Introduktion
Nätverkstrafik är det totala antalet paket som passerar genom nätverkslänken i tidsenhet, vilket är det grundläggande indexet för att mäta nätverksbelastning och vidarebefordran. Övervakning av nätverkstrafik är att fånga in den övergripande informationen för nätverksöverföringspaket och statistik, och datainsamling av nätverkstrafik är att fånga in nätverks-IP-datapaket.
Med expansionen av datacentrets Q-nätverksskala är applikationssystemet mer och mer rikligt, nätverksstrukturen är mer och mer komplex, nätverkstjänsterna på nätverksresursernas krav är högre och högre, nätverkssäkerhetshoten är fler och fler , drift och underhåll av raffinerade krav fortsätter att förbättras, nätverkstrafik insamling och analys har blivit ett oumbärligt analysmedel för datacenterinfrastruktur. Genom den djupgående analysen av nätverkstrafiken kan nätverksansvariga påskynda fellokalisering, analysera applikationsdata, optimera nätverksstruktur, systemprestanda och säkerhetskontroll mer intuitivt och påskynda fellokalisering. Insamling av nätverkstrafik är grunden för ett trafikanalyssystem. Ett heltäckande, rimligt och effektivt trafikfångande nätverk är till hjälp för att förbättra effektiviteten av nätverkstrafikfångning, filtrering och analys, möta behoven av trafikanalys från olika vinklar, optimera nätverks- och affärsprestandaindikatorer och förbättra användarupplevelsen och tillfredsställelsen.
Det är mycket viktigt att studera metoderna och verktygen för att fånga nätverkstrafik för att effektivt förstå och använda nätverket, noggrant övervaka och analysera nätverket.
Värdet av att samla in/fånga nätverkstrafik
För drift och underhåll av datacenter kan genom inrättandet av en enhetlig nätverkstrafikfångstplattform, i kombination med övervaknings- och analysplattformen, avsevärt förbättra drift- och underhållshanteringen och affärskontinuitetshanteringsnivån.
1. Tillhandahåll övervaknings- och analysdatakälla: Trafiken för affärsinteraktion på nätverksinfrastrukturen som erhålls genom insamling av nätverkstrafik kan tillhandahålla den nödvändiga datakällan för nätverksövervakning, säkerhetsövervakning, big data, analys av kundbeteende, analys och optimering av åtkomststrategikrav, alla typer av visuella analysplattformar, samt kostnadsanalys, applikationsexpansion och migrering.
2. Fullständig spårbarhetsförmåga för felbevis: genom infångning av nätverkstrafik kan den realisera tillbakaanalys och feldiagnos av historiska data, tillhandahålla historisk datastöd för utvecklings-, applikations- och affärsavdelningar och helt lösa problemet med svår bevisinsamling, låg effektivitet och till och med förnekelse.
3. Förbättra effektiviteten av felhantering. Genom att tillhandahålla en enhetlig datakälla för nätverk, applikationsövervakning, säkerhetsövervakning och andra plattformar, kan den eliminera inkonsekvensen och asymmetrin i information som samlats in av de ursprungliga övervakningsplattformarna, förbättra effektiviteten för att hantera alla typer av nödsituationer, snabbt lokalisera problemet, återuppta affärsverksamhet och förbättra nivån på affärskontinuitet.
Klassificering av insamling/fångning av nätverkstrafik
Nätverkstrafikfångst är huvudsakligen för att övervaka och analysera egenskaperna och förändringarna av dataflödet i datornätverk för att förstå trafikegenskaperna för hela nätverket. Enligt de olika källorna till nätverkstrafik är nätverkstrafiken uppdelad i nätverksnodporttrafik, IP-trafik från slut till ände, tjänstetrafik för specifika tjänster och komplett användartjänstdatatrafik.
1. Nätverksnodsporttrafik
Nätverksnodsporttrafik hänvisar till informationsstatistiken för inkommande och utgående paket vid nätverksnodens enhetsport. Det inkluderar antalet datapaket, antal byte, paketstorleksfördelning, paketförlust och annan statistisk information som inte är lärande.
2. End-to-end IP-trafik
End-to-end IP-trafik avser nätverkslagret från en källa till en destination! Statistik för P-paket. Jämfört med nätverksnodporttrafiken innehåller IP-trafiken från slut till ände mer rikligt med information. Genom analysen av det kan vi känna till destinationsnätverket som användarna i nätverket kommer åt, vilket är en viktig grund för nätverksanalys, planering, design och optimering.
3. Servicelagertrafik
Servicelagertrafiken innehåller information om portarna för det fjärde lagret (TCP-daglagret) utöver IP-trafiken från slut till ände. Uppenbarligen innehåller den information om vilka typer av applikationstjänster som kan användas för mer detaljerad analys.
4. Slutför användarens affärsdatatrafik
Den kompletta användartjänstens datatrafik är mycket effektiv för analys av säkerhet, prestanda och andra aspekter. Att fånga hela användartjänstdata kräver superstark fångstförmåga och superhög hårddisklagringshastighet och kapacitet. Att till exempel fånga in inkommande datapaket från hackare kan stoppa vissa brott eller få fram viktiga bevis.
Vanlig metod för insamling/fångning av nätverkstrafik
Enligt egenskaperna och bearbetningsmetoderna för insamling av nätverkstrafik kan trafikfångning delas in i följande kategorier: partiell insamling och fullständig insamling, aktiv insamling och passiv insamling, centraliserad insamling och distribuerad insamling, insamling av hårdvara och insamling av programvara, etc. Med utveckling av trafikinsamling har några effektiva och praktiska trafikinsamlingsmetoder tagits fram utifrån ovanstående klassificeringsidéer.
Tekniken för insamling av nätverkstrafik inkluderar huvudsakligen övervakningstekniken baserad på trafikspegel, övervakningstekniken baserad på realtidspaketfångning, övervakningstekniken baserad på SNMP/RMON och övervakningstekniken baserad på nätverkstrafikanalysprotokoll såsom NetiowsFlow. Bland dem inkluderar övervakningstekniken baserad på trafikspegel den virtuella TAP-metoden och den distribuerade metoden baserad på hårdvaruprob.
1. Baserat på Traffic Mirror Monitoring
Principen för teknik för övervakning av nätverkstrafik baserad på full spegel är att uppnå förlustfri kopiering och bildinsamling av nätverkstrafik genom portspegeln för nätverksutrustning såsom switchar eller ytterligare utrustning såsom optisk splitter och nätverkssond. Övervakningen av hela nätverket måste anta ett distribuerat schema, distribuera en sond i varje länk och sedan samla in data från alla sonder genom bakgrundsservern och databasen, och göra trafikanalys och långtidsrapporter för hela nätverket. Jämfört med andra trafikinsamlingsmetoder är den viktigaste egenskapen för insamling av trafikbilder att den kan ge rik applikationslagerinformation.
2. Baserat på övervakning av paketfångst i realtid
Baserat på teknik för analys av paketfångst i realtid, tillhandahåller den huvudsakligen detaljerad dataanalys från det fysiska lagret till applikationslagret, med fokus på protokollanalys. Den fångar gränssnittspaketen på kort tid för analys och används ofta för att realisera snabb diagnos och lösning av nätverksprestanda och fel. Den har följande brister: den kan inte fånga paket med stor trafik och lång tid, och den kan inte analysera trafiktrenden för användare.
3. Övervakningsteknik baserad på SNMP/RMON
Trafikövervakning baserad på SNMP/RMON-protokollet samlar in några variabler relaterade till specifik utrustning och trafikinformation via nätverksenheten MIB. Det inkluderar: antal indatabyte, antal inmatade icke-sändningspaket, antal inmatade broadcast-paket, antal indatapaket, antal indatapaketfel, antal inmatade okända protokollpaket, antal utdatapaket, antal utdatapaket -broadcast-paket, antal utgående broadcast-paket, antal utdatapaket, antal utdatapaketfel, etc. Eftersom de flesta routrar nu stöder standard SNMP, är fördelen med denna metod att ingen ytterligare datainsamlingsutrustning behövs. Det innehåller dock bara det mest grundläggande innehållet som antalet byte och antalet paket, vilket inte är lämpligt för komplex trafikövervakning.
4. Netflow-baserad trafikövervakningsteknik
Baserat på trafikövervakningen av Nethow utökas den tillhandahållna trafikinformationen till antalet byte och paket baserat på fem-tuppel (käll-IP-adress, destinations-IP-adress, källport, destinationsport, protokollnummer) statistik, som kan särskilja flödet på varje logisk kanal. Övervakningsmetoden har hög effektivitet för informationsinsamling, men den kan inte analysera informationen från det fysiska skiktet och datalänkskiktet, och måste konsumera vissa routingresurser. Den behöver vanligtvis ansluta en separat funktionsmodul till nätverksutrustningen.
Posttid: 17-10-2024
