เหตุใดจึงต้องมี Network Taps และ Network Packet Brokers สำหรับการจับปริมาณข้อมูลเครือข่ายของคุณ? (ตอนที่ 1)

การแนะนำ

การรับส่งข้อมูลเครือข่ายคือจำนวนแพ็กเก็ตทั้งหมดที่ส่งผ่านลิงก์เครือข่ายในหน่วยเวลา ซึ่งเป็นดัชนีพื้นฐานในการวัดโหลดเครือข่ายและประสิทธิภาพการส่งต่อ การตรวจสอบการรับส่งข้อมูลเครือข่ายคือการเก็บข้อมูลโดยรวมของแพ็กเก็ตการส่งผ่านเครือข่ายและสถิติ และการจับข้อมูลการรับส่งข้อมูลเครือข่ายคือการจับแพ็กเก็ตข้อมูล IP เครือข่าย

ด้วยการขยายตัวของขนาดเครือข่ายศูนย์ข้อมูล Q ระบบแอปพลิเคชันมีมากขึ้นเรื่อย ๆ โครงสร้างเครือข่ายมีความซับซ้อนมากขึ้น บริการเครือข่ายบนความต้องการทรัพยากรเครือข่ายสูงขึ้นเรื่อย ๆ ภัยคุกคามความปลอดภัยของเครือข่ายมีมากขึ้นเรื่อย ๆ การดำเนินการและการบำรุงรักษาข้อกำหนดที่กลั่นกรองยังคงได้รับการปรับปรุง การรวบรวมและการวิเคราะห์การรับส่งข้อมูลเครือข่ายได้กลายเป็นวิธีการวิเคราะห์ที่ขาดไม่ได้ของโครงสร้างพื้นฐานของศูนย์ข้อมูล ด้วยการวิเคราะห์เชิงลึกของการรับส่งข้อมูลเครือข่าย ผู้จัดการเครือข่ายสามารถเร่งความเร็วตำแหน่งข้อบกพร่อง วิเคราะห์ข้อมูลแอปพลิเคชัน เพิ่มประสิทธิภาพโครงสร้างเครือข่าย ประสิทธิภาพของระบบ และการควบคุมความปลอดภัยได้อย่างเป็นธรรมชาติมากขึ้น และเพิ่มความเร็วให้กับตำแหน่งข้อบกพร่อง การรวบรวมทราฟฟิกเครือข่ายเป็นพื้นฐานของระบบวิเคราะห์ทราฟฟิก เครือข่ายการรับส่งข้อมูลที่ครอบคลุม สมเหตุสมผล และมีประสิทธิภาพจะเป็นประโยชน์ในการปรับปรุงประสิทธิภาพของการจับ การกรอง และการวิเคราะห์การรับส่งข้อมูลเครือข่าย ตอบสนองความต้องการของการวิเคราะห์การรับส่งข้อมูลจากมุมที่แตกต่างกัน เพิ่มประสิทธิภาพเครือข่ายและตัวบ่งชี้ประสิทธิภาพของธุรกิจ และปรับปรุงประสบการณ์ผู้ใช้และความพึงพอใจ

สิ่งสำคัญมากคือต้องศึกษาวิธีการและเครื่องมือในการจับภาพการรับส่งข้อมูลเครือข่ายเพื่อการทำความเข้าใจและใช้งานเครือข่ายอย่างมีประสิทธิภาพ ตรวจสอบและวิเคราะห์เครือข่ายได้อย่างแม่นยำ

 Mylinking™-เครือข่าย-แพ็คเก็ต-นายหน้า-รวม-โซลูชั่น

มูลค่าของการรวบรวม/บันทึกการรับส่งข้อมูลเครือข่าย

สำหรับการดำเนินงานและการบำรุงรักษาศูนย์ข้อมูล ด้วยการจัดตั้งแพลตฟอร์มการจับปริมาณข้อมูลเครือข่ายแบบครบวงจร รวมกับแพลตฟอร์มการตรวจสอบและการวิเคราะห์ สามารถปรับปรุงการจัดการการดำเนินงานและการบำรุงรักษา และระดับการจัดการความต่อเนื่องทางธุรกิจได้อย่างมาก

1. จัดเตรียมแหล่งข้อมูลการติดตามและวิเคราะห์: ปริมาณข้อมูลของการโต้ตอบทางธุรกิจบนโครงสร้างพื้นฐานเครือข่ายที่ได้รับจากการจับปริมาณข้อมูลเครือข่ายสามารถให้แหล่งข้อมูลที่จำเป็นสำหรับการตรวจสอบเครือข่าย การตรวจสอบความปลอดภัย ข้อมูลขนาดใหญ่ การวิเคราะห์พฤติกรรมลูกค้า การวิเคราะห์ความต้องการกลยุทธ์การเข้าถึงและการเพิ่มประสิทธิภาพ แพลตฟอร์มการวิเคราะห์ด้วยภาพทุกประเภท รวมถึงการวิเคราะห์ต้นทุน การขยายแอปพลิเคชัน และการย้ายข้อมูล

2. ความสามารถในการตรวจสอบย้อนกลับหลักฐานข้อบกพร่องที่สมบูรณ์: ด้วยการจับภาพการรับส่งข้อมูลเครือข่าย ทำให้สามารถวิเคราะห์ย้อนกลับและวินิจฉัยข้อบกพร่องของข้อมูลในอดีตได้ ให้การสนับสนุนข้อมูลในอดีตสำหรับฝ่ายพัฒนา แอปพลิเคชัน และธุรกิจ และแก้ปัญหาการจับหลักฐานที่ยากลำบาก ประสิทธิภาพต่ำและสมบูรณ์ แม้กระทั่งการปฏิเสธ

3. ปรับปรุงประสิทธิภาพของการจัดการข้อผิดพลาด ด้วยการจัดหาแหล่งข้อมูลแบบรวมสำหรับเครือข่าย การตรวจสอบแอปพลิเคชัน การตรวจสอบความปลอดภัย และแพลตฟอร์มอื่น ๆ จึงสามารถขจัดความไม่สอดคล้องกันและความไม่สมดุลของข้อมูลที่รวบรวมโดยแพลตฟอร์มการตรวจสอบดั้งเดิม ปรับปรุงประสิทธิภาพในการจัดการกับเหตุฉุกเฉินทุกประเภท ค้นหาปัญหาได้อย่างรวดเร็ว ดำเนินการต่อ ธุรกิจและปรับปรุงระดับความต่อเนื่องทางธุรกิจ

การจำแนกประเภทของการรวบรวม/การจับปริมาณข้อมูลเครือข่าย

การจับปริมาณข้อมูลเครือข่ายมีไว้เพื่อตรวจสอบและวิเคราะห์คุณลักษณะและการเปลี่ยนแปลงการไหลของข้อมูลเครือข่ายคอมพิวเตอร์เป็นหลัก เพื่อทำความเข้าใจลักษณะการรับส่งข้อมูลของเครือข่ายทั้งหมด ตามแหล่งที่มาต่างๆ ของการรับส่งข้อมูลเครือข่าย การรับส่งข้อมูลเครือข่ายแบ่งออกเป็นการรับส่งข้อมูลพอร์ตโหนดเครือข่าย การรับส่งข้อมูล IP จากต้นทางถึงปลายทาง การรับส่งข้อมูลบริการของบริการเฉพาะ และการรับส่งข้อมูลบริการผู้ใช้ที่สมบูรณ์

1. การรับส่งข้อมูลพอร์ตโหนดเครือข่าย

การรับส่งข้อมูลพอร์ตโหนดเครือข่ายหมายถึงสถิติข้อมูลของแพ็กเก็ตขาเข้าและขาออกที่พอร์ตอุปกรณ์โหนดเครือข่าย ประกอบด้วยจำนวนแพ็กเก็ตข้อมูล จำนวนไบต์ การกระจายขนาดแพ็กเก็ต การสูญเสียแพ็กเก็ต และข้อมูลทางสถิติอื่นๆ ที่ไม่ใช่การเรียนรู้

2. การรับส่งข้อมูล IP แบบ end-to-end

การรับส่งข้อมูล IP แบบ end-to-end หมายถึงเลเยอร์เครือข่ายจากต้นทางไปยังปลายทาง! สถิติของแพ็กเก็ต P เมื่อเปรียบเทียบกับการรับส่งข้อมูลพอร์ตโหนดเครือข่าย การรับส่งข้อมูล IP จากต้นทางถึงปลายทางจะมีข้อมูลมากมายกว่า จากการวิเคราะห์ดังกล่าว เราสามารถทราบเครือข่ายปลายทางที่ผู้ใช้ในเครือข่ายเข้าถึง ซึ่งเป็นพื้นฐานสำคัญสำหรับการวิเคราะห์เครือข่าย การวางแผน การออกแบบ และการเพิ่มประสิทธิภาพ

3. การรับส่งข้อมูลเลเยอร์บริการ

การรับส่งข้อมูลในชั้นบริการประกอบด้วยข้อมูลเกี่ยวกับพอร์ตของเลเยอร์ที่สี่ (เลเยอร์วัน TCP) นอกเหนือจากการรับส่งข้อมูล IP จากต้นทางถึงปลายทาง แน่นอนว่ามีข้อมูลเกี่ยวกับประเภทของบริการแอปพลิเคชันที่สามารถใช้สำหรับการวิเคราะห์โดยละเอียดเพิ่มเติมได้

4. การรับส่งข้อมูลธุรกิจของผู้ใช้เสร็จสมบูรณ์

การรับส่งข้อมูลบริการผู้ใช้โดยสมบูรณ์มีประสิทธิภาพมากสำหรับการวิเคราะห์ความปลอดภัย ประสิทธิภาพ และด้านอื่นๆ การเก็บข้อมูลการบริการผู้ใช้ที่สมบูรณ์ต้องใช้ความสามารถในการจับภาพที่แข็งแกร่งเป็นพิเศษ และความเร็วและความจุในการจัดเก็บฮาร์ดดิสก์ที่สูงเป็นพิเศษ ตัวอย่างเช่น การจับแพ็กเก็ตข้อมูลที่เข้ามาของแฮกเกอร์สามารถหยุดอาชญากรรมบางอย่างหรือรับหลักฐานสำคัญได้

วิธีการทั่วไปในการรวบรวม/บันทึกการรับส่งข้อมูลเครือข่าย

ตามลักษณะและวิธีการประมวลผลของการจับทราฟฟิกเครือข่าย การจับทราฟฟิกสามารถแบ่งออกเป็นประเภทต่างๆ ดังต่อไปนี้: การรวบรวมบางส่วนและการรวบรวมทั้งหมด การรวบรวมที่ใช้งานอยู่และการรวบรวมแบบพาสซีฟ การรวบรวมแบบรวมศูนย์และการรวบรวมแบบกระจาย การรวบรวมฮาร์ดแวร์และการรวบรวมซอฟต์แวร์ ฯลฯ ด้วย การพัฒนาการรวบรวมทราฟฟิก มีการสร้างวิธีการรวบรวมทราฟฟิกที่มีประสิทธิภาพและใช้งานได้จริงตามแนวคิดการจำแนกประเภทข้างต้น

เทคโนโลยีการรวบรวมการรับส่งข้อมูลเครือข่ายส่วนใหญ่ประกอบด้วยเทคโนโลยีการตรวจสอบตามกระจกจราจร เทคโนโลยีการตรวจสอบตามการจับแพ็คเก็ตแบบเรียลไทม์ เทคโนโลยีการตรวจสอบตาม SNMP/RMON และเทคโนโลยีการตรวจสอบตามโปรโตคอลการวิเคราะห์การรับส่งข้อมูลเครือข่าย เช่น NetiowsFlow เทคโนโลยีการตรวจสอบที่ใช้กระจกจราจรประกอบด้วยวิธี TAP เสมือน และวิธีการกระจายตามโพรบฮาร์ดแวร์

1. อิงจากการตรวจสอบกระจกจราจร

หลักการของเทคโนโลยีการตรวจสอบการรับส่งข้อมูลเครือข่ายโดยใช้มิเรอร์แบบเต็มคือการบรรลุสำเนาแบบไม่สูญเสียข้อมูลและการรวบรวมภาพของการรับส่งข้อมูลเครือข่ายผ่านพอร์ตมิเรอร์ของอุปกรณ์เครือข่าย เช่น สวิตช์หรืออุปกรณ์เพิ่มเติม เช่น ตัวแยกแสงและโพรบเครือข่าย การตรวจสอบเครือข่ายทั้งหมดจำเป็นต้องใช้รูปแบบแบบกระจาย ปรับใช้โพรบในแต่ละลิงก์ จากนั้นรวบรวมข้อมูลของโพรบทั้งหมดผ่านเซิร์ฟเวอร์พื้นหลังและฐานข้อมูล และทำการวิเคราะห์การรับส่งข้อมูลและรายงานระยะยาวของทั้งเครือข่าย เมื่อเปรียบเทียบกับวิธีการรวบรวมปริมาณข้อมูลอื่นๆ คุณลักษณะที่สำคัญที่สุดของการรวบรวมภาพปริมาณการใช้ข้อมูลก็คือสามารถให้ข้อมูลเลเยอร์แอปพลิเคชันที่หลากหลายได้

2. ขึ้นอยู่กับการตรวจสอบการจับแพ็คเก็ตแบบเรียลไทม์

ด้วยเทคโนโลยีการวิเคราะห์การจับแพ็คเก็ตแบบเรียลไทม์ โดยส่วนใหญ่จะให้การวิเคราะห์ข้อมูลโดยละเอียดตั้งแต่ชั้นกายภาพไปจนถึงชั้นแอปพลิเคชัน โดยเน้นที่การวิเคราะห์โปรโตคอล โดยจะจับแพ็กเก็ตอินเทอร์เฟซในเวลาอันสั้นเพื่อการวิเคราะห์ และมักใช้เพื่อให้ทราบถึงการวินิจฉัยอย่างรวดเร็วและวิธีแก้ไขประสิทธิภาพและข้อบกพร่องของเครือข่าย มีข้อบกพร่องดังต่อไปนี้: ไม่สามารถจับแพ็คเก็ตที่มีการรับส่งข้อมูลจำนวนมากและใช้เวลานาน และไม่สามารถวิเคราะห์แนวโน้มการรับส่งข้อมูลของผู้ใช้ได้

3. เทคโนโลยีการตรวจสอบตาม SNMP/RMON

การตรวจสอบการรับส่งข้อมูลตามโปรโตคอล SNMP/RMON จะรวบรวมตัวแปรบางอย่างที่เกี่ยวข้องกับอุปกรณ์เฉพาะและข้อมูลการรับส่งข้อมูลผ่านอุปกรณ์เครือข่าย MIB ประกอบด้วย: จำนวนไบต์อินพุต, จำนวนแพ็กเก็ตอินพุตที่ไม่ออกอากาศ, จำนวนแพ็กเก็ตออกอากาศอินพุต, จำนวนแพ็กเก็ตอินพุตลดลง, จำนวนข้อผิดพลาดของแพ็กเก็ตอินพุต, จำนวนแพ็กเก็ตโปรโตคอลที่ไม่รู้จักอินพุต, จำนวนแพ็กเก็ตเอาต์พุต, จำนวนเอาต์พุตที่ไม่ใช่ -แพ็กเก็ตการออกอากาศ, จำนวนแพ็กเก็ตการออกอากาศเอาต์พุต, จำนวนแพ็กเก็ตเอาต์พุตที่ลดลง, จำนวนข้อผิดพลาดของแพ็กเก็ตเอาต์พุต ฯลฯ เนื่องจากตอนนี้เราเตอร์ส่วนใหญ่รองรับ SNMP มาตรฐาน ข้อดีของวิธีนี้ก็คือไม่จำเป็นต้องมีอุปกรณ์รับข้อมูลเพิ่มเติม อย่างไรก็ตาม จะรวมเฉพาะเนื้อหาพื้นฐานที่สุด เช่น จำนวนไบต์และจำนวนแพ็กเก็ต ซึ่งไม่เหมาะสำหรับการตรวจสอบการรับส่งข้อมูลที่ซับซ้อน

4. เทคโนโลยีการตรวจสอบปริมาณข้อมูลบน Netflow

จากการตรวจสอบการรับส่งข้อมูลของ Nethow ข้อมูลการรับส่งข้อมูลที่ให้ไว้จะถูกขยายเป็นจำนวนไบต์และแพ็กเก็ตตามสถิติห้า tuple (ที่อยู่ IP ต้นทาง, ที่อยู่ IP ปลายทาง, พอร์ตต้นทาง, พอร์ตปลายทาง, หมายเลขโปรโตคอล) ซึ่งสามารถแยกแยะได้ โฟลว์ในแต่ละช่องทางลอจิคัล วิธีการตรวจสอบมีประสิทธิภาพในการรวบรวมข้อมูลสูง แต่ไม่สามารถวิเคราะห์ข้อมูลของชั้นกายภาพและชั้นลิงค์ข้อมูลได้ และจำเป็นต้องใช้ทรัพยากรการกำหนดเส้นทางบางส่วน โดยปกติจะต้องติดตั้งโมดูลฟังก์ชันแยกต่างหากเข้ากับอุปกรณ์เครือข่าย


เวลาโพสต์: 17 ต.ค.-2024