การแนะนำ
ปริมาณการรับส่งข้อมูลเครือข่าย คือจำนวนแพ็กเก็ตทั้งหมดที่ส่งผ่านลิงก์เครือข่ายในหน่วยเวลา ซึ่งเป็นดัชนีพื้นฐานในการวัดภาระงานของเครือข่ายและประสิทธิภาพการส่งต่อข้อมูล การตรวจสอบปริมาณการรับส่งข้อมูลเครือข่าย คือการบันทึกข้อมูลโดยรวมของแพ็กเก็ตที่ส่งผ่านเครือข่ายและสถิติ และการบันทึกข้อมูลปริมาณการรับส่งข้อมูลเครือข่าย คือการบันทึกแพ็กเก็ตข้อมูล IP ของเครือข่าย
ด้วยการขยายขนาดของเครือข่าย Q ในศูนย์ข้อมูล ระบบแอปพลิเคชันจึงมีมากขึ้นเรื่อยๆ โครงสร้างเครือข่ายซับซ้อนมากขึ้น ความต้องการทรัพยากรเครือข่ายของบริการเครือข่ายก็สูงขึ้นเรื่อยๆ ภัยคุกคามด้านความปลอดภัยของเครือข่ายก็มากขึ้นเรื่อยๆ และความต้องการในการปฏิบัติงานและการบำรุงรักษาก็ละเอียดขึ้นอย่างต่อเนื่อง การรวบรวมและวิเคราะห์ปริมาณการรับส่งข้อมูลเครือข่ายจึงกลายเป็นวิธีการวิเคราะห์ที่ขาดไม่ได้สำหรับโครงสร้างพื้นฐานของศูนย์ข้อมูล การวิเคราะห์ปริมาณการรับส่งข้อมูลเครือข่ายอย่างละเอียดช่วยให้ผู้จัดการเครือข่ายสามารถระบุตำแหน่งข้อผิดพลาด วิเคราะห์ข้อมูลแอปพลิเคชัน ปรับโครงสร้างเครือข่าย ประสิทธิภาพของระบบ และควบคุมความปลอดภัยได้อย่างมีประสิทธิภาพมากขึ้น และระบุตำแหน่งข้อผิดพลาดได้เร็วขึ้น การรวบรวมข้อมูลการรับส่งข้อมูลเครือข่ายเป็นพื้นฐานของระบบวิเคราะห์การรับส่งข้อมูล ระบบการรวบรวมข้อมูลการรับส่งข้อมูลเครือข่ายที่ครอบคลุม สมเหตุสมผล และมีประสิทธิภาพ จะช่วยเพิ่มประสิทธิภาพในการรวบรวมข้อมูล การกรอง และการวิเคราะห์การรับส่งข้อมูลเครือข่าย ตอบสนองความต้องการในการวิเคราะห์การรับส่งข้อมูลจากมุมมองต่างๆ ปรับปรุงตัวชี้วัดประสิทธิภาพของเครือข่ายและธุรกิจ และปรับปรุงประสบการณ์และความพึงพอใจของผู้ใช้
การศึกษาเกี่ยวกับวิธีการและเครื่องมือในการดักจับปริมาณการรับส่งข้อมูลเครือข่ายนั้นมีความสำคัญอย่างยิ่งต่อการทำความเข้าใจและใช้งานเครือข่ายอย่างมีประสิทธิภาพ รวมถึงการตรวจสอบและวิเคราะห์เครือข่ายอย่างแม่นยำ
คุณค่าของการรวบรวม/บันทึกข้อมูลการรับส่งข้อมูลเครือข่าย
สำหรับการดำเนินงานและการบำรุงรักษาศูนย์ข้อมูล การสร้างแพลตฟอร์มการจับข้อมูลการรับส่งข้อมูลเครือข่ายแบบครบวงจร ควบคู่กับแพลตฟอร์มการตรวจสอบและวิเคราะห์ จะช่วยยกระดับการจัดการการดำเนินงานและการบำรุงรักษา รวมถึงการจัดการความต่อเนื่องทางธุรกิจได้อย่างมาก
1. จัดหาแหล่งข้อมูลสำหรับการตรวจสอบและวิเคราะห์: ปริมาณการรับส่งข้อมูลทางธุรกิจบนโครงสร้างพื้นฐานเครือข่ายที่ได้จากการดักจับปริมาณการรับส่งข้อมูลเครือข่าย สามารถเป็นแหล่งข้อมูลที่จำเป็นสำหรับการตรวจสอบเครือข่าย การตรวจสอบความปลอดภัย ข้อมูลขนาดใหญ่ การวิเคราะห์พฤติกรรมลูกค้า การวิเคราะห์และเพิ่มประสิทธิภาพกลยุทธ์การเข้าถึง แพลตฟอร์มการวิเคราะห์เชิงภาพทุกประเภท รวมถึงการวิเคราะห์ต้นทุน การขยายและการย้ายแอปพลิเคชัน
2. ความสามารถในการตรวจสอบย้อนกลับที่สมบูรณ์แบบและปราศจากข้อผิดพลาด: ด้วยการดักจับการรับส่งข้อมูลเครือข่าย ทำให้สามารถวิเคราะห์ย้อนหลังและวินิจฉัยข้อผิดพลาดของข้อมูลในอดีตได้ ให้การสนับสนุนข้อมูลในอดีตแก่ฝ่ายพัฒนา ฝ่ายแอปพลิเคชัน และฝ่ายธุรกิจ และแก้ปัญหาการรวบรวมหลักฐานที่ยากลำบาก ประสิทธิภาพต่ำ และแม้กระทั่งการปฏิเสธความรับผิดชอบได้อย่างสมบูรณ์
3. ปรับปรุงประสิทธิภาพการจัดการข้อผิดพลาด ด้วยการจัดหาแหล่งข้อมูลที่เป็นหนึ่งเดียวสำหรับเครือข่าย การตรวจสอบแอปพลิเคชัน การตรวจสอบความปลอดภัย และแพลตฟอร์มอื่นๆ จะช่วยขจัดความไม่สอดคล้องกันและความไม่สมมาตรของข้อมูลที่รวบรวมโดยแพลตฟอร์มการตรวจสอบเดิม ปรับปรุงประสิทธิภาพในการจัดการเหตุฉุกเฉินทุกประเภท ค้นหาปัญหาได้อย่างรวดเร็ว กลับมาดำเนินธุรกิจได้ตามปกติ และยกระดับความต่อเนื่องทางธุรกิจ
การจำแนกประเภทการรวบรวม/บันทึกข้อมูลการรับส่งข้อมูลเครือข่าย
การดักจับการรับส่งข้อมูลเครือข่ายมีจุดประสงค์หลักเพื่อตรวจสอบและวิเคราะห์ลักษณะและการเปลี่ยนแปลงของการไหลของข้อมูลในเครือข่ายคอมพิวเตอร์ เพื่อทำความเข้าใจลักษณะการรับส่งข้อมูลของเครือข่ายทั้งหมด โดยแบ่งการรับส่งข้อมูลเครือข่ายตามแหล่งที่มาต่างๆ ออกเป็น การรับส่งข้อมูลผ่านพอร์ตของโหนดเครือข่าย การรับส่งข้อมูล IP แบบ end-to-end การรับส่งข้อมูลบริการเฉพาะ และการรับส่งข้อมูลบริการของผู้ใช้โดยรวม
1. ปริมาณการรับส่งข้อมูลพอร์ตของโหนดเครือข่าย
ปริมาณการรับส่งข้อมูลที่พอร์ตของโหนดเครือข่าย หมายถึง สถิติข้อมูลของแพ็กเก็ตขาเข้าและขาออกที่พอร์ตของอุปกรณ์โหนดเครือข่าย ซึ่งรวมถึงจำนวนแพ็กเก็ตข้อมูล จำนวนไบต์ การกระจายขนาดแพ็กเก็ต การสูญหายของแพ็กเก็ต และข้อมูลสถิติอื่นๆ ที่ไม่ใช่การเรียนรู้
2. การรับส่งข้อมูล IP แบบครบวงจร
การรับส่งข้อมูล IP แบบครบวงจร (End-to-end IP traffic) หมายถึงการรับส่งข้อมูลในระดับเครือข่ายจากต้นทางไปยังปลายทาง! สถิติของแพ็กเก็ต P เมื่อเปรียบเทียบกับการรับส่งข้อมูลผ่านพอร์ตของโหนดเครือข่าย การรับส่งข้อมูล IP แบบครบวงจรมีข้อมูลที่มากกว่า การวิเคราะห์ข้อมูลนี้ทำให้เราทราบถึงเครือข่ายปลายทางที่ผู้ใช้เข้าถึง ซึ่งเป็นพื้นฐานสำคัญสำหรับการวิเคราะห์ วางแผน ออกแบบ และเพิ่มประสิทธิภาพเครือข่าย
3. ปริมาณการรับส่งข้อมูลในเลเยอร์บริการ
ทราฟฟิกของเลเยอร์บริการประกอบด้วยข้อมูลเกี่ยวกับพอร์ตของเลเยอร์ที่สี่ (เลเยอร์ TCP) นอกเหนือจากทราฟฟิก IP แบบครบวงจร เห็นได้ชัดว่ามันมีข้อมูลเกี่ยวกับประเภทของบริการแอปพลิเคชันที่สามารถนำมาใช้ในการวิเคราะห์อย่างละเอียดได้มากขึ้น
4. กรอกแบบฟอร์มข้อมูลการใช้งานทางธุรกิจของผู้ใช้ให้ครบถ้วน
ข้อมูลการรับส่งข้อมูลบริการของผู้ใช้ทั้งหมดมีประสิทธิภาพมากสำหรับการวิเคราะห์ด้านความปลอดภัย ประสิทธิภาพ และด้านอื่นๆ การเก็บรวบรวมข้อมูลบริการของผู้ใช้ทั้งหมดต้องใช้ความสามารถในการเก็บรวบรวมข้อมูลที่แข็งแกร่งมาก และความเร็วและความจุของฮาร์ดดิสก์ที่สูงมาก ตัวอย่างเช่น การเก็บรวบรวมแพ็กเก็ตข้อมูลขาเข้าของแฮกเกอร์สามารถหยุดยั้งอาชญากรรมบางอย่างหรือได้หลักฐานสำคัญได้
วิธีการทั่วไปในการรวบรวม/บันทึกข้อมูลการรับส่งเครือข่าย
ตามลักษณะและวิธีการประมวลผลของการดักจับข้อมูลเครือข่าย การดักจับข้อมูลสามารถแบ่งออกเป็นประเภทต่างๆ ดังนี้ การดักจับบางส่วนและการดักจับทั้งหมด การดักจับแบบแอคทีฟและการดักจับแบบพาสซีฟ การดักจับแบบรวมศูนย์และการดักจับแบบกระจาย การดักจับด้วยฮาร์ดแวร์และการดักจับด้วยซอฟต์แวร์ เป็นต้น ด้วยการพัฒนาด้านการดักจับข้อมูล ทำให้เกิดวิธีการดักจับข้อมูลที่มีประสิทธิภาพและใช้งานได้จริงหลายวิธี โดยอิงจากแนวคิดการจำแนกประเภทข้างต้น
เทคโนโลยีการรวบรวมข้อมูลการรับส่งข้อมูลเครือข่ายส่วนใหญ่ประกอบด้วยเทคโนโลยีการตรวจสอบโดยใช้การจำลองการรับส่งข้อมูล (traffic mirror), เทคโนโลยีการตรวจสอบโดยใช้การจับภาพแพ็กเก็ตแบบเรียลไทม์ (real-time packet capture), เทคโนโลยีการตรวจสอบโดยใช้ SNMP/RMON และเทคโนโลยีการตรวจสอบโดยใช้โปรโตคอลการวิเคราะห์การรับส่งข้อมูลเครือข่าย เช่น NetiowsFlow โดยในจำนวนนี้ เทคโนโลยีการตรวจสอบโดยใช้การจำลองการรับส่งข้อมูลนั้นรวมถึงวิธีการ TAP เสมือน (virtual TAP) และวิธีการแบบกระจายโดยใช้การตรวจสอบฮาร์ดแวร์ (hardware probe)
1. อ้างอิงจากการตรวจสอบด้วยกระจกจราจร
หลักการของเทคโนโลยีการตรวจสอบปริมาณการรับส่งข้อมูลเครือข่ายแบบมิเรอร์เต็มรูปแบบ คือ การสร้างสำเนาและการรวบรวมภาพปริมาณการรับส่งข้อมูลเครือข่ายโดยไม่สูญเสียข้อมูล ผ่านการทำมิเรอร์พอร์ตของอุปกรณ์เครือข่าย เช่น สวิตช์ หรืออุปกรณ์เสริม เช่น ตัวแยกสัญญาณแสง และโพรบเครือข่าย การตรวจสอบเครือข่ายทั้งหมดจำเป็นต้องใช้รูปแบบการกระจาย โดยติดตั้งโพรบในแต่ละลิงก์ จากนั้นรวบรวมข้อมูลจากโพรบทั้งหมดผ่านเซิร์ฟเวอร์เบื้องหลังและฐานข้อมูล และทำการวิเคราะห์ปริมาณการรับส่งข้อมูลและจัดทำรายงานระยะยาวของเครือข่ายทั้งหมด เมื่อเปรียบเทียบกับวิธีการรวบรวมปริมาณการรับส่งข้อมูลอื่นๆ คุณสมบัติที่สำคัญที่สุดของการรวบรวมภาพปริมาณการรับส่งข้อมูลคือ สามารถให้ข้อมูลระดับแอปพลิเคชันที่หลากหลายได้
2. อ้างอิงจากการตรวจสอบการจับแพ็กเก็ตแบบเรียลไทม์
เทคโนโลยีนี้อาศัยการวิเคราะห์การจับแพ็กเก็ตแบบเรียลไทม์ โดยส่วนใหญ่จะให้การวิเคราะห์ข้อมูลอย่างละเอียดตั้งแต่ชั้นกายภาพไปจนถึงชั้นแอปพลิเคชัน โดยเน้นที่การวิเคราะห์โปรโตคอล สามารถจับแพ็กเก็ตจากอินเทอร์เฟซได้ในระยะเวลาสั้นๆ เพื่อนำมาวิเคราะห์ และมักใช้ในการวินิจฉัยและแก้ไขปัญหาด้านประสิทธิภาพและความผิดพลาดของเครือข่ายได้อย่างรวดเร็ว อย่างไรก็ตาม มีข้อเสียคือ ไม่สามารถจับแพ็กเก็ตที่มีปริมาณมากและระยะเวลานานได้ และไม่สามารถวิเคราะห์แนวโน้มการใช้งานของผู้ใช้ได้
3. เทคโนโลยีการตรวจสอบโดยใช้ SNMP/RMON
การตรวจสอบปริมาณการรับส่งข้อมูลโดยใช้โปรโตคอล SNMP/RMON จะรวบรวมตัวแปรบางอย่างที่เกี่ยวข้องกับอุปกรณ์เฉพาะและข้อมูลการรับส่งข้อมูลผ่าน MIB ของอุปกรณ์เครือข่าย ซึ่งรวมถึง: จำนวนไบต์ขาเข้า จำนวนแพ็กเก็ตที่ไม่ใช่บรอดแคสต์ขาเข้า จำนวนแพ็กเก็ตบรอดแคสต์ขาเข้า จำนวนแพ็กเก็ตที่ถูกทิ้งขาเข้า จำนวนแพ็กเก็ตที่มีข้อผิดพลาดขาเข้า จำนวนแพ็กเก็ตโปรโตคอลที่ไม่รู้จักขาเข้า จำนวนแพ็กเก็ตขาออก จำนวนแพ็กเก็ตที่ไม่ใช่บรอดแคสต์ขาออก จำนวนแพ็กเก็ตบรอดแคสต์ขาออก จำนวนแพ็กเก็ตที่ถูกทิ้งขาออก จำนวนแพ็กเก็ตที่มีข้อผิดพลาดขาออก เป็นต้น เนื่องจากเราเตอร์ส่วนใหญ่ในปัจจุบันรองรับมาตรฐาน SNMP ข้อดีของวิธีนี้คือไม่จำเป็นต้องใช้อุปกรณ์เก็บรวบรวมข้อมูลเพิ่มเติม อย่างไรก็ตาม มันจะรวมเฉพาะเนื้อหาพื้นฐานที่สุด เช่น จำนวนไบต์และจำนวนแพ็กเก็ต ซึ่งไม่เหมาะสมสำหรับการตรวจสอบปริมาณการรับส่งข้อมูลที่ซับซ้อน
4. เทคโนโลยีตรวจสอบปริมาณการรับส่งข้อมูลแบบ Netflow
จากข้อมูลการตรวจสอบปริมาณการรับส่งข้อมูลของ Nethow ข้อมูลปริมาณการรับส่งข้อมูลที่ได้รับจะถูกขยายเป็นจำนวนไบต์และแพ็กเก็ตโดยอิงจากสถิติห้าองค์ประกอบ (ที่อยู่ IP ต้นทาง ที่อยู่ IP ปลายทาง พอร์ตต้นทาง พอร์ตปลายทาง หมายเลขโปรโตคอล) ซึ่งสามารถแยกแยะการไหลของข้อมูลในแต่ละช่องทางตรรกะได้ วิธีการตรวจสอบนี้มีประสิทธิภาพสูงในการรวบรวมข้อมูล แต่ไม่สามารถวิเคราะห์ข้อมูลในระดับกายภาพและระดับการเชื่อมโยงข้อมูลได้ และจำเป็นต้องใช้ทรัพยากรการกำหนดเส้นทางบางส่วน โดยปกติแล้วจะต้องติดตั้งโมดูลฟังก์ชันแยกต่างหากเข้ากับอุปกรณ์เครือข่าย
วันที่เผยแพร่: 17 ตุลาคม 2567
