Invoering
Netwerkverkeer is het totale aantal pakketten dat per tijdseenheid door de netwerkverbinding gaat. Dit is de basisindex voor het meten van de netwerkbelasting en de doorstuurprestaties. Het monitoren van netwerkverkeer is het vastleggen van de algemene gegevens van netwerktransmissiepakketten en statistieken, en het vastleggen van netwerkverkeersgegevens is het vastleggen van netwerk-IP-datapakketten.
Met de uitbreiding van de Q-netwerkschaal van het datacenter wordt het applicatiesysteem steeds overvloediger, wordt de netwerkstructuur steeds complexer, worden de netwerkdiensten op de netwerkbronnen steeds hoger en worden de netwerkveiligheidsbedreigingen steeds groter. Terwijl de werking en het onderhoud van verfijnde vereisten steeds beter worden, is het verzamelen en analyseren van netwerkverkeer een onmisbaar analysemiddel geworden voor de datacenterinfrastructuur. Door de diepgaande analyse van netwerkverkeer kunnen netwerkbeheerders de foutopsporing versnellen, applicatiegegevens analyseren, de netwerkstructuur, systeemprestaties en beveiligingscontrole intuïtiever optimaliseren en de foutopsporing versnellen. Het verzamelen van netwerkverkeer is de basis van het verkeersanalysesysteem. Een uitgebreid, redelijk en effectief netwerk voor het vastleggen van verkeer is nuttig om de efficiëntie van het vastleggen, filteren en analyseren van netwerkverkeer te verbeteren, te voldoen aan de behoeften van verkeersanalyse vanuit verschillende invalshoeken, netwerk- en bedrijfsprestatie-indicatoren te optimaliseren en de gebruikerservaring en tevredenheid te verbeteren.
Het is erg belangrijk om de methoden en hulpmiddelen voor het vastleggen van netwerkverkeer te bestuderen om het netwerk effectief te begrijpen en te gebruiken, en het netwerk nauwkeurig te monitoren en te analyseren.
De waarde van het verzamelen/vastleggen van netwerkverkeer
Voor de exploitatie en het onderhoud van datacenters kan door de oprichting van een uniform platform voor het vastleggen van netwerkverkeer, gecombineerd met het monitoring- en analyseplatform, het beheer van de exploitatie en het onderhoudsbeheer en het beheer van de bedrijfscontinuïteit aanzienlijk worden verbeterd.
1. Zorg voor monitoring- en analysegegevensbron: het verkeer van zakelijke interactie op de netwerkinfrastructuur verkregen door het vastleggen van netwerkverkeer kan de vereiste gegevensbron bieden voor netwerkmonitoring, beveiligingsmonitoring, big data, analyse van klantgedrag, analyse en optimalisatie van toegangsstrategievereisten, allerlei visuele analyseplatforms, evenals kostenanalyse, applicatie-uitbreiding en migratie.
2. Volledige foutbestendige traceerbaarheid: door het vastleggen van netwerkverkeer kan het een back-analyse en foutdiagnose van historische gegevens realiseren, historische gegevensondersteuning bieden voor ontwikkelings-, applicatie- en bedrijfsafdelingen, en het probleem van het moeilijk vastleggen van bewijsmateriaal, lage efficiëntie en zelfs ontkenning.
3. Verbeter de efficiëntie van foutafhandeling. Door een uniforme gegevensbron te bieden voor netwerk-, applicatiemonitoring, beveiligingsmonitoring en andere platforms, kan het de inconsistentie en asymmetrie van de informatie verzameld door de oorspronkelijke monitoringplatforms elimineren, de efficiëntie van het omgaan met allerlei soorten noodsituaties verbeteren, het probleem snel lokaliseren, hervatten bedrijfsvoering en het verbeteren van de bedrijfscontinuïteit.
Classificatie van het verzamelen/vastleggen van netwerkverkeer
Het vastleggen van netwerkverkeer is voornamelijk bedoeld om de kenmerken en veranderingen van de gegevensstroom van het computernetwerk te monitoren en analyseren om de verkeerskenmerken van het hele netwerk te begrijpen. Volgens de verschillende bronnen van netwerkverkeer wordt het netwerkverkeer onderverdeeld in netwerkknooppuntpoortverkeer, end-to-end IP-verkeer, serviceverkeer van specifieke services en volledig gebruikersservicedataverkeer.
1. Poortverkeer netwerkknooppunt
Poortverkeer op het netwerkknooppunt verwijst naar de informatiestatistieken van inkomende en uitgaande pakketten op de apparaatpoort van het netwerkknooppunt. Het omvat het aantal datapakketten, het aantal bytes, de verdeling van de pakketgrootte, pakketverlies en andere niet-lerende statistische informatie.
2. End-to-end IP-verkeer
End-to-end IP-verkeer verwijst naar de netwerklaag van een bron naar een bestemming! Statistieken van P-pakketten. Vergeleken met het poortverkeer van het netwerkknooppunt bevat het end-to-end IP-verkeer overvloediger informatie. Door de analyse ervan kunnen we het bestemmingsnetwerk kennen waartoe de gebruikers in het netwerk toegang hebben, wat een belangrijke basis is voor netwerkanalyse, planning, ontwerp en optimalisatie.
3. Servicelaagverkeer
Het servicelaagverkeer bevat naast het end-to-end IP-verkeer informatie over de poorten van de vierde laag (TCP-daglaag). Uiteraard bevat het informatie over de soorten applicatieservices die kunnen worden gebruikt voor meer gedetailleerde analyses.
4. Voltooi het zakelijke dataverkeer van gebruikers
Het volledige dataverkeer van de gebruikersservice is zeer effectief voor de analyse van beveiliging, prestaties en andere aspecten. Het vastleggen van de volledige gebruikersservicegegevens vereist een supersterk vastlegvermogen en een superhoge opslagsnelheid en -capaciteit op de harde schijf. Het onderscheppen van de inkomende datapakketten van hackers kan bijvoorbeeld bepaalde misdaden tegenhouden of belangrijk bewijsmateriaal verkrijgen.
Gemeenschappelijke methode voor het verzamelen/vastleggen van netwerkverkeer
Afhankelijk van de kenmerken en verwerkingsmethoden van het vastleggen van netwerkverkeer, kan het vastleggen van verkeer worden onderverdeeld in de volgende categorieën: gedeeltelijke verzameling en volledige verzameling, actieve verzameling en passieve verzameling, gecentraliseerde verzameling en gedistribueerde verzameling, hardwareverzameling en softwareverzameling, enz. Met de ontwikkeling van verkeersverzameling zijn er enkele efficiënte en praktische methoden voor verkeersverzameling ontwikkeld op basis van de bovenstaande classificatie-ideeën.
De technologie voor het verzamelen van netwerkverkeer omvat voornamelijk de monitoringtechnologie gebaseerd op verkeersspiegels, de monitoringtechnologie gebaseerd op real-time pakketopname, de monitoringtechnologie gebaseerd op SNMP/RMON, en de monitoringtechnologie gebaseerd op netwerkverkeeranalyseprotocollen zoals NetiowsFlow. Onder hen omvat de monitoringtechnologie gebaseerd op verkeersspiegels de virtuele TAP-methode en de gedistribueerde methode gebaseerd op hardwaresonde.
1. Gebaseerd op verkeersspiegelmonitoring
Het principe van netwerkverkeermonitoringtechnologie op basis van volledige spiegel is het bereiken van verliesvrije kopieer- en beeldverzameling van netwerkverkeer via de poortspiegel van netwerkapparatuur zoals schakelaars of extra apparatuur zoals optische splitter en netwerksonde. De monitoring van het hele netwerk moet een gedistribueerd schema aannemen, waarbij in elke link een probe wordt ingezet en vervolgens de gegevens van alle probes worden verzameld via de achtergrondserver en database, en verkeersanalyses en langetermijnrapporten van het hele netwerk worden uitgevoerd. Vergeleken met andere methoden voor het verzamelen van verkeer is het belangrijkste kenmerk van het verzamelen van verkeersbeelden dat het rijke applicatielaaginformatie kan bieden.
2. Gebaseerd op realtime monitoring van pakketopname
Gebaseerd op real-time packet capture-analysetechnologie, biedt het voornamelijk gedetailleerde data-analyse van de fysieke laag tot de applicatielaag, waarbij de nadruk ligt op protocolanalyse. Het vangt de interfacepakketten in korte tijd op voor analyse en wordt vaak gebruikt om de snelle diagnose en oplossing van netwerkprestaties en -fouten te realiseren. Het heeft de volgende tekortkomingen: het kan geen pakketten met veel verkeer en lange tijd vastleggen, en het kan de verkeerstrend van gebruikers niet analyseren.
3. Monitoringtechnologie gebaseerd op SNMP/RMON
Verkeersmonitoring op basis van het SNMP/RMON-protocol verzamelt enkele variabelen die verband houden met specifieke apparatuur en verkeersinformatie via netwerkapparaat MIB. Het omvat: aantal invoerbytes, aantal ingevoerde niet-broadcast-pakketten, aantal invoer-broadcast-pakketten, aantal invoerpakketdrops, aantal invoerpakketfouten, aantal ingevoerde onbekende protocolpakketten, aantal uitvoerpakketten, aantal uitvoer-niet-uitgezonden pakketten -broadcast-pakketten, aantal output-broadcast-pakketten, aantal output-pakketdrops, aantal output-pakketfouten, enz. Omdat de meeste routers nu standaard SNMP ondersteunen, is het voordeel van deze methode dat er geen extra data-acquisitieapparatuur nodig is. Het bevat echter alleen de meest elementaire inhoud, zoals het aantal bytes en het aantal pakketten, wat niet geschikt is voor complexe verkeersmonitoring.
4. Op Netflow gebaseerde technologie voor verkeersmonitoring
Op basis van de verkeersmonitoring van Nethow wordt de verstrekte verkeersinformatie uitgebreid naar het aantal bytes en pakketten op basis van de vijfvoudige (bron-IP-adres, bestemming-IP-adres, bronpoort, bestemmingspoort, protocolnummer) statistieken, die onderscheid kunnen maken tussen de stroom op elk logisch kanaal. De monitoringmethode heeft een hoge efficiëntie bij het verzamelen van informatie, maar kan de informatie van de fysieke laag en de datalinklaag niet analyseren en moet een aantal routeringsbronnen verbruiken. Meestal moet er een aparte functiemodule op de netwerkapparatuur worden aangesloten.
Posttijd: 17-okt-2024
