Introduktion
Nätverkstrafik är det totala antalet paket som passerar genom nätverkslänken per tidsenhet, vilket är det grundläggande indexet för att mäta nätverksbelastning och vidarebefordringsprestanda. Övervakning av nätverkstrafik syftar till att samla in den övergripande informationen om nätverksöverföringspaket och statistik, och datainsamling av nätverkstrafik är insamling av nätverkets IP-datapaket.
Med expansionen av datacenter-Q-nätverket blir applikationssystemet alltmer omfattande, nätverksstrukturen alltmer komplex, kraven på nätverkstjänster och nätverksresurser blir allt högre, hoten mot nätverkssäkerheten blir allt större, drift och underhåll fortsätter att förbättras och insamling och analys av nätverkstrafik har blivit ett oumbärligt analysmetod för datacenterinfrastruktur. Genom djupgående analys av nätverkstrafik kan nätverksansvariga snabba upp fellokalisering, analysera applikationsdata, optimera nätverksstruktur, systemprestanda och säkerhetskontroll mer intuitivt, samt snabba upp fellokalisering. Insamling av nätverkstrafik är grunden för trafikanalyssystem. Ett omfattande, rimligt och effektivt trafikinsamlingsnätverk är till hjälp för att förbättra effektiviteten i insamling, filtrering och analys av nätverkstrafik, möta behoven av trafikanalys från olika vinklar, optimera nätverks- och affärsprestandaindikatorer och förbättra användarupplevelsen och nöjdheten.
Det är mycket viktigt att studera metoder och verktyg för nätverkstrafikregistrering för att effektivt förstå och använda nätverket, samt noggrant övervaka och analysera nätverket.
Värdet av insamling/registrering av nätverkstrafik
För drift och underhåll av datacenter kan en enhetlig plattform för nätverkstrafikregistrering, i kombination med övervaknings- och analysplattformen, avsevärt förbättra drift- och underhållshanteringen samt hanteringen av affärskontinuitet.
1. Tillhandahålla övervaknings- och analysdatakälla: Trafiken från affärsinteraktioner på nätverksinfrastrukturen som erhålls genom nätverkstrafikregistrering kan tillhandahålla den nödvändiga datakällan för nätverksövervakning, säkerhetsövervakning, stordata, kundbeteendeanalys, analys och optimering av åtkomststrategikrav, alla typer av visuella analysplattformar, samt kostnadsanalys, applikationsutbyggnad och migrering.
2. Fullständig spårbarhet mot fel: genom insamling av nätverkstrafik kan den genomföra bakåtanalys och feldiagnostik av historisk data, ge stöd för historiska data för utvecklings-, applikations- och affärsavdelningar, och helt lösa problemet med svår bevisinsamling, låg effektivitet och till och med förnekelse.
3. Förbättra effektiviteten i felhanteringen. Genom att tillhandahålla en enhetlig datakälla för nätverk, applikationsövervakning, säkerhetsövervakning och andra plattformar kan den eliminera inkonsekvens och asymmetrin i information som samlats in av de ursprungliga övervakningsplattformarna, förbättra effektiviteten i hanteringen av alla typer av nödsituationer, snabbt lokalisera problemet, återuppta verksamheten och förbättra nivån av affärskontinuitet.
Klassificering av nätverkstrafikinsamling/registrering
Nätverkstrafikregistrering syftar huvudsakligen till att övervaka och analysera egenskaper och förändringar i dataflödet i datornätverket för att förstå trafikegenskaperna för hela nätverket. Beroende på de olika källorna till nätverkstrafik delas nätverkstrafiken in i nätverksnodporttrafik, end-to-end IP-trafik, tjänstetrafik för specifika tjänster och fullständig datatrafik för användartjänster.
1. Nätverksnodens porttrafik
Nätverksnodporttrafik avser informationsstatistik för inkommande och utgående paket vid nätverksnodens enhetsport. Den inkluderar antalet datapaket, antal byte, paketstorleksfördelning, paketförlust och annan statistisk information som inte är relaterad till inlärning.
2. IP-trafik från början till slut
End-to-end IP-trafik hänvisar till nätverkslagret från en källa till en destination! Statistik över P-paket. Jämfört med nätverksnodens porttrafik innehåller end-to-end IP-trafiken mer omfattande information. Genom analys av den kan vi ta reda på vilket destinationsnätverk användarna i nätverket har åtkomst till, vilket är en viktig grund för nätverksanalys, planering, design och optimering.
3. Tjänsteskiktstrafik
Servicelagrets trafik innehåller information om portarna i det fjärde lagret (TCP-daglagret) utöver den kompletta IP-trafiken. Den innehåller givetvis information om vilka typer av applikationstjänster som kan användas för mer detaljerad analys.
4. Fullständig användartrafik för företagsdata
Den kompletta användartjänstens datatrafik är mycket effektiv för analys av säkerhet, prestanda och andra aspekter. Att fånga fullständiga användartjänstdata kräver superstark insamlingsförmåga och superhög lagringshastighet och -kapacitet på hårddisken. Till exempel kan insamling av inkommande datapaket från hackare stoppa vissa brott eller få viktiga bevis.
Vanlig metod för insamling/registrering av nätverkstrafik
Beroende på egenskaperna och bearbetningsmetoderna för nätverkstrafikinsamling kan trafikinsamling delas in i följande kategorier: partiell insamling och fullständig insamling, aktiv insamling och passiv insamling, centraliserad insamling och distribuerad insamling, hårdvaruinsamling och mjukvaruinsamling, etc. Med utvecklingen av trafikinsamling har några effektiva och praktiska trafikinsamlingsmetoder tagits fram baserat på ovanstående klassificeringsidéer.
Tekniken för insamling av nätverkstrafik omfattar huvudsakligen övervakningsteknik baserad på trafikspegling, övervakningsteknik baserad på paketinsamling i realtid, övervakningsteknik baserad på SNMP/RMON och övervakningsteknik baserad på nätverkstrafikanalysprotokoll som NetiowsFlow. Bland dessa inkluderar övervakningstekniken baserad på trafikspegling den virtuella TAP-metoden och den distribuerade metoden baserad på hårdvaruprob.
1. Baserat på trafikspegelövervakning
Principen för nätverkstrafikövervakningsteknik baserad på fullspegling är att uppnå förlustfri kopiering och bildinsamling av nätverkstrafik genom portspeglingen på nätverksutrustning såsom switchar eller ytterligare utrustning såsom optisk splitter och nätverksprob. Övervakningen av hela nätverket behöver använda ett distribuerat schema, distribuera en prob i varje länk, och sedan samla in data från alla prober via bakgrundsservern och databasen, och utföra trafikanalys och långsiktiga rapporter för hela nätverket. Jämfört med andra trafikinsamlingsmetoder är den viktigaste funktionen hos trafikbildinsamling att den kan ge omfattande information om applikationslagret.
2. Baserat på övervakning av paketinsamling i realtid
Baserat på realtidsteknik för paketanalys, tillhandahåller den huvudsakligen detaljerad dataanalys från det fysiska lagret till applikationslagret, med fokus på protokollanalys. Den fångar gränssnittspaketen på kort tid för analys och används ofta för att snabbt diagnostisera och lösa nätverksprestanda och fel. Den har följande brister: den kan inte fånga paket med stor trafik och lång tid, och den kan inte analysera användarnas trafiktrend.
3. Övervakningsteknik baserad på SNMP/RMON
Trafikövervakning baserad på SNMP/RMON-protokollet samlar in vissa variabler relaterade till specifik utrustning och trafikinformation via nätverksenhetens MIB. Den inkluderar: antal ingångsbyte, antal ingångspaket utan broadcast, antal ingångspaket med broadcast, antal droppande ingångspaket, antal ingångspaketfel, antal ingångspaket med okänt protokoll, antal utgångspaket, antal utgångspaket utan broadcast, antal utgångspaket med broadcast, antal droppande utgångspaket, antal utgångspaketfel, etc. Eftersom de flesta routrar nu stöder standard SNMP är fördelen med denna metod att ingen ytterligare datainsamlingsutrustning behövs. Den inkluderar dock bara det mest grundläggande innehållet, såsom antal byte och antal paket, vilket inte är lämpligt för komplex trafikövervakning.
4. Netflow-baserad trafikövervakningsteknik
Baserat på Nethows trafikövervakning utökas den tillhandahållna trafikinformationen till antalet byte och paket baserat på fem-tuple-statistik (käll-IP-adress, destinations-IP-adress, källport, destinationsport, protokollnummer), vilket kan särskilja flödet på varje logisk kanal. Övervakningsmetoden har hög effektivitet i informationsinsamlingen, men den kan inte analysera informationen från det fysiska lagret och datalänklagret, och behöver förbruka vissa routingresurser. Den behöver vanligtvis ansluta en separat funktionsmodul till nätverksutrustningen.
Publiceringstid: 17 oktober 2024
