Introduction
Le trafic réseau correspond au nombre total de paquets transitant par la liaison réseau par unité de temps. Il s'agit de l'indice de base pour mesurer la charge et les performances de transmission du réseau. La surveillance du trafic réseau consiste à capturer les données globales des paquets de transmission et les statistiques, tandis que la capture des données de trafic réseau consiste à capturer les paquets de données IP du réseau.
Avec l'expansion du réseau Q des centres de données, le nombre croissant de systèmes applicatifs, la complexité croissante de la structure du réseau, la demande croissante de services réseau en ressources, la multiplication des menaces de sécurité et l'amélioration constante des exigences d'exploitation et de maintenance, la collecte et l'analyse du trafic réseau sont devenues un outil d'analyse indispensable pour l'infrastructure des centres de données. Grâce à une analyse approfondie du trafic réseau, les gestionnaires réseau peuvent accélérer la localisation des pannes, analyser les données applicatives, optimiser la structure du réseau, les performances système et le contrôle de sécurité de manière plus intuitive, et accélérer la localisation des pannes. La collecte du trafic réseau est la base du système d'analyse du trafic. Un réseau de capture du trafic complet, efficace et rationnel contribue à améliorer l'efficacité de la capture, du filtrage et de l'analyse du trafic réseau, à répondre aux besoins d'analyse du trafic sous différents angles, à optimiser les indicateurs de performance réseau et métier, et à améliorer l'expérience et la satisfaction des utilisateurs.
Il est très important d'étudier les méthodes et les outils de capture du trafic réseau pour comprendre et utiliser efficacement le réseau, surveiller et analyser avec précision le réseau.
La valeur de la collecte/capture du trafic réseau
Pour l'exploitation et la maintenance du centre de données, grâce à la mise en place d'une plate-forme unifiée de capture du trafic réseau, combinée à la plate-forme de surveillance et d'analyse, peut considérablement améliorer la gestion de l'exploitation et de la maintenance et le niveau de gestion de la continuité des activités.
1. Fournir une source de données de surveillance et d'analyse : le trafic d'interaction commerciale sur l'infrastructure réseau obtenu par la capture du trafic réseau peut fournir la source de données requise pour la surveillance du réseau, la surveillance de la sécurité, le big data, l'analyse du comportement des clients, l'analyse et l'optimisation des exigences de la stratégie d'accès, toutes sortes de plates-formes d'analyse visuelle, ainsi que l'analyse des coûts, l'extension et la migration des applications.
2. Capacité de traçabilité complète à l'épreuve des pannes : grâce à la capture du trafic réseau, il peut réaliser une analyse rétrospective et un diagnostic des pannes des données historiques, fournir un support de données historiques pour les départements de développement, d'application et d'entreprise, et résoudre complètement le problème de la capture de preuves difficiles, de la faible efficacité et même de la dénégation.
3. Améliorer l'efficacité de la gestion des pannes. En fournissant une source de données unifiée pour la surveillance du réseau, des applications, de la sécurité et d'autres plateformes, elle permet d'éliminer les incohérences et les asymétries des informations collectées par les plateformes de surveillance d'origine, d'améliorer l'efficacité de la gestion de tous types d'urgences, de localiser rapidement le problème, de relancer l'activité et d'améliorer la continuité des activités.
Classification de la collecte/capture du trafic réseau
La capture du trafic réseau vise principalement à surveiller et analyser les caractéristiques et les variations du flux de données du réseau informatique afin d'en appréhender les caractéristiques globales. Selon les différentes sources de trafic réseau, celui-ci est divisé en trafic de port de nœud, trafic IP de bout en bout, trafic de services spécifiques et trafic de données de services utilisateur complets.
1. Trafic des ports des nœuds du réseau
Le trafic du port du nœud réseau fait référence aux statistiques des paquets entrants et sortants sur le port du périphérique du nœud réseau. Il comprend le nombre de paquets de données, le nombre d'octets, la distribution de la taille des paquets, les pertes de paquets et d'autres informations statistiques non liées à l'apprentissage.
2. Trafic IP de bout en bout
Le trafic IP de bout en bout désigne la couche réseau, de la source à la destination. Statistiques des paquets P. Comparé au trafic des ports des nœuds du réseau, le trafic IP de bout en bout contient davantage d'informations. Son analyse permet de connaître le réseau de destination auquel accèdent les utilisateurs, ce qui constitue une base importante pour l'analyse, la planification, la conception et l'optimisation du réseau.
3. Trafic de la couche de service
Le trafic de la couche de service contient des informations sur les ports de la quatrième couche (couche TCP), en plus du trafic IP de bout en bout. Il contient évidemment des informations sur les types de services applicatifs pouvant être utilisés pour une analyse plus détaillée.
4. Trafic complet des données commerciales des utilisateurs
Le trafic complet des données des services utilisateurs est très efficace pour l'analyse de la sécurité, des performances et d'autres aspects. La capture de ces données requiert une capacité de capture extrêmement élevée, ainsi qu'une vitesse et une capacité de stockage sur disque dur extrêmement élevées. Par exemple, la capture des paquets de données entrants des pirates informatiques peut permettre de déjouer certains crimes ou d'obtenir des preuves importantes.
Méthode courante de collecte/capture du trafic réseau
Selon les caractéristiques et les méthodes de traitement de la capture du trafic réseau, la capture du trafic peut être divisée dans les catégories suivantes : collecte partielle et collecte complète, collecte active et collecte passive, collecte centralisée et collecte distribuée, collecte matérielle et collecte logicielle, etc. Avec le développement de la collecte du trafic, certaines méthodes de collecte du trafic efficaces et pratiques ont été produites sur la base des idées de classification ci-dessus.
Les technologies de collecte du trafic réseau comprennent principalement la surveillance par miroir de trafic, la surveillance par capture de paquets en temps réel, la surveillance par protocole SNMP/RMON et la surveillance par protocole d'analyse du trafic réseau tel que NetiowsFlow. Parmi ces technologies, la surveillance par miroir de trafic inclut la méthode TAP virtuelle et la méthode distribuée par sonde matérielle.
1. Basé sur la surveillance du trafic miroir
Le principe de la technologie de surveillance du trafic réseau basée sur la mise en miroir complète est de réaliser une copie et une collecte d'images sans perte du trafic réseau via la mise en miroir des ports d'équipements réseau tels que des commutateurs ou des équipements supplémentaires tels que des répartiteurs optiques et des sondes réseau. La surveillance de l'ensemble du réseau nécessite un schéma distribué : déploiement d'une sonde sur chaque lien, collecte des données de toutes les sondes via le serveur d'arrière-plan et la base de données, analyse du trafic et production de rapports à long terme sur l'ensemble du réseau. Comparée aux autres méthodes de collecte de trafic, la collecte d'images de trafic se distingue par la richesse des informations qu'elle fournit au niveau de la couche applicative.
2. Basé sur la surveillance de la capture de paquets en temps réel
Basé sur une technologie d'analyse de capture de paquets en temps réel, il fournit principalement une analyse détaillée des données, de la couche physique à la couche applicative, en se concentrant sur l'analyse des protocoles. Il capture les paquets d'interface rapidement pour analyse et est souvent utilisé pour réaliser un diagnostic et une résolution rapides des performances et des pannes du réseau. Il présente cependant les inconvénients suivants : il ne peut pas capturer les paquets à fort trafic et à long terme, et il ne peut pas analyser les tendances du trafic des utilisateurs.
3. Technologie de surveillance basée sur SNMP/RMON
La surveillance du trafic basée sur le protocole SNMP/RMON collecte certaines variables relatives à des équipements spécifiques et aux informations de trafic via la base de données MIB des périphériques réseau. Ces données incluent : le nombre d'octets en entrée, le nombre de paquets non diffusés en entrée, le nombre de paquets diffusés en entrée, le nombre d'abandons de paquets en entrée, le nombre d'erreurs de paquets en entrée, le nombre de paquets de protocole inconnu en entrée, le nombre de paquets en sortie, le nombre de paquets non diffusés en sortie, le nombre de paquets diffusés en sortie, le nombre d'abandons de paquets en sortie, le nombre d'erreurs de paquets en sortie, etc. La plupart des routeurs prenant désormais en charge le protocole SNMP standard, cette méthode présente l'avantage de ne nécessiter aucun équipement d'acquisition de données supplémentaire. Cependant, elle ne prend en compte que les informations de base, telles que le nombre d'octets et le nombre de paquets, ce qui ne convient pas à une surveillance complexe du trafic.
4. Technologie de surveillance du trafic basée sur Netflow
Grâce à la surveillance du trafic de Nethow, les informations de trafic fournies sont étendues au nombre d'octets et de paquets selon des statistiques à cinq tuples (adresse IP source, adresse IP de destination, port source, port de destination, numéro de protocole), ce qui permet de distinguer le flux sur chaque canal logique. Cette méthode de surveillance est très efficace pour la collecte d'informations, mais elle ne permet pas d'analyser les informations des couches physique et liaison de données, et nécessite des ressources de routage. Elle nécessite généralement l'ajout d'un module fonctionnel distinct à l'équipement réseau.
Date de publication : 17 octobre 2024
