Въведение
Мрежовият трафик е общият брой пакети, преминаващи през мрежовата връзка за единица време, което е основният показател за измерване на натоварването на мрежата и производителността на пренасочване. Мониторингът на мрежовия трафик е за улавяне на общите данни за пакетите за мрежово предаване и статистиката, а заснемането на данни за мрежовия трафик е заснемане на пакети с мрежови IP данни.
С разширяването на мащаба на мрежата Q в центровете за данни, системата от приложения става все по-богата, структурата на мрежата става все по-сложна, изискванията за мрежови услуги и мрежови ресурси са все по-високи, заплахите за мрежовата сигурност са все повече, експлоатацията и поддръжката продължават да се подобряват, а събирането и анализът на мрежовия трафик се превърнаха в незаменимо средство за анализ на инфраструктурата на центровете за данни. Чрез задълбочен анализ на мрежовия трафик, мрежовите мениджъри могат да ускорят локализирането на повреди, да анализират данните от приложенията, да оптимизират мрежовата структура, производителността на системата и контрола на сигурността по-интуитивно, както и да ускорят локализирането на повреди. Събирането на мрежов трафик е основата на системата за анализ на трафика. Една цялостна, разумна и ефективна мрежа за улавяне на трафик е полезна за подобряване на ефективността на улавянето, филтрирането и анализа на мрежовия трафик, задоволяване на нуждите от анализ на трафика от различни ъгли, оптимизиране на показателите за мрежова и бизнес ефективност и подобряване на потребителското изживяване и удовлетвореност.
Много е важно да се изучат методите и инструментите за улавяне на мрежовия трафик за ефективно разбиране и използване на мрежата, както и за точното ѝ наблюдение и анализ.
Стойността на събирането/заснемането на мрежов трафик
За експлоатацията и поддръжката на центрове за данни, чрез създаването на унифицирана платформа за събиране на мрежов трафик, комбинирана с платформа за мониторинг и анализ, може значително да се подобри управлението на експлоатацията и поддръжката, както и нивото на управление на непрекъснатостта на бизнеса.
1. Осигуряване на източник на данни за мониторинг и анализ: Трафикът на бизнес взаимодействието в мрежовата инфраструктура, получен чрез заснемане на мрежов трафик, може да осигури необходимия източник на данни за мрежов мониторинг, мониторинг на сигурността, големи данни, анализ на поведението на клиентите, анализ и оптимизация на изискванията за стратегия за достъп, всички видове платформи за визуален анализ, както и анализ на разходите, разширяване и миграция на приложения.
2. Пълна възможност за проследяване на грешки: чрез заснемане на мрежовия трафик, може да се осъществи обратен анализ и диагностика на грешки в исторически данни, да се осигури поддръжка на исторически данни за отделите за разработка, приложения и бизнес, и напълно да се реши проблемът с трудното събиране на доказателства, ниската ефективност и дори възможността за отричане.
3. Подобряване на ефективността на обработката на повреди. Чрез предоставяне на унифициран източник на данни за мрежа, мониторинг на приложения, мониторинг на сигурността и други платформи, може да се елиминира несъответствието и асиметрията на информацията, събрана от оригиналните платформи за мониторинг, да се подобри ефективността на справянето с всякакви извънредни ситуации, бързо да се локализира проблемът, да се възобнови дейността и да се подобри нивото на непрекъснатост на бизнеса.
Класификация на събирането/заснемането на мрежов трафик
Заснемането на мрежовия трафик е основно за наблюдение и анализ на характеристиките и промените в потока от данни в компютърната мрежа, за да се уловят характеристиките на трафика на цялата мрежа. Според различните източници на мрежов трафик, той се разделя на трафик на портове на мрежови възли, IP трафик от край до край, трафик на услуги за специфични услуги и трафик на данни за цялостни потребителски услуги.
1. Трафик на порта на мрежовия възел
Трафикът на порта на мрежовия възел се отнася до информационната статистика за входящите и изходящите пакети на порта на устройството на мрежовия възел. Той включва броя на пакетите данни, броя на байтовете, разпределението на размера на пакетите, загубата на пакети и друга статистическа информация, несвързана с обучението.
2. IP трафик от край до край
IP трафикът от край до край се отнася до мрежовия слой от източник до дестинация! Статистика на P пакетите. В сравнение с трафика на портовете на мрежовите възли, IP трафикът от край до край съдържа по-богата информация. Чрез анализа му можем да разберем целевата мрежа, до която потребителите в мрежата имат достъп, което е важна основа за мрежов анализ, планиране, проектиране и оптимизация.
3. Трафик на сервизния слой
Трафикът на сервизния слой съдържа информация за портовете на четвъртия слой (TCP дневен слой) в допълнение към IP трафика от край до край. Очевидно е, че той съдържа информация за видовете приложни услуги, които могат да бъдат използвани за по-подробен анализ.
4. Пълен трафик на бизнес данни за потребителите
Пълният трафик на потребителски данни е много ефективен за анализ на сигурността, производителността и други аспекти. Заснемането на пълните данни за потребителски услуги изисква супер силна способност за заснемане и супер висока скорост и капацитет на твърдия диск. Например, заснемането на входящите пакети данни на хакери може да спре определени престъпления или да получи важни доказателства.
Често срещан метод за събиране/заснемане на мрежов трафик
Според характеристиките и методите за обработка на улавянето на мрежовия трафик, улавянето на трафик може да се раздели на следните категории: частично и пълно събиране, активно и пасивно събиране, централизирано и разпределено събиране, хардуерно и софтуерно събиране и др. С развитието на събирането на трафик са разработени някои ефикасни и практични методи за събиране на трафик, базирани на горните идеи за класификация.
Технологията за събиране на мрежов трафик включва главно технология за мониторинг, базирана на огледален трафик, технология за мониторинг, базирана на заснемане на пакети в реално време, технология за мониторинг, базирана на SNMP/RMON, и технология за мониторинг, базирана на протокол за анализ на мрежовия трафик, като например NetiowsFlow. Сред тях, технологията за мониторинг, базирана на огледален трафик, включва виртуален TAP метод и разпределен метод, базиран на хардуерно сондиране.
1. Въз основа на мониторинг на трафика с огледало
Принципът на технологията за наблюдение на мрежовия трафик, базирана на пълно огледало, е да се постигне беззагубно копиране и събиране на изображения на мрежовия трафик чрез огледалото на портовете на мрежово оборудване, като например комутатори или допълнително оборудване, като оптичен сплитер и мрежова сонда. Мониторингът на цялата мрежа трябва да приеме разпределена схема, като във всяка връзка се разполага сонда, след което се събират данните от всички сонди чрез фоновия сървър и базата данни, както и се извършва анализ на трафика и дългосрочен отчет за цялата мрежа. В сравнение с други методи за събиране на трафик, най-важната характеристика на събирането на изображения на трафика е, че може да предостави богата информация на приложното ниво.
2. Въз основа на мониторинг на заснемането на пакети в реално време
Базирана на технология за анализ на заснемане на пакети в реално време, тя предоставя основно подробен анализ на данни от физическия слой до приложния слой, като се фокусира върху анализа на протоколите. Тя заснема интерфейсните пакети за кратко време за анализ и често се използва за бърза диагностика и отстраняване на проблеми с мрежовата производителност и неизправности. Тя има следните недостатъци: не може да заснема пакети с голям трафик и за дълго време и не може да анализира тенденциите в трафика на потребителите.
3. Технология за мониторинг, базирана на SNMP/RMON
Мониторингът на трафика, базиран на SNMP/RMON протокол, събира някои променливи, свързани със специфично оборудване и информация за трафика чрез MIB на мрежовото устройство. Това включва: брой входни байтове, брой входни неизлъчвани пакети, брой входни излъчвани пакети, брой изгубени входни пакети, брой грешки във входните пакети, брой входни пакети с неизвестен протокол, брой изходни пакети, брой изходни неизлъчвани пакети, брой изходни излъчвани пакети, брой изгубени изходни пакети, брой грешки в изходните пакети и др. Тъй като повечето рутери вече поддържат стандартния SNMP, предимството на този метод е, че не е необходимо допълнително оборудване за събиране на данни. Той обаче включва само най-основното съдържание, като например броя байтове и броя пакети, което не е подходящо за сложен мониторинг на трафика.
4. Технология за мониторинг на трафика, базирана на Netflow
Въз основа на мониторинга на трафика от Nethow, предоставената информация за трафика се разширява до броя байтове и пакети, базирани на статистика от пет кортежа (IP адрес на източника, IP адрес на местоназначението, порт на източника, порт на местоназначението, номер на протокола), което може да разграничи потока по всеки логически канал. Методът за мониторинг има висока ефективност на събиране на информация, но не може да анализира информацията от физическия слой и слоя за връзка с данни и изисква да консумира известни ресурси за маршрутизиране. Обикновено е необходимо да се свърже отделен функционален модул към мрежовото оборудване.
Време на публикуване: 17 октомври 2024 г.
