Network packet broker

概述

参考：

• Wiki，Data monitoring switch
• 知乎，什么是TAP分流器/交换机，有哪些品牌

Network Packet Broker(网络数据包代理，简称 NPB) 是一种比 Network tap 更强大的流量处置技术，实现了 NPB 的设备接收来自大量链路上的流量，将其汇聚在设备内部处理（e.g. 过滤、etc.）后，再将流量分发给另一侧的其他设备。这种行为也可以称为汇聚分流，对应的，实现了 NPB 的设备可以称为 汇聚分流设备。

Network tap 通常只能是 1 对 2 让流量复制一份；而 NPB 可以实现 1 对 多，多 对 多，且除了基本的窃听流量（i.e. 复制流量）功能外，还可以实现多种多样的流量处理能力

还有一些词汇也是用来描述实现 NPB 功能的设备：Data monitoring switch(数据监控交换机)、Data access switch(数据访问交换机)、Tool aggregator(工具聚合器)、Net tool optimizer(网络工具优化器)、Distributed filter tap(分布式过滤器)、Network Traffic Aggregator(网络流量聚合器)、Aggregation Taps(聚合)

NPB 设备通常是作为 旁路设备 以 并接 的方式接入到主链路中，接收的是来自 DPI、其他 NPB 设备、etc. 的流量。

NPB 内部的核心能力是对来自多条链路的流量实现了 同源同宿，保证多条链路的流量不会混乱。NPB 对接收到的大量流量进行汇聚、过滤、分发，NPB 并不需要串联进进链路中执行具体的像安全设备似的丢弃报文、阻断流量相关的任务。主要是基于如下需求产生的

汇聚分流

参考：

• 知乎，TAP交换机初探
• 知乎，谈谈TAP交换机的架构

TAP 交换机其实不是一个合适的叫法，但行业内大部分人都习惯于这个叫法。并且，在国内它还有很多其他叫法，比如：镜像交换机、TAP分流器、流量分流器、流量汇聚分流器、NPB、TAP 等等，一般情况之下，讲的是同一个东西。实际上，这个玩意是从国外传到国内的，由于语言上、理解上、厂商引导上的差异，造成了国内多种不同的叫法。

追根溯源，先谈谈国外 TAP 交换机的情况。提到国外 TAP 交换机，总归是绕不开一家公司的，那就是 Gigamon。这玩意是不是这个公司的首创我不知道，但这公司在 TAP 交换机市场上的地位，相当于思科在交换机市场上的地位，是绝对的扛把子。当然，近几年随着国内市场的发展，Gigamon 在国内某些行业做的不错之外，由于其高昂的价格和国内市场导入力度的原因（个人感觉），这个品牌也只是少数业内人士了解，市场接受度和品牌影响力并不是很大。

说完这点渊源，再来澄清几个概念。

TAP，英文全称是 Test Access Point，直译就是测试接入点。光看名字还是不知道是个啥玩意。我说一样东西，读者朋友可能就知道 TAP 大概是个什么东西了，那就是比较常见的分光器。国内很多做光模块的厂商都涉及这部分业务，实际上一些 TAP 厂商也是从分光器厂商延伸过来的。当然，TAP 并不等同于分光器，后面会简单说下差别。

国外也有很多做 TAP 的厂商，既然 Gigamon 作为行业老大，我就以他们为标准，来讨论 TAP 的情况，其他大同小异。他们把 TAP 细分成 4 种，简单讲就是 Passive TAP、Active TAP、vTAP 和 Bypass TAP。分的太细了，其中 vTAP 是用于虚拟网络的，这个以后再说。先说另外三种，Passive TAP 功能最简单，跟交换机上的流量镜像功能一样，就是把流量复制一份，可光可电。不同在于流量镜像是交换机的功能，Passive TAP 是在链路上增加一个设备，并且就是一个无源非管理设备（这不就是分光器么，当然分光器不能用在网线上）。Active TAP 是有源的，尤其对于光信号来讲，有源 TAP 是重新调制光信号，可以适应不同波长的模块，进而实现不同长度的传输距离。Bypass TAP也是有源的，增加了一个断电保护，也就是断电后，仍然能够正常工作（断电后应该还是有一些影响的，部分功能会失效）。

无论什么 TAP，只能做到一路进，两路出，也就是复制一份流量。当然TAP设备上一般是多组一分二组成的，相互之间是独立的。我如果希望一路进三路甚至更多出，也就是复制两份及以上的流量，怎么办，TAP 是搞不定的，这就要提到下面这种设备了。

NPB，Network Packet Broker，实际上大家通常讲的 TAP 交换机是这个设备，而不是上面的 TAP 设备。因为上面的 TAP 设备在实际应用中，更多的还是使用分光器和交换机镜像功能来解决。从 NPB 的英文名称直译对大多数人来讲，还是很费解，都不知道咋翻译（网络报文代理？网络报文掮客？网络报文经纪人？）。按照 Gigamon 的翻译是流量汇聚器，其实我不喜欢这个名字，我更喜欢流量汇聚分流器，我觉得这个名字更贴切，流量汇聚器只提了流量的汇聚，这个设备的还有一部分重要功能就是分流，汇聚分流器更加全面。下面我就以汇聚分流器来称呼这个设备。

汇聚分流器从硬件上和交换机的形态类似，有机框式的，更多的是盒式的。功能上要比 TAP 强很多，TAP 就是简单一分二，汇聚分流器除了一分二以外，还可以一分多，还可以增加很多额外很实用功能，这个我会在另外的文章专门介绍。

国内情况

好的东西自然要拿来，国内有众多优秀的 TAP、汇聚分流器厂商，并且有几家依靠这块业务已经做到公司上市了。需要再次说明的是，国内对汇聚分流器的称呼五花八门，基本上说的是同一种东西，比如TAP交换机、镜像交换机、分流器、TAP 分流器、流量分流器、流量交换机等，很少有交 NPB 的，可能都觉得NPB太费解吧。

不同于交换机市场有几大巨头的存在，国内汇聚分流器市场还没有特别大的厂商，哪怕是上市公司，这部分产值也不是特别巨大，跟交换机产值不在一个量级上，从几百万、几千万到几个亿都哟，能够上亿的就算比较大了（我讲的是汇聚分流器的产值，不是整个公司的）。也可能是市场规模并不是特别大，所以传统大厂看不上，哪怕在方案上用得到，也一般以OEM或者外采为主。

在技术成熟度上，国内厂商的技术能力还是不错的，不必盲从迷信于国外厂商。每个厂商都有自己独到之处，功能和性能也不输于国外的这些厂商。

NPB 厂家

• Gigamon，海外市场的扛把子，这个市场的先驱者，必须要尊重，列在第一个。
• 上海恒为，一个依靠汇聚分流器做到上市的公司，很不错，不过现在业务扩展得很多。
• 中新赛克，也是一家做到上市的公司，特种行业做得不错，以机框式产品为主，应该也会推出盒式产品，不多说。
• 苏州盛科，这个做国产化交换芯片起家的公司，基于他们自研的芯片，研发的汇聚分流器产品，品类挺全，技术实力很强。我接触这一块产品就是从他们开始的，也是接触最多的，必须要感谢一个，后面我还会写一些这类产品测评、方案类的文章，也都是以他们产品为基础的。
• 其他还有一些厂商，体量都差不多，产品也都有一些独到之处，就不一一列举了