Введение
Сетевой трафик — это общее количество пакетов, проходящих через сетевое соединение за единицу времени, которое является основным показателем для измерения нагрузки сети и производительности пересылки. Мониторинг сетевого трафика заключается в сборе общих данных о пакетах передачи данных в сети и статистики, а сбор данных о сетевом трафике — это сбор сетевых IP-пакетов данных.
С расширением масштаба сети центра обработки данных Q, прикладная система становится все более многочисленной, структура сети становится все более сложной, требования к сетевым сервисам и сетевым ресурсам растут, угроз безопасности сети становится все больше, эксплуатация и обслуживание уточненных требований продолжают совершенствоваться, сбор и анализ сетевого трафика стали незаменимым средством анализа инфраструктуры центра обработки данных. Благодаря глубокому анализу сетевого трафика администраторы сетей могут ускорить обнаружение неисправностей, анализировать данные приложений, оптимизировать структуру сети, производительность системы и контроль безопасности более интуитивно, а также ускорить обнаружение неисправностей. Сбор сетевого трафика является основой системы анализа трафика. Комплексная, разумная и эффективная сеть сбора трафика помогает повысить эффективность сбора, фильтрации и анализа сетевого трафика, удовлетворить потребности анализа трафика с разных сторон, оптимизировать показатели производительности сети и бизнеса, а также улучшить пользовательский опыт и удовлетворенность.
Очень важно изучить методы и инструменты перехвата сетевого трафика для эффективного понимания и использования сети, точного мониторинга и анализа сети.
Ценность сбора/перехвата сетевого трафика
Для эксплуатации и обслуживания центра обработки данных путем создания единой платформы сбора сетевого трафика в сочетании с платформой мониторинга и анализа можно значительно улучшить управление эксплуатацией и обслуживанием, а также уровень управления непрерывностью бизнеса.
1. Предоставление источника данных для мониторинга и анализа: Трафик бизнес-взаимодействия в сетевой инфраструктуре, полученный путем захвата сетевого трафика, может предоставить требуемый источник данных для мониторинга сети, мониторинга безопасности, больших данных, анализа поведения клиентов, анализа требований к стратегии доступа и оптимизации, всех видов платформ визуального анализа, а также анализа затрат, расширения и миграции приложений.
2. Возможность полной отслеживаемости без сбоев: благодаря захвату сетевого трафика можно реализовать обратный анализ и диагностику неисправностей исторических данных, обеспечить поддержку исторических данных для отделов разработки, приложений и бизнеса, а также полностью решить проблему сложного сбора доказательств, низкой эффективности и даже отрицания.
3. Повышение эффективности обработки сбоев. Предоставление единого источника данных для мониторинга сети, приложений, безопасности и других платформ позволяет устранить несогласованность и асимметрию информации, собираемой исходными платформами мониторинга, повысить эффективность обработки всех видов аварийных ситуаций, быстро локализовать проблему, возобновить работу и повысить уровень непрерывности бизнеса.
Классификация сбора/перехвата сетевого трафика
Сбор сетевого трафика в основном предназначен для мониторинга и анализа характеристик и изменений потока данных в компьютерной сети с целью получения полной картины трафика всей сети. В зависимости от источников сетевого трафика, сетевой трафик подразделяется на трафик портов сетевых узлов, сквозной IP-трафик, трафик отдельных сервисов и трафик данных всех пользовательских сервисов.
1. Трафик порта сетевого узла
Трафик порта сетевого узла относится к статистике входящих и исходящих пакетов на порту сетевого узла. Он включает в себя количество пакетов данных, количество байтов, распределение размеров пакетов, потерю пакетов и другую статистическую информацию, не связанную с обучением.
2. Сквозной IP-трафик
Сквозной IP-трафик относится к сетевому уровню от источника к получателю! Статистика P-пакетов. По сравнению с трафиком портов сетевых узлов, сквозной IP-трафик содержит больше информации. Анализируя его, мы можем определить сеть назначения, к которой обращаются пользователи сети, что является важной основой для анализа, планирования, проектирования и оптимизации сети.
3. Трафик уровня обслуживания
Трафик сервисного уровня содержит информацию о портах четвёртого уровня (TCP-дневного уровня), а также о сквозном IP-трафике. Очевидно, он содержит информацию о типах прикладных сервисов, которую можно использовать для более детального анализа.
4. Полный трафик бизнес-данных пользователя
Полный трафик данных пользовательских сервисов очень эффективен для анализа безопасности, производительности и других аспектов. Для сбора полных данных пользовательских сервисов требуются сверхвысокие возможности сбора данных, а также высокая скорость и ёмкость жёсткого диска. Например, перехват входящих пакетов данных хакеров может предотвратить некоторые преступления или получить важные улики.
Распространенный метод сбора/перехвата сетевого трафика
В зависимости от характеристик и методов обработки захвата сетевого трафика захват трафика можно разделить на следующие категории: частичный сбор и полный сбор, активный сбор и пассивный сбор, централизованный сбор и распределенный сбор, аппаратный сбор и программный сбор и т. д. С развитием сбора трафика были разработаны некоторые эффективные и практичные методы сбора трафика, основанные на приведенных выше идеях классификации.
Технология сбора сетевого трафика включает в себя, главным образом, технологию мониторинга на основе зеркалирования трафика, технологию мониторинга на основе захвата пакетов в реальном времени, технологию мониторинга на основе SNMP/RMON и технологию мониторинга на основе протокола анализа сетевого трафика, такого как NetiowsFlow. Среди них технология мониторинга на основе зеркалирования трафика включает в себя метод виртуального TAP и распределенный метод на основе аппаратного зондирования.
1. На основе мониторинга дорожного зеркала
Принцип технологии мониторинга сетевого трафика, основанной на полном зеркалировании, заключается в обеспечении копирования и сбора образов сетевого трафика без потерь через зеркалирование портов сетевого оборудования, такого как коммутаторы, или дополнительного оборудования, такого как оптический разветвитель и сетевой зонд. Для мониторинга всей сети необходимо использовать распределенную схему, развернув зонд на каждом канале и собрав данные со всех зондов через фоновый сервер и базу данных, а также проведя анализ трафика и составив долгосрочный отчет по всей сети. По сравнению с другими методами сбора трафика, важнейшей особенностью сбора образов трафика является возможность предоставления обширной информации на прикладном уровне.
2. На основе мониторинга захвата пакетов в реальном времени
Основанный на технологии анализа захвата пакетов в режиме реального времени, он обеспечивает подробный анализ данных от физического до прикладного уровня, уделяя особое внимание анализу протоколов. Он быстро захватывает пакеты интерфейса для анализа и часто используется для быстрой диагностики и устранения проблем с производительностью сети и неисправностями. К недостаткам можно отнести невозможность захвата пакетов с большим объемом трафика в течение длительного времени, а также невозможность анализа динамики трафика пользователей.
3. Технология мониторинга на основе SNMP/RMON
Мониторинг трафика на основе протокола SNMP/RMON собирает некоторые переменные, относящиеся к конкретному оборудованию и информации о трафике через MIB сетевых устройств. Сюда входят: количество входящих байтов, количество входящих нешироковещательных пакетов, количество входящих широковещательных пакетов, количество отброшенных входящих пакетов, количество ошибок входящих пакетов, количество входящих пакетов с неизвестным протоколом, количество исходящих пакетов, количество исходящих нешироковещательных пакетов, количество исходящих широковещательных пакетов, количество отброшенных исходящих пакетов, количество ошибок в исходящих пакетах и т. д. Поскольку большинство маршрутизаторов теперь поддерживают стандартный протокол SNMP, преимущество этого метода заключается в том, что он не требует дополнительного оборудования для сбора данных. Однако он включает только самую базовую информацию, такую как количество байтов и количество пакетов, что не подходит для комплексного мониторинга трафика.
4. Технология мониторинга трафика на основе Netflow
Благодаря мониторингу трафика Nethow, предоставляемая информация о трафике расширяется до количества байтов и пакетов на основе пятикортежной статистики (IP-адрес источника, IP-адрес назначения, порт источника, порт назначения, номер протокола), что позволяет различать потоки по каждому логическому каналу. Метод мониторинга отличается высокой эффективностью сбора информации, но не позволяет анализировать данные физического и канального уровней, а также требует использования ресурсов маршрутизации. Обычно для этого требуется подключение отдельного функционального модуля к сетевому оборудованию.
Время публикации: 17 октября 2024 г.
