目前大多需要進行高速流量處理的場景，基本都是使用DPDK進行數(shù)據(jù)包處理加速，DPDK雖然是開源免費的，但是DPDK提供的API很簡單，進行開發(fā)十分復(fù)雜，耗時，應(yīng)用困難，于是許多人開始尋找替代方案--虹科PF_RING ZC。

細談區(qū)別

DPDK

假如你一名經(jīng)驗豐富的開發(fā)人員（抱歉，DPDK API 非常簡單），您需要在從頭開始編寫您的應(yīng)用程序，您可以使用所有 DPDK API 調(diào)用來分配/管理數(shù)據(jù)包，并且您必須了解您所使用的 NIC。

舉個例子：假如你使用英特爾 X710/XL710，它是英特爾當前的旗艦 10/40 Gbit 適配器。當您啟用巨型幀時，NIC 將返回 2K 長的 RX 數(shù)據(jù)包（因此，如果您有一個入口 5k 數(shù)據(jù)包，您將收到部分 2 x 2K 緩沖區(qū)和剩余的 1k 緩沖區(qū)），如果您想發(fā)送一個數(shù)據(jù)包，則大小為 9K（因此您需要發(fā)送 1x8K 部分緩沖區(qū)以及以下緩沖區(qū)中的其余部分）。本質(zhì)上，開發(fā)人員必須知道這一點，準備用應(yīng)用程序來處理這些問題，并確保當您移動到另一個不能以這種方式工作的 NIC（例如 Intel X520/X540）時，您能夠處理巨型幀。

PF_RING ZC

相反，在 PF_RING ZC 中，庫根據(jù) MTU 分配內(nèi)存緩沖區(qū)，無論您使用什么網(wǎng)卡，庫都將始終返回完整的數(shù)據(jù)包（即緩沖區(qū)中的所有這些數(shù)據(jù)包分段不會暴露給將始終使用的用戶，開發(fā)人員唯一要做的就是確保他的應(yīng)用程序可以處理巨型數(shù)據(jù)包。使用PF_RING ZC API，開發(fā)人員無需記住的 NIC 的硬件細節(jié)，無需更改一行代碼、只需將設(shè)備名稱從：

-i eth1

更改為

-i zc:eth13

就可以將應(yīng)用程序在不同硬件設(shè)備上進行轉(zhuǎn)移。

比較

1） ZC 需要支付少許的許可證費用，DPDK 是免費的，；

2） DPDK 與ZC的性能基本持平；

3）ZC提供易于使用的應(yīng)用層API，開發(fā)難度遠小于DPDK；

PF_RING ZC提供的API

PF_RINGZC帶有一個簡單的API，能夠用幾行代碼創(chuàng)建一個復(fù)雜的應(yīng)用程序。以下示例顯示了如何用6行代碼創(chuàng)建一個聚合器+負載均衡器應(yīng)用程序。

PF_RING ZC加速Zeek

Zeek是一個開源網(wǎng)絡(luò)流量分析器。許多用戶將Zeek用作網(wǎng)絡(luò)安全監(jiān)視器（NSM），以支持對可疑或惡意活動的調(diào)查。Zeek還支持安全領(lǐng)域以外的各種流量分析任務(wù)，包括性能評估和故障排除。使用PF_RING ZC（zero copy）驅(qū)動程序可實現(xiàn)極高的數(shù)據(jù)包捕獲/傳輸速度，極大提升Zeek的流量處理能力。

使用帶有 PF_RING 的 Suricata

Suricata是一個免費、開源、成熟、快速、健壯的網(wǎng)絡(luò)威脅檢測引擎。Suricata引擎能夠進行實時入侵檢測（IDS）、內(nèi)聯(lián)入侵預(yù)防（IPS）、網(wǎng)絡(luò)安全監(jiān)控（NSM）和離線pcap處理。Suricata使用強大而廣泛的規(guī)則和簽名語言來檢查網(wǎng)絡(luò)流量，應(yīng)用十分廣泛。使用PF_RING ZC讓你您現(xiàn)在可以在 IDS 和 IPS 模式下高速使用 Suricata。

Snort高速數(shù)據(jù)采集

許多用戶還可以在使用Snort（最受歡迎的 IDS/IPS 之一），且目前正受益于 PF_RING ZC 的速度。使用PF_RING ZC （Snort 數(shù)據(jù)采集）庫比標準的PF_RING速度提高 20% 到 50% ，它可以在 IPS 和 IDS 模式下運行。

虹科提供網(wǎng)絡(luò)流量監(jiān)控與分析的軟件解決方案-ntop。該方案可在物理，虛擬，容器等多種環(huán)境下部署，部署簡單且無需任何專業(yè)硬件即可實現(xiàn)高速流量分析。解決方案由多個組件構(gòu)成，每個組件即可單獨使用，與第三方工具集成，也可以靈活組合形成不同解決方案。包含的組件如下：

PF_RING：一種新型的網(wǎng)絡(luò)套接字，可顯著提高數(shù)據(jù)包捕獲速度。

nProbe：網(wǎng)絡(luò)探針，可用于處理NetFlow/sFlow流數(shù)據(jù)或者原始流量。

n2disk：用于高速連續(xù)流量存儲處理和回放。

ntopng：基于Web的網(wǎng)絡(luò)流量監(jiān)控分析工具，用于實時監(jiān)控和回溯分析。

編輯：jq