Por que precisa Taps de rede e intermediarios de paquetes de rede para a súa captura de tráfico de rede? (Parte 1)

Introdución

O tráfico de rede é o número total de paquetes que pasan pola ligazón de rede en unidade de tempo, que é o índice básico para medir a carga da rede e o rendemento de reenvío. A vixilancia do tráfico da rede consiste en capturar os datos xerais dos paquetes e estatísticas de transmisión da rede, e a captura de datos do tráfico da rede é a captura de paquetes de datos IP da rede.

Coa expansión da escala de rede do centro de datos Q, o sistema de aplicación é cada vez máis abundante, a estrutura da rede é cada vez máis complexa, os requisitos de servizos de rede son cada vez máis altos, as ameazas de seguridade da rede son cada vez máis. , a operación e mantemento de requisitos refinados seguen mellorando, a recollida e análise de tráfico de rede converteuse nun medio de análise indispensable da infraestrutura do centro de datos. A través da análise en profundidade do tráfico de rede, os xestores de rede poden acelerar a localización de fallos, analizar os datos das aplicacións, optimizar a estrutura da rede, o rendemento do sistema e o control de seguridade de forma máis intuitiva e acelerar a localización de fallos. A recollida de tráfico de rede é a base do sistema de análise de tráfico. Unha rede de captura de tráfico completa, razoable e eficaz é útil para mellorar a eficiencia da captura, filtrado e análise do tráfico da rede, satisfacer as necesidades de análise de tráfico desde diferentes ángulos, optimizar os indicadores de rendemento da rede e da empresa e mellorar a experiencia e satisfacción do usuario.

É moi importante estudar os métodos e ferramentas de captura de tráfico de rede para comprender e utilizar a rede de forma eficaz, monitorizando e analizando a rede con precisión.

 Mylinking™-Network-Packet-Broker-Solución-Total

O valor da recollida/captura de tráfico de rede

Para a operación e mantemento do centro de datos, a través do establecemento dunha plataforma de captura de tráfico de rede unificada, combinada coa plataforma de seguimento e análise, pode mellorar moito a xestión de operación e mantemento e o nivel de xestión da continuidade do negocio.

1. Proporcionar a fonte de datos de seguimento e análise: o tráfico da interacción empresarial na infraestrutura de rede obtida pola captura de tráfico de rede pode proporcionar a fonte de datos necesaria para o seguimento da rede, a vixilancia da seguridade, os big data, a análise do comportamento do cliente, a análise e optimización dos requisitos da estratexia de acceso. todo tipo de plataformas de análise visual, así como análise de custos, expansión e migración de aplicacións.

2. Capacidade completa de rastrexabilidade a proba de fallos: mediante a captura de tráfico de rede, pode realizar análises e diagnósticos de fallos de datos históricos, proporcionar soporte de datos históricos para os departamentos de desenvolvemento, aplicacións e negocios, e resolver completamente o problema de captura de probas difíciles, baixa eficiencia e incluso a negación.

3. Mellorar a eficiencia do tratamento de avarías. Ao proporcionar unha fonte de datos unificada para redes, monitorización de aplicacións, monitorización de seguridade e outras plataformas, pode eliminar a inconsistencia e a asimetría da información recollida polas plataformas de monitorización orixinais, mellorar a eficiencia de xestionar todo tipo de emerxencias, localizar rapidamente o problema, retomar negocio e mellorar o nivel de continuidade do negocio.

Clasificación de recollida/captura de tráfico de rede

A captura de tráfico de rede consiste principalmente en supervisar e analizar as características e os cambios do fluxo de datos da rede de ordenadores para comprender as características do tráfico de toda a rede. Segundo as diferentes fontes de tráfico de rede, o tráfico de rede divídese en tráfico de porto de nodos de rede, tráfico IP de extremo a extremo, tráfico de servizos de servizos específicos e tráfico de datos de servizos de usuario completo.

1. Tráfico de porto de nodos de rede

O tráfico do porto do nodo da rede refírese ás estatísticas de información dos paquetes entrantes e saíntes no porto do dispositivo do nodo da rede. Inclúe o número de paquetes de datos, o número de bytes, a distribución do tamaño do paquete, a perda de paquetes e outra información estatística que non se aprende.

2. Tráfico IP de extremo a extremo

O tráfico IP de extremo a extremo refírese á capa de rede desde unha fonte ata un destino. Estatística de paquetes P. En comparación co tráfico do porto do nodo da rede, o tráfico IP de extremo a extremo contén información máis abundante. A través da súa análise, podemos coñecer a rede de destino á que acceden os usuarios da rede, que é unha base importante para a análise, planificación, deseño e optimización da rede.

3. Tráfico da capa de servizo

O tráfico da capa de servizo contén información sobre os portos da cuarta capa (capa de día TCP) ademais do tráfico IP de extremo a extremo. Obviamente, contén información sobre os tipos de servizos de aplicacións que se poden utilizar para unha análise máis detallada.

4. Completa o tráfico de datos empresariais do usuario

O tráfico de datos do servizo de usuario completo é moi eficaz para a análise de seguridade, rendemento e outros aspectos. A captura dos datos completos do servizo de usuario require unha capacidade de captura moi forte e unha velocidade e capacidade de almacenamento do disco duro moi altas. Por exemplo, capturar os paquetes de datos entrantes dos hackers pode deter certos delitos ou obter probas importantes.

Método común de recollida/captura de tráfico de rede

Segundo as características e os métodos de procesamento da captura de tráfico de rede, a captura de tráfico pódese dividir nas seguintes categorías: recollida parcial e recollida completa, recollida activa e recollida pasiva, recollida centralizada e recollida distribuída, recollida de hardware e colección de software, etc. desenvolvemento da recollida de tráfico, producíronse algúns métodos eficientes e prácticos de recollida de tráfico baseándose nas ideas de clasificación anteriores.

A tecnoloxía de recollida de tráfico de rede inclúe principalmente a tecnoloxía de monitorización baseada no espello de tráfico, a tecnoloxía de monitorización baseada na captura de paquetes en tempo real, a tecnoloxía de monitorización baseada en SNMP/RMON e a tecnoloxía de monitorización baseada no protocolo de análise de tráfico de rede como NetiowsFlow. Entre eles, a tecnoloxía de monitorización baseada no espello de tráfico inclúe o método TAP virtual e o método distribuído baseado na sonda de hardware.

1. Baseado na vixilancia do espello de tráfico

O principio da tecnoloxía de vixilancia do tráfico de rede baseada no espello completo é conseguir copias sen perdas e recollida de imaxes do tráfico de rede a través do espello do porto de equipos de rede, como conmutadores ou equipos adicionais, como divisor óptico e sonda de rede. O seguimento de toda a rede debe adoptar un esquema distribuído, despregando unha sonda en cada ligazón e, a continuación, recollendo os datos de todas as sondas a través do servidor e da base de datos en segundo plano, e facendo análise de tráfico e informe a longo prazo de toda a rede. En comparación con outros métodos de recollida de tráfico, a característica máis importante da recollida de imaxes de tráfico é que pode proporcionar información rica da capa de aplicación.

2. Baseado no seguimento de captura de paquetes en tempo real

Baseado na tecnoloxía de análise de captura de paquetes en tempo real, ofrece principalmente unha análise detallada de datos desde a capa física ata a capa de aplicación, centrándose na análise do protocolo. Captura os paquetes de interface nun curto espazo de tempo para a súa análise e úsase a miúdo para realizar un diagnóstico rápido e a solución do rendemento e fallos da rede. Ten as seguintes deficiencias: non pode capturar paquetes con gran tráfico e moito tempo, e non pode analizar a tendencia do tráfico dos usuarios.

3. Tecnoloxía de monitorización baseada en SNMP/RMON

A monitorización do tráfico baseada no protocolo SNMP/RMON recolle algunhas variables relacionadas con equipos específicos e información de tráfico a través do MIB do dispositivo de rede. Inclúe: número de bytes de entrada, número de paquetes de entrada non emitidos, número de paquetes de entrada de difusión, número de caídas de paquetes de entrada, número de erros de paquetes de entrada, número de paquetes de protocolo descoñecidos de entrada, número de paquetes de saída, número de paquetes de saída non -paquetes de emisión, número de paquetes de emisión de saída, número de caídas de paquetes de saída, número de erros de paquete de saída, etc. Dado que a maioría dos enrutadores agora admiten SNMP estándar, a vantaxe deste método é que non se necesita ningún equipo adicional de adquisición de datos. Non obstante, só inclúe o contido máis básico como o número de bytes e o número de paquetes, que non son axeitados para un seguimento complexo do tráfico.

4. Tecnoloxía de vixilancia de tráfico baseada en Netflow

Baseándose na supervisión do tráfico de Nethow, a información de tráfico proporcionada amplíase ao número de bytes e paquetes en función das estatísticas de cinco tuplas (enderezo IP de orixe, enderezo IP de destino, porto de orixe, porto de destino, número de protocolo), que poden distinguir o fluxo en cada canle lóxico. O método de seguimento ten unha alta eficiencia na recollida de información, pero non pode analizar a información da capa física e da capa de enlace de datos e necesita consumir algúns recursos de enrutamento. Normalmente necesita conectar un módulo de función separado ao equipo de rede.


Hora de publicación: 17-Oct-2024