Введение
Сетевой трафик — это общее количество пакетов, проходящих через сетевой канал в единицу времени, который является основным показателем для измерения сетевой нагрузки и производительности пересылки. Мониторинг сетевого трафика предназначен для сбора общих данных пакетов сетевой передачи и статистики, а сбор данных сетевого трафика — это захват сетевых IP-пакетов данных.
С расширением масштаба сети центра обработки данных Q система приложений становится все более изобилующей, структура сети становится все более сложной, требования к сетевым услугам в отношении сетевых ресурсов все выше и выше, угрозы сетевой безопасности становятся все больше и больше. , эксплуатация и обслуживание усовершенствованных требований продолжают улучшаться, сбор и анализ сетевого трафика стал незаменимым средством анализа инфраструктуры центра обработки данных. Благодаря углубленному анализу сетевого трафика сетевые менеджеры могут ускорить обнаружение неисправностей, анализировать данные приложений, более интуитивно оптимизировать структуру сети, производительность системы и контроль безопасности, а также ускорить обнаружение неисправностей. Сбор сетевого трафика является основой системы анализа трафика. Комплексная, разумная и эффективная сеть захвата трафика помогает повысить эффективность захвата, фильтрации и анализа сетевого трафика, удовлетворить потребности в анализе трафика с разных точек зрения, оптимизировать показатели производительности сети и бизнеса, а также улучшить качество обслуживания и удовлетворенность пользователей.
Очень важно изучить методы и инструменты захвата сетевого трафика для эффективного понимания и использования сети, точного мониторинга и анализа сети.
Ценность сбора/перехвата сетевого трафика
Для эксплуатации и обслуживания центров обработки данных создание единой платформы захвата сетевого трафика в сочетании с платформой мониторинга и анализа может значительно улучшить управление эксплуатацией и техническим обслуживанием, а также уровень управления непрерывностью бизнеса.
1. Предоставление источника данных для мониторинга и анализа. Трафик бизнес-взаимодействия в сетевой инфраструктуре, полученный путем захвата сетевого трафика, может стать необходимым источником данных для мониторинга сети, мониторинга безопасности, больших данных, анализа поведения клиентов, анализа и оптимизации требований стратегии доступа, все виды платформ визуального анализа, а также анализ затрат, расширение приложений и миграция.
2. Полная возможность отслеживания ошибок: благодаря захвату сетевого трафика он может осуществлять обратный анализ и диагностику ошибок исторических данных, обеспечивать поддержку исторических данных для отделов разработки, приложений и бизнеса, а также полностью решать проблемы сложного сбора доказательств, низкой эффективности и даже отрицание.
3. Повысьте эффективность обработки ошибок. Предоставляя единый источник данных для сети, мониторинга приложений, мониторинга безопасности и других платформ, он может устранить несогласованность и асимметрию информации, собранной исходными платформами мониторинга, повысить эффективность обработки всех видов чрезвычайных ситуаций, быстро обнаружить проблему, возобновить работу. бизнеса и повысить уровень непрерывности бизнеса.
Классификация сбора/перехвата сетевого трафика
Захват сетевого трафика в основном предназначен для мониторинга и анализа характеристик и изменений потока данных компьютерной сети, чтобы понять характеристики трафика всей сети. В соответствии с различными источниками сетевого трафика сетевой трафик делится на трафик порта сетевого узла, сквозной IP-трафик, служебный трафик конкретных услуг и полный трафик пользовательских сервисных данных.
1. Трафик порта сетевого узла
Трафик порта сетевого узла относится к информационной статистике входящих и исходящих пакетов в порту устройства сетевого узла. Он включает в себя количество пакетов данных, количество байтов, распределение размеров пакетов, потерю пакетов и другую статистическую информацию, не связанную с обучением.
2. Сквозной IP-трафик
Сквозной IP-трафик относится к сетевому уровню от источника к пункту назначения! Статистика P пакетов. По сравнению с трафиком порта сетевого узла сквозной IP-трафик содержит больше информации. Благодаря его анализу мы можем узнать сеть назначения, к которой имеют доступ пользователи, что является важной основой для сетевого анализа, планирования, проектирования и оптимизации.
3. Трафик сервисного уровня
Трафик сервисного уровня помимо сквозного IP-трафика содержит информацию о портах четвертого уровня (дневной уровень TCP). Очевидно, он содержит информацию о видах сервисов приложений, которые можно использовать для более детального анализа.
4. Полный трафик бизнес-данных пользователей
Полный трафик пользовательских сервисов очень эффективен для анализа безопасности, производительности и других аспектов. Для сбора полных данных пользовательских сервисов требуется сверхнадежная способность захвата, а также сверхвысокая скорость и емкость жесткого диска. Например, перехват входящих пакетов данных хакеров может остановить определенные преступления или получить важные доказательства.
Общий метод сбора/перехвата сетевого трафика
По характеристикам и методам обработки захвата сетевого трафика захват трафика можно разделить на следующие категории: частичный сбор и полный сбор, активный сбор и пассивный сбор, централизованный сбор и распределенный сбор, сбор аппаратного обеспечения и сбор программного обеспечения и т. д. развития сбора трафика, на основе приведенных выше идей классификации были созданы некоторые эффективные и практичные методы сбора трафика.
Технология сбора сетевого трафика в основном включает в себя технологию мониторинга, основанную на зеркале трафика, технологию мониторинга, основанную на захвате пакетов в реальном времени, технологию мониторинга, основанную на SNMP/RMON, и технологию мониторинга, основанную на протоколе анализа сетевого трафика, таком как NetiowsFlow. Среди них технология мониторинга, основанная на зеркале трафика, включает метод виртуального TAP и распределенный метод, основанный на аппаратном зондировании.
1. На основе зеркального мониторинга трафика.
Принцип технологии мониторинга сетевого трафика, основанной на полном зеркале, заключается в достижении копирования и сбора изображений сетевого трафика без потерь через зеркало портов сетевого оборудования, такого как коммутаторы или дополнительное оборудование, такое как оптический разветвитель и сетевой зонд. Мониторинг всей сети должен осуществляться по распределенной схеме: развертывание зонда в каждом канале, а затем сбор данных всех зондов через фоновый сервер и базу данных, а также анализ трафика и долгосрочный отчет по всей сети. По сравнению с другими методами сбора трафика наиболее важной особенностью сбора изображений трафика является то, что он может предоставить обширную информацию на уровне приложения.
2. На основе мониторинга захвата пакетов в реальном времени.
Основанный на технологии анализа захвата пакетов в реальном времени, он в основном обеспечивает подробный анализ данных от физического уровня до уровня приложений, уделяя особое внимание анализу протоколов. Он за короткое время захватывает интерфейсные пакеты для анализа и часто используется для быстрой диагностики и устранения неисправностей и неисправностей сети. Он имеет следующие недостатки: он не может перехватывать пакеты с большим трафиком и в течение длительного времени, а также не может анализировать динамику трафика пользователей.
3. Технология мониторинга на основе SNMP/RMON.
Мониторинг трафика на основе протокола SNMP/RMON собирает некоторые переменные, относящиеся к конкретному оборудованию, и информацию о трафике через MIB сетевых устройств. Он включает в себя: количество входных байтов, количество входных нешироковещательных пакетов, количество входных широковещательных пакетов, количество отброшенных входных пакетов, количество ошибок входных пакетов, количество входных пакетов неизвестного протокола, количество выходных пакетов, количество выходных не - широковещательные пакеты, количество выходных широковещательных пакетов, количество отброшенных выходных пакетов, количество ошибок выходных пакетов и т. д. Поскольку большинство маршрутизаторов теперь поддерживают стандарт SNMP, преимущество этого метода заключается в том, что не требуется никакого дополнительного оборудования для сбора данных. Однако он включает только самое базовое содержимое, такое как количество байтов и количество пакетов, что не подходит для сложного мониторинга трафика.
4. Технология мониторинга трафика на основе Netflow
На основе мониторинга трафика Nethow предоставляемая информация о трафике расширяется до количества байтов и пакетов на основе статистики из пяти кортежей (IP-адрес источника, IP-адрес назначения, порт источника, порт назначения, номер протокола), которые могут различать поток по каждому логическому каналу. Метод мониторинга имеет высокую эффективность сбора информации, но он не может анализировать информацию физического уровня и уровня канала передачи данных и требует использования некоторых ресурсов маршрутизации. Обычно к сетевому оборудованию необходимо подключить отдельный функциональный модуль.
Время публикации: 17 октября 2024 г.