技术,将千兆铜缆failover时间从一般的300毫秒到3秒大幅度减少到200毫秒以下;如此一来,failover 仅仅表现为传输上的噪音,而不会导致链路丢失或生成树重配(spanning tree reconfiguration)。具备vAssure?的Tap只要一接上网络,这项功能立即启动,不需要用户另外操作任何设置。 在千兆光纤以太网中Tap则是100%被动,即使failover发生也是完全无缝,网络运行绝不中断。
普通的千兆以太网铜缆Tap和许多其他10M、100M Tap设计为分别连接两端的网络设备,当某一侧的链路故障时,Tap另一侧的设备并无法察觉。这种当Tap一侧链路中断另一侧却正常运行的情况下,冗余机制不会被激活,便导致了网络中断,数据丢失。 没有LinkSafe?机制的千兆以太网铜缆Tap是潜在故障点,会使关键网络冗余路由机制无法启动。LinkSafe?是VSS Monitoring公司千兆以太铜缆Tap的专利技术,设计于保障冗余路由机制正常运作。LinkSafe?使用了智能控制器,确保当任何一边链路中断时,Tap两边的网络设备都可以察觉故障。这项技术使得路由器和交换机在网络设备故障的情况下可以完成冗
余路由转换。 VSS Monitoring, 的<, /SPAN>LinkSafe?专利技术使得千兆铜缆Tap消除在Inline方式下的网络潜在故障点,确保Tap在千兆电网络中是真正的掉电安全。 3 过滤功能是VSS Monitoring公司专为Tap捕获流量后过滤输出到监测端口所设计的机制,用户能够灵活设定哪些监测端口可以查看哪些网络端口或何种条件的网络数据流。过滤功能使得Tap设备在汇聚条件下也能确保不丢包,且可增加网络数据的输入流量。过滤功能还可以通过各种过滤条件设置将网络流量数据区分开来提供给不同的监测处理系统。 VSS分布式流量捕获系统提供简单的图形化用户界面,帮助用户轻松指定将需要的数据流输出到监测端口。
VSS Tap支持OSI 2~7层的过滤条件,包括如下:
.MAC地址(源, 目的)
.IP 地址(源, 目的, 范围)
.UDP/TCP/ICMP (端口, 范围)
.VLAN, QoS, IP Service Type
.RTP/RTCP的奇偶端口
.针对嵌入协议,支持用户自定义最大127字节偏移量过滤
Tap的复制功能可以汇集一个或多个网络的流量,并复制到多个监测端口。在监测工具数量大于网络数量时,复制网络流量可以容许更多监测工具同时接入并获取同一个或多个网络的数据。
Tap的汇聚功能将一个或多个全双工网络的数据流量全部汇聚成一个数据流,然后输出到一个或多个监测工具。当网络数量大于监测工具数量时,网络数据的汇聚可以帮助减少监测网络所需的连接端口及监测工具数量。
VSS Monitoring公司的Tap允许选择不同的汇聚条件,可实现网络端口与监视端口的多种输入/输出组合,包括一对一、一对多、多对一、多对多等,满足用户监测系统的对流量汇聚的按需设置需求。
Tap的流量负载均衡功能防止监测端口数据溢出,保证会话完整性的同时在监测端口均衡分配数据流量。当网络流量大于监测工具处理能力时,流量负载均衡功能可以帮助将网络流量均衡分流给多个监测工具。
VSS Tap支持多种负载均衡条件,包括如下: ? 源+目标MAC地址和输出端口
.源MAC地址和输出端口
.目标MAC地址输出端口
.源+目标IP 地址
.源IP地址
.目标IP地址
.源+目标IP地址和源+目标TCP/UDP端口
.目标IP地址和目标TCP/UDP端口
.源IP地址和源TCP/UDP端口
. GTP Tunnel ID
VSS分布式Tap支持以下本地和远程管理方式:
.支持Console (RS232)口管理和Telnet远程命令行管理
.支持HTTP/HTTPS用户图形界面(GUI)进行管理
.支持SNMP网络管理
VSS提供最高端口密度的Tap设备,端口最多可达28个,提供单台Tap设备捕获多条链路流量并分流给多台监测设备的可能,有效节省部署空间和促进节能环保。
VSS分布式Tap所有的端口皆可灵活设置成输入/输出,可以弹性设置成网络端口或监测端口。 网络端口可以任意设置成网络串接双向(Inline)或镜像(Span)接入方式,提供用户最高的灵活性,可以选择把一些端口配置成Inline模式,而把其它端口配置成单一输入的Span模式。此外,具有独立的管理端口,提供远程管理和诊断功能。
VSS针对用户日益增长的对10G网络的监测需求,提供了针对10GE LAN和10G PoS的Tap解决方案。可以将多路10G数据转换成多个千兆以太网 (GE) 数据,以实现对IP骨干网、城域网等骨干POS链路流量的捕获和分流。
VSS Tap提供冗余电源保证最长时间的链路无间断,支持交流/直流电源或交流、直流混合电源。
|
