вступ
Мережевий трафік — це загальна кількість пакетів, що проходять мережевим каналом за одиницю часу, що є основним показником для вимірювання навантаження на мережу та продуктивності пересилання. Моніторинг мережевого трафіку призначений для збору загальних даних пакетів мережевої передачі та статистичних даних, а збір даних мережевого трафіку — це захоплення мережевих IP-пакетів даних.
З розширенням масштабу мережі центру обробки даних Q система додатків стає все більш і більш багатою, структура мережі стає все більш і більш складною, мережеві послуги щодо мережевих ресурсів стають все вищими і вищими, загрози мережевій безпеці все більш і більшими. , експлуатація та обслуговування уточнених вимог продовжують вдосконалюватися, збір і аналіз мережевого трафіку став незамінним засобом аналізу інфраструктури центру обробки даних. Завдяки поглибленому аналізу мережевого трафіку мережеві менеджери можуть прискорити пошук несправностей, проаналізувати дані додатків, оптимізувати мережеву структуру, продуктивність системи та більш інтуїтивно зрозумілий контроль безпеки, а також прискорити пошук несправностей. Збір мережевого трафіку є основою системи аналізу трафіку. Комплексна, розумна та ефективна мережа захоплення трафіку допомагає підвищити ефективність захоплення, фільтрації та аналізу мережевого трафіку, задовольнити потреби в аналізі трафіку з різних точок зору, оптимізувати показники ефективності мережі та бізнесу, а також покращити досвід роботи та задоволеність користувачів.
Дуже важливо вивчати методи та інструменти захоплення мережевого трафіку для ефективного розуміння та використання мережі, точного моніторингу та аналізу мережі.
Значення збору/захоплення мережевого трафіку
Для роботи та технічного обслуговування центру обробки даних завдяки створенню уніфікованої платформи збору мережевого трафіку в поєднанні з платформою моніторингу та аналізу можна значно покращити управління експлуатацією та обслуговуванням, а також рівень управління безперервністю бізнесу.
1. Забезпечте джерело даних моніторингу та аналізу: Трафік бізнес-взаємодії в мережевій інфраструктурі, отриманий шляхом захоплення мережевого трафіку, може надати необхідне джерело даних для моніторингу мережі, моніторингу безпеки, великих даних, аналізу поведінки клієнтів, аналізу та оптимізації вимог стратегії доступу, всі види платформ візуального аналізу, а також аналіз витрат, розширення додатків і міграція.
2. Повна можливість відстеження несправностей: за допомогою захоплення мережевого трафіку він може здійснювати зворотний аналіз і діагностику несправностей історичних даних, надавати підтримку історичних даних для відділів розробки, додатків і бізнесу, а також повністю вирішувати проблему складного збору доказів, низької ефективності та навіть заперечення.
3. Підвищення ефективності обробки несправностей. Забезпечуючи уніфіковане джерело даних для моніторингу мережі, додатків, моніторингу безпеки та інших платформ, він може усунути суперечливість і асиметрію інформації, зібраної оригінальними платформами моніторингу, підвищити ефективність обробки всіх видів надзвичайних ситуацій, швидко виявити проблему, відновити бізнесу та підвищити рівень безперервності бізнесу.
Класифікація збору/захоплення мережевого трафіку
Захоплення мережевого трафіку в основному призначене для моніторингу та аналізу характеристик і змін потоку даних комп’ютерної мережі, щоб зрозуміти характеристики трафіку всієї мережі. Відповідно до різних джерел мережевого трафіку, мережевий трафік поділяється на трафік портів мережевого вузла, наскрізний IP-трафік, службовий трафік певних служб і повний трафік даних користувацьких послуг.
1. Трафік порту мережевого вузла
Трафік порту мережевого вузла відноситься до інформаційної статистики вхідних і вихідних пакетів на порт пристрою мережевого вузла. Він включає кількість пакетів даних, кількість байтів, розподіл пакетів за розміром, втрату пакетів та іншу статистичну інформацію, що не стосується навчання.
2. Наскрізний IP-трафік
Наскрізний IP-трафік відноситься до мережевого рівня від джерела до пункту призначення! Статистика пакетів P. Порівняно з трафіком порту вузла мережі, наскрізний IP-трафік містить більше інформації. Завдяки її аналізу ми можемо знати мережу призначення, до якої мають доступ користувачі мережі, що є важливою основою для аналізу, планування, проектування та оптимізації мережі.
3. Трафік рівня обслуговування
Трафік рівня обслуговування містить інформацію про порти четвертого рівня (денний рівень TCP) на додаток до наскрізного IP-трафіку. Очевидно, він містить інформацію про види прикладних служб, які можна використовувати для більш детального аналізу.
4. Повний трафік бізнес-даних користувачів
Повний трафік даних служби користувача дуже ефективний для аналізу безпеки, продуктивності та інших аспектів. Захоплення повних даних служби користувача потребує надсильної здатності захоплення та надвисокої швидкості та ємності жорсткого диска. Наприклад, перехоплення вхідних пакетів даних хакерів може зупинити певні злочини або отримати важливі докази.
Загальний метод збору/захоплення мережевого трафіку
Відповідно до характеристик і методів обробки захоплення мережевого трафіку, захоплення трафіку можна розділити на такі категорії: частковий збір і повний збір, активний збір і пасивний збір, централізований збір і розподілений збір, збір апаратних засобів і збір програмного забезпечення тощо. Розвиток збору трафіку, деякі ефективні та практичні методи збору трафіку були розроблені на основі наведених вище ідей класифікації.
Технологія збору мережевого трафіку в основному включає технологію моніторингу на основі дзеркала трафіку, технологію моніторингу на основі захоплення пакетів у реальному часі, технологію моніторингу на основі SNMP/RMON і технологію моніторингу на основі протоколу аналізу мережевого трафіку, такого як NetiowsFlow. Серед них технологія моніторингу на основі дзеркала трафіку включає віртуальний метод TAP і розподілений метод на основі апаратного зондування.
1. На основі моніторингу дзеркала дорожнього руху
Принцип технології моніторингу мережевого трафіку на основі повного дзеркала полягає в тому, щоб копіювати без втрат і збирати зображення мережевого трафіку через дзеркало порту мережевого обладнання, наприклад комутаторів, або додаткового обладнання, наприклад оптичного розгалужувача та мережевого зонда. Моніторинг усієї мережі має прийняти розподілену схему, розгортаючи зонд у кожному каналі, а потім збираючи дані всіх зондів через фоновий сервер і базу даних, аналізуючи трафік і довгостроковий звіт усієї мережі. Порівняно з іншими методами збору трафіку, найважливішою особливістю збору зображень трафіку є те, що він може надавати багату інформацію на прикладному рівні.
2. На основі моніторингу захоплення пакетів у реальному часі
Заснований на технології аналізу захоплення пакетів у реальному часі, він головним чином забезпечує детальний аналіз даних від фізичного рівня до прикладного рівня, зосереджуючись на аналізі протоколу. Він за короткий проміжок часу фіксує пакети інтерфейсу для аналізу та часто використовується для реалізації швидкої діагностики та вирішення проблеми продуктивності мережі та помилок. Він має такі недоліки: він не може захоплювати пакети з великим трафіком і тривалим часом, а також не може аналізувати тенденцію трафіку користувачів.
3. Технологія моніторингу на основі SNMP/RMON
Моніторинг трафіку на основі протоколу SNMP/RMON збирає деякі змінні, пов’язані з певним обладнанням, і інформацію про трафік через MIB мережевого пристрою. Він включає в себе: кількість вхідних байтів, кількість вхідних неширокомовних пакетів, кількість вхідних широкомовних пакетів, кількість відкинутих вхідних пакетів, кількість помилок вхідних пакетів, кількість вхідних пакетів невідомого протоколу, кількість вихідних пакетів, кількість вихідних невідомих пакетів - широкомовні пакети, кількість вихідних широкомовних пакетів, кількість відкинутих вихідних пакетів, кількість помилок вихідних пакетів тощо. Оскільки зараз більшість маршрутизаторів підтримують стандартний SNMP, перевага цього методу полягає в тому, що не потрібне додаткове обладнання для збору даних. Однак він включає лише найосновніший вміст, такий як кількість байтів і кількість пакетів, що не підходить для комплексного моніторингу трафіку.
4. Технологія моніторингу трафіку на основі Netflow
На основі моніторингу трафіку Nethow надану інформацію про трафік розширюють до кількості байтів і пакетів на основі статистики з п’яти кортежів (IP-адреса джерела, IP-адреса призначення, порт джерела, порт призначення, номер протоколу), які можуть розрізняти потік на кожному логічному каналі. Метод моніторингу має високу ефективність збору інформації, але він не може аналізувати інформацію фізичного рівня та рівня каналу передачі даних і потребує певних ресурсів маршрутизації. Зазвичай до мережевого обладнання потрібно підключити окремий функціональний модуль.
Час публікації: 17 жовтня 2024 р
