Invoering
Netwerkverkeer is het totale aantal pakketten dat per tijdseenheid door de netwerkverbinding gaat. Dit is de basisindex voor het meten van de netwerkbelasting en de doorstuurprestaties. Netwerkverkeersmonitoring is bedoeld om de totale gegevens van netwerktransmissiepakketten en statistieken vast te leggen, en het vastleggen van netwerkverkeersgegevens is het vastleggen van netwerk-IP-datapakketten.
Met de uitbreiding van de schaal van het datacenter Q-netwerk wordt het applicatiesysteem steeds uitgebreider, de netwerkstructuur steeds complexer, de netwerkdiensten op de netwerkresourcevereisten steeds hoger, de netwerkbeveiligingsbedreigingen nemen toe en de werking en het onderhoud van verfijnde vereisten blijven verbeteren, is het verzamelen en analyseren van netwerkverkeer een onmisbaar analysemiddel geworden voor datacenterinfrastructuur. Door de diepgaande analyse van netwerkverkeer kunnen netwerkbeheerders het opsporen van fouten versnellen, applicatiegegevens analyseren, de netwerkstructuur, systeemprestaties en beveiligingscontrole intuïtiever optimaliseren en het opsporen van fouten versnellen. Het verzamelen van netwerkverkeer vormt de basis van het verkeersanalysesysteem. Een uitgebreid, redelijk en effectief netwerk voor het vastleggen van verkeer is nuttig om de efficiëntie van het vastleggen, filteren en analyseren van netwerkverkeer te verbeteren, te voldoen aan de behoeften van verkeersanalyse vanuit verschillende invalshoeken, netwerk- en bedrijfsprestatie-indicatoren te optimaliseren en de gebruikerservaring en -tevredenheid te verbeteren.
Het is van groot belang om de methoden en hulpmiddelen voor het vastleggen van netwerkverkeer te bestuderen, zodat u het netwerk effectief kunt begrijpen en gebruiken en het nauwkeurig kunt bewaken en analyseren.
De waarde van het verzamelen/vastleggen van netwerkverkeer
Voor de exploitatie en het onderhoud van datacenters kan de oprichting van een uniform platform voor het vastleggen van netwerkverkeer, in combinatie met een platform voor bewaking en analyse, het beheer van de exploitatie en het onderhoud en het beheer van de bedrijfscontinuïteit aanzienlijk verbeteren.
1. Zorg voor een bron van gegevens over bewaking en analyse: Het verkeer van zakelijke interactie op de netwerkinfrastructuur dat wordt verkregen door het vastleggen van netwerkverkeer, kan de benodigde gegevensbron bieden voor netwerkbewaking, beveiligingsbewaking, big data, analyse van klantgedrag, analyse en optimalisatie van toegangsstrategievereisten, allerlei visuele analyseplatforms, evenals kostenanalyse, uitbreiding en migratie van applicaties.
2. Volledig foutloos traceerbaar vermogen: door het vastleggen van netwerkverkeer kan het een teruganalyse en foutdiagnose van historische gegevens uitvoeren, ondersteuning bieden met betrekking tot historische gegevens voor ontwikkelings-, toepassings- en bedrijfsafdelingen en het probleem van lastige bewijsvastlegging, lage efficiëntie en zelfs ontkenning volledig oplossen.
3. Verbeter de efficiëntie van foutafhandeling. Door een uniforme gegevensbron te bieden voor netwerk-, applicatie- en beveiligingsmonitoring en andere platforms, kan de inconsistentie en asymmetrie van de informatie die door de oorspronkelijke monitoringplatforms wordt verzameld, worden geëlimineerd, de efficiëntie van het afhandelen van allerlei noodsituaties worden verbeterd, het probleem snel worden opgespoord, de werkzaamheden worden hervat en de bedrijfscontinuïteit wordt verbeterd.
Classificatie van netwerkverkeersverzameling/-vastlegging
Het vastleggen van netwerkverkeer is voornamelijk bedoeld om de kenmerken en veranderingen in de datastroom van computernetwerken te monitoren en analyseren om zo inzicht te krijgen in de verkeerskenmerken van het gehele netwerk. Afhankelijk van de verschillende bronnen van netwerkverkeer wordt het netwerkverkeer onderverdeeld in netwerkknooppuntpoortverkeer, end-to-end IP-verkeer, serviceverkeer van specifieke services en volledig gebruikersdataverkeer.
1. Netwerkknooppuntpoortverkeer
Netwerkknooppuntpoortverkeer verwijst naar de informatiestatistieken van inkomende en uitgaande pakketten op de netwerkknooppuntpoort. Dit omvat het aantal datapakketten, het aantal bytes, de pakketgrootteverdeling, het pakketverlies en andere niet-lerende statistische informatie.
2. End-to-end IP-verkeer
End-to-end IP-verkeer verwijst naar de netwerklaag van een bron naar een bestemming! Statistieken van P-pakketten. Vergeleken met het netwerkknooppuntpoortverkeer bevat end-to-end IP-verkeer meer informatie. Door dit te analyseren, kunnen we het bestemmingsnetwerk achterhalen waartoe de gebruikers toegang hebben. Dit is een belangrijke basis voor netwerkanalyse, -planning, -ontwerp en -optimalisatie.
3. Servicelaagverkeer
Het verkeer op de servicelaag bevat informatie over de poorten van de vierde laag (TCP-daglaag) naast het end-to-end IP-verkeer. Uiteraard bevat het ook informatie over de soorten applicatieservices die gebruikt kunnen worden voor meer gedetailleerde analyse.
4. Volledig gebruikersbedrijfsgegevensverkeer
Het volledige dataverkeer van gebruikersdiensten is zeer effectief voor de analyse van beveiliging, prestaties en andere aspecten. Het vastleggen van alle gebruikersdienstengegevens vereist een zeer sterke vastlegcapaciteit en een extreem hoge opslagsnelheid en -capaciteit op de harde schijf. Het vastleggen van binnenkomende datapakketten van hackers kan bijvoorbeeld bepaalde misdrijven voorkomen of belangrijk bewijsmateriaal verkrijgen.
Algemene methode voor het verzamelen/vastleggen van netwerkverkeer
Afhankelijk van de kenmerken en verwerkingsmethoden van netwerkverkeersregistratie, kan verkeersregistratie worden onderverdeeld in de volgende categorieën: gedeeltelijke verzameling en volledige verzameling, actieve verzameling en passieve verzameling, gecentraliseerde verzameling en gedistribueerde verzameling, hardwareverzameling en softwareverzameling, enz. Met de ontwikkeling van verkeersregistratie zijn op basis van de bovenstaande classificatie-ideeën een aantal efficiënte en praktische methoden voor verkeersregistratie ontwikkeld.
De technologie voor het verzamelen van netwerkverkeer omvat voornamelijk monitoringtechnologie op basis van verkeersspiegeling, monitoringtechnologie op basis van realtime pakketregistratie, monitoringtechnologie op basis van SNMP/RMON en monitoringtechnologie op basis van een netwerkverkeersanalyseprotocol zoals NetiowsFlow. Monitoringtechnologie op basis van verkeersspiegeling omvat onder andere de virtuele TAP-methode en de gedistribueerde methode op basis van hardwareprobe.
1. Gebaseerd op Traffic Mirror Monitoring
Het principe van netwerkverkeersmonitoring op basis van volledige spiegeling is het bereiken van verliesvrije kopie- en beeldverzameling van netwerkverkeer via de poortspiegel van netwerkapparatuur, zoals switches of aanvullende apparatuur zoals optische splitters en netwerkprobes. De monitoring van het gehele netwerk vereist een gedistribueerd schema, waarbij een probe in elke verbinding wordt geplaatst en vervolgens de gegevens van alle probes via de achtergrondserver en database worden verzameld. Vervolgens worden verkeersanalyses en langetermijnrapportages over het gehele netwerk uitgevoerd. Vergeleken met andere methoden voor verkeersverzameling is de belangrijkste eigenschap van verkeersbeeldverzameling dat het uitgebreide informatie over de applicatielaag kan opleveren.
2. Gebaseerd op realtime pakketregistratiebewaking
Gebaseerd op realtime pakketregistratietechnologie biedt het voornamelijk gedetailleerde data-analyses van de fysieke laag tot de applicatielaag, met de nadruk op protocolanalyse. Het vangt interfacepakketten in korte tijd op voor analyse en wordt vaak gebruikt om netwerkprestaties en -storingen snel te diagnosticeren en op te lossen. Het heeft de volgende tekortkomingen: het kan geen pakketten met veel dataverkeer en een lange tijd vastleggen en de datatrend van gebruikers niet analyseren.
3. Monitoringtechnologie gebaseerd op SNMP/RMON
Verkeersmonitoring op basis van het SNMP/RMON-protocol verzamelt een aantal variabelen met betrekking tot specifieke apparatuur en verkeersinformatie via de MIB van netwerkapparaten. Het omvat: het aantal invoerbytes, het aantal niet-broadcastpakketten, het aantal broadcastpakketten, het aantal weggelaten invoerpakketten, het aantal fouten in invoerpakketten, het aantal invoerpakketten met een onbekend protocol, het aantal uitvoerpakketten, het aantal niet-broadcastpakketten, het aantal broadcastpakketten, het aantal weggelaten uitvoerpakketten, het aantal fouten in uitvoerpakketten, enz. Omdat de meeste routers nu standaard SNMP ondersteunen, is het voordeel van deze methode dat er geen extra apparatuur voor data-acquisitie nodig is. Het omvat echter alleen de meest basale gegevens, zoals het aantal bytes en het aantal pakketten, wat niet geschikt is voor complexe verkeersmonitoring.
4. Netflow-gebaseerde technologie voor verkeersmonitoring
Op basis van de verkeersmonitoring van Nethow wordt de verstrekte verkeersinformatie uitgebreid naar het aantal bytes en pakketten op basis van statistieken met vijf tuples (bron-IP-adres, bestemmings-IP-adres, bronpoort, bestemmingspoort, protocolnummer), waarmee de datastroom op elk logisch kanaal kan worden onderscheiden. De monitoringmethode heeft een hoge efficiëntie in het verzamelen van informatie, maar kan de informatie van de fysieke laag en de datalinklaag niet analyseren en vereist routeringsbronnen. Hiervoor is doorgaans een aparte functiemodule aan de netwerkapparatuur nodig.
Plaatsingstijd: 17-10-2024
