Indledning
Netværkstrafik er det samlede antal pakker, der passerer gennem netværksforbindelsen i tidsenhed, hvilket er det grundlæggende indeks til at måle netværksbelastning og videresendelsesydelse. Overvågning af netværkstrafik har til formål at indsamle de samlede data om netværkstransmissionspakker og statistikker, og dataopsamling af netværkstrafik er opsamling af netværks-IP-datapakker.
Med udvidelsen af datacentrets Q-netværk bliver applikationssystemet mere og mere omfattende, netværksstrukturen mere og mere kompleks, kravene til netværkstjenester og netværksressourcer bliver højere og højere, truslerne mod netværkssikkerheden bliver større og større, kravene til drift og vedligeholdelse forbedres fortsat. Indsamling og analyse af netværkstrafik er blevet et uundværligt analysemiddel for datacenterinfrastruktur. Gennem dybdegående analyse af netværkstrafik kan netværksadministratorer fremskynde fejllokalisering, analysere applikationsdata, optimere netværksstruktur, systemydelse og sikkerhedskontrol mere intuitivt og dermed fremskynde fejllokalisering. Indsamling af netværkstrafik er grundlaget for et trafikanalysesystem. Et omfattende, rimeligt og effektivt trafikopsamlingsnetværk er nyttigt til at forbedre effektiviteten af netværkstrafikopsamling, filtrering og analyse, opfylde behovene for trafikanalyse fra forskellige vinkler, optimere netværks- og forretningspræstationsindikatorer og forbedre brugeroplevelsen og tilfredsheden.
Det er meget vigtigt at studere metoder og værktøjer til netværkstrafikregistrering for effektivt at forstå og bruge netværket samt præcist at overvåge og analysere det.
Værdien af indsamling/registrering af netværkstrafik
For drift og vedligeholdelse af datacentre kan etablering af en samlet platform til opsamling af netværkstrafik kombineret med overvågnings- og analyseplatformen i høj grad forbedre drifts- og vedligeholdelsesstyringen samt niveauet af forretningskontinuitet.
1. Tilvejebringelse af datakilder til overvågning og analyse: Trafikken fra forretningsinteraktion på netværksinfrastrukturen, der indsamles ved hjælp af netværkstrafikregistrering, kan levere den nødvendige datakilde til netværksovervågning, sikkerhedsovervågning, big data, analyse af kundeadfærd, analyse og optimering af krav til adgangsstrategi, alle former for visuelle analyseplatforme samt omkostningsanalyse, applikationsudvidelse og migrering.
2. Komplet sporbarhed og fejlsikring: Gennem netværkstrafikregistrering kan den udføre background-analyse og fejldiagnose af historiske data, yde historisk datasupport til udviklings-, applikations- og forretningsafdelinger og fuldstændigt løse problemet med vanskelig bevisindsamling, lav effektivitet og endda benægtelse.
3. Forbedr effektiviteten af fejlhåndtering. Ved at levere en samlet datakilde til netværk, applikationsovervågning, sikkerhedsovervågning og andre platforme kan det eliminere inkonsistens og asymmetri i information indsamlet af de oprindelige overvågningsplatforme, forbedre effektiviteten af håndteringen af alle former for nødsituationer, hurtigt lokalisere problemet, genoptage driften og forbedre niveauet af forretningskontinuitet.
Klassificering af netværkstrafikindsamling/-registrering
Optagelse af netværkstrafik bruges primært til at overvåge og analysere karakteristika og ændringer i computernetværkets dataflow for at forstå trafikkarakteristikaene for hele netværket. I henhold til de forskellige kilder til netværkstrafik er netværkstrafikken opdelt i netværksnodeporttrafik, end-to-end IP-trafik, tjenestetrafik for specifikke tjenester og komplet brugertjenestedatatrafik.
1. Netværksnodeporttrafik
Netværksnodeporttrafik refererer til informationsstatistik over indgående og udgående pakker ved netværksnodens enhedsport. Det omfatter antallet af datapakker, antallet af bytes, pakkestørrelsesfordeling, pakketab og anden ikke-læringsbaseret statistisk information.
2. End-to-end IP-trafik
End-to-end IP-trafik refererer til netværkslaget fra en kilde til en destination! Statistik over P-pakker. Sammenlignet med netværksnodeporttrafikken indeholder end-to-end IP-trafikken mere rigelig information. Gennem analyse af den kan vi finde ud af, hvilket destinationsnetværk brugerne i netværket har adgang til, hvilket er et vigtigt grundlag for netværksanalyse, planlægning, design og optimering.
3. Servicelagstrafik
Servicelagets trafik indeholder information om portene på det fjerde lag (TCP-daglaget) udover end-to-end IP-trafikken. Den indeholder naturligvis information om de typer applikationstjenester, der kan bruges til mere detaljeret analyse.
4. Fuld brugertrafik for virksomhedsdata
Den komplette brugerdatatrafik er meget effektiv til analyse af sikkerhed, ydeevne og andre aspekter. Indsamling af komplette brugerdata kræver en super stærk indsamlingskapacitet og en super høj harddisklagringshastighed og -kapacitet. For eksempel kan indsamling af hackeres indgående datapakker stoppe visse forbrydelser eller indhente vigtige beviser.
Almindelig metode til indsamling/registrering af netværkstrafik
I henhold til karakteristikaene og behandlingsmetoderne for netværkstrafikopsamling kan trafikopsamling opdeles i følgende kategorier: delvis opsamling og komplet opsamling, aktiv opsamling og passiv opsamling, centraliseret opsamling og distribueret opsamling, hardwareopsamling og softwareopsamling osv. Med udviklingen af trafikopsamling er der blevet udarbejdet nogle effektive og praktiske trafikopsamlingsmetoder baseret på ovenstående klassificeringsideer.
Teknologien til indsamling af netværkstrafik omfatter primært overvågningsteknologi baseret på trafikspejl, overvågningsteknologi baseret på pakkeopsamling i realtid, overvågningsteknologi baseret på SNMP/RMON og overvågningsteknologi baseret på netværkstrafikanalyseprotokoller som NetiowsFlow. Blandt disse omfatter overvågningsteknologien baseret på trafikspejl den virtuelle TAP-metode og den distribuerede metode baseret på hardwareprobe.
1. Baseret på trafikspejlovervågning
Princippet bag netværkstrafikovervågningsteknologi baseret på fuld spejling er at opnå tabsfri kopiering og billedindsamling af netværkstrafik gennem portspejlet på netværksudstyr såsom switche eller yderligere udstyr såsom optisk splitter og netværksprobe. Overvågningen af hele netværket skal anvende et distribueret skema, hvor en probe implementeres i hvert link, og dataene fra alle prober indsamles via baggrundsserveren og databasen, og trafikanalyse og langsigtede rapporter for hele netværket udføres. Sammenlignet med andre trafikindsamlingsmetoder er den vigtigste egenskab ved trafikbilledindsamling, at den kan give omfattende information om applikationslaget.
2. Baseret på overvågning af pakkeoptagelse i realtid
Baseret på realtidsteknologi til pakkeanalyse, leverer den primært detaljeret dataanalyse fra det fysiske lag til applikationslaget, med fokus på protokolanalyse. Den indfanger grænsefladepakkerne på kort tid til analyse og bruges ofte til at realisere hurtig diagnose og løsning af netværksydelse og fejl. Den har følgende mangler: den kan ikke indfange pakker med stor trafik og lang tid, og den kan ikke analysere brugernes trafiktendens.
3. Overvågningsteknologi baseret på SNMP/RMON
Trafikovervågning baseret på SNMP/RMON-protokollen indsamler nogle variabler relateret til specifikt udstyr og trafikinformation via netværksenhedens MIB. Den omfatter: antal inputbytes, antal input ikke-broadcast-pakker, antal input broadcast-pakker, antal input pakkefald, antal input pakkefejl, antal input ukendt protokolpakker, antal outputpakker, antal output ikke-broadcast-pakker, antal output broadcast-pakker, antal output pakkefald, antal output pakkefejl osv. Da de fleste routere nu understøtter standard SNMP, er fordelen ved denne metode, at der ikke er behov for yderligere dataindsamlingsudstyr. Den omfatter dog kun det mest basale indhold, såsom antal bytes og antal pakker, hvilket ikke er egnet til kompleks trafikovervågning.
4. Netflow-baseret trafikovervågningsteknologi
Baseret på Nethows trafikovervågning udvides den leverede trafikinformation til antallet af bytes og pakker baseret på statistikker med fem tupler (kilde-IP-adresse, destinations-IP-adresse, kildeport, destinationsport, protokolnummer), som kan skelne mellem flowet på hver logisk kanal. Overvågningsmetoden har en høj effektivitet i informationsindsamling, men den kan ikke analysere informationen fra det fysiske lag og datalinklaget og skal forbruge nogle routingressourcer. Det er normalt nødvendigt at tilslutte et separat funktionsmodul til netværksudstyret.
Opslagstidspunkt: 17. oktober 2024
