Вступ
Мережевий трафік – це загальна кількість пакетів, що проходять через мережеве з'єднання за одиницю часу, що є основним показником для вимірювання мережевого навантаження та продуктивності пересилання. Моніторинг мережевого трафіку полягає в зборі загальних даних про пакети передачі мережі та статистики, а збір даних мережевого трафіку – це збір пакетів мережевих IP-даних.
З розширенням масштабу мережі Q центрів обробки даних, система додатків стає все більш багатою, структура мережі все складнішою, вимоги до мережевих послуг та мережевих ресурсів зростають, загрози безпеці мережі зростають, експлуатація та обслуговування потребують постійного покращення, а збір та аналіз мережевого трафіку стали незамінним засобом аналізу інфраструктури центрів обробки даних. Завдяки поглибленому аналізу мережевого трафіку, мережеві менеджери можуть пришвидшити локалізацію несправностей, аналізувати дані додатків, оптимізувати структуру мережі, продуктивність системи та контроль безпеки більш інтуїтивно, а також пришвидшити локалізацію несправностей. Збір мережевого трафіку є основою системи аналізу трафіку. Комплексна, розумна та ефективна мережа збору трафіку допомагає підвищити ефективність збору, фільтрації та аналізу мережевого трафіку, задовольнити потреби аналізу трафіку з різних точок зору, оптимізувати показники ефективності мережі та бізнесу, а також покращити взаємодію та задоволеність користувачів.
Дуже важливо вивчити методи та інструменти захоплення мережевого трафіку для ефективного розуміння та використання мережі, точного моніторингу та аналізу мережі.
Цінність збору/захоплення мережевого трафіку
Для експлуатації та обслуговування центрів обробки даних, створення єдиної платформи збору мережевого трафіку в поєднанні з платформою моніторингу та аналізу може значно покращити управління експлуатацією та технічним обслуговуванням, а також рівень забезпечення безперервності бізнесу.
1. Забезпечення джерела даних для моніторингу та аналізу: Трафік бізнес-взаємодії в мережевій інфраструктурі, отриманий шляхом захоплення мережевого трафіку, може забезпечити необхідне джерело даних для моніторингу мережі, моніторингу безпеки, великих даних, аналізу поведінки клієнтів, аналізу та оптимізації вимог стратегії доступу, усіх видів платформ візуального аналізу, а також аналізу витрат, розширення та міграції додатків.
2. Повна можливість відстеження несправностей: завдяки захопленню мережевого трафіку, він може здійснювати зворотний аналіз та діагностику несправностей історичних даних, надавати підтримку історичних даних для відділів розробки, додатків та бізнесу, а також повністю вирішувати проблему складного збору доказів, низької ефективності та навіть можливості заперечення.
3. Підвищення ефективності обробки несправностей. Забезпечуючи єдине джерело даних для моніторингу мережі, програм, безпеки та інших платформ, можна усунути невідповідність та асиметрію інформації, зібраної оригінальними платформами моніторингу, підвищити ефективність обробки всіх видів надзвичайних ситуацій, швидко виявити проблему, відновити бізнес та покращити рівень безперервності бізнесу.
Класифікація збору/захоплення мережевого трафіку
Захоплення мережевого трафіку головним чином призначене для моніторингу та аналізу характеристик і змін потоку даних комп'ютерної мережі, щоб зрозуміти характеристики трафіку всієї мережі. Залежно від різних джерел мережевого трафіку, мережевий трафік поділяється на трафік портів вузлів мережі, наскрізний IP-трафік, сервісний трафік певних сервісів та повний трафік даних користувацьких сервісів.
1. Трафік порту мережевого вузла
Трафік порту мережевого вузла стосується інформаційної статистики вхідних та вихідних пакетів на порту пристрою мережевого вузла. Він включає кількість пакетів даних, кількість байтів, розподіл розміру пакетів, втрату пакетів та іншу статистичну інформацію, що не пов'язана з навчанням.
2. Наскрізний IP-трафік
Наскрізний IP-трафік стосується мережевого рівня від джерела до пункту призначення! Статистика P-пакетів. Порівняно з трафіком портів мережевих вузлів, наскрізний IP-трафік містить більше інформації. Завдяки його аналізу ми можемо знати мережу призначення, до якої користувачі мережі отримують доступ, що є важливою основою для аналізу, планування, проектування та оптимізації мережі.
3. Трафік сервісного рівня
Трафік сервісного рівня містить інформацію про порти четвертого рівня (денний рівень TCP) на додаток до наскрізного IP-трафіку. Очевидно, що він містить інформацію про види прикладних служб, які можна використовувати для більш детального аналізу.
4. Повний трафік бізнес-даних користувачів
Весь трафік даних користувацьких послуг дуже ефективний для аналізу безпеки, продуктивності та інших аспектів. Захоплення всіх даних користувацьких послуг вимагає надпотужної здатності захоплення та надвисокої швидкості та ємності жорсткого диска. Наприклад, захоплення вхідних пакетів даних хакерів може зупинити певні злочини або отримати важливі докази.
Загальний метод збору/захоплення мережевого трафіку
Відповідно до характеристик та методів обробки захоплення мережевого трафіку, захоплення трафіку можна розділити на такі категорії: часткове та повне захоплення, активне та пасивне захоплення, централізоване та розподілене захоплення, апаратне та програмне захоплення тощо. З розвитком збору трафіку було розроблено деякі ефективні та практичні методи збору трафіку на основі вищезазначених ідей класифікації.
Технологія збору мережевого трафіку в основному включає технологію моніторингу на основі дзеркала трафіку, технологію моніторингу на основі захоплення пакетів у режимі реального часу, технологію моніторингу на основі SNMP/RMON та технологію моніторингу на основі протоколу аналізу мережевого трафіку, такого як NetiowsFlow. Серед них технологія моніторингу на основі дзеркала трафіку включає метод віртуального TAP та розподілений метод на основі апаратного зонду.
1. На основі моніторингу дзеркал дорожнього руху
Принцип технології моніторингу мережевого трафіку, що базується на повному дзеркалі, полягає в досягненні копіювання та збору зображень мережевого трафіку без втрат через дзеркало портів мережевого обладнання, такого як комутатори або додаткове обладнання, таке як оптичний розгалужувач та мережевий зонд. Моніторинг усієї мережі повинен використовувати розподілену схему, розгортаючи зонд у кожному каналі, а потім збираючи дані всіх зондів через фоновий сервер та базу даних, проводячи аналіз трафіку та довгостроковий звіт про всю мережу. Порівняно з іншими методами збору трафіку, найважливішою особливістю збору зображень трафіку є те, що він може надавати багату інформацію на рівні додатків.
2. На основі моніторингу захоплення пакетів у режимі реального часу
Базуючись на технології аналізу захоплення пакетів у режимі реального часу, вона забезпечує детальний аналіз даних від фізичного рівня до рівня додатків, зосереджуючись на аналізі протоколів. Вона захоплює пакети інтерфейсу за короткий час для аналізу та часто використовується для швидкої діагностики та усунення несправностей мережі. Вона має такі недоліки: не може захоплювати пакети з великим трафіком та тривалим часом, а також не може аналізувати тенденції трафіку користувачів.
3. Технологія моніторингу на основі SNMP/RMON
Моніторинг трафіку на основі протоколу SNMP/RMON збирає деякі змінні, пов'язані з певним обладнанням та інформацією про трафік, через MIB мережевого пристрою. Він включає: кількість вхідних байтів, кількість вхідних нетрансльованих пакетів, кількість вхідних трансльованих пакетів, кількість відкинутих вхідних пакетів, кількість помилок вхідних пакетів, кількість вхідних пакетів невідомого протоколу, кількість вихідних пакетів, кількість вихідних нетрансльованих пакетів, кількість вихідних трансльованих пакетів, кількість відкинутих вихідних пакетів, кількість помилок вихідних пакетів тощо. Оскільки більшість маршрутизаторів зараз підтримують стандарт SNMP, перевагою цього методу є те, що не потрібне додаткове обладнання для збору даних. Однак він включає лише найбазовіший вміст, такий як кількість байтів та кількість пакетів, що не підходить для складного моніторингу трафіку.
4. Технологія моніторингу трафіку на основі Netflow
На основі моніторингу трафіку Nethow, надана інформація про трафік розширюється до кількості байтів і пакетів на основі статистики з п'яти кортежів (IP-адреса джерела, IP-адреса призначення, порт джерела, порт призначення, номер протоколу), що дозволяє розрізняти потік на кожному логічному каналі. Метод моніторингу має високу ефективність збору інформації, але він не може аналізувати інформацію фізичного рівня та рівня каналу передачі даних, і потребує споживання певних ресурсів маршрутизації. Зазвичай для цього потрібно підключити окремий функціональний модуль до мережевого обладнання.
Час публікації: 17 жовтня 2024 р.
