Introdución
O tráfico de rede é o número total de paquetes que pasan pola ligazón de rede na unidade de tempo, que é o índice básico para medir a carga da rede e o rendemento do reenvío. A monitorización do tráfico de rede consiste en capturar os datos xerais dos paquetes de transmisión da rede e as estatísticas, e a captura de datos de tráfico de rede é a captura de paquetes de datos IP da rede.
Coa expansión da escala da rede Q do centro de datos, o sistema de aplicacións é cada vez máis abundante, a estrutura da rede é cada vez máis complexa, os servizos de rede nos requisitos de recursos de rede son cada vez maiores, as ameazas á seguridade da rede son cada vez maiores, o funcionamento e o mantemento de requisitos refinados continúan a mellorar, a recollida e análise do tráfico de rede converteuse nun medio de análise indispensable da infraestrutura do centro de datos. Mediante a análise en profundidade do tráfico de rede, os xestores de rede poden acelerar a localización de fallos, analizar os datos das aplicacións, optimizar a estrutura da rede, o rendemento do sistema e o control de seguridade de forma máis intuitiva e acelerar a localización de fallos. A recollida de tráfico de rede é a base do sistema de análise de tráfico. Unha rede de captura de tráfico completa, razoable e eficaz é útil para mellorar a eficiencia da captura, filtrado e análise do tráfico de rede, satisfacer as necesidades da análise do tráfico desde diferentes ángulos, optimizar os indicadores de rendemento da rede e do negocio e mellorar a experiencia e a satisfacción do usuario.
É moi importante estudar os métodos e ferramentas de captura de tráfico de rede para comprender e usar a rede de forma eficaz, monitorizala e analizala con precisión.
O valor da recollida/captura de tráfico de rede
Para a operación e o mantemento do centro de datos, o establecemento dunha plataforma unificada de captura de tráfico de rede, combinada coa plataforma de monitorización e análise, pode mellorar considerablemente a xestión da operación e o mantemento e o nivel de xestión da continuidade do negocio.
1. Proporcionar unha fonte de datos de monitorización e análise: o tráfico de interacción empresarial na infraestrutura de rede obtido mediante a captura de tráfico de rede pode proporcionar a fonte de datos necesaria para a monitorización de rede, a monitorización da seguridade, o big data, a análise do comportamento do cliente, a análise e optimización dos requisitos da estratexia de acceso, todo tipo de plataformas de análise visual, así como a análise de custos, a expansión e migración de aplicacións.
2. Capacidade completa de rastrexabilidade a proba de fallos: mediante a captura do tráfico de rede, pode realizar análises retroactivas e diagnósticos de fallos de datos históricos, proporcionar soporte de datos históricos para departamentos de desenvolvemento, aplicacións e negocios, e resolver completamente o problema da difícil captura de evidencias, a baixa eficiencia e mesmo a negación.
3. Mellorar a eficiencia da xestión de fallos. Ao proporcionar unha fonte de datos unificada para a rede, a monitorización de aplicacións, a monitorización de seguridade e outras plataformas, pode eliminar a inconsistencia e a asimetría da información recollida polas plataformas de monitorización orixinais, mellorar a eficiencia da xestión de todo tipo de emerxencias, localizar rapidamente o problema, retomar a actividade e mellorar o nivel de continuidade empresarial.
Clasificación da recollida/captura de tráfico de rede
A captura de tráfico de rede ten como obxectivo principal monitorizar e analizar as características e os cambios no fluxo de datos da rede informática para comprender as características do tráfico de toda a rede. Segundo as diferentes fontes de tráfico de rede, este divídese en tráfico de portos de nodos de rede, tráfico IP de extremo a extremo, tráfico de servizos específicos e tráfico de datos de servizos de usuario completo.
1. Tráfico de portos de nodos de rede
O tráfico portuario do nodo de rede refírese ás estatísticas de información dos paquetes entrantes e saíntes no porto do dispositivo do nodo de rede. Inclúe o número de paquetes de datos, o número de bytes, a distribución do tamaño dos paquetes, a perda de paquetes e outra información estatística non relacionada coa aprendizaxe.
2. Tráfico IP de extremo a extremo
O tráfico IP de extremo a extremo refírese á capa de rede desde unha orixe a un destino. Estatísticas dos paquetes P. En comparación co tráfico de portos de nodos de rede, o tráfico IP de extremo a extremo contén información máis abundante. Mediante a súa análise, podemos coñecer a rede de destino á que acceden os usuarios da rede, o que é unha base importante para a análise, planificación, deseño e optimización da rede.
3. Tráfico da capa de servizo
O tráfico da capa de servizos contén información sobre os portos da cuarta capa (capa diúrna TCP) ademais do tráfico IP de extremo a extremo. Obviamente, contén información sobre os tipos de servizos de aplicación que se poden empregar para unha análise máis detallada.
4. Tráfico completo de datos empresariais do usuario
O tráfico completo de datos de servizo do usuario é moi eficaz para a análise da seguridade, o rendemento e outros aspectos. A captura completa dos datos de servizo do usuario require unha capacidade de captura moi forte e unha velocidade e capacidade de almacenamento en disco duro moi altas. Por exemplo, a captura dos paquetes de datos entrantes dos piratas informáticos pode deter certos delitos ou obter probas importantes.
Método común de recollida/captura de tráfico de rede
Segundo as características e os métodos de procesamento da captura de tráfico de rede, a captura de tráfico pódese dividir nas seguintes categorías: recollida parcial e recollida completa, recollida activa e recollida pasiva, recollida centralizada e recollida distribuída, recollida por hardware e recollida por software, etc. Co desenvolvemento da recollida de tráfico, producíronse algúns métodos de recollida de tráfico eficientes e prácticos baseados nas ideas de clasificación anteriores.
A tecnoloxía de recollida de tráfico de rede inclúe principalmente a tecnoloxía de monitorización baseada en espello de tráfico, a tecnoloxía de monitorización baseada na captura de paquetes en tempo real, a tecnoloxía de monitorización baseada en SNMP/RMON e a tecnoloxía de monitorización baseada no protocolo de análise de tráfico de rede como NetiowsFlow. Entre elas, a tecnoloxía de monitorización baseada en espello de tráfico inclúe o método TAP virtual e o método distribuído baseado en sonda de hardware.
1. Baseado na monitorización do espello de tráfico
O principio da tecnoloxía de monitorización do tráfico de rede baseada no espello completo é conseguir unha copia sen perdas e a recollida de imaxes do tráfico de rede a través do espello de portos de equipos de rede como conmutadores ou equipos adicionais como divisores ópticos e sondas de rede. A monitorización de toda a rede debe adoptar un esquema distribuído, despregando unha sonda en cada ligazón e, a continuación, recollendo os datos de todas as sondas a través do servidor e a base de datos en segundo plano, e realizando análises de tráfico e informes a longo prazo de toda a rede. En comparación con outros métodos de recollida de tráfico, a característica máis importante da recollida de imaxes de tráfico é que pode proporcionar información rica na capa de aplicación.
2. Baseado na monitorización da captura de paquetes en tempo real
Baseado na tecnoloxía de análise de captura de paquetes en tempo real, proporciona principalmente unha análise detallada de datos desde a capa física ata a capa de aplicación, centrándose na análise de protocolos. Captura os paquetes da interface nun curto período de tempo para a súa análise e úsase a miúdo para realizar un diagnóstico e unha solución rápidos do rendemento e os fallos da rede. Ten as seguintes deficiencias: non pode capturar paquetes con tráfico elevado e longo prazo e non pode analizar a tendencia do tráfico dos usuarios.
3. Tecnoloxía de monitorización baseada en SNMP/RMON
A monitorización do tráfico baseada no protocolo SNMP/RMON recolle algunhas variables relacionadas con equipos específicos e información de tráfico a través da MIB do dispositivo de rede. Inclúe: número de bytes de entrada, número de paquetes de entrada non radiodifundidos, número de paquetes de entrada radiodifundidos, número de descartes de paquetes de entrada, número de erros de paquetes de entrada, número de paquetes de protocolo descoñecido de entrada, número de paquetes de saída, número de paquetes de saída non radiodifundidos, número de paquetes de saída radiodifundidos, número de descartes de paquetes de saída, número de erros de paquetes de saída, etc. Dado que a maioría dos enrutadores agora admiten SNMP estándar, a vantaxe deste método é que non se necesita ningún equipo de adquisición de datos adicional. Non obstante, só inclúe o contido máis básico, como o número de bytes e o número de paquetes, o que non é axeitado para a monitorización complexa do tráfico.
4. Tecnoloxía de monitorización de tráfico baseada en Netflow
Baseándose na monitorización do tráfico de Nethow, a información de tráfico proporcionada amplíase ao número de bytes e paquetes en función das estatísticas de cinco tuplas (enderezo IP de orixe, enderezo IP de destino, porto de orixe, porto de destino, número de protocolo), que poden distinguir o fluxo en cada canle lóxica. O método de monitorización ten unha alta eficiencia de recollida de información, pero non pode analizar a información da capa física e da capa de enlace de datos e necesita consumir algúns recursos de enrutamento. Normalmente necesita conectar un módulo de función separado ao equipo de rede.
Data de publicación: 17 de outubro de 2024
