基于ASIC硬件的带外数据接入设备
全球唯一做到ASIC设计 不基于软件，没有操作系统，没有CPU 采用模块化设计：所有的端口/电源/风扇均为模块化，支持
热插拔
专用的、无拥塞的、交叉连接硬件交换
基于电路交换 端口到端口之间超低时延（低于8微秒）
专有及保密信息
GigaVUE的强大功能
线速性能
基于硬件的过滤几乎消除了延时 ▪ 过滤器规则可能基于预先定义的模板，包括：
➢ MAC 源或目标地址 ➢ VLAN ID ➢ 以太网类型 ➢ IP version ➢ IP 源/目标地址/IP子网 ➢ 会话，使用多对源和目标IP地址 ➢ TOS / DSCP ➢ MAC 地址、IP 地址、VLAN ID 或应用端口范围 ➢ TCP/UDP 端口号 ➢ 带有奇偶判断的范围掩码（RTP/RTCP 过滤） ➢ 用户自定义的位模式和偏移量 ➢ 协议（GRE/ICMP/IGMP/RSVP/TCP/UDP/...）
管理口Mgmt和 console口
8个千兆光 电复用口
2个10G port
可扩展模块，支持 4个千兆SFP端口 （可为光或电）
专有及保密信息
GigaVUE-212后端视图
现有的网络监测工具
➢ 网络流量分析工具—Sniffer ➢ 入侵检测系统—IDS ➢ 数据库安全审计工具—Imperva ➢ 未来会进行监测工具的扩容
网络监测规划
➢ 需要将生产网中所有的接入层和汇聚层交换机的上联链路的流量纳入到 监测体系中
➢ 需要将核心交换机的主要链路的流量纳入监测体系 ➢ 所有监测流量都是采用SPAN端口镜像获取
专有及保密信息
Gigamon解决方案架构
服务器区
骨干环网 外联
Si Si
第三方机构
SPAN
GigaVUE-420
Si Si
专有及保密信息
Netscout
IDS Compuware
Symantec DLP
帮助客户
➢ 可以为全网所有监测节点提供大量的数据输入接口，解决了监测 工具端口数量少的问题；
➢ 针对不同的监测需求，提供数据复制、分流、汇聚和过滤等多种 方式来处理数据流；
无数的IP、端口号、
协议流等等
？ 只需数据库流量
数据流过多，超过监测工具的处理能力，升级更换监 测设备？？
专有及保密信息
其他问题——
无法实现法规要求的在线实时监测 监测要求变化，需要对网络部署及配置进行频繁修改
——频繁更改网络配置可能导致网络崩溃？
专有及保密信息
如何解决监测中存在的问题？
7
专有及保密信息
专有及保密信息
灵活添加删除监测数据和监测设备，便于 监测设备测试或扩容
网络架构
✔
业 务 数 据
✖
监测设备 ✔ ✔
✖ ✖
专有及保密信息
将一个数据流传送到多个监测设备
——数据复制分发功能，轻松解决SPAN口不够的问题
SPAN 复制分发
专有及保密信息
将多个数据流汇聚到一台监测设备
——数据汇聚功能，可适量减少监测设备的数量
将数据流汇聚到整合工具并对其进行均衡
专有及保密信息
数据量增大时，帮客户降低整体组网成本 ——智能过滤或流量负载均衡
SPAN
智能过滤/负载均衡 （1）采用智能过滤，只输出特定的流量，无需升监测工具 （2）对流量实现负载均衡
专有及保密信息
Gigamon的技术实现
7
专有及保密信息
GigaVUE的架构设计
专有及保密信息
面临的问题
如何将大量交换机的监测流传送到监测工具？
（1）如何将多链路的流量汇聚给监测工具？ （2）汇聚之后的流量过大，会超过监测工具（如Imperva）的
处理能力，如何解决？ （3）如何将汇聚之后的同一份流量传送给不同的监测工具？
专有及保密信息
Gigamon部署示意图
专有及保密信息
帮助客户
▪ 实现了集中监测 ▪ 通过汇聚和智能过滤，只接受VOIP流量，提高了监测设备的工作
效率 ▪ 监测流量完整，无数据包丢失， ▪ 实现了全网监测的统一可视化管理，提升了故障响应时间 ▪ 降低了现行项目及扩容项目的成本投入
专有及保密信息
XX运营商3G业务监测解决方案
需求
▪ 需要对3G网络数据进行更严格的监测,以适应3G网络的发展 ▪ 数据业务可视化监测及控制 ▪ 突发流量如病毒和攻击的监测和防范 ▪ 网络流量审计
网络流量监测 网络性能监测 网络协议分析 网络安全监测 数据库监测 SNMP 监测 应用监测 Web 监测 其它
专有及保密信息
如何将监测流量传送给监测设备？
面临很多问题...
网
监测设备
络
SPAN
基
IDS
础
?
架
构
数据库监测
?
网络性能监测
专有及保密信息
Web安全
...
问题一 怎样将一个监测数据流传送给多台监测设 备？
?
span
?
?
?
专有及保密信息
交换机的SPAN口不够，更改监测设备的连接线， 轮流使用？？
问题二 怎样将多个监测数据流传送到单台监测 设备？
经常更改监测工具的连接线？？ 带着监测工具赶去各个监 测地点？？ 放弃一部分数据流？
？
？
专有及保密信息
问题三 监测设备只需要指定的流量，如何剔除 无用流量？
➢ 减少监测设备的数量 ➢ 无需对监测设备进行升级或更换
专有及保密信息
Gigamon产品介绍
专有及保密信息
Gigamon产品系列
GigaVUE-212
GigaVUE-420
专有及保密信息
GigaVUE-2404
G-TAP
Web管理界面Citrus
专有及保密信息
GigaVUE-212前端视图
高1U 支持2个10G port 最大支持12个1G port（基础为8个，可扩展4个）
专有及保密信息
大学与医疗 卫生 酒店业
金融与 银行业
政府与 国防
电信业
保险业
计算机与 制造、公用事业
网络业
和零售业
专有及保密信息
NEBRASKA IT
MGIC
5
部分技术合作伙伴
专有及保密信息
网络监测现状分析
7
专有及保密信息
日益增多的网络监测设备
警报 服务水平监测 VoIP 监测 企业管理 环境监测 事件日志监测 系统监测 网络诊断工具
➢ 单一设备支持超过4000条的过滤/映射规则 ➢ 开启所有过滤时，所有端口都完全实现100%的线速性能
端口灵活定义
➢ 所有端口均可自定义为数据输入或输出端口，灵活适应各种 业务需求和变化
高扩展性
➢ 模块化扩展 ➢ 支持堆叠，最大可堆叠至23台 ➢ 快速适应增长的更复杂的业务要求
专有及保密信息
数据处理举例
组建集中统一的网络监测数据接入平台
TAP
核心
交换机
SPAN
TAP
… 汇聚层
TAP
接入
交换机
交换机
SPAN
SPAN
Gigamon 网络监测数据接入平台
网络安全监测 IDS
网络性能监测 Netscout
数据库安全 Guardium
…… 其他监测工具
专有及保密信息
随时为客户的监测管理系统提供线速数据服务
专有及保密信息
电信级VoIP 监测方案
问题
➢ VoIP服务质量投诉 ➢ 合法监听要求 ➢ 被监测节点数量较多 ➢ 在网络核心开启SPAN 端口，会出现丢包 ➢ VOIP的监测设备—QOS探测器成本较高
专有及保密信息
传统解决方案
代表五个 100 M 连接
每个探测器可以探测2个链路，总共60个连 接，60 个连接/ 每个探测器2个连接＝30个探 测器， 成本大概230w美金
流Inf量inistream 记录器
应用监视器
（VLAN 124 和 125）
应用监视器
（VLAN 126 和 127）
IIDDSS
数Inf据inistream 记录器
帮助客户
▪ 通过丰富的接口，很好地解决端口争用 ▪ 根据需求灵活地对数据进行汇聚和分配 ▪ 通过热插拔模块来简化操作 ▪ 可以随意连接和断开工具 ▪ 可视化管理，为一切管理系统提供最短的响应时间
服务器 交换机
18
VLAN 128~131
后过 滤器
8
后过 滤器
6
4
2
16 14
后过 滤器 7
后过 滤器
5
3
1
12 10
分析器
应用监视器
（VLAN 128 和 129）
应用监视器
（VLAN 130 和 131）
应用监视器
（VLAN 120 和 121）
应用监视器
（VLAN 122 和 123）
IIDDSS
帮助客户
Gigamon帮助招商银行解决监测中的问题：
➢ GigaVUE设备实现了多链路数据流的汇聚 ➢ GigaVUE能够将汇聚后的数据流复制成多份，发送给不同的
监测工具 ➢ 通过GigaVUE组建一个了集中监测管理配置平台，可以对所
有的监测数据流和监测工具进行统一集中的监控管理； ➢ 面对以后的监测工具测试或扩容，无需再修改生产网络的配
• 把多个链路汇聚至任意工具 • 把任意链路复制分流至多个工具 • 对数据进行智能过滤，将数据包映射至工具 • 通过智能过滤器在监测设备之间进行负载均衡
专有及保密信息
1对1
多对1
1对多
智能过滤
智能过滤能力
▪ 能对数据包128字节报头进行过滤 – 允许（allow）或阻止（deny）模式匹配 – 同时使用布尔“and”（与）或“or”（或）模式