据思科最新公布的《视觉网络指数：全球移动数据流量预测》显示，2014到2019年，全球移动数据流量将增长十倍，年复合增长率将达到57%。这一流量的年度运行率将从2014年的30.3艾字节增长至2019年的291.8艾字节。也许，我们从思科的这份统计报告中得出的最令人吃惊的数据信息是，到2019年，54%的移动链接将来自“智能”链接。而这一比例在2014年仅为26%。

　　欢迎来到物联网(IoT)的世界。在这一物联网的世界，数据信息的量、传递速度和数据来源均在发生着极快的变化。今天的网络专业人士不仅需要利用相关的工具来保护企业网络，同时还需要确保数据实时的纳秒级的精度。

　　数据包捕获(PCAP)是其中的一种基本工具。这是一种采用拦截数据包遍历一个计算机网络的机制，PCAP是企业部署的一种常见的功能，用以安全事件和网络性能的监测，识别数据泄漏，排查问题，甚至进行取证分析，以确定网络漏洞的影响。

　　不过，现实情况则是：鉴于物联网对于网络需求的不断增加，使得数据的传输速度不断增加，现有的PCAP体系跟不上。企业用户所使用的是商业化的网络接口卡(NIC)，并正在努力满足以10/40/100 Gbps的速率进行精确的捕捉和回放的要求。好消息是，我们今天已经有了一些解决方案，已经被用来实施速度超过100 Gbps的数据包捕获。利用网络加速技术，再加上开源的网络监控和捕获解决方案，可以使企业用户能够满足高速网络的精确数据包捕获和回放要求。

　　高速网络的分析与安全解决方案

　　工程师和管理人员需要的是对于当前网络基础设施中所发生状况的实时、精确的视图把控，而这就是有效的PCAP和分析系统可以提供的。同样，精密PCAP系统也给企业用户提供了创建具有高保真验证和架构变化验证，故障排除和分析网络事件的能力。

　　当进行高速网络和安全性解决方案的研究分析时，一个重要考虑的因素是与速度和可编程逻辑准确性开源工具的结合。如下三大关键因素是您企业比较相关的选择方案时值得考虑的：

　　Ø高精度的时间戳：寻找能够提供高精度的、基于硬件的时间戳(time stamping)，拥有纳秒分辨率进行每帧捕获和发送的解决方案。基于硬件的时间戳避免了以软件为基础的解决方案固有的不可预知的延迟，并实现了对通信流的精确记录。精密时间协议(PTP)的支持，还可以用于在分布式探测器网络的精确同步。

　　Ø在流量入口处指挥流量：在流量入口直接识别流量的技术的实现对于保持立即捕获和在高转速下的性能分析是非常重要的。这样，用户空间应用程序的负载可以被最小化，管理员能够动态识别，并将相关的数据流直接导入到特定的处理器内核，以便根据流量的类型进行分析。

　　Ø以各种速度进行数据包捕获和重放：如果企业的目标是以各种速度实现高速的数据包捕获和重放，包括1/10/40/100 Gbps，网络加速卡(NAC)基于现场可编程门阵列(FPGA)是理想的选择。此外，NAC允许精确的帧间间隙(IFG)控制，这在回放捕获的流量进行故障排除或模拟业务流时，是至关重要的。

　　标准的数据包捕获(PCAP)

　　对于网络基础设施进行数据包捕获和分析的重要功能，企业用户以往的历史上是依赖于软件工具。在这种情况下，软件是安装在指定的监控主机上，配置网络轮询包，将商业化的网络适配器置于混杂模式，并连接到网络使用一个交换机端口分析仪(SPAN)接口。下图1说明了低速的PCAP使用商业化的网络接口卡(NIC)和libpcap的典型结构。

 

　　图1：传统的PCAP体系结构

　　在此架构下，每次网络适配器收到以太网帧时，它会产生一个中断请求，并从适配器的内存缓冲区复制数据到内核空间中。通常情况下，内核空间驱动器确定该数据包是否是用于该主机，或者丢弃数据包，或者将其传递给协议栈，直到它到达用户空间被指定的应用程序时。但是，当为混杂模式进行配置时，所有数据包均被捕获到内核缓冲区无论其目标主机如何。一旦内核缓冲区满时，上下文切换被执行以将数据传送到由libpcap管理的用户空间缓冲，这是一个与用户级数据包捕获无关的一个独立系统接口，使得数据可以由用户级应用程序进行访问。

　　内核缓冲区从用户级应用程序中移除，并且要保持应用程序访问内核管理内存。鉴于这种结构，很明显，当一个帧被适配器接收到，而其实际上是要交付给用户空间应用程序进行处理时，某些一定的时间间隔内会失效。

　　当数据传输速率低时，这一时间间隔并不会对PCAP的准确性产生显著影响，但在更高的速率下，情况是复合的，CPU趋于饱和，试图跟上传入的数据，则会导致捕获损失和时序问题。例如，我们可以考虑一个1 Gbps的网络链接可以推动每秒150万数据包，或一个数据包需要花费670纳秒。相反，在10和100 Gbps条件下，系统处理一个数据包，分别为每67或6.7纳秒。

　　对于传统的架构，以这种速率捕获数据包，而不增加时间，分类，流量识别和过滤精确度的复杂性已经很难了。在这种速率情况下，执行无损高保真的数据包捕获，回放和实时数据流分析需要采用与PCAP不同的方法，其中一种便是将大量的数据处理从用户空间移动到硬件，同时也消除了低效的用户到内核空间的相互作用。