Introducción
El tráfico de red es el número total de paquetes que pasan a través del enlace de red en unidad de tiempo, que es el índice básico para medir la carga de la red y el rendimiento de reenvío. El monitoreo del tráfico de la red consiste en capturar los datos generales de los paquetes de transmisión de la red y las estadísticas, y la captura de datos del tráfico de la red es la captura de los paquetes de datos IP de la red.
Con la expansión de la escala de la red Q del centro de datos, el sistema de aplicaciones es cada vez más abundante, la estructura de la red es cada vez más compleja, los servicios de red en los requisitos de recursos de la red son cada vez mayores y las amenazas a la seguridad de la red son cada vez mayores. , la operación y el mantenimiento de los requisitos refinados continúan mejorando, la recopilación y el análisis del tráfico de la red se han convertido en un medio de análisis indispensable de la infraestructura del centro de datos. Mediante el análisis en profundidad del tráfico de la red, los administradores de red pueden acelerar la localización de fallas, analizar datos de aplicaciones, optimizar la estructura de la red, el rendimiento del sistema y el control de seguridad de manera más intuitiva, y acelerar la localización de fallas. La recopilación del tráfico de la red es la base del sistema de análisis del tráfico. Una red de captura de tráfico integral, razonable y eficaz es útil para mejorar la eficiencia de la captura, el filtrado y el análisis del tráfico de la red, satisfacer las necesidades del análisis del tráfico desde diferentes ángulos, optimizar los indicadores de rendimiento empresarial y de la red y mejorar la experiencia y satisfacción del usuario.
Es muy importante estudiar los métodos y herramientas de captura del tráfico de la red para comprender y utilizar la red de manera efectiva, monitorear y analizar la red con precisión.
El valor de la recopilación/captura del tráfico de red
Para la operación y mantenimiento del centro de datos, mediante el establecimiento de una plataforma unificada de captura de tráfico de red, combinada con la plataforma de monitoreo y análisis, se puede mejorar en gran medida la gestión de operación y mantenimiento y el nivel de gestión de la continuidad del negocio.
1. Proporcionar fuente de datos de monitoreo y análisis: el tráfico de interacción comercial en la infraestructura de red obtenido mediante la captura del tráfico de red puede proporcionar la fuente de datos requerida para el monitoreo de red, monitoreo de seguridad, big data, análisis del comportamiento del cliente, análisis y optimización de requisitos de estrategia de acceso. todo tipo de plataformas de análisis visual, así como análisis de costos, expansión y migración de aplicaciones.
2. Capacidad completa de trazabilidad a prueba de fallas: a través de la captura del tráfico de la red, puede realizar análisis retrospectivo y diagnóstico de fallas de datos históricos, proporcionar soporte de datos históricos para los departamentos de desarrollo, aplicaciones y negocios, y resolver completamente el problema de la captura de evidencia difícil, la baja eficiencia y incluso negación.
3. Mejorar la eficiencia del manejo de fallas. Al proporcionar una fuente de datos unificada para redes, monitoreo de aplicaciones, monitoreo de seguridad y otras plataformas, puede eliminar la inconsistencia y asimetría de la información recopilada por las plataformas de monitoreo originales, mejorar la eficiencia en el manejo de todo tipo de emergencias, localizar rápidamente el problema y reanudar. negocio y mejorar el nivel de continuidad del negocio.
Clasificación de recopilación/captura de tráfico de red
La captura de tráfico de red sirve principalmente para monitorear y analizar las características y cambios del flujo de datos de la red informática para captar las características del tráfico de toda la red. Según las diferentes fuentes de tráfico de red, el tráfico de red se divide en tráfico de puerto de nodo de red, tráfico IP de extremo a extremo, tráfico de servicio de servicios específicos y tráfico de datos de servicio completo del usuario.
1. Tráfico del puerto del nodo de red
El tráfico del puerto del nodo de red se refiere a las estadísticas de información de los paquetes entrantes y salientes en el puerto del dispositivo del nodo de red. Incluye la cantidad de paquetes de datos, la cantidad de bytes, la distribución del tamaño de los paquetes, la pérdida de paquetes y otra información estadística sin aprendizaje.
2. Tráfico IP de extremo a extremo
¡El tráfico IP de extremo a extremo se refiere a la capa de red desde un origen hasta un destino! Estadísticas de paquetes P. En comparación con el tráfico del puerto del nodo de la red, el tráfico IP de un extremo a otro contiene información más abundante. A través de su análisis, podemos conocer la red de destino a la que acceden los usuarios de la red, lo cual es una base importante para el análisis, planificación, diseño y optimización de la red.
3. Tráfico de la capa de servicio
El tráfico de la capa de servicio contiene información sobre los puertos de la cuarta capa (capa diurna TCP) además del tráfico IP de un extremo a otro. Obviamente, contiene información sobre los tipos de servicios de aplicaciones que se pueden utilizar para un análisis más detallado.
4. Completar el tráfico de datos comerciales de los usuarios
El tráfico completo de datos del servicio de usuario es muy eficaz para el análisis de seguridad, rendimiento y otros aspectos. La captura de los datos completos del servicio del usuario requiere una capacidad de captura súper fuerte y una velocidad y capacidad de almacenamiento en el disco duro súper altas. Por ejemplo, capturar los paquetes de datos entrantes de los piratas informáticos puede detener ciertos delitos u obtener pruebas importantes.
Método común de recopilación/captura de tráfico de red
Según las características y los métodos de procesamiento de la captura de tráfico de red, la captura de tráfico se puede dividir en las siguientes categorías: recopilación parcial y recopilación completa, recopilación activa y recopilación pasiva, recopilación centralizada y recopilación distribuida, recopilación de hardware y recopilación de software, etc. Durante el desarrollo de la recolección de tráfico, se han producido algunos métodos de recolección de tráfico eficientes y prácticos basados en las ideas de clasificación anteriores.
La tecnología de recopilación de tráfico de red incluye principalmente tecnología de monitoreo basada en espejo de tráfico, tecnología de monitoreo basada en captura de paquetes en tiempo real, tecnología de monitoreo basada en SNMP/RMON y tecnología de monitoreo basada en protocolos de análisis de tráfico de red como NetiowsFlow. Entre ellos, la tecnología de monitoreo basada en espejo de tráfico incluye el método TAP virtual y el método distribuido basado en sonda de hardware.
1. Basado en el monitoreo de espejos de tráfico
El principio de la tecnología de monitoreo del tráfico de red basada en espejo completo es lograr una copia y recopilación de imágenes sin pérdidas del tráfico de red a través del espejo del puerto de equipos de red como conmutadores o equipos adicionales como divisores ópticos y sondas de red. El monitoreo de toda la red debe adoptar un esquema distribuido, implementando una sonda en cada enlace y luego recopilando los datos de todas las sondas a través del servidor en segundo plano y la base de datos, y realizando análisis de tráfico e informes a largo plazo de toda la red. En comparación con otros métodos de recopilación de tráfico, la característica más importante de la recopilación de imágenes de tráfico es que puede proporcionar información rica en la capa de aplicación.
2. Basado en monitoreo de captura de paquetes en tiempo real
Basado en tecnología de análisis de captura de paquetes en tiempo real, proporciona principalmente análisis de datos detallados desde la capa física hasta la capa de aplicación, centrándose en el análisis de protocolos. Captura los paquetes de interfaz en poco tiempo para su análisis y, a menudo, se utiliza para realizar un diagnóstico y solución rápidos del rendimiento y las fallas de la red. Tiene las siguientes deficiencias: no puede capturar paquetes con mucho tráfico y durante mucho tiempo, y no puede analizar la tendencia del tráfico de los usuarios.
3. Tecnología de monitoreo basada en SNMP/RMON
El monitoreo de tráfico basado en el protocolo SNMP/RMON recopila algunas variables relacionadas con equipos específicos e información de tráfico a través de la MIB del dispositivo de red. Incluye: número de bytes de entrada, número de paquetes de entrada que no son de difusión, número de paquetes de entrada de difusión, número de caídas de paquetes de entrada, número de errores de paquetes de entrada, número de paquetes de entrada de protocolo desconocido, número de paquetes de salida, número de salidas que no -paquetes de transmisión, número de paquetes de transmisión de salida, número de caídas de paquetes de salida, número de errores de paquetes de salida, etc. Dado que la mayoría de los enrutadores ahora admiten SNMP estándar, la ventaja de este método es que no se necesita equipo de adquisición de datos adicional. Sin embargo, solo incluye el contenido más básico, como la cantidad de bytes y la cantidad de paquetes, lo que no es adecuado para un monitoreo de tráfico complejo.
4. Tecnología de monitoreo de tráfico basada en Netflow
Según el monitoreo de tráfico de Nethow, la información de tráfico proporcionada se expande a la cantidad de bytes y paquetes según las estadísticas de cinco tuplas (dirección IP de origen, dirección IP de destino, puerto de origen, puerto de destino, número de protocolo), que pueden distinguir el flujo en cada canal lógico. El método de monitoreo tiene una alta eficiencia en la recopilación de información, pero no puede analizar la información de la capa física y la capa de enlace de datos, y necesita consumir algunos recursos de enrutamiento. Por lo general, es necesario conectar un módulo de función independiente al equipo de red.
Hora de publicación: 17 de octubre de 2024
