Introdução
O tráfego de rede é o número total de pacotes que passam por um enlace de rede por unidade de tempo, sendo o índice básico para medir a carga da rede e o desempenho de encaminhamento. O monitoramento do tráfego de rede consiste em capturar os dados gerais dos pacotes transmitidos pela rede e suas estatísticas, enquanto a captura de dados de tráfego de rede consiste na captura de pacotes de dados IP da rede.
Com a expansão da escala da rede Q do data center, o sistema de aplicativos torna-se cada vez mais abundante, a estrutura da rede cada vez mais complexa, os serviços de rede exigem cada vez mais recursos de rede, as ameaças à segurança da rede aumentam cada vez mais e os requisitos de operação e manutenção se refinam continuamente. A coleta e análise do tráfego de rede tornaram-se ferramentas indispensáveis para a análise da infraestrutura do data center. Através da análise aprofundada do tráfego de rede, os gestores de rede podem localizar falhas mais rapidamente, analisar dados de aplicativos, otimizar a estrutura da rede, o desempenho do sistema e o controle de segurança de forma mais intuitiva, além de agilizar a localização de problemas. A coleta de tráfego de rede é a base de um sistema de análise de tráfego. Uma coleta de tráfego de rede abrangente, racional e eficaz contribui para melhorar a eficiência da captura, filtragem e análise do tráfego de rede, atendendo às necessidades de análise de tráfego sob diferentes perspectivas, otimizando os indicadores de desempenho da rede e dos negócios e aprimorando a experiência e a satisfação do usuário.
É muito importante estudar os métodos e ferramentas de captura de tráfego de rede para compreender e utilizar a rede de forma eficaz, bem como para monitorizá-la e analisá-la com precisão.
A importância da coleta/captura de tráfego de rede
Para a operação e manutenção de data centers, o estabelecimento de uma plataforma unificada de captura de tráfego de rede, combinada com a plataforma de monitoramento e análise, pode melhorar significativamente o nível de gerenciamento de operação e manutenção e de gestão da continuidade dos negócios.
1. Fornecer fonte de dados para monitoramento e análise: O tráfego de interação comercial na infraestrutura de rede, obtido por meio da captura de tráfego de rede, pode fornecer a fonte de dados necessária para monitoramento de rede, monitoramento de segurança, big data, análise de comportamento do cliente, análise e otimização de requisitos de estratégia de acesso, todos os tipos de plataformas de análise visual, bem como análise de custos, expansão e migração de aplicativos.
2. Capacidade de Rastreabilidade Completa e à Prova de Falhas: através da captura do tráfego de rede, é possível realizar análises retrospectivas e diagnóstico de falhas em dados históricos, fornecendo suporte de dados históricos para os departamentos de desenvolvimento, aplicação e negócios, e resolvendo completamente o problema da dificuldade de captura de evidências, baixa eficiência e até mesmo impossibilidade de negação.
3. Melhorar a eficiência no tratamento de falhas. Ao fornecer uma fonte de dados unificada para monitoramento de rede, aplicativos, segurança e outras plataformas, é possível eliminar a inconsistência e a assimetria das informações coletadas pelas plataformas de monitoramento originais, melhorar a eficiência no tratamento de todos os tipos de emergências, localizar rapidamente o problema, retomar as atividades e aumentar o nível de continuidade dos negócios.
Classificação da coleta/captura de tráfego de rede
A captura de tráfego de rede tem como principal objetivo monitorar e analisar as características e mudanças do fluxo de dados em redes de computadores, a fim de compreender as características do tráfego em toda a rede. De acordo com as diferentes fontes de tráfego de rede, este é dividido em tráfego de portas de nós de rede, tráfego IP de ponta a ponta, tráfego de serviços específicos e tráfego de dados de serviços de usuários.
1. Tráfego de porta de nó de rede
O tráfego de porta de nó de rede refere-se às estatísticas de informações dos pacotes de entrada e saída na porta do dispositivo de nó de rede. Inclui o número de pacotes de dados, o número de bytes, a distribuição do tamanho dos pacotes, a perda de pacotes e outras informações estatísticas não relacionadas ao aprendizado.
2. Tráfego IP de ponta a ponta
O tráfego IP de ponta a ponta refere-se à camada de rede, da origem ao destino, e às estatísticas de pacotes P. Comparado ao tráfego de porta de nó de rede, o tráfego IP de ponta a ponta contém informações mais abundantes. Através da sua análise, podemos saber a rede de destino à qual os usuários da rede estão acessando, o que é uma base importante para análise, planejamento, projeto e otimização de redes.
3. Tráfego da Camada de Serviço
O tráfego da camada de serviço contém informações sobre as portas da quarta camada (camada TCP), além do tráfego IP de ponta a ponta. Obviamente, contém informações sobre os tipos de serviços de aplicação que podem ser usadas para análises mais detalhadas.
4. Tráfego completo de dados comerciais do usuário
O tráfego completo de dados de serviço do usuário é muito eficaz para a análise de segurança, desempenho e outros aspectos. Capturar todos os dados de serviço do usuário exige uma capacidade de captura extremamente robusta e alta velocidade e capacidade de armazenamento em disco rígido. Por exemplo, capturar os pacotes de dados recebidos por hackers pode impedir certos crimes ou obter evidências importantes.
Método comum de coleta/captura de tráfego de rede
De acordo com as características e métodos de processamento da captura de tráfego de rede, esta pode ser dividida nas seguintes categorias: coleta parcial e completa, ativa e passiva, centralizada e distribuída, por hardware e por software, etc. Com o desenvolvimento da coleta de tráfego, alguns métodos eficientes e práticos foram criados com base nessas classificações.
A tecnologia de coleta de tráfego de rede inclui principalmente a tecnologia de monitoramento baseada em espelhamento de tráfego, a tecnologia de monitoramento baseada em captura de pacotes em tempo real, a tecnologia de monitoramento baseada em SNMP/RMON e a tecnologia de monitoramento baseada em protocolos de análise de tráfego de rede, como o NetFlow. Dentre elas, a tecnologia de monitoramento baseada em espelhamento de tráfego inclui o método TAP virtual e o método distribuído baseado em sondas de hardware.
1. Com base no monitoramento de espelhos de tráfego
O princípio da tecnologia de monitoramento de tráfego de rede baseada em espelhamento completo consiste em realizar a cópia e a coleta de imagens do tráfego de rede sem perdas, através do espelhamento de portas de equipamentos de rede, como switches ou equipamentos adicionais, como divisores ópticos e sondas de rede. O monitoramento de toda a rede requer a adoção de um esquema distribuído, com a implantação de uma sonda em cada enlace, e a coleta dos dados de todas as sondas por meio de um servidor e banco de dados em segundo plano, para então realizar a análise de tráfego e gerar relatórios de longo prazo de toda a rede. Comparada a outros métodos de coleta de tráfego, a principal característica da coleta de imagens de tráfego é a capacidade de fornecer informações detalhadas da camada de aplicação.
2. Com base no monitoramento de captura de pacotes em tempo real
Baseado na tecnologia de análise de captura de pacotes em tempo real, fornece principalmente análises detalhadas de dados desde a camada física até a camada de aplicação, com foco na análise de protocolos. Captura pacotes de interface em um curto período de tempo para análise e é frequentemente usado para realizar o diagnóstico e a solução rápidos de problemas de desempenho e falhas de rede. Apresenta as seguintes desvantagens: não consegue capturar pacotes com alto volume de tráfego e por longos períodos, e não consegue analisar a tendência de tráfego dos usuários.
3. Tecnologia de monitoramento baseada em SNMP/RMON
O monitoramento de tráfego baseado no protocolo SNMP/RMON coleta variáveis relacionadas a equipamentos específicos e informações de tráfego por meio do MIB (Módulo de Interface de Rede) do dispositivo de rede. Essas informações incluem: número de bytes de entrada, número de pacotes de entrada não-broadcast, número de pacotes de entrada broadcast, número de pacotes de entrada descartados, número de pacotes de entrada com erros, número de pacotes de entrada com protocolo desconhecido, número de pacotes de saída, número de pacotes de saída não-broadcast, número de pacotes de saída broadcast, número de pacotes de saída descartados, número de pacotes de saída com erros, etc. Como a maioria dos roteadores agora suporta o SNMP padrão, a vantagem desse método é que não são necessários equipamentos adicionais de aquisição de dados. No entanto, ele inclui apenas o conteúdo mais básico, como o número de bytes e o número de pacotes, o que não é adequado para monitoramento de tráfego complexo.
4. Tecnologia de monitoramento de tráfego baseada em NetFlow
Com base no monitoramento de tráfego do Nethow, as informações de tráfego fornecidas são expandidas para o número de bytes e pacotes com base nas estatísticas da quintupla (endereço IP de origem, endereço IP de destino, porta de origem, porta de destino, número do protocolo), o que permite distinguir o fluxo em cada canal lógico. O método de monitoramento possui alta eficiência na coleta de informações, mas não consegue analisar as informações das camadas física e de enlace de dados, e requer o consumo de alguns recursos de roteamento. Geralmente, é necessário conectar um módulo de função separado ao equipamento de rede.
Data da publicação: 17/10/2024
