Introducción
El tráfico de red es el número total de paquetes que pasan a través del enlace de red en el tiempo de la unidad, que es el índice básico para medir la carga de la red y el rendimiento de reenvío. El monitoreo del tráfico de red es capturar los datos generales de los paquetes y estadísticas de transmisión de la red, y la captura de datos de tráfico de red es la captura de paquetes de datos de IP de red.
Con la expansión de la escala de red del centro de datos Q, el sistema de aplicación es cada vez más abundante, la estructura de la red es cada vez más compleja, los servicios de red en los requisitos de recursos de red son cada vez más altos, las amenazas de seguridad de la red son cada vez más, la operación y el mantenimiento de los requisitos refinados continúan mejorando, la recopilación y el análisis de tráfico de la red se han convertido en un medio de análisis indispensable de la infraestructura del centro de datos. A través del análisis en profundidad del tráfico de red, los administradores de red pueden acelerar la ubicación de fallas, analizar los datos de la aplicación, optimizar la estructura de la red, el rendimiento del sistema y el control de seguridad de manera más intuitiva y acelerar la ubicación de fallas. La recopilación de tráfico de red es la base del sistema de análisis de tráfico. Una red integral, razonable y efectiva de captura de tráfico es útil para mejorar la eficiencia de la captura de tráfico de red, el filtrado y el análisis, satisfacer las necesidades del análisis de tráfico desde diferentes ángulos, optimizar los indicadores de rendimiento de la red y el negocio, y mejorar la experiencia y la satisfacción del usuario.
Es muy importante estudiar los métodos y herramientas de la captura de tráfico de red para comprender y usar de manera efectiva la red, monitoreando y analizando con precisión la red.
El valor de la recopilación/captura de tráfico de red
Para la operación y el mantenimiento del centro de datos, a través del establecimiento de una plataforma de captura de tráfico de red unificada, combinada con la plataforma de monitoreo y análisis puede mejorar en gran medida el nivel de gestión de operación y mantenimiento y gestión de continuidad comercial.
1. Proporcionar monitoreo y análisis de datos: el tráfico de la interacción comercial en la infraestructura de red obtenida por la captura de tráfico de red puede proporcionar la fuente de datos requerida para el monitoreo de la red, el monitoreo de seguridad, los big data, el análisis de comportamiento del cliente, el análisis de requisitos de estrategia de acceso y la optimización, todo tipo de plataformas de análisis visual, así como análisis de costos, expansión de aplicaciones y migración.
2. Complete la capacidad de trazabilidad de la prueba de fallas: a través de la captura del tráfico de la red, puede realizar el análisis de retroceso y el diagnóstico de fallas de datos históricos, proporcionar apoyo de datos históricos para el desarrollo, la aplicación y los departamentos comerciales, y resolver completamente el problema de la captura de evidencia difícil, la baja eficiencia e incluso la negación.
3. Mejore la eficiencia del manejo de fallas. Al proporcionar una fuente de datos unificada para la red, el monitoreo de aplicaciones, el monitoreo de seguridad y otras plataformas, puede eliminar la inconsistencia y la asimetría de la información recopilada por las plataformas de monitoreo originales, mejorar la eficiencia del manejo de todo tipo de emergencias, localizar rápidamente el problema, reanudar el negocio y mejorar el nivel de continuidad comercial.
Clasificación de la recopilación/captura de tráfico de red
La captura de tráfico de red es principalmente para monitorear y analizar las características y cambios del flujo de datos de la red informática para comprender las características del tráfico de toda la red. De acuerdo con las diferentes fuentes de tráfico de red, el tráfico de red se divide en el tráfico de puertos de nodo de red, el tráfico IP de extremo a extremo, el tráfico de servicios de servicios específicos y el tráfico completo de datos de servicio de usuarios.
1. Tráfico del puerto de nodo de red
El tráfico del puerto de nodo de red se refiere a las estadísticas de información de los paquetes entrantes y salientes en el puerto del dispositivo de nodo de red. Incluye el número de paquetes de datos, el número de bytes, la distribución del tamaño de los paquetes, la pérdida de paquetes y otra información estadística que no se acumula.
2. Tráfico IP de extremo a extremo
¡El tráfico IP de extremo a extremo se refiere a la capa de red de una fuente a un destino! Estadísticas de paquetes P. En comparación con el tráfico del puerto de nodo de red, el tráfico IP de extremo a extremo contiene información más abundante. A través del análisis de TI, podemos conocer la red de destino que los usuarios en la red acceden, lo cual es una base importante para el análisis de la red, la planificación, el diseño y la optimización.
3. Tráfico de la capa de servicio
El tráfico de la capa de servicio contiene información sobre los puertos de la cuarta capa (capa de día TCP) además del tráfico IP de extremo a extremo. Obviamente, contiene información sobre los tipos de servicios de aplicaciones que se pueden utilizar para un análisis más detallado.
4. Complete el tráfico de datos comerciales del usuario
El tráfico completo de datos del servicio de usuario es muy efectivo para el análisis de seguridad, rendimiento y otros aspectos. La captura de los datos completos del servicio de usuario requiere una capacidad de captura súper fuerte y una velocidad y capacidad de almacenamiento de disco duro súper alta. Por ejemplo, capturar los paquetes de datos entrantes de los piratas informáticos puede detener ciertos delitos u obtener evidencia importante.
Método común de recolección/captura de tráfico de red
De acuerdo con las características y métodos de procesamiento de la captura de tráfico de red, la captura de tráfico se puede dividir en las siguientes categorías: colección parcial y colección completa, colección activa y colección pasiva, colección centralizada y colección distribuida, colección de hardware y colección de software, etc. Con el desarrollo de la recolección de tráfico, algunos métodos de recolección de tráfico eficientes y prácticos se han producido en base a las ideas de clasificación anteriores.
La tecnología de recolección de tráfico de red incluye principalmente la tecnología de monitoreo basada en el espejo de tráfico, la tecnología de monitoreo basada en la captura de paquetes en tiempo real, la tecnología de monitoreo basada en SNMP/RMON y la tecnología de monitoreo basada en el protocolo de análisis de tráfico de red como NetiowsFlow. Entre ellos, la tecnología de monitoreo basada en el espejo de tráfico incluye el método Virtual Tap y el método distribuido basado en la sonda de hardware.
1. Basado en el monitoreo del espejo de tráfico
El principio de la tecnología de monitoreo de tráfico de red basada en el espejo completo es lograr una copia sin pérdidas y la recopilación de imágenes del tráfico de red a través del espejo de puerto de equipos de red, como interruptores o equipos adicionales, como división óptica y sonda de red. El monitoreo de toda la red debe adoptar un esquema distribuido, implementar una sonda en cada enlace y luego recopilar los datos de todas las sondas a través del servidor de fondo y la base de datos, y hacer un análisis de tráfico e informe a largo plazo de toda la red. En comparación con otros métodos de recolección de tráfico, la característica más importante de la recopilación de imágenes de tráfico es que puede proporcionar información de capa de aplicación rica.
2. Basado en el monitoreo de captura de paquetes en tiempo real
Basado en la tecnología de análisis de captura de paquetes en tiempo real, proporciona principalmente un análisis de datos detallado desde la capa física hasta la capa de aplicación, centrándose en el análisis de protocolo. Captura los paquetes de interfaz en poco tiempo para el análisis, y a menudo se usa para realizar el diagnóstico rápido y la solución del rendimiento y la falla de la red. Tiene las siguientes deficiencias: no puede capturar paquetes con gran tráfico y mucho tiempo, y no puede analizar la tendencia de tráfico de los usuarios.
3. Monitoreo de tecnología basada en SNMP/RMON
El monitoreo del tráfico basado en el protocolo SNMP/RMON recopila algunas variables relacionadas con equipos específicos e información de tráfico a través de MIB de dispositivos de red. Incluye: número de bytes de entrada, número de paquetes de entrada no broadenados de entrada, número de paquetes de transmisión de entrada, número de gotas de paquetes de entrada, número de errores de paquetes de entrada, número de paquetes de protocolo desconocidos de entrada, número de paquetes de salida, número de paquetes de transmisión de salida de salida, número de paquetes de transmisión de salida, el número de paquetes de salida de salida, número de paquetes de salida, etc. Dado que la mayoría de los ruidos de salida ahora soporta el ventaja de los datos adicionales, el número de datos de salida, la ventaja de los datos de salida, el número de datos de la salida, el número de datos de salida, el número de datos de salida, el ventaja de los datos adicionales, el ventaja de los datos de la salida, la ventaja de la ventaja de los datos adicionales, el valor de los datos de la salida, la ventaja de la ventaja de la ventaja de la ventaja adicional, la ventaja de la ventaja de la ventaja adicional es el ventaja de que el número de paquetes de salida es la ventaja de los datos adicionales. Se necesita equipo de adquisición. Sin embargo, solo incluye el contenido más básico, como el número de bytes y el número de paquetes, que no es adecuado para el monitoreo de tráfico complejo.
4. Tecnología de monitoreo de tráfico basada en Netflow
Según el monitoreo del tráfico de NETHOW, la información de tráfico proporcionada se amplía al número de bytes y paquetes en función de las estadísticas de cinco tuples (dirección IP de origen, dirección IP de destino, puerto de origen, puerto de destino, número de protocolo), que pueden distinguir el flujo en cada canal lógico. El método de monitoreo tiene una alta eficiencia de la recopilación de información, pero no puede analizar la información de la capa de capa física y la capa de enlace de datos, y necesita consumir algunos recursos de enrutamiento. Por lo general, necesita adjuntar un módulo de función separado al equipo de red.
Tiempo de publicación: octubre-17-2024
