Introducción
El tráfico de red es el número total de paquetes que pasan por el enlace de red en una unidad de tiempo, y es el índice básico para medir la carga de la red y el rendimiento de reenvío. La monitorización del tráfico de red consiste en capturar los datos generales de los paquetes de transmisión de red y las estadísticas, mientras que la captura de datos de tráfico de red consiste en capturar los paquetes de datos IP de la red.
Con la expansión de la escala de la red Q del centro de datos, el sistema de aplicaciones es cada vez más abundante, la estructura de red es cada vez más compleja, los servicios de red requieren más recursos de red, las amenazas a la seguridad de la red son cada vez más numerosas, la operación y el mantenimiento de requisitos más refinados siguen mejorando, la recopilación y el análisis del tráfico de red se han convertido en un medio de análisis indispensable para la infraestructura del centro de datos. Mediante el análisis profundo del tráfico de red, los administradores de red pueden acelerar la localización de fallos, analizar los datos de las aplicaciones, optimizar la estructura de la red, el rendimiento del sistema y el control de seguridad de forma más intuitiva, y acelerar la localización de fallos. La recopilación del tráfico de red es la base del sistema de análisis de tráfico. Una red de captura de tráfico integral, razonable y eficaz ayuda a mejorar la eficiencia de la captura, el filtrado y el análisis del tráfico de red, satisface las necesidades de análisis de tráfico desde diferentes perspectivas, optimiza los indicadores de rendimiento de la red y del negocio, y mejora la experiencia y la satisfacción del usuario.
Es muy importante estudiar los métodos y herramientas de captura de tráfico de red para comprender y utilizar la red de manera efectiva, así como para monitorizarla y analizarla con precisión.
El valor de la recopilación/captura del tráfico de red
Para la operación y el mantenimiento de los centros de datos, mediante el establecimiento de una plataforma unificada de captura de tráfico de red, combinada con la plataforma de monitoreo y análisis, se puede mejorar en gran medida el nivel de gestión de operaciones y mantenimiento, así como la gestión de la continuidad del negocio.
1. Proporcionar una fuente de datos para el monitoreo y el análisis: El tráfico de interacción comercial en la infraestructura de red, obtenido mediante la captura de tráfico de red, puede proporcionar la fuente de datos necesaria para el monitoreo de red, el monitoreo de seguridad, el análisis de big data, el análisis del comportamiento del cliente, el análisis y la optimización de los requisitos de la estrategia de acceso, todo tipo de plataformas de análisis visual, así como el análisis de costos, la expansión y la migración de aplicaciones.
2. Capacidad de trazabilidad a prueba de fallos total: mediante la captura del tráfico de red, puede realizar análisis retrospectivos y diagnósticos de fallos de datos históricos, proporcionar soporte de datos históricos para los departamentos de desarrollo, aplicaciones y negocios, y resolver por completo el problema de la difícil captura de pruebas, la baja eficiencia e incluso la negación.
3. Mejora la eficiencia en la gestión de fallos. Al proporcionar una fuente de datos unificada para la red, la monitorización de aplicaciones, la monitorización de seguridad y otras plataformas, se eliminan las inconsistencias y asimetrías de la información recopilada por las plataformas de monitorización originales, se mejora la eficiencia en la gestión de todo tipo de emergencias, se localiza rápidamente el problema, se reanudan las operaciones y se mejora el nivel de continuidad del negocio.
Clasificación de la recopilación/captura de tráfico de red
La captura de tráfico de red consiste principalmente en monitorizar y analizar las características y los cambios del flujo de datos de la red informática para comprender las características del tráfico en toda la red. Según las diferentes fuentes de tráfico de red, este se divide en tráfico de puertos de nodos de red, tráfico IP de extremo a extremo, tráfico de servicios específicos y tráfico de datos de servicios de usuario completos.
1. Tráfico de puertos de nodos de red
El tráfico del puerto del nodo de red se refiere a las estadísticas de información de los paquetes entrantes y salientes en el puerto del dispositivo del nodo de red. Incluye el número de paquetes de datos, el número de bytes, la distribución del tamaño de los paquetes, la pérdida de paquetes y otra información estadística no relacionada con el aprendizaje.
2. Tráfico IP de extremo a extremo
El tráfico IP de extremo a extremo se refiere a la capa de red desde un origen hasta un destino. Las estadísticas de los paquetes P, en comparación con el tráfico de los puertos de los nodos de red, contienen información más abundante. Su análisis permite conocer la red de destino a la que acceden los usuarios, lo cual constituye una base fundamental para el análisis, la planificación, el diseño y la optimización de la red.
3. Tráfico de la capa de servicio
El tráfico de la capa de servicio contiene información sobre los puertos de la cuarta capa (capa TCP), además del tráfico IP de extremo a extremo. Obviamente, también contiene información sobre los tipos de servicios de aplicación que pueden utilizarse para un análisis más detallado.
4. Tráfico completo de datos comerciales del usuario
El análisis del tráfico completo de datos de servicio al usuario resulta muy eficaz para evaluar la seguridad, el rendimiento y otros aspectos. Capturar estos datos requiere una capacidad de captura excepcional y una velocidad y capacidad de almacenamiento en disco duro muy elevadas. Por ejemplo, la captura de los paquetes de datos entrantes de los hackers puede prevenir ciertos delitos u obtener pruebas importantes.
Método común de recopilación/captura de tráfico de red
Según las características y los métodos de procesamiento de la captura de tráfico de red, esta se puede dividir en las siguientes categorías: captura parcial y completa, captura activa y pasiva, captura centralizada y distribuida, captura por hardware y por software, etc. Con el desarrollo de la captura de tráfico, se han desarrollado algunos métodos eficientes y prácticos basados en las ideas de clasificación anteriores.
La tecnología de recopilación de tráfico de red incluye principalmente la tecnología de monitorización basada en la duplicación de tráfico, la tecnología de monitorización basada en la captura de paquetes en tiempo real, la tecnología de monitorización basada en SNMP/RMON y la tecnología de monitorización basada en protocolos de análisis de tráfico de red como NetiowsFlow. Entre ellas, la tecnología de monitorización basada en la duplicación de tráfico incluye el método TAP virtual y el método distribuido basado en sondas de hardware.
1. Basado en la monitorización de espejos de tráfico
El principio de la tecnología de monitorización del tráfico de red basada en la replicación completa consiste en lograr la copia sin pérdidas y la captura de imágenes del tráfico de red mediante la replicación de puertos de equipos de red como conmutadores o equipos adicionales como divisores ópticos y sondas de red. La monitorización de toda la red requiere un esquema distribuido, desplegando una sonda en cada enlace y recopilando los datos de todas las sondas a través de un servidor y una base de datos, para luego realizar análisis de tráfico y generar informes a largo plazo de toda la red. En comparación con otros métodos de captura de tráfico, la característica más importante de la captura de imágenes de tráfico es que proporciona información detallada de la capa de aplicación.
2. Basado en la monitorización de captura de paquetes en tiempo real.
Basado en la tecnología de análisis de captura de paquetes en tiempo real, proporciona principalmente un análisis detallado de datos desde la capa física hasta la capa de aplicación, centrándose en el análisis de protocolos. Captura los paquetes de interfaz en poco tiempo para su análisis y se utiliza frecuentemente para el diagnóstico y la solución rápidos de problemas de rendimiento y fallos de red. Presenta las siguientes limitaciones: no puede capturar paquetes con gran volumen de tráfico ni durante largos periodos de tiempo, y no puede analizar la tendencia del tráfico de los usuarios.
3. Tecnología de monitorización basada en SNMP/RMON
La monitorización del tráfico basada en el protocolo SNMP/RMON recopila variables relacionadas con equipos específicos e información de tráfico a través de la MIB del dispositivo de red. Esto incluye: número de bytes de entrada, número de paquetes de entrada no difundidos, número de paquetes de entrada difundidos, número de paquetes de entrada descartados, número de paquetes de entrada con errores, número de paquetes de entrada con protocolo desconocido, número de paquetes de salida, número de paquetes de salida no difundidos, número de paquetes de salida difundidos, número de paquetes de salida descartados, número de paquetes de salida con errores, etc. Dado que la mayoría de los routers ahora admiten el estándar SNMP, la ventaja de este método es que no se necesita equipo adicional de adquisición de datos. Sin embargo, solo incluye el contenido más básico, como el número de bytes y el número de paquetes, lo que no es adecuado para una monitorización de tráfico compleja.
4. Tecnología de monitorización de tráfico basada en Netflow
Basándose en la monitorización del tráfico de Nethow, la información de tráfico se amplía al número de bytes y paquetes según las estadísticas de la quíntupla (dirección IP de origen, dirección IP de destino, puerto de origen, puerto de destino, número de protocolo), lo que permite distinguir el flujo en cada canal lógico. Este método de monitorización ofrece una alta eficiencia en la recopilación de información, pero no puede analizar la información de la capa física ni de la capa de enlace de datos, y requiere el consumo de recursos de enrutamiento. Por lo general, es necesario conectar un módulo funcional independiente al equipo de red.
Fecha de publicación: 17 de octubre de 2024
