Einführung
Netzwerkverkehr bezeichnet die Gesamtzahl der Pakete, die pro Zeiteinheit über eine Netzwerkverbindung übertragen werden. Er ist der grundlegende Indikator für die Netzwerklast und die Weiterleitungsleistung. Die Überwachung des Netzwerkverkehrs umfasst die Erfassung der gesamten Daten und Statistiken der übertragenen Pakete, während die Erfassung von Netzwerkverkehrsdaten die Aufzeichnung von IP-Datenpaketen beinhaltet.
Mit der Erweiterung des Q-Netzwerks von Rechenzentren nehmen die Anwendungssysteme stetig zu, die Netzwerkstruktur wird komplexer, die Anforderungen an die Netzwerkressourcen steigen, die Bedrohungen der Netzwerksicherheit nehmen zu und die Anforderungen an Betrieb und Wartung steigen kontinuierlich. Die Erfassung und Analyse des Netzwerkverkehrs ist daher zu einem unverzichtbaren Analyseinstrument für die Rechenzentrumsinfrastruktur geworden. Durch die detaillierte Analyse des Netzwerkverkehrs können Netzwerkmanager die Fehlerlokalisierung beschleunigen, Anwendungsdaten analysieren, die Netzwerkstruktur optimieren und Systemleistung sowie Sicherheitskontrollen intuitiver gestalten. Die Erfassung des Netzwerkverkehrs bildet die Grundlage für ein Verkehrsanalysesystem. Ein umfassendes, sinnvolles und effektives Netzwerk zur Verkehrserfassung trägt dazu bei, die Effizienz der Erfassung, Filterung und Analyse des Netzwerkverkehrs zu verbessern, die Anforderungen der Verkehrsanalyse aus verschiedenen Blickwinkeln zu erfüllen, Netzwerk- und Geschäftsleistungsindikatoren zu optimieren und die Benutzerfreundlichkeit und -zufriedenheit zu steigern.
Für ein effektives Verständnis und die Nutzung des Netzwerks sowie für eine genaue Überwachung und Analyse ist es sehr wichtig, die Methoden und Werkzeuge zur Erfassung des Netzwerkverkehrs zu studieren.
Der Wert der Netzwerkverkehrserfassung/Aufzeichnung
Für den Betrieb und die Wartung von Rechenzentren kann durch die Einrichtung einer einheitlichen Plattform zur Erfassung des Netzwerkverkehrs in Kombination mit einer Überwachungs- und Analyseplattform das Betriebs- und Wartungsmanagement sowie das Business-Continuity-Management erheblich verbessert werden.
1. Bereitstellung einer Überwachungs- und Analysedatenquelle: Der durch Netzwerkverkehrserfassung gewonnene Geschäftsverkehr in der Netzwerkinfrastruktur kann die erforderliche Datenquelle für Netzwerküberwachung, Sicherheitsüberwachung, Big Data, Kundenverhaltensanalyse, Analyse und Optimierung von Zugriffsstrategien, alle Arten von visuellen Analyseplattformen sowie Kostenanalyse, Anwendungserweiterung und Migration bereitstellen.
2. Vollständige Fehlerrückverfolgbarkeit: Durch die Erfassung des Netzwerkverkehrs können historische Daten rückwirkend analysiert und Fehler diagnostiziert werden. Dies ermöglicht die Bereitstellung historischer Daten für Entwicklungs-, Anwendungs- und Geschäftsabteilungen und löst das Problem der schwierigen Beweiserfassung, der geringen Effizienz und sogar der Abstreitbarkeit vollständig.
3. Verbesserung der Effizienz der Fehlerbehebung. Durch die Bereitstellung einer einheitlichen Datenquelle für Netzwerk-, Anwendungs- und Sicherheitsüberwachung sowie andere Plattformen können Inkonsistenzen und Asymmetrien der von den ursprünglichen Überwachungsplattformen erfassten Informationen beseitigt, die Effizienz der Bewältigung von Notfällen jeglicher Art verbessert, Probleme schnell lokalisiert, der Geschäftsbetrieb wiederhergestellt und die Geschäftskontinuität erhöht werden.
Klassifizierung der Netzwerkverkehrserfassung/Aufzeichnung
Die Erfassung des Netzwerkverkehrs dient hauptsächlich der Überwachung und Analyse der Merkmale und Veränderungen des Datenflusses in Computernetzwerken, um die Verkehrscharakteristika des gesamten Netzwerks zu erfassen. Je nach Quelle des Netzwerkverkehrs wird dieser in Knotenportverkehr, Ende-zu-Ende-IP-Verkehr, Dienstverkehr spezifischer Dienste und vollständigen Benutzerdienstdatenverkehr unterteilt.
1. Netzwerkknoten-Portverkehr
Der Netzwerkknoten-Portverkehr bezeichnet die Informationsstatistiken über ein- und ausgehende Pakete am Port eines Netzwerkknotens. Dazu gehören die Anzahl der Datenpakete, die Anzahl der Bytes, die Paketgrößenverteilung, Paketverluste und weitere statistische Informationen.
2. End-to-End-IP-Verkehr
End-to-End-IP-Verkehr bezeichnet die Netzwerkschicht vom Quell- zum Zielnetzwerk. Statistiken zu P-Paketen zeigen, dass der End-to-End-IP-Verkehr im Vergleich zum Knoten-Port-Verkehr deutlich mehr Informationen enthält. Durch seine Analyse lässt sich das Zielnetzwerk ermitteln, auf das die Benutzer zugreifen. Dies ist eine wichtige Grundlage für Netzwerkanalyse, -planung, -design und -optimierung.
3. Dienstschichtverkehr
Der Dienstschichtverkehr enthält neben dem End-to-End-IP-Verkehr auch Informationen über die Ports der vierten Schicht (TCP-Tagesschicht). Er enthält offensichtlich Informationen über die Art der Anwendungsdienste, die für eine detailliertere Analyse genutzt werden können.
4. Vollständiger Geschäftsdatenverkehr der Benutzer
Die Erfassung des gesamten Benutzerdatenverkehrs ist äußerst effektiv für die Analyse von Sicherheit, Leistung und anderen Aspekten. Um diese Daten vollständig zu erfassen, sind extrem leistungsstarke Aufzeichnungsmöglichkeiten sowie eine sehr hohe Festplattenkapazität und -geschwindigkeit erforderlich. Beispielsweise können durch das Abfangen eingehender Datenpakete von Hackern bestimmte Straftaten verhindert oder wichtige Beweise gewonnen werden.
Gängige Methode zur Erfassung/Aufzeichnung von Netzwerkverkehr
Gemäß den Eigenschaften und Verarbeitungsmethoden der Netzwerkverkehrserfassung lässt sich die Verkehrserfassung in folgende Kategorien unterteilen: partielle und vollständige Erfassung, aktive und passive Erfassung, zentrale und verteilte Erfassung, Hardware- und Software-Erfassung usw. Mit der Weiterentwicklung der Verkehrserfassung wurden basierend auf den obigen Klassifizierungsansätzen einige effiziente und praktische Verkehrserfassungsmethoden entwickelt.
Die Technologien zur Erfassung des Netzwerkverkehrs umfassen im Wesentlichen Überwachungstechnologien auf Basis von Traffic Mirroring, Echtzeit-Paketerfassung, SNMP/RMON und Netzwerkanalyseprotokollen wie NetworkFlow. Zu den auf Traffic Mirroring basierenden Überwachungstechnologien zählen die virtuelle TAP-Methode und die verteilte Methode mit Hardware-Sonden.
1. Basierend auf der Überwachung von Verkehrsspiegelungen
Das Prinzip der Netzwerkverkehrsüberwachung mittels vollständiger Spiegelung besteht darin, durch Port-Spiegelung von Netzwerkgeräten wie Switches oder Zusatzgeräten wie optischen Splittern und Netzwerksonden eine verlustfreie Kopie und Bildaufnahme des Netzwerkverkehrs zu erreichen. Die Überwachung des gesamten Netzwerks erfordert ein verteiltes Verfahren, bei dem in jedem Netzwerkabschnitt eine Sonde eingesetzt wird. Anschließend werden die Daten aller Sonden über einen Hintergrundserver und eine Datenbank erfasst und eine Verkehrsanalyse sowie ein Langzeitbericht für das gesamte Netzwerk erstellt. Im Vergleich zu anderen Methoden der Verkehrserfassung besteht der wichtigste Vorteil der Verkehrsbilderfassung darin, dass sie umfassende Informationen auf Anwendungsebene liefert.
2. Basierend auf der Echtzeit-Paketerfassungsüberwachung
Basierend auf Echtzeit-Paketanalyse bietet es detaillierte Datenanalysen von der physikalischen Schicht bis zur Anwendungsschicht mit Schwerpunkt auf Protokollanalyse. Es erfasst Schnittstellenpakete in kurzer Zeit zur Analyse und wird häufig zur schnellen Diagnose und Behebung von Netzwerkproblemen und -störungen eingesetzt. Zu den Nachteilen zählen die Unfähigkeit, Pakete mit hohem Datenverkehr und langer Erfassungsdauer zu erfassen und den Datenverkehrstrend einzelner Nutzer zu analysieren.
3. Überwachungstechnologie basierend auf SNMP/RMON
Die Verkehrsüberwachung mittels SNMP/RMON-Protokoll erfasst verschiedene Variablen zu spezifischen Geräten und Verkehrsinformationen über die MIB des Netzwerkgeräts. Dazu gehören: Anzahl der Eingangsbytes, Anzahl der eingehenden Nicht-Broadcast-Pakete, Anzahl der eingehenden Broadcast-Pakete, Anzahl der verworfenen Eingangspakete, Anzahl der fehlerhaften Eingangspakete, Anzahl der eingehenden Pakete mit unbekanntem Protokoll, Anzahl der ausgehenden Pakete, Anzahl der ausgehenden Nicht-Broadcast-Pakete, Anzahl der ausgehenden Broadcast-Pakete, Anzahl der verworfenen Ausgangspakete, Anzahl der fehlerhaften Ausgangspakete usw. Da die meisten Router heutzutage Standard-SNMP unterstützen, besteht der Vorteil dieser Methode darin, dass keine zusätzliche Datenerfassungshardware benötigt wird. Allerdings werden nur grundlegende Informationen wie die Anzahl der Bytes und Pakete erfasst, was für die Überwachung komplexer Netzwerkverläufe nicht ausreicht.
4. Netflow-basierte Verkehrsüberwachungstechnologie
Basierend auf der Verkehrsüberwachung von Nethow werden die bereitgestellten Verkehrsinformationen anhand der Fünf-Tupel-Statistik (Quell-IP-Adresse, Ziel-IP-Adresse, Quellport, Zielport, Protokollnummer) auf die Anzahl der Bytes und Pakete erweitert. Dadurch kann der Datenfluss auf jedem logischen Kanal unterschieden werden. Die Überwachungsmethode zeichnet sich durch eine hohe Informationserfassungseffizienz aus, kann jedoch keine Informationen der Bitübertragungsschicht und der Sicherungsschicht analysieren und benötigt Routing-Ressourcen. Üblicherweise ist ein separates Funktionsmodul am Netzwerkgerät erforderlich.
Veröffentlichungsdatum: 17. Oktober 2024
