Giới thiệu
Lưu lượng mạng là tổng số gói tin đi qua liên kết mạng trong một đơn vị thời gian, là chỉ số cơ bản để đo tải mạng và hiệu suất chuyển tiếp. Giám sát lưu lượng mạng là để nắm bắt dữ liệu tổng thể của các gói tin truyền mạng và số liệu thống kê, và thu thập dữ liệu lưu lượng mạng là việc nắm bắt các gói dữ liệu IP mạng.
Với sự mở rộng của quy mô mạng lưới trung tâm dữ liệu Q, hệ thống ứng dụng ngày càng phong phú, cấu trúc mạng ngày càng phức tạp, các dịch vụ mạng trên các yêu cầu về tài nguyên mạng ngày càng cao, các mối đe dọa về an ninh mạng ngày càng nhiều, hoạt động và bảo trì các yêu cầu tinh chỉnh tiếp tục được cải thiện, thu thập và phân tích lưu lượng mạng đã trở thành phương tiện phân tích không thể thiếu của cơ sở hạ tầng trung tâm dữ liệu. Thông qua phân tích chuyên sâu về lưu lượng mạng, người quản lý mạng có thể tăng tốc độ xác định vị trí lỗi, phân tích dữ liệu ứng dụng, tối ưu hóa cấu trúc mạng, hiệu suất hệ thống và kiểm soát bảo mật trực quan hơn và tăng tốc độ xác định vị trí lỗi. Thu thập lưu lượng mạng là cơ sở của hệ thống phân tích lưu lượng. Một mạng lưới thu thập lưu lượng toàn diện, hợp lý và hiệu quả có ích để nâng cao hiệu quả thu thập, lọc và phân tích lưu lượng mạng, đáp ứng nhu cầu phân tích lưu lượng từ các góc độ khác nhau, tối ưu hóa các chỉ số hiệu suất mạng và kinh doanh, đồng thời cải thiện trải nghiệm và sự hài lòng của người dùng.
Việc nghiên cứu các phương pháp và công cụ thu thập lưu lượng mạng là rất quan trọng để hiểu và sử dụng mạng hiệu quả, giám sát và phân tích mạng chính xác.
Giá trị của việc thu thập/chụp lưu lượng mạng
Đối với hoạt động và bảo trì trung tâm dữ liệu, thông qua việc thiết lập một nền tảng thu thập lưu lượng mạng thống nhất, kết hợp với nền tảng giám sát và phân tích có thể cải thiện đáng kể mức độ quản lý hoạt động và bảo trì cũng như quản lý tính liên tục của hoạt động kinh doanh.
1. Cung cấp nguồn dữ liệu giám sát và phân tích: Lưu lượng tương tác kinh doanh trên cơ sở hạ tầng mạng thu được bằng cách thu thập lưu lượng mạng có thể cung cấp nguồn dữ liệu cần thiết để giám sát mạng, giám sát bảo mật, dữ liệu lớn, phân tích hành vi khách hàng, phân tích và tối ưu hóa yêu cầu chiến lược truy cập, tất cả các loại nền tảng phân tích trực quan, cũng như phân tích chi phí, mở rộng và di chuyển ứng dụng.
2. Khả năng truy xuất nguồn gốc hoàn toàn không có lỗi: thông qua việc nắm bắt lưu lượng mạng, có thể thực hiện phân tích ngược và chẩn đoán lỗi dữ liệu lịch sử, cung cấp hỗ trợ dữ liệu lịch sử cho các bộ phận phát triển, ứng dụng và kinh doanh, đồng thời giải quyết hoàn toàn vấn đề khó nắm bắt bằng chứng, hiệu quả thấp và thậm chí là khả năng phủ nhận.
3. Cải thiện hiệu quả xử lý lỗi. Bằng cách cung cấp nguồn dữ liệu thống nhất cho mạng, giám sát ứng dụng, giám sát bảo mật và các nền tảng khác, nó có thể loại bỏ sự không nhất quán và bất đối xứng của thông tin được thu thập bởi các nền tảng giám sát ban đầu, cải thiện hiệu quả xử lý mọi loại trường hợp khẩn cấp, nhanh chóng xác định vị trí sự cố, tiếp tục kinh doanh và cải thiện mức độ liên tục của doanh nghiệp.
Phân loại thu thập/bắt giữ lưu lượng mạng
Thu thập lưu lượng mạng chủ yếu là để theo dõi và phân tích các đặc điểm và thay đổi của luồng dữ liệu mạng máy tính để nắm bắt các đặc điểm lưu lượng của toàn bộ mạng. Theo các nguồn lưu lượng mạng khác nhau, lưu lượng mạng được chia thành lưu lượng cổng nút mạng, lưu lượng IP đầu cuối, lưu lượng dịch vụ của các dịch vụ cụ thể và lưu lượng dữ liệu dịch vụ người dùng hoàn chỉnh.
1. Lưu lượng cổng nút mạng
Lưu lượng cổng nút mạng là thông tin thống kê về các gói tin đến và đi tại cổng thiết bị nút mạng. Bao gồm số lượng gói dữ liệu, số lượng byte, phân phối kích thước gói tin, mất gói tin và các thông tin thống kê không học khác.
2. Lưu lượng IP từ đầu đến cuối
Lưu lượng IP đầu cuối đề cập đến lớp mạng từ nguồn đến đích! Thống kê các gói P. So với lưu lượng cổng nút mạng, lưu lượng IP đầu cuối chứa nhiều thông tin hơn. Thông qua phân tích, chúng ta có thể biết được mạng đích mà người dùng trong mạng truy cập, đây là cơ sở quan trọng để phân tích, lập kế hoạch, thiết kế và tối ưu hóa mạng.
3. Giao thông lớp dịch vụ
Lưu lượng lớp dịch vụ chứa thông tin về các cổng của lớp thứ tư (lớp TCP ngày) ngoài lưu lượng IP đầu cuối. Rõ ràng, nó chứa thông tin về các loại dịch vụ ứng dụng có thể được sử dụng để phân tích chi tiết hơn.
4. Hoàn thành lưu lượng dữ liệu kinh doanh của người dùng
Lưu lượng dữ liệu dịch vụ người dùng hoàn chỉnh rất hiệu quả cho việc phân tích bảo mật, hiệu suất và các khía cạnh khác. Việc thu thập dữ liệu dịch vụ người dùng hoàn chỉnh đòi hỏi khả năng thu thập dữ liệu cực mạnh và tốc độ lưu trữ và dung lượng ổ cứng cực cao. Ví dụ, việc thu thập các gói dữ liệu đến của tin tặc có thể ngăn chặn một số tội phạm hoặc thu thập bằng chứng quan trọng.
Phương pháp phổ biến để thu thập/chụp lưu lượng mạng
Theo đặc điểm và phương pháp xử lý của việc thu thập lưu lượng mạng, việc thu thập lưu lượng có thể được chia thành các loại sau: thu thập một phần và thu thập toàn bộ, thu thập chủ động và thu thập thụ động, thu thập tập trung và thu thập phân tán, thu thập phần cứng và thu thập phần mềm, v.v. Với sự phát triển của việc thu thập lưu lượng, một số phương pháp thu thập lưu lượng hiệu quả và thiết thực đã được đưa ra dựa trên các ý tưởng phân loại trên.
Công nghệ thu thập lưu lượng mạng chủ yếu bao gồm công nghệ giám sát dựa trên gương lưu lượng, công nghệ giám sát dựa trên bắt gói tin thời gian thực, công nghệ giám sát dựa trên SNMP/RMON và công nghệ giám sát dựa trên giao thức phân tích lưu lượng mạng như NetiowsFlow. Trong số đó, công nghệ giám sát dựa trên gương lưu lượng bao gồm phương pháp TAP ảo và phương pháp phân tán dựa trên đầu dò phần cứng.
1. Dựa trên Giám sát Gương giao thông
Nguyên lý của công nghệ giám sát lưu lượng mạng dựa trên full mirror là đạt được bản sao không mất dữ liệu và thu thập hình ảnh lưu lượng mạng thông qua port mirror của thiết bị mạng như bộ chuyển mạch hoặc thiết bị bổ sung như bộ chia quang và đầu dò mạng. Việc giám sát toàn bộ mạng cần áp dụng sơ đồ phân tán, triển khai đầu dò ở mỗi liên kết, sau đó thu thập dữ liệu của tất cả các đầu dò thông qua máy chủ nền và cơ sở dữ liệu, đồng thời thực hiện phân tích lưu lượng và báo cáo dài hạn của toàn bộ mạng. So với các phương pháp thu thập lưu lượng khác, tính năng quan trọng nhất của việc thu thập hình ảnh lưu lượng là nó có thể cung cấp thông tin lớp ứng dụng phong phú.
2. Dựa trên Giám sát bắt gói tin thời gian thực
Dựa trên công nghệ phân tích bắt gói thời gian thực, chủ yếu cung cấp phân tích dữ liệu chi tiết từ lớp vật lý đến lớp ứng dụng, tập trung vào phân tích giao thức. Nó bắt các gói giao diện trong thời gian ngắn để phân tích và thường được sử dụng để thực hiện chẩn đoán và giải quyết nhanh hiệu suất và lỗi mạng. Nó có những nhược điểm sau: không thể bắt các gói có lưu lượng lớn và thời gian dài và không thể phân tích xu hướng lưu lượng của người dùng.
3. Công nghệ giám sát dựa trên SNMP/RMON
Giám sát lưu lượng dựa trên giao thức SNMP/RMON thu thập một số biến liên quan đến thiết bị cụ thể và thông tin lưu lượng thông qua thiết bị mạng MIB. Bao gồm: số byte đầu vào, số gói tin đầu vào không phát sóng, số gói tin phát sóng đầu vào, số gói tin đầu vào bị loại bỏ, số lỗi gói tin đầu vào, số gói tin giao thức đầu vào không xác định, số gói tin đầu ra, số gói tin đầu ra không phát sóng, số gói tin phát sóng đầu ra, số gói tin đầu ra bị loại bỏ, số lỗi gói tin đầu ra, v.v. Vì hầu hết các bộ định tuyến hiện nay đều hỗ trợ SNMP chuẩn nên ưu điểm của phương pháp này là không cần thêm thiết bị thu thập dữ liệu. Tuy nhiên, nó chỉ bao gồm nội dung cơ bản nhất như số byte và số gói tin, không phù hợp để giám sát lưu lượng phức tạp.
4. Công nghệ giám sát lưu lượng dựa trên Netflow
Dựa trên giám sát lưu lượng của Nethow, thông tin lưu lượng được cung cấp được mở rộng thành số byte và gói dựa trên thống kê năm bộ (địa chỉ IP nguồn, địa chỉ IP đích, cổng nguồn, cổng đích, số giao thức), có thể phân biệt luồng trên mỗi kênh logic. Phương pháp giám sát có hiệu quả thu thập thông tin cao, nhưng không thể phân tích thông tin của lớp vật lý và lớp liên kết dữ liệu và cần tiêu thụ một số tài nguyên định tuyến. Thường cần phải gắn một mô-đun chức năng riêng vào thiết bị mạng.
Thời gian đăng: 17-10-2024
