Warum benötigen Sie Netzwerk-Taps und Netzwerk-Paketbroker für die Erfassung Ihres Netzwerkverkehrs? (Teil 1)

Einführung

Der Netzwerkverkehr ist die Gesamtzahl der Pakete, die pro Zeiteinheit die Netzwerkverbindung passieren. Er dient als grundlegender Index zur Messung der Netzwerklast und der Weiterleitungsleistung. Die Überwachung des Netzwerkverkehrs dient der Erfassung der Gesamtdaten und Statistiken der Netzwerkübertragungspakete. Die Erfassung von Netzwerkverkehrsdaten umfasst die Erfassung von Netzwerk-IP-Datenpaketen.

Mit der Ausweitung des Netzwerkumfangs von Rechenzentren werden Anwendungssysteme immer zahlreicher, die Netzwerkstruktur immer komplexer, die Anforderungen an die Netzwerkdienste und die Netzwerkressourcen immer höher, die Bedrohungen für die Netzwerksicherheit immer größer und die Anforderungen an Betrieb und Wartung immer anspruchsvoller. Die Erfassung und Analyse des Netzwerkverkehrs ist zu einem unverzichtbaren Analyseinstrument der Rechenzentrumsinfrastruktur geworden. Durch die detaillierte Analyse des Netzwerkverkehrs können Netzwerkmanager die Fehlerortung beschleunigen, Anwendungsdaten analysieren, die Netzwerkstruktur optimieren, die Systemleistung und die Sicherheitskontrolle intuitiver gestalten und die Fehlerortung beschleunigen. Die Erfassung des Netzwerkverkehrs ist die Grundlage des Verkehrsanalysesystems. Ein umfassendes, sinnvolles und effektives Netzwerk zur Verkehrserfassung trägt dazu bei, die Effizienz der Erfassung, Filterung und Analyse des Netzwerkverkehrs zu verbessern, den Anforderungen der Verkehrsanalyse aus verschiedenen Blickwinkeln gerecht zu werden, Netzwerk- und Geschäftsleistungsindikatoren zu optimieren und das Benutzererlebnis und die Benutzerzufriedenheit zu verbessern.

Es ist sehr wichtig, die Methoden und Tools zur Erfassung des Netzwerkverkehrs zu studieren, um das Netzwerk effektiv zu verstehen und zu nutzen sowie es genau zu überwachen und zu analysieren.

 Mylinking™-Netzwerk-Paket-Broker-Komplettlösung

Der Wert der Erfassung/Erfassung von Netzwerkverkehr

Für den Betrieb und die Wartung von Rechenzentren können durch die Einrichtung einer einheitlichen Plattform zur Erfassung des Netzwerkverkehrs in Kombination mit einer Überwachungs- und Analyseplattform das Betriebs- und Wartungsmanagement sowie das Business-Continuity-Management erheblich verbessert werden.

1. Bereitstellung einer Datenquelle für Überwachung und Analyse: Der durch die Erfassung des Netzwerkverkehrs erfasste Datenverkehr der Geschäftsinteraktion auf der Netzwerkinfrastruktur kann die erforderliche Datenquelle für Netzwerküberwachung, Sicherheitsüberwachung, Big Data, Kundenverhaltensanalyse, Analyse und Optimierung der Anforderungen an Zugriffsstrategien, alle Arten von visuellen Analyseplattformen sowie Kostenanalyse, Anwendungserweiterung und -migration bereitstellen.

2. Vollständige Fähigkeit zur Fehlernachweisrückverfolgbarkeit: Durch die Erfassung des Netzwerkverkehrs können Rückanalysen und Fehlerdiagnosen historischer Daten durchgeführt werden, Unterstützung für historische Daten für Entwicklungs-, Anwendungs- und Geschäftsabteilungen bereitgestellt und das Problem der schwierigen Beweiserfassung, der geringen Effizienz und sogar der Abstreitbarkeit vollständig gelöst werden.

3. Verbessern Sie die Effizienz der Fehlerbehandlung. Durch die Bereitstellung einer einheitlichen Datenquelle für Netzwerk-, Anwendungsüberwachungs-, Sicherheitsüberwachungs- und andere Plattformen können Inkonsistenzen und Asymmetrien der von den ursprünglichen Überwachungsplattformen gesammelten Informationen beseitigt, die Effizienz der Notfallbehandlung aller Art verbessert, Probleme schnell lokalisiert, der Geschäftsbetrieb wieder aufgenommen und die Geschäftskontinuität verbessert werden.

Klassifizierung der Erfassung/Erfassung von Netzwerkverkehr

Die Erfassung des Netzwerkverkehrs dient hauptsächlich der Überwachung und Analyse der Merkmale und Änderungen des Datenflusses in Computernetzwerken, um die Verkehrseigenschaften des gesamten Netzwerks zu erfassen. Je nach Quelle des Netzwerkverkehrs wird dieser in Netzwerkknoten-Portverkehr, End-to-End-IP-Verkehr, Dienstverkehr bestimmter Dienste und vollständigen Benutzerdienstdatenverkehr unterteilt.

1. Netzwerkknoten-Portverkehr

Der Portverkehr des Netzwerkknotens bezieht sich auf die Informationsstatistik eingehender und ausgehender Pakete am Geräteport des Netzwerkknotens. Er umfasst die Anzahl der Datenpakete, die Anzahl der Bytes, die Paketgrößenverteilung, den Paketverlust und andere nicht lernbezogene statistische Informationen.

2. End-to-End-IP-Verkehr

End-to-End-IP-Verkehr bezieht sich auf die Netzwerkschicht von der Quelle bis zum Ziel! Statistiken zu P-Paketen. Im Vergleich zum Portverkehr der Netzwerkknoten enthält der End-to-End-IP-Verkehr mehr Informationen. Durch dessen Analyse können wir das Zielnetzwerk ermitteln, auf das die Benutzer im Netzwerk zugreifen. Dies ist eine wichtige Grundlage für Netzwerkanalyse, -planung, -design und -optimierung.

3. Service-Layer-Verkehr

Der Service-Layer-Verkehr enthält neben dem End-to-End-IP-Verkehr auch Informationen zu den Ports der vierten Schicht (TCP-Tagesschicht). Er enthält natürlich auch Informationen zu den Anwendungsdiensten, die für eine detailliertere Analyse genutzt werden können.

4. Vollständiger Geschäftsdatenverkehr der Benutzer

Der vollständige Datenverkehr von Benutzerdiensten ist für die Analyse von Sicherheit, Leistung und anderen Aspekten äußerst effektiv. Die Erfassung sämtlicher Benutzerdienstdaten erfordert extrem leistungsstarke Erfassungsfunktionen sowie eine extrem hohe Festplattenspeichergeschwindigkeit und -kapazität. Beispielsweise kann die Erfassung eingehender Datenpakete von Hackern bestimmte Verbrechen verhindern oder wichtige Beweise sichern.

Gängige Methode zur Erfassung/Erfassung von Netzwerkverkehr

Entsprechend den Merkmalen und Verarbeitungsmethoden der Erfassung des Netzwerkverkehrs kann diese in die folgenden Kategorien unterteilt werden: teilweise Erfassung und vollständige Erfassung, aktive Erfassung und passive Erfassung, zentralisierte Erfassung und verteilte Erfassung, Hardwareerfassung und Softwareerfassung usw. Mit der Entwicklung der Verkehrserfassung wurden einige effiziente und praktische Methoden zur Verkehrserfassung entwickelt, die auf den oben genannten Klassifizierungsideen basieren.

Die Technologie zur Erfassung des Netzwerkverkehrs umfasst hauptsächlich die auf Verkehrsspiegelung basierende Überwachungstechnologie, die auf Echtzeit-Paketerfassung basierende Überwachungstechnologie, die auf SNMP/RMON basierende Überwachungstechnologie und die auf Netzwerkverkehrsanalyseprotokollen wie NetiowsFlow basierende Überwachungstechnologie. Die auf Verkehrsspiegelung basierende Überwachungstechnologie umfasst unter anderem die virtuelle TAP-Methode und die verteilte Methode basierend auf Hardware-Sonden.

1. Basierend auf Verkehrsspiegelüberwachung

Das Prinzip der Netzwerkverkehrsüberwachungstechnologie auf Basis von Vollspiegelung besteht darin, verlustfreie Kopien und Bilddaten des Netzwerkverkehrs über die Portspiegelung von Netzwerkgeräten wie Switches oder Zusatzgeräten wie optischen Splittern und Netzwerksonden zu erstellen. Die Überwachung des gesamten Netzwerks erfolgt verteilt, wobei in jeder Verbindung eine Sonde eingesetzt wird. Anschließend werden die Daten aller Sonden über den Hintergrundserver und die Datenbank erfasst, um Verkehrsanalysen und Langzeitberichte für das gesamte Netzwerk zu erstellen. Im Vergleich zu anderen Methoden zur Verkehrserfassung ist die wichtigste Funktion der Verkehrsbilderfassung die Bereitstellung umfassender Informationen auf Anwendungsebene.

2. Basierend auf Echtzeit-Paketerfassungsüberwachung

Basierend auf der Technologie zur Echtzeit-Paketerfassungsanalyse bietet es vor allem eine detaillierte Datenanalyse von der physikalischen Schicht bis zur Anwendungsschicht, wobei der Schwerpunkt auf der Protokollanalyse liegt. Es erfasst die Schnittstellenpakete in kurzer Zeit zur Analyse und wird häufig zur schnellen Diagnose und Behebung von Netzwerkleistung und -fehlern eingesetzt. Es weist folgende Nachteile auf: Es kann keine Pakete mit hohem Datenverkehr und langer Laufzeit erfassen und den Datenverkehrstrend der Benutzer nicht analysieren.

3. Überwachungstechnologie basierend auf SNMP/RMON

Die Verkehrsüberwachung auf Basis des SNMP/RMON-Protokolls erfasst über die MIB des Netzwerkgeräts verschiedene Variablen, die sich auf bestimmte Geräte und Verkehrsinformationen beziehen. Dazu gehören: Anzahl der Eingangsbytes, Anzahl der Eingangspakete ohne Broadcast, Anzahl der Eingangspakete mit Broadcast, Anzahl der verlorenen Eingangspakete, Anzahl der fehlerhaften Eingangspakete, Anzahl der Eingangspakete mit unbekanntem Protokoll, Anzahl der Ausgangspakete, Anzahl der Ausgangspakete ohne Broadcast, Anzahl der Ausgangspakete mit Broadcast, Anzahl der verlorenen Ausgangspakete, Anzahl der fehlerhaften Ausgangspakete usw. Da die meisten Router mittlerweile Standard-SNMP unterstützen, besteht der Vorteil dieser Methode darin, dass keine zusätzliche Datenerfassungsausrüstung benötigt wird. Allerdings erfasst sie nur die grundlegendsten Informationen wie die Anzahl der Bytes und die Anzahl der Pakete und ist daher für eine komplexe Verkehrsüberwachung nicht geeignet.

4. Netflow-basierte Verkehrsüberwachungstechnologie

Basierend auf der Verkehrsüberwachung von Nethow werden die bereitgestellten Verkehrsinformationen auf die Anzahl der Bytes und Pakete basierend auf der Fünf-Tupel-Statistik (Quell-IP-Adresse, Ziel-IP-Adresse, Quell-Port, Ziel-Port, Protokollnummer) erweitert, wodurch der Datenfluss auf jedem logischen Kanal unterschieden werden kann. Die Überwachungsmethode ist hocheffizient bei der Informationserfassung, kann jedoch die Informationen der physikalischen Schicht und der Sicherungsschicht nicht analysieren und benötigt Routing-Ressourcen. In der Regel muss hierfür ein separates Funktionsmodul an die Netzwerkausrüstung angeschlossen werden.


Veröffentlichungszeit: 17. Oktober 2024