Introduksjon
Nettverkstrafikk er det totale antallet pakker som passerer gjennom nettverkslenken i tidsenhet, som er den grunnleggende indeksen for å måle nettverksbelastning og videresendingsytelse. Overvåking av nettverkstrafikk er å fange opp de totale dataene for nettverksoverføringspakker og statistikk, og datafangst av nettverkstrafikk er innsamling av nettverkets IP-datapakker.
Med utvidelsen av datasenterets Q-nettverk blir applikasjonssystemet stadig mer omfattende, nettverksstrukturen blir mer og mer kompleks, kravene til nettverkstjenester og nettverksressurser blir stadig høyere, truslene mot nettverkssikkerhet blir stadig større, kravene til drift og vedlikehold fortsetter å forbedres, og innsamling og analyse av nettverkstrafikk har blitt et uunnværlig analysemiddel for datasenterinfrastruktur. Gjennom grundig analyse av nettverkstrafikk kan nettverksadministratorer fremskynde feilsøking, analysere applikasjonsdata, optimalisere nettverksstruktur, systemytelse og sikkerhetskontroll mer intuitivt, og fremskynde feilsøking. Innsamling av nettverkstrafikk er grunnlaget for et trafikkanalysesystem. Et omfattende, rimelig og effektivt trafikkfangstnettverk er nyttig for å forbedre effektiviteten til innsamling, filtrering og analyse av nettverkstrafikk, møte behovene til trafikkanalyse fra ulike vinkler, optimalisere nettverks- og forretningsytelsesindikatorer og forbedre brukeropplevelsen og tilfredsheten.
Det er svært viktig å studere metodene og verktøyene for nettverkstrafikkregistrering for å effektivt forstå og bruke nettverket, samt nøyaktig overvåke og analysere nettverket.
Verdien av innsamling/registrering av nettverkstrafikk
For drift og vedlikehold av datasentre kan etablering av en enhetlig plattform for nettverkstrafikkfangst, kombinert med overvåkings- og analyseplattformen, forbedre drifts- og vedlikeholdsstyringen og nivået av styring av forretningskontinuitet betraktelig.
1. Tilby datakilde for overvåking og analyse: Trafikken fra forretningsinteraksjon på nettverksinfrastrukturen innhentet ved å registrere nettverkstrafikk kan gi den nødvendige datakilden for nettverksovervåking, sikkerhetsovervåking, stordata, analyse av kundeatferd, analyse og optimalisering av krav til tilgangsstrategi, alle typer visuelle analyseplattformer, samt kostnadsanalyse, applikasjonsutvidelse og migrering.
2. Fullstendig feilsikker sporbarhetsevne: Gjennom nettverkstrafikkregistrering kan den realisere tilbakeanalyse og feildiagnose av historiske data, gi historisk datastøtte for utviklings-, applikasjons- og forretningsavdelinger, og fullstendig løse problemet med vanskelig bevisregistrering, lav effektivitet og til og med benektelse.
3. Forbedre effektiviteten i feilhåndteringen. Ved å tilby en enhetlig datakilde for nettverk, applikasjonsovervåking, sikkerhetsovervåking og andre plattformer, kan det eliminere inkonsekvens og asymmetri i informasjon samlet inn av de opprinnelige overvåkingsplattformene, forbedre effektiviteten i håndteringen av alle typer nødsituasjoner, raskt finne problemet, gjenoppta virksomheten og forbedre nivået av forretningskontinuitet.
Klassifisering av innsamling/registrering av nettverkstrafikk
Nettverkstrafikkregistrering brukes hovedsakelig til å overvåke og analysere egenskapene og endringene i dataflyten i datanettverket for å forstå trafikkegenskapene til hele nettverket. I henhold til de ulike kildene til nettverkstrafikk er nettverkstrafikken delt inn i nettverksnodeporttrafikk, ende-til-ende IP-trafikk, tjenestetrafikk for spesifikke tjenester og fullstendig brukertjenestedatatrafikk.
1. Nettverksnodeporttrafikk
Nettverksnodeporttrafikk refererer til informasjonsstatistikk for innkommende og utgående pakker ved nettverksnodeenhetens port. Den inkluderer antall datapakker, antall byte, pakkestørrelsesfordeling, pakketap og annen ikke-læringsbasert statistisk informasjon.
2. Ende-til-ende IP-trafikk
Ende-til-ende IP-trafikk refererer til nettverkslaget fra en kilde til en destinasjon! Statistikk over P-pakker. Sammenlignet med nettverksnodeporttrafikk inneholder ende-til-ende IP-trafikk mer rikelig med informasjon. Gjennom analyse av den kan vi finne ut hvilket destinasjonsnettverk brukerne i nettverket har tilgang til, noe som er et viktig grunnlag for nettverksanalyse, planlegging, design og optimalisering.
3. Trafikk på tjenestelaget
Tjenestelagets trafikk inneholder informasjon om portene til det fjerde laget (TCP-daglaget) i tillegg til ende-til-ende IP-trafikk. Den inneholder selvsagt informasjon om hvilke typer applikasjonstjenester som kan brukes til mer detaljert analyse.
4. Fullstendig brukerdatatrafikk for bedrifter
Den komplette datatrafikken for brukertjenester er svært effektiv for analyse av sikkerhet, ytelse og andre aspekter. Å fange opp komplette brukertjenester krever supersterk fangstkapasitet og superhøy lagringshastighet og -kapasitet på harddisken. For eksempel kan det å fange innkommende datapakker fra hackere stoppe visse forbrytelser eller innhente viktige bevis.
Vanlig metode for innsamling/registrering av nettverkstrafikk
I henhold til egenskapene og behandlingsmetodene for nettverkstrafikkfangst, kan trafikkfangst deles inn i følgende kategorier: delvis innsamling og fullstendig innsamling, aktiv innsamling og passiv innsamling, sentralisert innsamling og distribuert innsamling, maskinvareinnsamling og programvareinnsamling, osv. Med utviklingen av trafikkinnsamling har det blitt produsert noen effektive og praktiske trafikkinnsamlingsmetoder basert på klassifiseringsideene ovenfor.
Teknologien for innsamling av nettverkstrafikk omfatter hovedsakelig overvåkingsteknologi basert på trafikkspeil, overvåkingsteknologi basert på sanntids pakkefangst, overvåkingsteknologi basert på SNMP/RMON og overvåkingsteknologi basert på nettverkstrafikkanalyseprotokoller som NetiowsFlow. Blant disse inkluderer overvåkingsteknologien basert på trafikkspeil den virtuelle TAP-metoden og den distribuerte metoden basert på maskinvareprobe.
1. Basert på trafikkspeilovervåking
Prinsippet bak teknologi for nettverkstrafikkovervåking basert på fullspeil er å oppnå tapsfri kopiering og bildeinnsamling av nettverkstrafikk gjennom portspeilet til nettverksutstyr som svitsjer eller tilleggsutstyr som optisk splitter og nettverksprobe. Overvåkingen av hele nettverket må ta i bruk et distribuert skjema, distribuere en probe i hver lenke, og deretter samle inn data fra alle probene gjennom bakgrunnsserveren og databasen, og utføre trafikkanalyse og langsiktig rapport for hele nettverket. Sammenlignet med andre trafikkinnsamlingsmetoder er den viktigste funksjonen ved trafikkbildeinnsamling at den kan gi rik informasjon om applikasjonslaget.
2. Basert på overvåking av pakkefangst i sanntid
Basert på teknologi for analyse av pakkefangst i sanntid, gir den hovedsakelig detaljert dataanalyse fra det fysiske laget til applikasjonslaget, med fokus på protokollanalyse. Den fanger opp grensesnittpakkene på kort tid for analyse, og brukes ofte til å realisere rask diagnose og løsning av nettverksytelse og feil. Den har følgende mangler: den kan ikke fange opp pakker med stor trafikk og lang tid, og den kan ikke analysere trafikktrenden til brukere.
3. Overvåkingsteknologi basert på SNMP/RMON
Trafikkovervåking basert på SNMP/RMON-protokollen samler inn noen variabler relatert til spesifikt utstyr og trafikkinformasjon gjennom nettverksenhetens MIB. Den inkluderer: antall inngangsbyte, antall inngangspakker som ikke er kringkastet, antall inngangspakker som er kringkastet, antall inngangspakkefall, antall inngangspakkefeil, antall inngangspakker med ukjent protokoll, antall utgangspakker, antall utgangspakker som ikke er kringkastet, antall utgangspakker som er kringkastet, antall utgangspakkefall, antall utgangspakkefeil, osv. Siden de fleste rutere nå støtter standard SNMP, er fordelen med denne metoden at det ikke er behov for ekstra datainnsamlingsutstyr. Den inkluderer imidlertid bare det mest grunnleggende innholdet, for eksempel antall byte og antall pakker, noe som ikke er egnet for kompleks trafikkovervåking.
4. Netflow-basert trafikkovervåkingsteknologi
Basert på trafikkovervåkingen til Nethow utvides trafikkinformasjonen som gis til antall byte og pakker basert på fem-tuple-statistikk (kilde-IP-adresse, destinasjons-IP-adresse, kildeport, destinasjonsport, protokollnummer), som kan skille flyten på hver logiske kanal. Overvåkingsmetoden har høy effektivitet i informasjonsinnsamlingen, men den kan ikke analysere informasjonen fra det fysiske laget og datalinklaget, og må forbruke noen rutingressurser. Den må vanligvis koble en separat funksjonsmodul til nettverksutstyret.
Publisert: 17. oktober 2024
