數據包級網絡遙測和網絡安全推送分析

　　隨着網絡規模，複雜性和流量的增加，對連續和精確監控的需求比以往任什麼時候候都要大。持續監控是檢測安全問題，錯誤配置，設備故障以及執行流量工程的重要部分。

　　在最高級別，它是一種基於推送的監控方法：數據平面設備（如交換機和路由器）將有關流量和性能的數據流式傳輸到執行分析的軟件。網絡遙測正在成爲支持這些需求的有力方式。

　　今天的遙測系統迫使用戶在粒度和覆蓋範圍之間進行選擇。分組級系統將每一個分組（或報頭）流式傳輸到軟件。這提供了細粒度的可見性，可是在軟件中處理每一個數據包的成本使得高覆蓋率變得不切實際。流級系統（如NetFlow）會在數據包到達分析軟件以前將數據包彙總到每一個流記錄中。這大大減小了工做量並使高覆蓋率變得實用，但卻犧牲了數據包級別的可見性。

　　下一代遙測系統能夠利用交換機和服務器硬件的進步，在粒度和性能之間取得更好的平衡。在交換機中，可從新配置的數據平面支持以每秒數10億個數據包的線路速率進行自定義數據包處理。在服務器中，高帶寬內存和指令級並行化每秒可實現數萬億次計算。

​　　兩個平臺雖然都很強大，但它們都不擅長遙測和分析系統所需的一切。所以，肯定每一個平臺應發揮的做用相當重要。大多數網絡分析任務可分爲三個不一樣階段：

　　1.選擇階段從數據路徑中提取數據包特徵。

　　2.分組階段按標題空間的某個子集對要素進行分組。

　　3.最後，聚合階段計算每組數據包的統計信息。

　　聚合階段更適合服務器，由於它是特定於應用程序的，而且可能須要對交換機硬件進行過於複雜的計算。選擇和分組階段更適合於交換機數據平面硬件，它能夠直接訪問數據包報頭，並能夠經過低延遲的片上存儲器執行基本的分組操做。（歡迎轉載分享）