Giới thiệu
Lưu lượng mạng là tổng số gói tin đi qua liên kết mạng trong một đơn vị thời gian, là chỉ số cơ bản để đo lường hiệu suất tải và chuyển tiếp mạng. Giám sát lưu lượng mạng là thu thập dữ liệu tổng thể về các gói tin truyền tải mạng và số liệu thống kê, còn thu thập dữ liệu lưu lượng mạng là thu thập các gói dữ liệu IP mạng.
Với việc mở rộng quy mô mạng lưới trung tâm dữ liệu Q, hệ thống ứng dụng ngày càng phong phú, cấu trúc mạng ngày càng phức tạp, các dịch vụ mạng trên các yêu cầu về tài nguyên mạng ngày càng cao, các mối đe dọa an ninh mạng ngày càng nhiều, việc vận hành và bảo trì các yêu cầu tinh chỉnh tiếp tục được cải thiện, việc thu thập và phân tích lưu lượng mạng đã trở thành một phương tiện phân tích không thể thiếu của cơ sở hạ tầng trung tâm dữ liệu. Thông qua việc phân tích chuyên sâu về lưu lượng mạng, các nhà quản lý mạng có thể tăng tốc độ xác định vị trí lỗi, phân tích dữ liệu ứng dụng, tối ưu hóa cấu trúc mạng, hiệu suất hệ thống và kiểm soát bảo mật trực quan hơn và tăng tốc độ xác định vị trí lỗi. Thu thập lưu lượng mạng là cơ sở của hệ thống phân tích lưu lượng. Một mạng lưới thu thập lưu lượng toàn diện, hợp lý và hiệu quả sẽ hữu ích để nâng cao hiệu quả thu thập, lọc và phân tích lưu lượng mạng, đáp ứng nhu cầu phân tích lưu lượng từ nhiều góc độ khác nhau, tối ưu hóa các chỉ số hiệu suất mạng và kinh doanh, đồng thời cải thiện trải nghiệm và sự hài lòng của người dùng.
Việc nghiên cứu các phương pháp và công cụ thu thập lưu lượng mạng là rất quan trọng để hiểu và sử dụng mạng hiệu quả, giám sát và phân tích mạng một cách chính xác.
Giá trị của việc thu thập/ghi lại lưu lượng mạng
Đối với hoạt động và bảo trì trung tâm dữ liệu, thông qua việc thiết lập một nền tảng thu thập lưu lượng mạng thống nhất, kết hợp với nền tảng giám sát và phân tích có thể cải thiện đáng kể mức độ quản lý hoạt động và bảo trì cũng như quản lý tính liên tục của hoạt động kinh doanh.
1. Cung cấp nguồn dữ liệu giám sát và phân tích: Lưu lượng tương tác kinh doanh trên cơ sở hạ tầng mạng thu được bằng cách thu thập lưu lượng mạng có thể cung cấp nguồn dữ liệu cần thiết để giám sát mạng, giám sát bảo mật, dữ liệu lớn, phân tích hành vi khách hàng, phân tích và tối ưu hóa yêu cầu chiến lược truy cập, tất cả các loại nền tảng phân tích trực quan, cũng như phân tích chi phí, mở rộng và di chuyển ứng dụng.
2. Khả năng truy xuất nguồn gốc hoàn toàn không có lỗi: thông qua việc nắm bắt lưu lượng mạng, có thể thực hiện phân tích ngược và chẩn đoán lỗi dữ liệu lịch sử, cung cấp hỗ trợ dữ liệu lịch sử cho các bộ phận phát triển, ứng dụng và kinh doanh, đồng thời giải quyết hoàn toàn vấn đề khó nắm bắt bằng chứng, hiệu quả thấp và thậm chí là khả năng phủ nhận.
3. Nâng cao hiệu quả xử lý sự cố. Bằng cách cung cấp một nguồn dữ liệu thống nhất cho giám sát mạng, ứng dụng, giám sát bảo mật và các nền tảng khác, giải pháp này có thể loại bỏ sự thiếu nhất quán và bất đối xứng của thông tin được thu thập bởi các nền tảng giám sát ban đầu, nâng cao hiệu quả xử lý mọi tình huống khẩn cấp, nhanh chóng xác định vị trí sự cố, khôi phục hoạt động kinh doanh và nâng cao tính liên tục của hoạt động kinh doanh.
Phân loại thu thập/ghi lại lưu lượng mạng
Việc thu thập lưu lượng mạng chủ yếu là theo dõi và phân tích các đặc điểm và sự thay đổi của luồng dữ liệu mạng máy tính để nắm bắt đặc điểm lưu lượng của toàn bộ mạng. Theo các nguồn lưu lượng mạng khác nhau, lưu lượng mạng được chia thành lưu lượng cổng nút mạng, lưu lượng IP đầu cuối, lưu lượng dịch vụ của các dịch vụ cụ thể và lưu lượng dữ liệu dịch vụ người dùng hoàn chỉnh.
1. Lưu lượng cổng nút mạng
Lưu lượng cổng nút mạng đề cập đến thống kê thông tin về các gói tin đến và đi tại cổng thiết bị nút mạng. Nó bao gồm số lượng gói dữ liệu, số byte, phân phối kích thước gói tin, mất gói tin và các thông tin thống kê khác không liên quan đến học tập.
2. Lưu lượng IP đầu cuối
Lưu lượng IP đầu cuối đề cập đến lớp mạng từ nguồn đến đích! Thống kê gói tin P. So với lưu lượng cổng nút mạng, lưu lượng IP đầu cuối chứa nhiều thông tin hơn. Thông qua phân tích, chúng ta có thể biết được mạng đích mà người dùng trong mạng truy cập, đây là cơ sở quan trọng cho việc phân tích, lập kế hoạch, thiết kế và tối ưu hóa mạng.
3. Lưu lượng lớp dịch vụ
Lưu lượng lớp dịch vụ chứa thông tin về các cổng của lớp thứ tư (lớp TCP) bên cạnh lưu lượng IP đầu cuối. Rõ ràng, nó chứa thông tin về các loại dịch vụ ứng dụng có thể được sử dụng để phân tích chi tiết hơn.
4. Lưu lượng dữ liệu kinh doanh của người dùng hoàn chỉnh
Lưu lượng dữ liệu dịch vụ người dùng đầy đủ rất hiệu quả cho việc phân tích bảo mật, hiệu suất và các khía cạnh khác. Việc thu thập toàn bộ dữ liệu dịch vụ người dùng đòi hỏi khả năng thu thập dữ liệu cực kỳ mạnh mẽ cùng tốc độ và dung lượng lưu trữ ổ cứng cực cao. Ví dụ, việc thu thập các gói dữ liệu đến từ tin tặc có thể ngăn chặn một số hành vi phạm tội hoặc thu thập bằng chứng quan trọng.
Phương pháp phổ biến để thu thập/ghi lại lưu lượng mạng
Theo đặc điểm và phương pháp xử lý của việc thu thập lưu lượng mạng, việc thu thập lưu lượng có thể được chia thành các loại sau: thu thập một phần và thu thập toàn bộ, thu thập chủ động và thu thập thụ động, thu thập tập trung và thu thập phân tán, thu thập phần cứng và thu thập phần mềm, v.v. Với sự phát triển của việc thu thập lưu lượng, một số phương pháp thu thập lưu lượng hiệu quả và thiết thực đã được tạo ra dựa trên các ý tưởng phân loại trên.
Công nghệ thu thập lưu lượng mạng chủ yếu bao gồm công nghệ giám sát dựa trên Traffic Mirror, công nghệ giám sát dựa trên việc bắt gói tin thời gian thực, công nghệ giám sát dựa trên SNMP/RMON và công nghệ giám sát dựa trên giao thức phân tích lưu lượng mạng như NetiowsFlow. Trong số đó, công nghệ giám sát dựa trên Traffic Mirror bao gồm phương pháp TAP ảo và phương pháp phân tán dựa trên thăm dò phần cứng.
1. Dựa trên Giám sát Gương giao thông
Nguyên lý của công nghệ giám sát lưu lượng mạng dựa trên full mirror là đạt được khả năng sao chép và thu thập hình ảnh không mất dữ liệu của lưu lượng mạng thông qua port mirror của thiết bị mạng như switch hoặc các thiết bị bổ sung như bộ chia quang và đầu dò mạng. Việc giám sát toàn bộ mạng cần áp dụng sơ đồ phân tán, triển khai đầu dò trên mỗi liên kết, sau đó thu thập dữ liệu của tất cả các đầu dò thông qua máy chủ nền và cơ sở dữ liệu, đồng thời thực hiện phân tích lưu lượng và báo cáo dài hạn cho toàn bộ mạng. So với các phương pháp thu thập lưu lượng khác, tính năng quan trọng nhất của thu thập hình ảnh lưu lượng là có thể cung cấp thông tin lớp ứng dụng phong phú.
2. Dựa trên Giám sát Bắt gói tin theo thời gian thực
Dựa trên công nghệ phân tích bắt gói tin thời gian thực, nó chủ yếu cung cấp phân tích dữ liệu chi tiết từ lớp vật lý đến lớp ứng dụng, tập trung vào phân tích giao thức. Nó bắt các gói tin giao diện trong thời gian ngắn để phân tích, thường được sử dụng để chẩn đoán và khắc phục nhanh chóng hiệu suất và lỗi mạng. Tuy nhiên, nó có những nhược điểm sau: không thể bắt các gói tin có lưu lượng lớn và thời gian dài, và không thể phân tích xu hướng lưu lượng của người dùng.
3. Công nghệ giám sát dựa trên SNMP/RMON
Giám sát lưu lượng dựa trên giao thức SNMP/RMON thu thập một số biến liên quan đến thiết bị cụ thể và thông tin lưu lượng thông qua MIB của thiết bị mạng. Thông tin này bao gồm: số byte đầu vào, số gói tin không phát sóng đầu vào, số gói tin phát sóng đầu vào, số gói tin đầu vào bị loại bỏ, số lỗi gói tin đầu vào, số gói tin giao thức đầu vào không xác định, số gói tin đầu ra, số gói tin không phát sóng đầu ra, số gói tin phát sóng đầu ra, số gói tin đầu ra bị loại bỏ, số lỗi gói tin đầu ra, v.v. Vì hầu hết các bộ định tuyến hiện nay đều hỗ trợ SNMP tiêu chuẩn, ưu điểm của phương pháp này là không cần thêm thiết bị thu thập dữ liệu. Tuy nhiên, nó chỉ bao gồm những nội dung cơ bản nhất như số byte và số gói tin, không phù hợp cho việc giám sát lưu lượng phức tạp.
4. Công nghệ giám sát lưu lượng dựa trên Netflow
Dựa trên việc giám sát lưu lượng của Nethow, thông tin lưu lượng được cung cấp được mở rộng thành số byte và gói tin dựa trên thống kê năm bộ (địa chỉ IP nguồn, địa chỉ IP đích, cổng nguồn, cổng đích, số giao thức), có thể phân biệt luồng trên mỗi kênh logic. Phương pháp giám sát này có hiệu quả thu thập thông tin cao, nhưng không thể phân tích thông tin của lớp vật lý và lớp liên kết dữ liệu, và cần tiêu tốn một số tài nguyên định tuyến. Thông thường, cần phải gắn một mô-đun chức năng riêng vào thiết bị mạng.
Thời gian đăng: 17-10-2024
