Введение
Сетевой трафик — это общее количество пакетов, проходящих через сетевое соединение за единицу времени, что является основным показателем для измерения сетевой нагрузки и производительности пересылки. Мониторинг сетевого трафика заключается в сборе общих данных о сетевых пакетах передачи и статистике, а сбор данных сетевого трафика — это сбор сетевых пакетов данных IP.
С расширением масштаба сети центра обработки данных Q, прикладная система становится все более обильной, сетевая структура становится все более сложной, требования к сетевым сервисам в сетевых ресурсах становятся все выше и выше, угроз безопасности сети становится все больше, эксплуатация и обслуживание уточненных требований продолжают улучшаться, сбор и анализ сетевого трафика стали незаменимым средством анализа инфраструктуры центра обработки данных. Благодаря глубокому анализу сетевого трафика сетевые менеджеры могут ускорить локализацию неисправностей, анализировать данные приложений, оптимизировать структуру сети, производительность системы и контроль безопасности более интуитивно и ускорить локализацию неисправностей. Сбор сетевого трафика является основой системы анализа трафика. Комплексная, разумная и эффективная сеть захвата трафика полезна для повышения эффективности захвата, фильтрации и анализа сетевого трафика, удовлетворения потребностей анализа трафика с разных сторон, оптимизации показателей производительности сети и бизнеса, а также улучшения пользовательского опыта и удовлетворенности.
Очень важно изучить методы и инструменты перехвата сетевого трафика для эффективного понимания и использования сети, точного мониторинга и анализа сети.
Ценность сбора/перехвата сетевого трафика
Для эксплуатации и обслуживания центров обработки данных создание единой платформы сбора сетевого трафика в сочетании с платформой мониторинга и анализа может значительно улучшить управление эксплуатацией и обслуживанием, а также уровень управления непрерывностью бизнеса.
1. Предоставление источника данных для мониторинга и анализа: Трафик бизнес-взаимодействия в сетевой инфраструктуре, полученный путем захвата сетевого трафика, может предоставить необходимый источник данных для мониторинга сети, мониторинга безопасности, больших данных, анализа поведения клиентов, анализа и оптимизации требований к стратегии доступа, всех видов платформ визуального анализа, а также анализа затрат, расширения и миграции приложений.
2. Возможность полной отслеживаемости без сбоев: посредством захвата сетевого трафика можно реализовать обратный анализ и диагностику неисправностей исторических данных, обеспечить поддержку исторических данных для отделов разработки, приложений и бизнеса, а также полностью решить проблему сложного сбора доказательств, низкой эффективности и даже отрицания.
3. Повышение эффективности обработки неисправностей. Предоставляя единый источник данных для сети, мониторинга приложений, мониторинга безопасности и других платформ, он может устранить несоответствия и асимметрию информации, собираемой исходными платформами мониторинга, повысить эффективность обработки всех видов чрезвычайных ситуаций, быстро локализовать проблему, возобновить бизнес и повысить уровень непрерывности бизнеса.
Классификация сбора/перехвата сетевого трафика
Захват сетевого трафика в основном предназначен для мониторинга и анализа характеристик и изменений потока данных компьютерной сети с целью понимания характеристик трафика всей сети. В зависимости от различных источников сетевого трафика сетевой трафик делится на трафик портов сетевых узлов, сквозной IP-трафик, трафик услуг определенных услуг и полный трафик данных пользовательских услуг.
1. Трафик порта сетевого узла
Трафик порта сетевого узла относится к информационной статистике входящих и исходящих пакетов на порту устройства сетевого узла. Он включает в себя количество пакетов данных, количество байтов, распределение размеров пакетов, потерю пакетов и другую статистическую информацию, не связанную с обучением.
2. Сквозной IP-трафик
Сквозной IP-трафик относится к сетевому уровню от источника до пункта назначения! Статистика P-пакетов. По сравнению с трафиком порта сетевого узла, сквозной IP-трафик содержит больше информации. Благодаря его анализу мы можем узнать сеть назначения, к которой пользователи в сети имеют доступ, что является важной основой для анализа, планирования, проектирования и оптимизации сети.
3. Трафик уровня обслуживания
Трафик уровня сервиса содержит информацию о портах четвертого уровня (TCP day layer) в дополнение к сквозному IP-трафику. Очевидно, он содержит информацию о видах прикладных сервисов, которые могут быть использованы для более детального анализа.
4. Полный трафик бизнес-данных пользователя
Полный трафик данных пользовательских услуг очень эффективен для анализа безопасности, производительности и других аспектов. Захват полных данных пользовательских услуг требует сверхсильной способности захвата и сверхвысокой скорости и емкости жесткого диска. Например, захват входящих пакетов данных хакеров может остановить определенные преступления или получить важные доказательства.
Распространенный метод сбора/перехвата сетевого трафика
В зависимости от характеристик и методов обработки захвата сетевого трафика захват трафика можно разделить на следующие категории: частичный сбор и полный сбор, активный сбор и пассивный сбор, централизованный сбор и распределенный сбор, аппаратный сбор и программный сбор и т. д. С развитием сбора трафика были разработаны некоторые эффективные и практичные методы сбора трафика, основанные на приведенных выше идеях классификации.
Технология сбора сетевого трафика в основном включает технологию мониторинга на основе зеркала трафика, технологию мониторинга на основе захвата пакетов в реальном времени, технологию мониторинга на основе SNMP/RMON и технологию мониторинга на основе протокола анализа сетевого трафика, такого как NetiowsFlow. Среди них технология мониторинга на основе зеркала трафика включает метод виртуального TAP и распределенный метод на основе аппаратного зонда.
1. На основе мониторинга дорожного зеркала
Принцип технологии мониторинга сетевого трафика на основе полного зеркала заключается в достижении копирования и сбора изображений без потерь сетевого трафика через зеркало порта сетевого оборудования, такого как коммутаторы или дополнительное оборудование, такое как оптический разветвитель и сетевой зонд. Мониторинг всей сети должен использовать распределенную схему, развертывая зонд в каждом канале, а затем собирая данные всех зондов через фоновый сервер и базу данных, а также выполняя анализ трафика и долгосрочный отчет по всей сети. По сравнению с другими методами сбора трафика, наиболее важной особенностью сбора изображений трафика является то, что он может предоставлять богатую информацию прикладного уровня.
2. На основе мониторинга захвата пакетов в реальном времени
Основанный на технологии анализа захвата пакетов в реальном времени, он в основном обеспечивает подробный анализ данных от физического уровня до уровня приложений, фокусируясь на анализе протоколов. Он захватывает пакеты интерфейса за короткое время для анализа и часто используется для реализации быстрой диагностики и решения проблем производительности сети и неисправностей. Он имеет следующие недостатки: он не может захватывать пакеты с большим трафиком и в течение длительного времени, и он не может анализировать тенденцию трафика пользователей.
3. Технология мониторинга на основе SNMP/RMON
Мониторинг трафика на основе протокола SNMP/RMON собирает некоторые переменные, связанные с определенным оборудованием и информацией о трафике через MIB сетевых устройств. Он включает в себя: количество входных байтов, количество входных нешироковещательных пакетов, количество входных широковещательных пакетов, количество отброшенных входных пакетов, количество ошибок входных пакетов, количество входных пакетов неизвестного протокола, количество выходных пакетов, количество выходных нешироковещательных пакетов, количество выходных широковещательных пакетов, количество отброшенных выходных пакетов, количество ошибок выходных пакетов и т. д. Поскольку большинство маршрутизаторов теперь поддерживают стандартный SNMP, преимущество этого метода заключается в том, что не требуется никакого дополнительного оборудования для сбора данных. Однако он включает только самое базовое содержимое, такое как количество байтов и количество пакетов, что не подходит для комплексного мониторинга трафика.
4. Технология мониторинга трафика на основе Netflow
На основе мониторинга трафика Nethow предоставленная информация о трафике расширяется до количества байтов и пакетов на основе статистики из пяти кортежей (исходный IP-адрес, целевой IP-адрес, исходный порт, целевой порт, номер протокола), которая может различать поток на каждом логическом канале. Метод мониторинга имеет высокую эффективность сбора информации, но он не может анализировать информацию физического уровня и уровня канала передачи данных и требует потребления некоторых ресурсов маршрутизации. Обычно для этого требуется присоединить отдельный функциональный модуль к сетевому оборудованию.
Время публикации: 17 октября 2024 г.
