Invoering
Netwerkverkeer is het totale aantal pakketten dat per tijdseenheid door een netwerkverbinding gaat. Dit is de basisindicator voor het meten van de netwerkbelasting en de doorstuurprestaties. Netwerkverkeersmonitoring houdt in dat alle gegevens over netwerktransmissiepakketten en bijbehorende statistieken worden vastgelegd. Netwerkverkeersdata-captatie omvat het vastleggen van IP-datapakketten.
Met de uitbreiding van de schaal van het datacenternetwerk Q, neemt het aantal applicatiesystemen toe, wordt de netwerkstructuur complexer, nemen de eisen aan netwerkdiensten en netwerkbronnen toe, nemen de netwerkbeveiligingsrisico's toe en worden de eisen aan operationeel beheer en onderhoud steeds verfijnder. Netwerkverkeersanalyse is daarom een onmisbaar analysemiddel geworden voor de datacenterinfrastructuur. Door middel van een diepgaande analyse van netwerkverkeer kunnen netwerkbeheerders sneller fouten opsporen, applicatiegegevens analyseren, de netwerkstructuur optimaliseren, de systeemprestaties verbeteren en de beveiliging intuïtiever beheren. Netwerkverkeersanalyse vormt de basis van een verkeersanalysesysteem. Een uitgebreid, efficiënt en effectief netwerk voor verkeersregistratie draagt bij aan een efficiëntere registratie, filtering en analyse van netwerkverkeer, voldoet aan de behoeften van verkeersanalyse vanuit verschillende invalshoeken, optimaliseert netwerk- en bedrijfsprestatie-indicatoren en verbetert de gebruikerservaring en -tevredenheid.
Het is van groot belang om de methoden en hulpmiddelen voor het vastleggen van netwerkverkeer te bestuderen om het netwerk effectief te begrijpen en te gebruiken, en om het netwerk nauwkeurig te monitoren en te analyseren.
De waarde van het verzamelen/vastleggen van netwerkverkeer
Voor de exploitatie en het onderhoud van datacenters kan de implementatie van een uniform platform voor het vastleggen van netwerkverkeer, in combinatie met een monitoring- en analyseplatform, het beheer van de exploitatie en het onderhoud en het beheer van de bedrijfscontinuïteit aanzienlijk verbeteren.
1. Leveren van monitoring- en analysedata: Het netwerkverkeer dat via netwerkverkeersregistratie wordt vastgelegd, kan de benodigde data leveren voor netwerkmonitoring, beveiligingsmonitoring, big data, analyse van klantgedrag, analyse en optimalisatie van toegangsstrategieën, diverse visuele analyseplatforms, kostenanalyses, applicatie-uitbreiding en -migratie.
2. Volledig foutbestendige traceerbaarheid: door netwerkverkeer vast te leggen, kan achteraf analyse en foutdiagnose van historische gegevens worden uitgevoerd. Dit biedt ondersteuning met historische gegevens voor ontwikkelings-, applicatie- en bedrijfsafdelingen en lost het probleem van lastige bewijsvoering, lage efficiëntie en zelfs ontkenning volledig op.
3. Verbeter de efficiëntie van foutafhandeling. Door een uniforme gegevensbron te bieden voor netwerk-, applicatie- en beveiligingsmonitoring en andere platforms, kan de inconsistentie en asymmetrie van de informatie die door de oorspronkelijke monitoringplatforms wordt verzameld, worden weggenomen. Dit verbetert de efficiëntie van de afhandeling van allerlei noodsituaties, maakt het mogelijk om snel problemen te lokaliseren, de bedrijfsvoering te hervatten en de bedrijfscontinuïteit te verbeteren.
Classificatie van netwerkverkeerverzameling/-vastlegging
Het vastleggen van netwerkverkeer is voornamelijk bedoeld om de kenmerken en veranderingen van de datastroom in een computernetwerk te monitoren en analyseren, om zo inzicht te krijgen in de verkeerspatronen van het gehele netwerk. Afhankelijk van de verschillende bronnen wordt het netwerkverkeer onderverdeeld in netwerkknooppuntpoortverkeer, end-to-end IP-verkeer, serviceverkeer van specifieke services en dataverkeer van complete gebruikersservices.
1. Netwerkknooppuntpoortverkeer
Netwerkknooppuntpoortverkeer verwijst naar de statistieken van inkomende en uitgaande pakketten op de poort van het netwerkknooppunt. Het omvat het aantal datapakketten, het aantal bytes, de pakketgrootteverdeling, pakketverlies en andere niet-lerende statistische gegevens.
2. End-to-end IP-verkeer
End-to-end IP-verkeer verwijst naar de netwerklaag, van een bron tot een bestemming! Statistieken van P-pakketten. In vergelijking met het netwerkverkeer tussen poorten bevat end-to-end IP-verkeer veel meer informatie. Door dit te analyseren, kunnen we achterhalen tot welk bestemmingsnetwerk de gebruikers in het netwerk toegang hebben. Dit vormt een belangrijke basis voor netwerkanalyse, -planning, -ontwerp en -optimalisatie.
3. Verkeer op de servicelaag
Het verkeer op de servicelaag bevat naast het end-to-end IP-verkeer ook informatie over de poorten van de vierde laag (TCP-daglaag). Het bevat dus informatie over de soorten applicatieservices die gebruikt kunnen worden voor een meer gedetailleerde analyse.
4. Volledig gebruikersverkeer van bedrijfsgegevens
Het volledige dataverkeer van gebruikersdiensten is zeer effectief voor de analyse van beveiliging, prestaties en andere aspecten. Het vastleggen van al deze gegevens vereist een extreem krachtige opnamecapaciteit en een zeer snelle en grote harde schijf. Het vastleggen van inkomende datapakketten van hackers kan bijvoorbeeld bepaalde misdrijven voorkomen of belangrijk bewijsmateriaal opleveren.
Gangbare methode voor het verzamelen/vastleggen van netwerkverkeer
Op basis van de kenmerken en verwerkingsmethoden van netwerkverkeersregistratie kan deze worden onderverdeeld in de volgende categorieën: gedeeltelijke en volledige registratie, actieve en passieve registratie, gecentraliseerde en gedistribueerde registratie, hardwarematige en softwarematige registratie, enzovoort. Met de ontwikkeling van verkeersregistratie zijn er, gebaseerd op deze classificatie-ideeën, een aantal efficiënte en praktische methoden ontwikkeld.
De technologie voor het verzamelen van netwerkverkeer omvat hoofdzakelijk monitoringtechnologieën gebaseerd op verkeersspiegeling, monitoringtechnologieën gebaseerd op realtime pakketvastlegging, monitoringtechnologieën gebaseerd op SNMP/RMON en monitoringtechnologieën gebaseerd op netwerkverkeersanalyseprotocollen zoals NetiowsFlow. Binnen de monitoringtechnologieën gebaseerd op verkeersspiegeling vallen onder andere de virtuele TAP-methode en de gedistribueerde methode gebaseerd op hardwareprobes.
1. Gebaseerd op monitoring via Traffic Mirror.
Het principe van netwerkverkeersmonitoring op basis van volledige mirroring is het verkrijgen van verliesvrije kopieën en beeldverzameling van netwerkverkeer via de poortspiegeling van netwerkapparatuur zoals switches of aanvullende apparatuur zoals optische splitters en netwerkprobes. Voor de monitoring van het gehele netwerk is een gedistribueerd schema nodig, waarbij in elke link een probe wordt geplaatst. De gegevens van alle probes worden vervolgens verzameld via een server en database op de achtergrond, waarna verkeersanalyses en langetermijnrapportages van het gehele netwerk worden uitgevoerd. Vergeleken met andere methoden voor verkeersverzameling is het belangrijkste kenmerk van beeldverzameling van netwerkverkeer dat het rijke informatie op applicatieniveau kan leveren.
2. Gebaseerd op realtime monitoring van pakketvastlegging
Gebaseerd op realtime packet capture-analysetechnologie, biedt het systeem voornamelijk gedetailleerde data-analyse van de fysieke laag tot de applicatielaag, met een focus op protocolanalyse. Het legt interfacepakketten in korte tijd vast voor analyse en wordt vaak gebruikt voor snelle diagnose en oplossing van netwerkproblemen en -storingen. Het heeft echter de volgende nadelen: het kan geen pakketten met grote hoeveelheden data over langere tijd vastleggen en het kan de verkeerstrends van gebruikers niet analyseren.
3. Monitoringtechnologie gebaseerd op SNMP/RMON
Verkeersmonitoring op basis van het SNMP/RMON-protocol verzamelt via de MIB (Managed Information Base) van het netwerkapparaat variabelen met betrekking tot specifieke apparatuur en verkeersinformatie. Deze variabelen omvatten onder andere: het aantal inkomende bytes, het aantal inkomende niet-broadcastpakketten, het aantal inkomende broadcastpakketten, het aantal verloren inkomende pakketten, het aantal fouten in inkomende pakketten, het aantal inkomende pakketten met een onbekend protocol, het aantal uitgaande pakketten, het aantal uitgaande niet-broadcastpakketten, het aantal uitgaande broadcastpakketten, het aantal verloren uitgaande pakketten en het aantal fouten in uitgaande pakketten. Omdat de meeste routers tegenwoordig standaard SNMP ondersteunen, is het voordeel van deze methode dat er geen extra apparatuur voor gegevensverzameling nodig is. Het beperkt zich echter tot de meest basale gegevens, zoals het aantal bytes en het aantal pakketten, wat niet geschikt is voor complexe verkeersmonitoring.
4. Op Netflow gebaseerde technologie voor verkeersmonitoring
Op basis van de verkeersmonitoring van Nethow wordt de verstrekte verkeersinformatie uitgebreid naar het aantal bytes en pakketten op basis van de vijf-tuple (bron-IP-adres, bestemmings-IP-adres, bronpoort, bestemmingspoort, protocolnummer) statistieken, waardoor de verkeersstroom op elk logisch kanaal kan worden onderscheiden. De monitoringmethode is zeer efficiënt in het verzamelen van informatie, maar kan geen informatie van de fysieke laag en de datalinklaag analyseren en vereist routeringsbronnen. Meestal is het nodig om een aparte functionele module aan de netwerkapparatuur te koppelen.
Geplaatst op: 17 oktober 2024
