Introduction
Le trafic réseau est le nombre total de paquets transitant par la liaison réseau en unité de temps, qui constitue l'indice de base pour mesurer la charge du réseau et les performances de transfert. La surveillance du trafic réseau consiste à capturer les données globales des paquets de transmission réseau et les statistiques, et la capture des données du trafic réseau consiste à capturer les paquets de données IP du réseau.
Avec l'expansion de l'échelle du réseau Q du centre de données, le système d'application est de plus en plus abondant, la structure du réseau est de plus en plus complexe, les services réseau sur les besoins en ressources réseau sont de plus en plus élevés, les menaces à la sécurité du réseau sont de plus en plus nombreuses. , l'exploitation et la maintenance des exigences raffinées continuent de s'améliorer, la collecte et l'analyse du trafic réseau sont devenues un moyen d'analyse indispensable de l'infrastructure du centre de données. Grâce à l'analyse approfondie du trafic réseau, les gestionnaires de réseau peuvent accélérer la localisation des pannes, analyser les données des applications, optimiser la structure du réseau, les performances du système et le contrôle de sécurité de manière plus intuitive, et accélérer la localisation des pannes. La collecte du trafic réseau est la base du système d'analyse du trafic. Un réseau de capture de trafic complet, raisonnable et efficace est utile pour améliorer l'efficacité de la capture, du filtrage et de l'analyse du trafic réseau, répondre aux besoins d'analyse du trafic sous différents angles, optimiser les indicateurs de performance du réseau et de l'entreprise et améliorer l'expérience et la satisfaction des utilisateurs.
Il est très important d'étudier les méthodes et les outils de capture du trafic réseau pour comprendre et utiliser efficacement le réseau, en surveillant et en analysant avec précision le réseau.
La valeur de la collecte/capture du trafic réseau
Pour l'exploitation et la maintenance des centres de données, la mise en place d'une plate-forme unifiée de capture du trafic réseau, combinée à la plate-forme de surveillance et d'analyse, peut considérablement améliorer le niveau de gestion de l'exploitation et de la maintenance et de la continuité des activités.
1. Fournir une source de données de surveillance et d'analyse : le trafic des interactions commerciales sur l'infrastructure réseau obtenu par la capture du trafic réseau peut fournir la source de données requise pour la surveillance du réseau, la surveillance de la sécurité, le Big Data, l'analyse du comportement des clients, l'analyse et l'optimisation des exigences de stratégie d'accès, toutes sortes de plates-formes d'analyse visuelle, ainsi que l'analyse des coûts, l'expansion et la migration des applications.
2. Capacité complète de traçabilité à l'épreuve des pannes : grâce à la capture du trafic réseau, il peut réaliser une analyse rétrospective et un diagnostic des défauts des données historiques, fournir un support de données historiques pour les départements de développement, d'application et commerciaux, et résoudre complètement le problème de la capture difficile des preuves, de la faible efficacité et même le déni.
3. Améliorer l’efficacité de la gestion des pannes. En fournissant une source de données unifiée pour la surveillance des réseaux, des applications, de la sécurité et d'autres plates-formes, il peut éliminer l'incohérence et l'asymétrie des informations collectées par les plates-formes de surveillance d'origine, améliorer l'efficacité de la gestion de toutes sortes d'urgences, localiser rapidement le problème, reprendre l’activité et améliorer le niveau de continuité des activités.
Classification de la collecte/capture du trafic réseau
La capture du trafic réseau consiste principalement à surveiller et analyser les caractéristiques et les changements du flux de données du réseau informatique afin de saisir les caractéristiques du trafic de l'ensemble du réseau. Selon les différentes sources de trafic réseau, le trafic réseau est divisé en trafic de port de nœud de réseau, trafic IP de bout en bout, trafic de services de services spécifiques et trafic de données de service utilisateur complet.
1. Trafic des ports des nœuds de réseau
Le trafic du port du nœud réseau fait référence aux statistiques d'informations sur les paquets entrants et sortants au niveau du port du périphérique du nœud réseau. Il comprend le nombre de paquets de données, le nombre d'octets, la répartition de la taille des paquets, la perte de paquets et d'autres informations statistiques non liées à l'apprentissage.
2. Trafic IP de bout en bout
Le trafic IP de bout en bout fait référence à la couche réseau d’une source à une destination ! Statistiques des paquets P. Comparé au trafic du port du nœud du réseau, le trafic IP de bout en bout contient des informations plus abondantes. Grâce à son analyse, nous pouvons connaître le réseau de destination auquel les utilisateurs du réseau accèdent, ce qui constitue une base importante pour l'analyse, la planification, la conception et l'optimisation du réseau.
3. Trafic de la couche de service
Le trafic de la couche service contient des informations sur les ports de la quatrième couche (couche journalière TCP) en plus du trafic IP de bout en bout. Évidemment, il contient des informations sur les types de services d'application qui peuvent être utilisés pour une analyse plus détaillée.
4. Trafic complet des données commerciales des utilisateurs
Le trafic complet des données du service utilisateur est très efficace pour l’analyse de la sécurité, des performances et d’autres aspects. La capture de l'intégralité des données du service utilisateur nécessite une capacité de capture extrêmement puissante ainsi qu'une vitesse et une capacité de stockage sur disque dur extrêmement élevées. Par exemple, la capture des paquets de données entrants des pirates informatiques peut mettre fin à certains crimes ou obtenir des preuves importantes.
Méthode courante de collecte/capture du trafic réseau
Selon les caractéristiques et les méthodes de traitement de la capture du trafic réseau, la capture du trafic peut être divisée dans les catégories suivantes : collecte partielle et collecte complète, collecte active et collecte passive, collecte centralisée et collecte distribuée, collecte matérielle et collecte logicielle, etc. développement de la collecte du trafic, certaines méthodes efficaces et pratiques de collecte du trafic ont été produites sur la base des idées de classification ci-dessus.
La technologie de collecte du trafic réseau comprend principalement la technologie de surveillance basée sur le miroir du trafic, la technologie de surveillance basée sur la capture de paquets en temps réel, la technologie de surveillance basée sur SNMP/RMON et la technologie de surveillance basée sur le protocole d'analyse du trafic réseau tel que NetiowsFlow. Parmi elles, la technologie de surveillance basée sur le miroir de trafic comprend la méthode TAP virtuelle et la méthode distribuée basée sur une sonde matérielle.
1. Basé sur la surveillance du trafic miroir
Le principe de la technologie de surveillance du trafic réseau basée sur le miroir complet est d'obtenir une copie sans perte et une collecte d'images du trafic réseau via le miroir de port des équipements réseau tels que les commutateurs ou les équipements supplémentaires tels que le séparateur optique et la sonde réseau. La surveillance de l'ensemble du réseau doit adopter un schéma distribué, en déployant une sonde dans chaque lien, puis en collectant les données de toutes les sondes via le serveur d'arrière-plan et la base de données, et en effectuant une analyse du trafic et un rapport à long terme sur l'ensemble du réseau. Par rapport à d'autres méthodes de collecte de trafic, la caractéristique la plus importante de la collecte d'images de trafic est qu'elle peut fournir des informations riches sur la couche d'application.
2. Basé sur la surveillance de la capture de paquets en temps réel
Basé sur la technologie d'analyse de capture de paquets en temps réel, il fournit principalement une analyse détaillée des données de la couche physique à la couche application, en se concentrant sur l'analyse des protocoles. Il capture les paquets d'interface en peu de temps pour analyse et est souvent utilisé pour réaliser un diagnostic rapide et une solution aux performances et aux pannes du réseau. Il présente les inconvénients suivants : il ne peut pas capturer les paquets avec un trafic important et de longue durée, et il ne peut pas analyser la tendance du trafic des utilisateurs.
3. Technologie de surveillance basée sur SNMP/RMON
La surveillance du trafic basée sur le protocole SNMP/RMON collecte certaines variables liées à des équipements spécifiques et des informations sur le trafic via le périphérique réseau MIB. Il comprend : le nombre d'octets d'entrée, le nombre de paquets d'entrée non diffusés, le nombre de paquets de diffusion d'entrée, le nombre d'abandons de paquets d'entrée, le nombre d'erreurs de paquets d'entrée, le nombre de paquets de protocole inconnus en entrée, le nombre de paquets de sortie, le nombre de paquets de sortie non diffusés. -paquets de diffusion, nombre de paquets de diffusion en sortie, nombre d'abandons de paquets de sortie, nombre d'erreurs de paquets de sortie, etc. Étant donné que la plupart des routeurs prennent désormais en charge le standard SNMP, l'avantage de cette méthode est qu'aucun équipement d'acquisition de données supplémentaire n'est nécessaire. Cependant, il n'inclut que le contenu le plus élémentaire tel que le nombre d'octets et le nombre de paquets, ce qui ne convient pas à une surveillance complexe du trafic.
4. Technologie de surveillance du trafic basée sur Netflow
Sur la base de la surveillance du trafic de Nethow, les informations de trafic fournies sont étendues au nombre d'octets et de paquets en fonction des statistiques à cinq tuples (adresse IP source, adresse IP de destination, port source, port de destination, numéro de protocole), qui peuvent distinguer le flux sur chaque canal logique. La méthode de surveillance présente une grande efficacité dans la collecte d'informations, mais elle ne peut pas analyser les informations de la couche physique et de la couche liaison de données et doit consommer certaines ressources de routage. Il faut généralement connecter un module de fonction distinct à l'équipement réseau.
Heure de publication : 17 octobre 2024
