Hvorfor skal du bruge Network Taps og Network Packet Brokers til din netværkstrafikfangst? (Del 1)

Indledning

Netværkstrafik er det samlede antal pakker, der passerer gennem netværksforbindelsen i tidsenhed, som er det grundlæggende indeks til at måle netværksbelastning og videresendelsesydelse. Netværkstrafikovervågning er at fange de overordnede data for netværkstransmissionspakker og statistikker, og netværkstrafikdatafangst er indfangning af netværks-IP-datapakker.

Med udvidelsen af ​​datacentrets Q-netværksskala er applikationssystemet mere og mere rigeligt, netværksstrukturen er mere og mere kompleks, netværkstjenesterne på netværksressourcekravene er højere og højere, netværkssikkerhedstruslerne er flere og flere , drift og vedligeholdelse af raffinerede krav fortsætter med at forbedre, netværkstrafik indsamling og analyse er blevet et uundværligt analysemiddel for datacenterinfrastruktur. Gennem den dybdegående analyse af netværkstrafikken kan netværksadministratorer fremskynde fejllokalisering, analysere applikationsdata, optimere netværksstruktur, systemydeevne og sikkerhedskontrol mere intuitivt og fremskynde fejllokalisering. Netværkstrafikindsamling er grundlaget for et trafikanalysesystem. Et omfattende, rimeligt og effektivt trafikfangende netværk er nyttigt til at forbedre effektiviteten af ​​netværkstrafikregistrering, filtrering og analyse, opfylde behovene for trafikanalyse fra forskellige vinkler, optimere netværks- og virksomhedspræstationsindikatorer og forbedre brugeroplevelsen og -tilfredsheden.

Det er meget vigtigt at studere metoderne og værktøjerne til indfangning af netværkstrafik for effektivt at forstå og bruge netværket, nøjagtigt overvåge og analysere netværket.

 Mylinking™-Netværk-Packet-Broker-Total-Solution

Værdien af ​​indsamling/optagelse af netværkstrafik

For drift og vedligeholdelse af datacenter kan gennem etableringen af ​​en samlet netværks-trafikregistreringsplatform kombineret med overvågnings- og analyseplatformen forbedre drift- og vedligeholdelsesstyrings- og forretningskontinuitetsstyringsniveauet betydeligt.

1. Giv overvågnings- og analysedatakilde: Trafikken af ​​forretningsinteraktion på netværksinfrastrukturen opnået ved netværkstrafikregistrering kan levere den nødvendige datakilde til netværksovervågning, sikkerhedsovervågning, big data, kundeadfærdsanalyse, analyse og optimering af adgangsstrategikrav, alle former for visuelle analyseplatforme, samt omkostningsanalyse, applikationsudvidelse og migrering.

2. Fuldstændig fejlbevis sporbarhed: gennem netværkstrafikregistrering kan den realisere tilbageanalyse og fejldiagnose af historiske data, yde historisk dataunderstøttelse til udviklings-, applikations- og forretningsafdelinger og fuldstændigt løse problemet med vanskelig bevisopsamling, lav effektivitet og selv benægtelse.

3. Forbedre effektiviteten af ​​fejlhåndtering. Ved at levere en samlet datakilde til netværk, applikationsovervågning, sikkerhedsovervågning og andre platforme kan den eliminere inkonsistensen og asymmetrien i information indsamlet af de originale overvågningsplatforme, forbedre effektiviteten af ​​håndtering af alle former for nødsituationer, hurtigt lokalisere problemet, genoptage forretning og forbedre niveauet af forretningskontinuitet.

Klassificering af netværkstrafikopsamling/fangst

Netværkstrafikregistrering er hovedsageligt at overvåge og analysere karakteristika og ændringer af computernetværkets datastrøm for at forstå trafikkarakteristikaene for hele netværket. Ifølge de forskellige kilder til netværkstrafik er netværkstrafikken opdelt i netværksknudeporttrafik, ende-til-ende IP-trafik, servicetrafik af specifikke tjenester og komplet brugertjenestedatatrafik.

1. Netværksknudeporttrafik

Netværksknudeporttrafik henviser til informationsstatistikken for indgående og udgående pakker ved netværksknudeenhedens port. Det inkluderer antallet af datapakker, antal bytes, pakkestørrelsesfordeling, pakketab og anden ikke-lærende statistisk information.

2. End-to-end IP-trafik

End-to-end IP-trafik refererer til netværkslaget fra en kilde til en destination! Statistik over P-pakker. Sammenlignet med netværksknudeporttrafikken indeholder end-to-end IP-trafikken mere rigelig information. Gennem analysen af ​​det kan vi kende det destinationsnetværk, som brugerne i netværket får adgang til, hvilket er et vigtigt grundlag for netværksanalyse, planlægning, design og optimering.

3. Servicelagstrafik

Servicelagstrafikken indeholder information om portene på det fjerde lag (TCP-daglag) ud over ende-til-ende IP-trafikken. Det er klart, at det indeholder oplysninger om de typer applikationstjenester, der kan bruges til mere detaljeret analyse.

4. Gennemfør brugervirksomhedsdatatrafik

Den komplette brugerservicedatatrafik er meget effektiv til analyse af sikkerhed, ydeevne og andre aspekter. Optagelse af de komplette brugerservicedata kræver super stærk optagelsesevne og super høj harddisklagringshastighed og -kapacitet. For eksempel kan indfangning af indgående datapakker fra hackere stoppe visse forbrydelser eller opnå vigtige beviser.

Fælles metode til indsamling/fangst af netværkstrafik

I henhold til egenskaberne og behandlingsmetoderne for opsamling af netværkstrafik kan trafikregistrering opdeles i følgende kategorier: delvis indsamling og fuldstændig indsamling, aktiv indsamling og passiv indsamling, centraliseret indsamling og distribueret indsamling, hardwareindsamling og softwareindsamling osv. udvikling af trafikopsamling, er der produceret nogle effektive og praktiske trafikopsamlingsmetoder baseret på ovenstående klassificeringsidéer.

Teknologien til indsamling af netværkstrafik omfatter hovedsageligt overvågningsteknologien baseret på trafikspejl, overvågningsteknologien baseret på pakkefangst i realtid, overvågningsteknologien baseret på SNMP/RMON og overvågningsteknologien baseret på netværkstrafikanalyseprotokol som NetiowsFlow. Blandt dem inkluderer overvågningsteknologien baseret på trafikspejle den virtuelle TAP-metode og den distribuerede metode baseret på hardwareprobe.

1. Baseret på Traffic Mirror Monitoring

Princippet for netværkstrafikovervågningsteknologi baseret på fuldt spejl er at opnå tabsfri kopi- og billedindsamling af netværkstrafik gennem portspejlet på netværksudstyr såsom switche eller ekstraudstyr såsom optisk splitter og netværkssonde. Overvågningen af ​​hele netværket skal vedtage et distribueret skema, implementere en sonde i hvert link og derefter indsamle data fra alle sonder gennem baggrundsserveren og databasen og lave trafikanalyse og langtidsrapportering af hele netværket. Sammenlignet med andre trafikindsamlingsmetoder er den vigtigste egenskab ved indsamling af trafikbilleder, at den kan give rig applikationslagsinformation.

2. Baseret på pakkefangstovervågning i realtid

Baseret på pakkefangstanalyseteknologi i realtid giver den hovedsageligt detaljeret dataanalyse fra det fysiske lag til applikationslaget med fokus på protokolanalyse. Det fanger grænsefladepakkerne på kort tid til analyse og bruges ofte til at realisere den hurtige diagnose og løsning af netværkets ydeevne og fejl. Det har følgende mangler: det kan ikke fange pakker med stor trafik og lang tid, og det kan ikke analysere brugernes trafiktendens.

3. Overvågningsteknologi baseret på SNMP/RMON

Trafikovervågning baseret på SNMP/RMON-protokollen indsamler nogle variabler relateret til specifikt udstyr og trafikinformation gennem netværksenheden MIB. Det omfatter: antal input-bytes, antal input-ikke-broadcast-pakker, antal input-broadcast-pakker, antal input-pakke-dråber, antal input-pakkefejl, antal input-ukendte protokolpakker, antal output-pakker, antal output-ikke -broadcast-pakker, antal output-broadcast-pakker, antal output-pakke-dråber, antal output-pakkefejl osv. Da de fleste routere nu understøtter standard SNMP, er fordelen ved denne metode, at der ikke er behov for yderligere dataopsamlingsudstyr. Det omfatter dog kun det mest basale indhold såsom antallet af bytes og antallet af pakker, hvilket ikke er egnet til kompleks trafikovervågning.

4. Netflow-baseret trafikovervågningsteknologi

Baseret på trafikovervågningen af ​​Nethow udvides trafikinformationen til antallet af bytes og pakker baseret på fem-tuple (kilde-IP-adresse, destinations-IP-adresse, kildeport, destinationsport, protokolnummer), som kan skelne flowet på hver logisk kanal. Overvågningsmetoden har høj effektivitet i informationsindsamlingen, men den kan ikke analysere informationen om det fysiske lag og datalinklaget og skal bruge nogle routingressourcer. Den skal normalt tilslutte et separat funktionsmodul til netværksudstyret.


Indlægstid: 17. oktober 2024