Введение
Сетевой трафик — это общее количество пакетов, проходящих через сетевой канал за единицу времени, и является основным показателем для измерения сетевой нагрузки и производительности пересылки. Мониторинг сетевого трафика заключается в сборе общих данных о передаваемых по сети пакетах и статистике, а сбор данных сетевого трафика — это сбор IP-пакетов данных сети.
С расширением масштабов сети центров обработки данных Q, количество прикладных систем постоянно растет, структура сети усложняется, требования к сетевым ресурсам для сетевых сервисов возрастают, угрозы сетевой безопасности увеличиваются, а требования к эксплуатации и техническому обслуживанию постоянно совершенствуются. Сбор и анализ сетевого трафика стали незаменимым средством анализа инфраструктуры центров обработки данных. Благодаря углубленному анализу сетевого трафика, сетевые менеджеры могут быстрее выявлять неисправности, анализировать данные приложений, оптимизировать структуру сети, производительность системы и контроль безопасности более наглядно, а также быстрее находить неисправности. Сбор сетевого трафика является основой системы анализа трафика. Комплексный, рациональный и эффективный сбор трафика в сети помогает повысить эффективность сбора, фильтрации и анализа сетевого трафика, удовлетворить потребности в анализе трафика с разных сторон, оптимизировать показатели производительности сети и бизнеса, а также улучшить пользовательский опыт и удовлетворенность.
Изучение методов и инструментов захвата сетевого трафика крайне важно для эффективного понимания и использования сети, а также для точного мониторинга и анализа сети.
Ценность сбора/перехвата сетевого трафика
Для обеспечения бесперебойной работы и технического обслуживания центров обработки данных создание единой платформы для захвата сетевого трафика в сочетании с платформой мониторинга и анализа может значительно повысить уровень управления эксплуатацией и техническим обслуживанием, а также обеспечения непрерывности бизнеса.
1. Предоставление источника данных для мониторинга и анализа: Данные о взаимодействии предприятий в сетевой инфраструктуре, полученные путем захвата сетевого трафика, могут служить необходимым источником данных для мониторинга сети, мониторинга безопасности, анализа больших данных, анализа поведения клиентов, анализа и оптимизации требований к стратегии доступа, различных платформ визуального анализа, а также анализа затрат, расширения и миграции приложений.
2. Полная возможность отслеживания без ошибок: благодаря перехвату сетевого трафика, система позволяет проводить обратный анализ и диагностику ошибок на основе исторических данных, предоставляя историческую поддержку отделам разработки, приложений и бизнеса, а также полностью решая проблему сложности сбора доказательств, низкой эффективности и даже возможности отрицания вины.
3. Повышение эффективности обработки неисправностей. Предоставляя единый источник данных для мониторинга сети, приложений, безопасности и других платформ, можно устранить несогласованность и асимметрию информации, собираемой исходными платформами мониторинга, повысить эффективность обработки различных чрезвычайных ситуаций, быстро выявить проблему, возобновить работу и повысить уровень непрерывности бизнеса.
Классификация сбора/перехвата сетевого трафика
Захват сетевого трафика в основном заключается в мониторинге и анализе характеристик и изменений потока данных в компьютерной сети с целью понимания характеристик трафика всей сети. В зависимости от источников сетевого трафика, он подразделяется на трафик портов сетевых узлов, сквозной IP-трафик, сервисный трафик конкретных служб и полный трафик данных пользовательских служб.
1. Трафик портов сетевых узлов
Информация о трафике на порту сетевого узла относится к статистическим данным о входящих и исходящих пакетах, поступающих на порт устройства сетевого узла. Она включает в себя количество пакетов данных, количество байтов, распределение размеров пакетов, потери пакетов и другую статистическую информацию, не связанную с обучением.
2. Сквозной IP-трафик
Сквозной IP-трафик — это сетевой трафик от источника к получателю! Статистика P-пакетов. По сравнению с трафиком портов сетевых узлов, сквозной IP-трафик содержит больше информации. Анализируя его, мы можем узнать, к какой сети получают доступ пользователи, что является важной основой для анализа, планирования, проектирования и оптимизации сети.
3. Трафик уровня сервисов
Трафик сервисного уровня содержит информацию о портах четвертого уровня (дневного уровня TCP) в дополнение к сквозному IP-трафику. Очевидно, он содержит информацию о типах прикладных сервисов, которая может быть использована для более детального анализа.
4. Полный поток бизнес-данных пользователя.
Полный анализ трафика пользовательских сервисов очень эффективен для анализа безопасности, производительности и других аспектов. Для сбора полного объема пользовательских данных требуется сверхмощная система захвата, а также сверхвысокая скорость и емкость жесткого диска. Например, перехват входящих пакетов данных от хакеров может предотвратить определенные преступления или получить важные доказательства.
Распространенный метод сбора/перехвата сетевого трафика
В зависимости от характеристик и методов обработки данных при захвате сетевого трафика, его можно разделить на следующие категории: частичный и полный сбор, активный и пассивный сбор, централизованный и распределенный сбор, аппаратный и программный сбор и т. д. С развитием методов сбора трафика на основе вышеуказанных классификационных идей были разработаны эффективные и практичные способы сбора данных.
Технологии сбора сетевого трафика в основном включают в себя технологии мониторинга на основе зеркалирования трафика, технологии мониторинга на основе захвата пакетов в реальном времени, технологии мониторинга на основе SNMP/RMON и технологии мониторинга на основе протоколов анализа сетевого трафика, таких как NetiowsFlow. Среди них технологии мониторинга на основе зеркалирования трафика включают метод виртуального TAP и распределенный метод на основе аппаратного зондирования.
1. На основе мониторинга дорожных зеркал.
Принцип технологии мониторинга сетевого трафика, основанной на полном зеркалировании, заключается в достижении без потерь копирования и сбора изображений сетевого трафика посредством зеркалирования портов сетевого оборудования, такого как коммутаторы или дополнительное оборудование, например, оптический разветвитель и сетевой зонд. Мониторинг всей сети требует применения распределенной схемы: на каждом канале связи размещается зонд, данные со всех зондов собираются через фоновый сервер и базу данных, проводится анализ трафика и формируется долгосрочный отчет по всей сети. По сравнению с другими методами сбора трафика, наиболее важной особенностью сбора изображений трафика является возможность предоставления богатой информации на прикладном уровне.
2. На основе мониторинга захвата пакетов в реальном времени.
Основанная на технологии анализа пакетов в реальном времени, она в основном обеспечивает детальный анализ данных от физического уровня до уровня приложений, с упором на анализ протоколов. Она позволяет быстро захватывать пакеты интерфейса для анализа и часто используется для быстрой диагностики и устранения неполадок и проблем с производительностью сети. Однако она имеет следующие недостатки: не может захватывать пакеты с большим объемом трафика и длительным временем, а также не может анализировать тенденции трафика пользователей.
3. Технология мониторинга на основе SNMP/RMON
Мониторинг трафика на основе протокола SNMP/RMON собирает ряд переменных, связанных с конкретным оборудованием и информацией о трафике, через MIB сетевого устройства. Это включает в себя: количество входящих байтов, количество входящих нешироковещательных пакетов, количество входящих широковещательных пакетов, количество отброшенных входящих пакетов, количество ошибок входящих пакетов, количество входящих пакетов с неизвестным протоколом, количество исходящих пакетов, количество исходящих нешироковещательных пакетов, количество исходящих широковещательных пакетов, количество отброшенных исходящих пакетов, количество ошибок исходящих пакетов и т. д. Поскольку большинство маршрутизаторов в настоящее время поддерживают стандартный SNMP, преимуществом этого метода является отсутствие необходимости в дополнительном оборудовании для сбора данных. Однако он включает только самое базовое содержимое, такое как количество байтов и количество пакетов, что не подходит для мониторинга сложных видов трафика.
4. Технология мониторинга трафика на основе Netflow
На основе мониторинга трафика Nethow предоставляемая информация о трафике расширяется до количества байтов и пакетов на основе статистики пятикомпонентной структуры (исходный IP-адрес, целевой IP-адрес, исходный порт, целевой порт, номер протокола), что позволяет различать потоки по каждому логическому каналу. Метод мониторинга обладает высокой эффективностью сбора информации, но не может анализировать информацию физического и канального уровней и требует использования ресурсов маршрутизации. Обычно для этого требуется подключение отдельного функционального модуля к сетевому оборудованию.
Дата публикации: 17 октября 2024 г.
