Wstęp
Ruch sieciowy to całkowita liczba pakietów przechodzących przez łącze sieciowe w jednostce czasu, co stanowi podstawowy wskaźnik pomiaru obciążenia sieci i wydajności przekazywania. Monitorowanie ruchu sieciowego ma na celu rejestrowanie ogólnych danych dotyczących pakietów transmisji sieciowej i statystyk, a rejestrowanie danych o ruchu sieciowym polega na rejestrowaniu pakietów danych IP sieci.
Wraz z rozwojem sieci Q w centrach danych, system aplikacji staje się coraz bardziej rozbudowany, struktura sieci staje się coraz bardziej złożona, wymagania dotyczące usług sieciowych i zasobów sieciowych rosną, zagrożenia bezpieczeństwa sieci rosną, a obsługa i utrzymanie zaawansowanych wymagań stale się poprawiają. Gromadzenie i analiza ruchu sieciowego stały się niezbędnym narzędziem analizy infrastruktury centrów danych. Dzięki dogłębnej analizie ruchu sieciowego, menedżerowie sieci mogą przyspieszyć lokalizację usterek, analizować dane aplikacji, optymalizować strukturę sieci, wydajność systemu i kontrolę bezpieczeństwa w sposób bardziej intuicyjny oraz przyspieszyć lokalizację usterek. Gromadzenie ruchu sieciowego stanowi podstawę systemu analizy ruchu. Kompleksowa, rozsądna i efektywna sieć przechwytywania ruchu pomaga zwiększyć wydajność przechwytywania, filtrowania i analizy ruchu sieciowego, zaspokoić potrzeby analizy ruchu z różnych perspektyw, zoptymalizować wskaźniki wydajności sieci i przedsiębiorstwa oraz poprawić doświadczenie i satysfakcję użytkownika.
Bardzo ważne jest poznanie metod i narzędzi przechwytywania ruchu sieciowego w celu efektywnego zrozumienia i użytkowania sieci, dokładnego monitorowania i analizowania sieci.
Wartość gromadzenia/przechwytywania ruchu sieciowego
W przypadku eksploatacji i konserwacji centrów danych, poprzez utworzenie ujednoliconej platformy przechwytywania ruchu sieciowego, połączonej z platformą monitorowania i analizy, można znacznie usprawnić zarządzanie eksploatacją i konserwacją, a także poziom zarządzania ciągłością działania.
1. Zapewnij źródło danych do monitorowania i analizy: Ruch interakcji biznesowych w infrastrukturze sieciowej uzyskany poprzez przechwytywanie ruchu sieciowego może zapewnić wymagane źródło danych do monitorowania sieci, monitorowania bezpieczeństwa, dużych zbiorów danych, analizy zachowań klientów, analizy i optymalizacji wymagań strategii dostępu, wszelkiego rodzaju platform analizy wizualnej, a także analizy kosztów, rozbudowy aplikacji i migracji.
2. Możliwość pełnego śledzenia błędów: poprzez przechwytywanie ruchu sieciowego można przeprowadzić analizę wsteczną i diagnostykę błędów danych historycznych, zapewnić wsparcie danych historycznych działom rozwoju, aplikacji i biznesu oraz całkowicie rozwiązać problem trudnego przechwytywania dowodów, niskiej wydajności, a nawet zaprzeczania.
3. Poprawa efektywności obsługi błędów. Zapewniając ujednolicone źródło danych dla monitorowania sieci, aplikacji, bezpieczeństwa i innych platform, można wyeliminować niespójność i asymetrię informacji gromadzonych przez oryginalne platformy monitorujące, poprawić efektywność obsługi wszelkiego rodzaju sytuacji awaryjnych, szybko zlokalizować problem, wznowić działanie i poprawić poziom ciągłości działania.
Klasyfikacja gromadzenia/przechwytywania ruchu sieciowego
Rejestrowanie ruchu sieciowego służy głównie do monitorowania i analizowania charakterystyk oraz zmian przepływu danych w sieci komputerowej w celu uchwycenia charakterystyki ruchu w całej sieci. Ze względu na różne źródła ruchu sieciowego, ruch sieciowy dzieli się na ruch portów węzłów sieciowych, ruch IP typu end-to-end, ruch usługowy określonych usług oraz ruch danych dotyczących kompletnych usług użytkownika.
1. Ruch portu węzła sieciowego
Ruch w porcie węzła sieciowego odnosi się do statystyk informacyjnych pakietów przychodzących i wychodzących w porcie urządzenia węzła sieciowego. Obejmuje on liczbę pakietów danych, liczbę bajtów, rozkład rozmiarów pakietów, utratę pakietów i inne informacje statystyczne niezwiązane z uczeniem się.
2. Ruch IP typu end-to-end
Ruch IP typu end-to-end odnosi się do warstwy sieciowej od źródła do celu! Statystyki P pakietów. W porównaniu z ruchem portów węzłów sieciowych, ruch IP typu end-to-end zawiera więcej informacji. Dzięki jego analizie możemy poznać sieć docelową, do której uzyskują dostęp użytkownicy w sieci, co stanowi ważną podstawę analizy, planowania, projektowania i optymalizacji sieci.
3. Ruch warstwy usługowej
Ruch w warstwie usługowej zawiera informacje o portach czwartej warstwy (warstwa dzienna TCP), a także ruch IP typu end-to-end. Oczywiście zawiera on informacje o rodzajach usług aplikacyjnych, które można wykorzystać do bardziej szczegółowej analizy.
4. Kompletny ruch danych biznesowych użytkownika
Pełny ruch danych usług użytkownika jest bardzo skuteczny w analizie bezpieczeństwa, wydajności i innych aspektów. Przechwytywanie pełnego ruchu danych usług użytkownika wymaga bardzo dużej mocy przechwytywania oraz bardzo dużej szybkości i pojemności dysku twardego. Na przykład, przechwytywanie przychodzących pakietów danych hakerów może zapobiec niektórym przestępstwom lub uzyskać ważne dowody.
Powszechna metoda gromadzenia/przechwytywania ruchu sieciowego
Ze względu na charakterystykę i metody przetwarzania przechwytywania ruchu sieciowego, można je podzielić na następujące kategorie: częściowe i całkowite gromadzenie, aktywne i pasywne gromadzenie, scentralizowane i rozproszone gromadzenie, sprzętowe i programowe gromadzenie itd. Wraz z rozwojem gromadzenia ruchu opracowano kilka wydajnych i praktycznych metod gromadzenia ruchu opartych na powyższych koncepcjach klasyfikacji.
Technologia gromadzenia ruchu sieciowego obejmuje głównie technologię monitorowania opartą na lustrze ruchu, technologię monitorowania opartą na przechwytywaniu pakietów w czasie rzeczywistym, technologię monitorowania opartą na protokołach SNMP/RMON oraz technologię monitorowania opartą na protokole analizy ruchu sieciowego, takim jak NetiowsFlow. Wśród nich technologia monitorowania oparta na lustrze ruchu obejmuje metodę wirtualnego TAP oraz metodę rozproszoną opartą na sondowaniu sprzętowym.
1. Na podstawie monitoringu Traffic Mirror
Zasada technologii monitorowania ruchu sieciowego opartej na pełnym lustrze (full mirror) polega na bezstratnym kopiowaniu i gromadzeniu obrazów ruchu sieciowego poprzez lustrzane odbicie portów urządzeń sieciowych, takich jak przełączniki, lub urządzeń dodatkowych, takich jak rozdzielacz optyczny i sonda sieciowa. Monitorowanie całej sieci wymaga rozproszonego schematu, polegającego na wdrożeniu sondy w każdym łączu, a następnie gromadzeniu danych ze wszystkich sond za pośrednictwem serwera w tle i bazy danych, a także przeprowadzaniu analizy ruchu i generowaniu długoterminowych raportów dla całej sieci. W porównaniu z innymi metodami gromadzenia danych, najważniejszą cechą gromadzenia obrazów ruchu jest to, że może ono dostarczać bogatych informacji w warstwie aplikacji.
2. Na podstawie monitorowania przechwytywania pakietów w czasie rzeczywistym
Oparty na technologii analizy przechwytywania pakietów w czasie rzeczywistym, zapewnia przede wszystkim szczegółową analizę danych od warstwy fizycznej do warstwy aplikacji, koncentrując się na analizie protokołów. Przechwytuje pakiety interfejsu w krótkim czasie i jest często wykorzystywany do szybkiej diagnostyki i rozwiązywania problemów z wydajnością sieci oraz usterek. Ma następujące wady: nie potrafi przechwytywać pakietów o dużym natężeniu ruchu i długim czasie przetwarzania oraz nie potrafi analizować trendów ruchu użytkowników.
3. Technologia monitorowania oparta na SNMP/RMON
Monitorowanie ruchu oparte na protokole SNMP/RMON gromadzi pewne zmienne dotyczące konkretnego sprzętu i informacji o ruchu za pośrednictwem bazy MIB urządzeń sieciowych. Obejmują one: liczbę bajtów wejściowych, liczbę wejściowych pakietów nierozgłoszeniowych, liczbę wejściowych pakietów rozgłoszeniowych, liczbę porzuconych pakietów wejściowych, liczbę błędów pakietów wejściowych, liczbę wejściowych pakietów nieznanego protokołu, liczbę pakietów wyjściowych, liczbę wyjściowych pakietów nierozgłoszeniowych, liczbę wyjściowych pakietów rozgłoszeniowych, liczbę porzuconych pakietów wyjściowych, liczbę błędów pakietów wyjściowych itd. Ponieważ większość routerów obsługuje obecnie standardowy protokół SNMP, zaletą tej metody jest brak konieczności stosowania dodatkowego sprzętu do akwizycji danych. Obejmuje ona jednak tylko najbardziej podstawowe dane, takie jak liczba bajtów i liczba pakietów, co nie jest odpowiednie do złożonego monitorowania ruchu.
4. Technologia monitorowania ruchu oparta na Netflow
W oparciu o monitorowanie ruchu przez Nethow, dostarczane informacje o ruchu są rozszerzane o liczbę bajtów i pakietów na podstawie pięcioelementowych statystyk (adres IP źródłowy, adres IP docelowy, port źródłowy, port docelowy, numer protokołu), które umożliwiają rozróżnienie przepływu w każdym kanale logicznym. Metoda monitorowania charakteryzuje się wysoką wydajnością gromadzenia informacji, ale nie jest w stanie analizować informacji z warstwy fizycznej i łącza danych oraz wymaga wykorzystania zasobów routingu. Zazwyczaj wymaga ona dołączenia oddzielnego modułu funkcyjnego do urządzeń sieciowych.
Czas publikacji: 17.10.2024
