Introduzione
Il traffico di rete è il numero totale di pacchetti che attraversano il collegamento di rete nell'unità di tempo ed è l'indice fondamentale per misurare il carico di rete e le prestazioni di inoltro. Il monitoraggio del traffico di rete consiste nell'acquisizione dei dati complessivi dei pacchetti trasmessi in rete e delle relative statistiche, mentre l'acquisizione dei dati di traffico di rete consiste nell'acquisizione dei pacchetti di dati IP di rete.
Con l'espansione della scala di rete dei data center, il numero di applicazioni e la complessità della struttura di rete aumentano, così come i requisiti di risorse per i servizi di rete e le minacce alla sicurezza. Di conseguenza, i requisiti operativi e di manutenzione diventano sempre più stringenti. Per questo motivo, la raccolta e l'analisi del traffico di rete sono diventate strumenti di analisi indispensabili per l'infrastruttura dei data center. Attraverso un'analisi approfondita del traffico di rete, i gestori di rete possono individuare più rapidamente i guasti, analizzare i dati delle applicazioni, ottimizzare la struttura di rete, le prestazioni del sistema e il controllo della sicurezza in modo più intuitivo. La raccolta del traffico di rete è alla base del sistema di analisi del traffico. Una rete di acquisizione del traffico completa, razionale ed efficace contribuisce a migliorare l'efficienza dell'acquisizione, del filtraggio e dell'analisi del traffico di rete, a soddisfare le esigenze di analisi del traffico da diverse prospettive, a ottimizzare gli indicatori di prestazione di rete e aziendali e a migliorare l'esperienza e la soddisfazione degli utenti.
È fondamentale studiare i metodi e gli strumenti di acquisizione del traffico di rete per comprendere e utilizzare efficacemente la rete, monitorarla e analizzarla con precisione.
Il valore della raccolta/acquisizione del traffico di rete
Per la gestione e la manutenzione dei data center, la creazione di una piattaforma unificata per l'acquisizione del traffico di rete, integrata con una piattaforma di monitoraggio e analisi, può migliorare significativamente il livello di gestione delle operazioni e della manutenzione, nonché la continuità operativa.
1. Fornire una fonte di dati per il monitoraggio e l'analisi: il traffico delle interazioni aziendali sull'infrastruttura di rete, ottenuto tramite l'acquisizione del traffico di rete, può fornire la fonte di dati necessaria per il monitoraggio della rete, il monitoraggio della sicurezza, i big data, l'analisi del comportamento dei clienti, l'analisi e l'ottimizzazione dei requisiti della strategia di accesso, tutti i tipi di piattaforme di analisi visiva, nonché l'analisi dei costi, l'espansione e la migrazione delle applicazioni.
2. Capacità di tracciabilità completa e infallibile: tramite l'acquisizione del traffico di rete, è possibile realizzare analisi retrospettive e diagnosi dei guasti dei dati storici, fornendo supporto di dati storici ai reparti di sviluppo, applicazione e business, e risolvendo completamente il problema della difficoltà di acquisizione delle prove, della bassa efficienza e persino della negabilità.
3. Migliorare l'efficienza della gestione dei guasti. Fornendo una fonte di dati unificata per il monitoraggio di rete, delle applicazioni, della sicurezza e di altre piattaforme, è possibile eliminare l'incoerenza e l'asimmetria delle informazioni raccolte dalle piattaforme di monitoraggio originali, migliorare l'efficienza nella gestione di ogni tipo di emergenza, individuare rapidamente il problema, ripristinare l'attività e migliorare il livello di continuità operativa.
Classificazione della raccolta/acquisizione del traffico di rete
L'acquisizione del traffico di rete ha lo scopo principale di monitorare e analizzare le caratteristiche e le variazioni del flusso di dati nelle reti informatiche, al fine di comprendere le caratteristiche del traffico dell'intera rete. In base alle diverse fonti di traffico di rete, quest'ultimo viene suddiviso in traffico di porta dei nodi di rete, traffico IP end-to-end, traffico di servizio di servizi specifici e traffico dati completo dei servizi utente.
1. Traffico della porta del nodo di rete
Il traffico di porta di un nodo di rete si riferisce alle statistiche relative ai pacchetti in entrata e in uscita dalla porta del dispositivo del nodo di rete. Include il numero di pacchetti di dati, il numero di byte, la distribuzione delle dimensioni dei pacchetti, la perdita di pacchetti e altre informazioni statistiche non legate all'apprendimento.
2. Traffico IP end-to-end
Il traffico IP end-to-end si riferisce al livello di rete, dalla sorgente alla destinazione! Le statistiche dei pacchetti P sono molto più dettagliate. Rispetto al traffico tra nodi e porte di rete, il traffico IP end-to-end contiene molte più informazioni. Analizzandolo, possiamo conoscere la rete di destinazione a cui accedono gli utenti, il che rappresenta una base importante per l'analisi, la pianificazione, la progettazione e l'ottimizzazione della rete.
3. Traffico del livello di servizio
Il traffico del livello di servizio contiene informazioni sulle porte del quarto livello (livello TCP diurno) oltre al traffico IP end-to-end. Ovviamente, contiene informazioni sui tipi di servizi applicativi che possono essere utilizzate per un'analisi più dettagliata.
4. Traffico dati aziendali utente completo
L'analisi completa del traffico dati dei servizi utente è estremamente efficace per valutare la sicurezza, le prestazioni e altri aspetti. Acquisire l'intero traffico dati dei servizi utente richiede capacità di acquisizione estremamente elevate, nonché velocità e capacità di archiviazione su disco rigido molto elevate. Ad esempio, intercettare i pacchetti di dati in entrata degli hacker può sventare determinati crimini o fornire prove importanti.
Metodo comune di raccolta/acquisizione del traffico di rete
In base alle caratteristiche e ai metodi di elaborazione dell'acquisizione del traffico di rete, quest'ultima può essere suddivisa nelle seguenti categorie: acquisizione parziale e acquisizione completa, acquisizione attiva e acquisizione passiva, acquisizione centralizzata e acquisizione distribuita, acquisizione hardware e acquisizione software, ecc. Con lo sviluppo dell'acquisizione del traffico, sono stati sviluppati metodi efficienti e pratici basati sulle suddette classificazioni.
La tecnologia di raccolta del traffico di rete comprende principalmente la tecnologia di monitoraggio basata su mirroring del traffico, la tecnologia di monitoraggio basata sull'acquisizione di pacchetti in tempo reale, la tecnologia di monitoraggio basata su SNMP/RMON e la tecnologia di monitoraggio basata su protocolli di analisi del traffico di rete come NetiowsFlow. Tra queste, la tecnologia di monitoraggio basata su mirroring del traffico include il metodo TAP virtuale e il metodo distribuito basato su sonda hardware.
1. Basato sul monitoraggio tramite specchietti retrovisori del traffico
Il principio della tecnologia di monitoraggio del traffico di rete basata sul mirroring completo consiste nel realizzare una copia senza perdita di dati e una raccolta di immagini del traffico di rete attraverso il mirroring delle porte di apparecchiature di rete come switch o apparecchiature aggiuntive come splitter ottici e sonde di rete. Il monitoraggio dell'intera rete richiede l'adozione di uno schema distribuito, con l'installazione di una sonda su ciascun collegamento e la successiva raccolta dei dati da tutte le sonde tramite un server e un database in background, per poi effettuare analisi del traffico e report a lungo termine sull'intera rete. Rispetto ad altri metodi di raccolta del traffico, la caratteristica più importante della raccolta di immagini del traffico è la capacità di fornire informazioni dettagliate a livello applicativo.
2. Basato sul monitoraggio dell'acquisizione dei pacchetti in tempo reale
Basato sulla tecnologia di analisi della cattura dei pacchetti in tempo reale, fornisce principalmente un'analisi dettagliata dei dati dal livello fisico al livello applicativo, concentrandosi sull'analisi dei protocolli. Cattura i pacchetti di interfaccia in un breve lasso di tempo per l'analisi ed è spesso utilizzato per realizzare una diagnosi e una soluzione rapide delle prestazioni e dei guasti di rete. Presenta i seguenti limiti: non è in grado di catturare pacchetti con traffico elevato e di lunga durata e non può analizzare l'andamento del traffico degli utenti.
3. Tecnologia di monitoraggio basata su SNMP/RMON
Il monitoraggio del traffico basato sul protocollo SNMP/RMON raccoglie alcune variabili relative a specifiche apparecchiature e informazioni sul traffico tramite la MIB del dispositivo di rete. Queste includono: numero di byte in ingresso, numero di pacchetti non broadcast in ingresso, numero di pacchetti broadcast in ingresso, numero di pacchetti persi in ingresso, numero di errori nei pacchetti in ingresso, numero di pacchetti con protocollo sconosciuto in ingresso, numero di pacchetti in uscita, numero di pacchetti non broadcast in uscita, numero di pacchetti broadcast in uscita, numero di pacchetti persi in uscita, numero di errori nei pacchetti in uscita, ecc. Poiché la maggior parte dei router ora supporta lo standard SNMP, il vantaggio di questo metodo è che non sono necessarie apparecchiature di acquisizione dati aggiuntive. Tuttavia, include solo i contenuti più basilari, come il numero di byte e il numero di pacchetti, il che non è adatto per un monitoraggio del traffico complesso.
4. Tecnologia di monitoraggio del traffico basata su Netflow
Basandosi sul monitoraggio del traffico di Nethow, le informazioni sul traffico fornite vengono espanse al numero di byte e pacchetti in base alle statistiche della quintupla (indirizzo IP di origine, indirizzo IP di destinazione, porta di origine, porta di destinazione, numero di protocollo), che possono distinguere il flusso su ciascun canale logico. Il metodo di monitoraggio ha un'elevata efficienza nella raccolta delle informazioni, ma non può analizzare le informazioni del livello fisico e del livello di collegamento dati e richiede un certo consumo di risorse di routing. Solitamente richiede l'aggiunta di un modulo funzionale separato all'apparecchiatura di rete.
Data di pubblicazione: 17 ottobre 2024
