Giới thiệu
Lưu lượng mạng là tổng số gói tin đi qua liên kết mạng trong một đơn vị thời gian, là chỉ số cơ bản để đo tải mạng và hiệu suất chuyển tiếp. Giám sát lưu lượng mạng là việc thu thập dữ liệu tổng thể về các gói tin truyền tải mạng và số liệu thống kê, còn thu thập dữ liệu lưu lượng mạng là việc thu thập các gói dữ liệu IP của mạng.
Với sự mở rộng quy mô mạng Q của trung tâm dữ liệu, hệ thống ứng dụng ngày càng phong phú, cấu trúc mạng ngày càng phức tạp, yêu cầu về tài nguyên mạng cho các dịch vụ mạng ngày càng cao, các mối đe dọa an ninh mạng ngày càng gia tăng, yêu cầu vận hành và bảo trì ngày càng được nâng cao, việc thu thập và phân tích lưu lượng mạng đã trở thành phương tiện phân tích không thể thiếu đối với cơ sở hạ tầng trung tâm dữ liệu. Thông qua phân tích chuyên sâu lưu lượng mạng, người quản lý mạng có thể đẩy nhanh quá trình xác định lỗi, phân tích dữ liệu ứng dụng, tối ưu hóa cấu trúc mạng, hiệu suất hệ thống và kiểm soát an ninh một cách trực quan hơn, và tăng tốc độ tìm lỗi. Thu thập lưu lượng mạng là nền tảng của hệ thống phân tích lưu lượng. Một mạng lưới thu thập lưu lượng toàn diện, hợp lý và hiệu quả giúp nâng cao hiệu quả thu thập, lọc và phân tích lưu lượng mạng, đáp ứng nhu cầu phân tích lưu lượng từ các góc độ khác nhau, tối ưu hóa các chỉ số hiệu suất mạng và kinh doanh, và nâng cao trải nghiệm và sự hài lòng của người dùng.
Việc nghiên cứu các phương pháp và công cụ thu thập lưu lượng mạng rất quan trọng để hiểu và sử dụng mạng một cách hiệu quả, cũng như giám sát và phân tích mạng một cách chính xác.
Giá trị của việc thu thập/ghi lại lưu lượng mạng
Đối với hoạt động và bảo trì trung tâm dữ liệu, việc thiết lập một nền tảng thu thập lưu lượng mạng thống nhất, kết hợp với nền tảng giám sát và phân tích có thể nâng cao đáng kể mức độ quản lý vận hành và bảo trì cũng như quản lý tính liên tục kinh doanh.
1. Cung cấp nguồn dữ liệu giám sát và phân tích: Lưu lượng tương tác kinh doanh trên cơ sở hạ tầng mạng thu được thông qua việc ghi lại lưu lượng mạng có thể cung cấp nguồn dữ liệu cần thiết cho việc giám sát mạng, giám sát an ninh, dữ liệu lớn, phân tích hành vi khách hàng, phân tích và tối ưu hóa yêu cầu chiến lược truy cập, các nền tảng phân tích trực quan khác nhau, cũng như phân tích chi phí, mở rộng và di chuyển ứng dụng.
2. Khả năng truy xuất nguồn gốc lỗi hoàn toàn: thông qua việc thu thập lưu lượng mạng, nó có thể thực hiện phân tích ngược và chẩn đoán lỗi dữ liệu lịch sử, cung cấp dữ liệu lịch sử hỗ trợ cho các bộ phận phát triển, ứng dụng và kinh doanh, và giải quyết hoàn toàn vấn đề khó khăn trong việc thu thập bằng chứng, hiệu quả thấp và thậm chí là khả năng phủ nhận.
3. Nâng cao hiệu quả xử lý sự cố. Bằng cách cung cấp nguồn dữ liệu thống nhất cho giám sát mạng, ứng dụng, bảo mật và các nền tảng khác, nó có thể loại bỏ sự không nhất quán và bất đối xứng của thông tin được thu thập bởi các nền tảng giám sát ban đầu, nâng cao hiệu quả xử lý mọi loại sự cố khẩn cấp, nhanh chóng xác định vấn đề, khôi phục hoạt động kinh doanh và nâng cao mức độ liên tục kinh doanh.
Phân loại việc thu thập/ghi lại lưu lượng mạng
Việc thu thập lưu lượng mạng chủ yếu nhằm mục đích giám sát và phân tích các đặc điểm và sự thay đổi của luồng dữ liệu mạng máy tính để nắm bắt đặc điểm lưu lượng của toàn bộ mạng. Theo các nguồn lưu lượng mạng khác nhau, lưu lượng mạng được chia thành lưu lượng cổng nút mạng, lưu lượng IP đầu cuối, lưu lượng dịch vụ của các dịch vụ cụ thể và lưu lượng dữ liệu dịch vụ người dùng hoàn chỉnh.
1. Lưu lượng truy cập cổng nút mạng
Lưu lượng truy cập cổng nút mạng đề cập đến số liệu thống kê thông tin về các gói dữ liệu đến và đi tại cổng thiết bị nút mạng. Nó bao gồm số lượng gói dữ liệu, số byte, phân bố kích thước gói, mất gói và các thông tin thống kê không liên quan đến học tập khác.
2. Lưu lượng IP đầu cuối
Lưu lượng IP đầu cuối đề cập đến lưu lượng mạng từ nguồn đến đích! Thống kê số lượng gói tin P. So với lưu lượng cổng nút mạng, lưu lượng IP đầu cuối chứa nhiều thông tin phong phú hơn. Thông qua phân tích, chúng ta có thể biết được mạng đích mà người dùng trong mạng truy cập, đây là cơ sở quan trọng cho việc phân tích, lập kế hoạch, thiết kế và tối ưu hóa mạng.
3. Lưu lượng truy cập lớp dịch vụ
Lưu lượng truy cập lớp dịch vụ chứa thông tin về các cổng của lớp thứ tư (lớp TCP) ngoài lưu lượng IP đầu cuối. Rõ ràng, nó chứa thông tin về các loại dịch vụ ứng dụng có thể được sử dụng để phân tích chi tiết hơn.
4. Lưu lượng truy cập dữ liệu kinh doanh người dùng đầy đủ
Việc thu thập toàn bộ dữ liệu lưu lượng dịch vụ người dùng rất hiệu quả cho việc phân tích bảo mật, hiệu năng và các khía cạnh khác. Thu thập toàn bộ dữ liệu dịch vụ người dùng đòi hỏi khả năng thu thập cực mạnh và tốc độ cũng như dung lượng lưu trữ ổ cứng cực cao. Ví dụ, việc thu thập các gói dữ liệu đến của tin tặc có thể ngăn chặn một số tội phạm hoặc thu được bằng chứng quan trọng.
Phương pháp thu thập/ghi lại lưu lượng mạng phổ biến
Theo đặc điểm và phương pháp xử lý của việc thu thập lưu lượng mạng, việc thu thập lưu lượng có thể được chia thành các loại sau: thu thập một phần và thu thập toàn bộ, thu thập chủ động và thu thập thụ động, thu thập tập trung và thu thập phân tán, thu thập phần cứng và thu thập phần mềm, v.v. Với sự phát triển của việc thu thập lưu lượng, một số phương pháp thu thập lưu lượng hiệu quả và thiết thực đã được tạo ra dựa trên các ý tưởng phân loại nêu trên.
Công nghệ thu thập lưu lượng mạng chủ yếu bao gồm công nghệ giám sát dựa trên phản chiếu lưu lượng, công nghệ giám sát dựa trên thu thập gói tin thời gian thực, công nghệ giám sát dựa trên SNMP/RMON và công nghệ giám sát dựa trên giao thức phân tích lưu lượng mạng như Netflow. Trong đó, công nghệ giám sát dựa trên phản chiếu lưu lượng bao gồm phương pháp TAP ảo và phương pháp phân tán dựa trên đầu dò phần cứng.
1. Dựa trên hệ thống giám sát gương chiếu hậu giao thông.
Nguyên tắc của công nghệ giám sát lưu lượng mạng dựa trên sao chép toàn diện là đạt được việc sao chép và thu thập hình ảnh không mất dữ liệu của lưu lượng mạng thông qua việc sao chép cổng của thiết bị mạng như bộ chuyển mạch hoặc các thiết bị bổ sung như bộ chia quang và đầu dò mạng. Việc giám sát toàn bộ mạng cần áp dụng phương án phân tán, triển khai một đầu dò trên mỗi liên kết, sau đó thu thập dữ liệu từ tất cả các đầu dò thông qua máy chủ và cơ sở dữ liệu nền, và thực hiện phân tích lưu lượng cũng như báo cáo dài hạn về toàn bộ mạng. So với các phương pháp thu thập lưu lượng khác, đặc điểm quan trọng nhất của việc thu thập hình ảnh lưu lượng là nó có thể cung cấp thông tin phong phú ở lớp ứng dụng.
2. Dựa trên giám sát bắt gói tin thời gian thực
Dựa trên công nghệ phân tích bắt gói tin thời gian thực, nó chủ yếu cung cấp phân tích dữ liệu chi tiết từ lớp vật lý đến lớp ứng dụng, tập trung vào phân tích giao thức. Nó bắt các gói tin giao diện trong thời gian ngắn để phân tích và thường được sử dụng để chẩn đoán và giải quyết nhanh chóng các vấn đề về hiệu suất và lỗi mạng. Tuy nhiên, nó có những nhược điểm sau: không thể bắt các gói tin có lưu lượng lớn và thời gian dài, và không thể phân tích xu hướng lưu lượng của người dùng.
3. Công nghệ giám sát dựa trên SNMP/RMON
Việc giám sát lưu lượng dựa trên giao thức SNMP/RMON thu thập một số biến liên quan đến thiết bị cụ thể và thông tin lưu lượng thông qua MIB của thiết bị mạng. Nó bao gồm: số byte đầu vào, số gói không phát sóng đầu vào, số gói phát sóng đầu vào, số gói bị mất, số gói lỗi, số gói giao thức không xác định đầu vào, số gói đầu ra, số gói không phát sóng đầu ra, số gói phát sóng đầu ra, số gói bị mất, số gói lỗi, v.v. Vì hầu hết các bộ định tuyến hiện nay đều hỗ trợ SNMP chuẩn, ưu điểm của phương pháp này là không cần thiết bị thu thập dữ liệu bổ sung. Tuy nhiên, nó chỉ bao gồm nội dung cơ bản nhất như số byte và số gói, không phù hợp cho việc giám sát lưu lượng phức tạp.
4. Công nghệ giám sát lưu lượng truy cập dựa trên Netflow
Dựa trên khả năng giám sát lưu lượng của Nethow, thông tin lưu lượng được cung cấp được mở rộng thành số byte và gói dựa trên thống kê năm thành phần (địa chỉ IP nguồn, địa chỉ IP đích, cổng nguồn, cổng đích, số hiệu giao thức), có thể phân biệt luồng trên mỗi kênh logic. Phương pháp giám sát này có hiệu quả thu thập thông tin cao, nhưng không thể phân tích thông tin ở lớp vật lý và lớp liên kết dữ liệu, và cần tiêu tốn một số tài nguyên định tuyến. Thông thường, cần phải gắn thêm một mô-đun chức năng riêng biệt vào thiết bị mạng.
Thời gian đăng bài: 17/10/2024
