Introduksjon
Nettverkstrafikk er det totale antallet pakker som passerer gjennom nettverkskoblingen i tidsenhet, som er den grunnleggende indeksen for å måle nettverksbelastning og videresendingsytelse. Nettverkstrafikkovervåking er å fange opp de generelle dataene til nettverksoverføringspakker og statistikk, og datafangst av nettverkstrafikk er å fange opp nettverks-IP-datapakker.
Med utvidelsen av datasenterets Q-nettverksskala er applikasjonssystemet mer og mer rikelig, nettverksstrukturen er mer og mer kompleks, nettverkstjenestene på nettverksressurskravene er høyere og høyere, nettverkssikkerhetstruslene er mer og mer , drift og vedlikehold av raffinerte krav fortsetter å forbedre, nettverkstrafikk innsamling og analyse har blitt et uunnværlig analysemiddel for datasenterinfrastruktur. Gjennom den dyptgående analysen av nettverkstrafikk kan nettverksledere øke hastigheten på feillokalisering, analysere applikasjonsdata, optimalisere nettverksstruktur, systemytelse og sikkerhetskontroll mer intuitivt, og øke hastigheten på feillokalisering. Nettverkstrafikkinnsamling er grunnlaget for trafikkanalysesystemet. Et omfattende, rimelig og effektivt trafikkfangende nettverk er nyttig for å forbedre effektiviteten til nettverkstrafikkfanging, filtrering og analyse, møte behovene til trafikkanalyse fra forskjellige vinkler, optimalisere nettverks- og forretningsytelsesindikatorer og forbedre brukeropplevelsen og -tilfredsheten.
Det er svært viktig å studere metodene og verktøyene for å fange nettverkstrafikk for å effektivt forstå og bruke nettverket, nøyaktig overvåke og analysere nettverket.
Verdien av innsamling/fanging av nettverkstrafikk
For drift og vedlikehold av datasenter kan gjennom etableringen av en enhetlig nettverkstrafikkfangstplattform, kombinert med overvåkings- og analyseplattformen, forbedre drifts- og vedlikeholdsstyringsnivået og forretningskontinuitetsstyringsnivået betraktelig.
1. Oppgi datakilde for overvåking og analyse: Trafikken til forretningsinteraksjoner på nettverksinfrastrukturen oppnådd ved fangst av nettverkstrafikk kan gi den nødvendige datakilden for nettverksovervåking, sikkerhetsovervåking, big data, kundeatferdsanalyse, analyse og optimalisering av tilgangsstrategikrav, alle slags visuelle analyseplattformer, samt kostnadsanalyse, applikasjonsutvidelse og migrering.
2. Fullstendig sporbarhetsevne for feilsikker: gjennom fangst av nettverkstrafikk kan den realisere tilbakeanalyse og feildiagnose av historiske data, gi historisk datastøtte for utviklings-, applikasjons- og forretningsavdelinger, og fullstendig løse problemet med vanskelig bevisfangst, lav effektivitet og selv fornektelse.
3. Forbedre effektiviteten av feilhåndtering. Ved å tilby en enhetlig datakilde for nettverk, applikasjonsovervåking, sikkerhetsovervåking og andre plattformer, kan den eliminere inkonsistensen og asymmetrien til informasjon samlet inn av de originale overvåkingsplattformene, forbedre effektiviteten av håndtering av alle slags nødsituasjoner, raskt lokalisere problemet, gjenoppta virksomhet, og forbedre nivået av forretningskontinuitet.
Klassifisering av innsamling/fangst av nettverkstrafikk
Nettverkstrafikkfangst er hovedsakelig for å overvåke og analysere egenskapene og endringene til datastrømmen for datanettverk for å forstå trafikkkarakteristikkene til hele nettverket. I henhold til de forskjellige kildene til nettverkstrafikk er nettverkstrafikken delt inn i nettverksnodeporttrafikk, ende-til-ende IP-trafikk, tjenestetrafikk for spesifikke tjenester og fullstendig brukertjenestedatatrafikk.
1. Nettverksnodeporttrafikk
Nettverksnodeporttrafikk refererer til informasjonsstatistikken for innkommende og utgående pakker ved nettverksnodens enhetsport. Det inkluderer antall datapakker, antall byte, pakkestørrelsesfordeling, pakketap og annen statistisk informasjon som ikke er lærende.
2. End-to-end IP-trafikk
End-to-end IP-trafikk refererer til nettverkslaget fra en kilde til en destinasjon! Statistikk over P-pakker. Sammenlignet med nettverksnodeporttrafikken, inneholder ende-til-ende IP-trafikken mer rikelig med informasjon. Gjennom analysen av det kan vi kjenne til destinasjonsnettverket som brukerne i nettverket får tilgang til, som er et viktig grunnlag for nettverksanalyse, planlegging, design og optimalisering.
3. Servicelag Trafikk
Tjenestelagstrafikken inneholder informasjon om portene til det fjerde laget (TCP-daglaget) i tillegg til ende-til-ende IP-trafikken. Det er åpenbart at det inneholder informasjon om hvilke typer applikasjonstjenester som kan brukes til mer detaljert analyse.
4. Fullfør brukerforretningsdatatrafikk
Den komplette brukertjenestedatatrafikken er svært effektiv for analyse av sikkerhet, ytelse og andre aspekter. Å fange opp fullstendige brukertjenestedata krever supersterk fangstevne og superhøy harddisklagringshastighet og -kapasitet. For eksempel kan fangst av innkommende datapakker fra hackere stoppe visse forbrytelser eller skaffe viktige bevis.
Vanlig metode for innsamling/fanging av nettverkstrafikk
I henhold til egenskapene og behandlingsmetodene for fangst av nettverkstrafikk, kan trafikkfangst deles inn i følgende kategorier: delvis innsamling og fullstendig innsamling, aktiv innsamling og passiv innsamling, sentralisert innsamling og distribuert innsamling, innsamling av maskinvare og programvaresamling, etc. Med utvikling av trafikkinnsamling, er det produsert noen effektive og praktiske trafikkinnsamlingsmetoder basert på ovennevnte klassifiseringsideer.
Teknologien for innsamling av nettverkstrafikk inkluderer hovedsakelig overvåkingsteknologi basert på trafikkspeil, overvåkingsteknologi basert på sanntidspakkefangst, overvåkingsteknologi basert på SNMP/RMON, og overvåkingsteknologi basert på nettverkstrafikkanalyseprotokoll som NetiowsFlow. Blant dem inkluderer overvåkingsteknologien basert på trafikkspeil den virtuelle TAP-metoden og den distribuerte metoden basert på maskinvareprobe.
1. Basert på Traffic Mirror Monitoring
Prinsippet for nettverkstrafikkovervåkingsteknologi basert på fullt speil er å oppnå tapsfri kopi- og bildesamling av nettverkstrafikk gjennom portspeilet til nettverksutstyr som brytere eller tilleggsutstyr som optisk splitter og nettverkssonde. Overvåkingen av hele nettverket må ta i bruk et distribuert opplegg, distribuere en sonde i hver lenke, og deretter samle inn dataene til alle sonder gjennom bakgrunnsserveren og databasen, og gjøre trafikkanalyse og langtidsrapporter for hele nettverket. Sammenlignet med andre trafikkinnsamlingsmetoder er den viktigste funksjonen ved innsamling av trafikkbilder at den kan gi rik applikasjonslagsinformasjon.
2. Basert på pakkefangstovervåking i sanntid
Basert på sanntids pakkefangstanalyseteknologi, gir den hovedsakelig detaljert dataanalyse fra det fysiske laget til applikasjonslaget, med fokus på protokollanalyse. Den fanger opp grensesnittpakkene på kort tid for analyse, og brukes ofte til å realisere rask diagnose og løsning av nettverksytelse og feil. Den har følgende mangler: den kan ikke fange opp pakker med stor trafikk og lang tid, og den kan ikke analysere trafikktrenden til brukere.
3. Overvåkingsteknologi basert på SNMP/RMON
Trafikkovervåking basert på SNMP/RMON-protokollen samler inn noen variabler relatert til spesifikt utstyr og trafikkinformasjon gjennom nettverksenheten MIB. Det inkluderer: antall input-byte, antall input-ikke-kringkastede pakker, antall input-kringkastingspakker, antall input-pakkefall, antall input-pakkefeil, antall input ukjente protokollpakker, antall utdatapakker, antall output non- -kringkastingspakker, antall utgående kringkastingspakker, antall utgangspakkefall, antall utgangspakkefeil osv. Siden de fleste rutere nå støtter standard SNMP, er fordelen med denne metoden at det ikke er behov for ekstra datainnsamlingsutstyr. Det inkluderer imidlertid bare det mest grunnleggende innholdet som antall byte og antall pakker, som ikke er egnet for kompleks trafikkovervåking.
4. Nettflyt-basert trafikkovervåkingsteknologi
Basert på trafikkovervåkingen til Nethow, utvides trafikkinformasjonen som tilbys til antall byte og pakker basert på fem-tuppel (kilde-IP-adresse, destinasjons-IP-adresse, kildeport, destinasjonsport, protokollnummer), som kan skille flyten på hver logisk kanal. Overvåkingsmetoden har høy effektivitet for informasjonsinnsamling, men den kan ikke analysere informasjonen til det fysiske laget og datalenkelaget, og må bruke noen rutingressurser. Den trenger vanligvis å koble en egen funksjonsmodul til nettverksutstyret.
Innleggstid: 17. oktober 2024
