分流器是一种网络流量过滤采集设备，工作在第三、四层，专门用于互联网流量分析领域，是一种为降低后端分析而进行流量过滤、衰减、交换和分流的设备。目前已有的分流器包括千兆、万兆（POS、WAN、LAN）、40G（POS、LAN）、100G以太网、PON（EPON、GPON）、WIFI、3G和LTE等。

1、引言

由于IPTV、视频点播等业务，远程存储、移动宽带业务、VPN服务等广泛应用，运营商骨干网的流量在持续增加，Internet服务提供商（ISP）和网络服务提供商（NSP）对高带宽的需求不断增加。目前，客户到运营商的连接已经在快速扩展到10GE，典型情况下，骨干网络的连接需要客户连接的4到10倍，才能保证足够的性能。

随着多核处理、虚拟化、网络存储等技术的发展，企业计算环境和骨干链路对链路带宽的要求越来越高。对当前数据中心中的10G以太网计算机设备和将来40G以太网需要交换机到交换机之间的连接采用100G接口。同样的要求，在ISP处也有。100G是现在将来一段时间内Internt互联及新服务和消费者及企业用户的完美解决方案。

2、挑战

未来一段时间，100G分流器将广泛应用于网络审计、信令分析、大数据分析、IDC防护、实时广告竞价等领域。然而，100G分流器不仅仅是链路带宽升级的问题，要解决在100G链路上执行流量分析，必须要解决下列挑战：

（1）设备的密度、体积和功耗：由于100G光传输的价格仍然比较昂贵，这类设备通常会部署在运营商的机房，而运营商机房的空间是有限的，通常需要层层审批。如果能够将设备的密度提高，体积和功耗降低，则有利于设备的部署和实施。

（2）设备的成本：100G链路的带宽是万兆链路的10倍。目前万兆分流器的价格已经比较便宜，但是在运营商的汇聚层部署10G设备，过多的链路割接会带来施工问题。在100G以太网上分光可以降低施工的难度，但是设备的本身的成本不能比10个万兆链路高太多，否则用户更趋向于使用万兆分流器。

（3）更精细的流量分类：100G链路所带来的高带宽使得后端分析服务器的压力剧增，传统的基于多元组的流量衰减方式已经无法满足要求。完美的解决方案是在分流器上执行DFI（深度流检测，是DPI的一种更具体的形式），过滤掉不关心的协议报文和特定网站发出的报文。目前可以商用的DPI能力单板不超过40Gbps，以多元组和DPI相结合的流量过滤方式是必须要解决的技术难题。

（4）设备的稳定性：由于设备更多部署在运营商而非用户测，分流器的维护将比较困难，采用ATCA设备是一种有效的解决方案，同时进行更好稳定性设计，更严格的元器件选型以及老化实验才能确保设备的可靠性达到99.999%以上。

3、解决方案

100G分流器要充分考虑设备的密度、体积、功耗和成本，能够执行更精细的流量分类。可以采用下面的解决方案：100G线卡本身完成输入输出，执行多元组过滤，经过多元组过滤的流量部分输出，部分丢弃，需要进行深度检测的流量则送专用的DPI板卡进行深度流量检测。为满足此要求，可以采用图1所示的设计方案。光接口采用的是商用的100GE的CFP或者CFP2光模块，实现100GE光信号到CAUI电接口的转换，通过使用不同光模块可以支持100GBASE-SR10、100GBASE-LR4和100GBASE-ER4等应用场合，光模块输出的是10路10Gbps的数据，再进行后续的处理。

在100G流量获取中，包括PMA、PCS和MAC共三个模块。PMA实现100GE的介质接口，由高性能FPGA自带的高速SERDES实现，一个100GE接口需要10路高速SERDES，每个SERDES将10Gb/s的串行数据转换为相对低速的40-Bits并行数据。

PCS模块完全兼容802.3ba规范。实现的主要功能如下：

10*40-Bit与PMA接口

多通道分发（MLD）机制，支持100Gbps数据传输

周期性对齐标记插入/剥离

数据加扰或解扰

64b/66b编码/解码

66b-40b数据宽度转换gearbox功能

384-bit@260MHz MAC数据接口

（1）当不需要使用DPI和DFI时，可以使用两槽的ATCA机箱，单板本身支持有一定冗余的流量输出，满足网络审计、信令分析、大数据分析、IDC防护、实时广告竞价等领域的需求。

（2）当要执行DPI和DFI时，可以使用14槽机箱，通过交换将报文送到专用的DPI板卡执行深度流检测，检测模式可以是字符串或者正则表达式，需要输出时仍然通过100G板卡（HFC602）自身的万兆接口输出。

4、结论

在高速网络环境下，随着主干网络带宽和流量的急剧增加，复杂网络应用的层出不穷，传统网络取证系统在数据捕获和数据处理方面面临很大的挑战。

100G分流器是一个复杂的系统，设计和实现这样的系统需要综合考虑成本、体积、功耗、密度，以及所需要的精细分流功能。