מָבוֹא
תעבורת רשת היא המספר הכולל של חבילות שעוברות דרך קישור הרשת ביחידת זמן, שהוא המדד הבסיסי למדידת עומס הרשת וביצועי העברה. ניטור תעבורת רשת נועד ללכוד את הנתונים הכוללים של חבילות שידור וסטטיסטיקות ברשת, ולכידת נתוני תעבורת רשת היא לכידת חבילות נתוני IP של הרשת.
עם התרחבות קנה המידה של רשת Q של מרכז הנתונים, מערכת היישומים הופכת לשופעת יותר ויותר, מבנה הרשת מורכב יותר ויותר, דרישות משאבי שירותי הרשת עולות, איומי אבטחת הרשת גוברים, דרישות התפעול והתחזוקה ממשיכות להשתפר, ואיסוף וניתוח תעבורת הרשת הפכו לאמצעי ניתוח הכרחי עבור תשתית מרכז הנתונים. באמצעות ניתוח מעמיק של תעבורת הרשת, מנהלי רשת יכולים להאיץ את איתור התקלות, לנתח נתוני יישומים, לייעל את מבנה הרשת, את ביצועי המערכת ובקרת האבטחה בצורה אינטואיטיבית יותר, ולהאיץ את איתור התקלות. איסוף תעבורת הרשת הוא הבסיס למערכת ניתוח תעבורה. רשת לכידת תעבורה מקיפה, סבירה ויעילה מסייעת לשיפור יעילות הלכידה, הסינון והניתוח של תעבורת הרשת, לענות על צרכי ניתוח תעבורה מזוויות שונות, לייעל את מדדי ביצועי הרשת והעסק ולשפר את חוויית המשתמש ושביעות רצון המשתמש.
חשוב מאוד ללמוד את השיטות והכלים של לכידת תעבורת רשת על מנת להבין ולהשתמש ברשת ביעילות, לנטר ולנתח אותה במדויק.
הערך של איסוף/לכידת תעבורת רשת
עבור תפעול ותחזוקה של מרכז נתונים, באמצעות הקמת פלטפורמת לכידת תעבורת רשת מאוחדת, בשילוב עם פלטפורמת ניטור וניתוח, ניתן לשפר משמעותית את ניהול התפעול והתחזוקה ואת רמת ניהול המשכיות העסקית.
1. אספקת מקור נתונים לניטור וניתוח: תעבורת האינטראקציה העסקית בתשתית הרשת המתקבלת על ידי לכידת תעבורת רשת יכולה לספק את מקור הנתונים הנדרש לניטור רשת, ניטור אבטחה, ביג דאטה, ניתוח התנהגות לקוחות, ניתוח ואופטימיזציה של דרישות אסטרטגיית גישה, כל מיני פלטפורמות ניתוח ויזואליות, כמו גם ניתוח עלויות, הרחבת יישומים והעברה.
2. יכולת מעקב מלאה אחר תקלות: באמצעות לכידת תעבורת רשת, ניתן לבצע ניתוח לאחור ואבחון תקלות של נתונים היסטוריים, לספק תמיכה בנתונים היסטוריים למחלקות פיתוח, יישומים ועסקים, ולפתור לחלוטין את בעיית לכידת ראיות קשה, יעילות נמוכה ואפילו הכחשה.
3. שיפור יעילות הטיפול בתקלות. על ידי מתן מקור נתונים מאוחד לניטור רשת, יישומים, ניטור אבטחה ופלטפורמות אחרות, ניתן לבטל את חוסר העקביות והאסימטריה של המידע שנאסף על ידי פלטפורמות הניטור המקוריות, לשפר את יעילות הטיפול בכל סוגי החירום, לאתר במהירות את הבעיה, לחדש את הפעילות ולשפר את רמת המשכיות העסק.
סיווג איסוף/לכידת תעבורת רשת
לכידת תעבורת רשת נועדה בעיקר לנטר ולנתח את המאפיינים והשינויים בזרימת נתוני רשת המחשבים על מנת להבין את מאפייני התעבורה של הרשת כולה. בהתאם למקורות השונים של תעבורת הרשת, תעבורת הרשת מחולקת לתעבורת יציאות של צומת רשת, תעבורת IP מקצה לקצה, תעבורת שירותים של שירותים ספציפיים ותעבורת נתוני שירות של משתמשים מלאים.
1. תעבורת פורט צומת רשת
תעבורת יציאות של צומת רשת מתייחסת לסטטיסטיקות מידע של חבילות נכנסות ויוצאות ביציאת התקן של צומת הרשת. זה כולל את מספר חבילות הנתונים, מספר הבייטים, התפלגות גודל החבילה, אובדן חבילות ומידע סטטיסטי אחר שאינו לומד.
2. תעבורת IP מקצה לקצה
תעבורת IP מקצה לקצה מתייחסת לשכבת הרשת ממקור ליעד! סטטיסטיקה של חבילות P. בהשוואה לתעבורת פורט צומת הרשת, תעבורת ה-IP מקצה לקצה מכילה מידע רב יותר. באמצעות ניתוח שלה, אנו יכולים לדעת את רשת היעד שאליה ניגשים המשתמשים ברשת, וזהו בסיס חשוב לניתוח, תכנון, עיצוב ואופטימיזציה של הרשת.
3. תעבורת שכבת השירות
תעבורת שכבת השירות מכילה מידע על פורטים של השכבה הרביעית (שכבת TCP day) בנוסף לתעבורת IP מקצה לקצה. כמובן, היא מכילה מידע על סוגי שירותי היישומים בהם ניתן להשתמש לניתוח מפורט יותר.
4. תנועת נתונים עסקית מלאה של משתמשים
תעבורת נתוני שירות המשתמש המלאה יעילה מאוד לניתוח אבטחה, ביצועים והיבטים אחרים. לכידת נתוני שירות המשתמש המלאים דורשת יכולת לכידה חזקה במיוחד ומהירות וקיבולת אחסון גבוהות במיוחד בדיסק הקשיח. לדוגמה, לכידת חבילות נתונים נכנסות של האקרים יכולה לעצור פשעים מסוימים או להשיג ראיות חשובות.
שיטה נפוצה לאיסוף/לכידת תעבורת רשת
בהתאם למאפיינים ושיטות העיבוד של לכידת תעבורת רשת, ניתן לחלק את לכידת התעבורה לקטגוריות הבאות: איסוף חלקי ואיסוף מלא, איסוף אקטיבי ואיסוף פסיבי, איסוף מרכזי ואיסוף מבוזר, איסוף חומרה ואיסוף תוכנה וכו'. עם התפתחות איסוף התעבורה, נוצרו מספר שיטות יעילות ומעשיות לאיסוף תעבורה המבוססות על רעיונות הסיווג לעיל.
טכנולוגיית איסוף תעבורת הרשת כוללת בעיקר טכנולוגיית ניטור המבוססת על שיקוף תעבורה, טכנולוגיית ניטור המבוססת על לכידת מנות בזמן אמת, טכנולוגיית ניטור המבוססת על SNMP/RMON וטכנולוגיית ניטור המבוססת על פרוטוקול ניתוח תעבורת רשת כגון NetiowsFlow. ביניהן, טכנולוגיית הניטור המבוססת על שיקוף תעבורה כוללת את שיטת TAP הווירטואלית ואת השיטה המבוזרת המבוססת על גשש חומרה.
1. מבוסס על ניטור מראות תנועה
העיקרון של טכנולוגיית ניטור תעבורת רשת המבוססת על שיקוף מלא הוא להשיג איסוף העתקה ותמונות ללא אובדן נתונים של תעבורת רשת דרך מראה הפורטים של ציוד רשת כגון מתגים או ציוד נוסף כגון מפצל אופטי וגשש רשת. ניטור הרשת כולה צריך לאמץ סכמה מבוזרת, פריסת גשש בכל קישור, ולאחר מכן איסוף הנתונים של כל הגששים דרך שרת הרקע ומסד הנתונים, וביצוע ניתוח תעבורה ודוחות ארוכי טווח של הרשת כולה. בהשוואה לשיטות איסוף תעבורה אחרות, התכונה החשובה ביותר של איסוף תמונות תעבורה היא שהוא יכול לספק מידע עשיר בשכבת היישומים.
2. מבוסס על ניטור לכידת חבילות בזמן אמת
בהתבסס על טכנולוגיית ניתוח לכידת מנות בזמן אמת, היא מספקת בעיקר ניתוח נתונים מפורט מהשכבה הפיזית ועד לשכבת היישום, תוך התמקדות בניתוח פרוטוקולים. היא לוכדת את מנות הממשק בזמן קצר לצורך ניתוח, ומשמשת לעתים קרובות למימוש אבחון ופתרון מהירים של ביצועי ותקלות ברשת. יש לה את החסרונות הבאים: היא אינה יכולה ללכוד מנות עם תעבורה גדולה וזמן ארוך, והיא אינה יכולה לנתח את מגמת התעבורה של המשתמשים.
3. טכנולוגיית ניטור המבוססת על SNMP/RMON
ניטור תעבורה המבוסס על פרוטוקול SNMP/RMON אוסף מספר משתנים הקשורים לציוד ספציפי ומידע תעבורה דרך MIB של התקני רשת. הוא כולל: מספר בתים של קלט, מספר חבילות קלט שאינן משודרות, מספר חבילות שידור קלט, מספר נפילות חבילות קלט, מספר שגיאות חבילות קלט, מספר חבילות קלט בפרוטוקול לא ידוע, מספר חבילות פלט, מספר חבילות פלט שאינן משודרות, מספר חבילות שידור פלט, מספר נפילות חבילות פלט, מספר שגיאות חבילות פלט וכו'. מכיוון שרוב הנתבים תומכים כיום ב-SNMP סטנדרטי, היתרון של שיטה זו הוא שאין צורך בציוד רכישת נתונים נוסף. עם זאת, היא כוללת רק את התוכן הבסיסי ביותר כגון מספר הבייטים ומספר החבילות, שאינו מתאים לניטור תעבורה מורכב.
4. טכנולוגיית ניטור תעבורה מבוססת Netflow
בהתבסס על ניטור התעבורה של Nethow, מידע התעבורה המסופק מורחב למספר הבייטים והחבילות בהתבסס על סטטיסטיקות של חמש ערוצי נתונים (כתובת IP של מקור, כתובת IP של יעד, יציאת מקור, יציאת יעד, מספר פרוטוקול), שיכולות להבחין בזרימה בכל ערוץ לוגי. לשיטת הניטור יעילות איסוף מידע גבוהה, אך היא אינה יכולה לנתח את המידע של השכבה הפיזית ושכבת קישור הנתונים, וצריכה לצרוך משאבי ניתוב מסוימים. בדרך כלל נדרש חיבור מודול פונקציה נפרד לציוד הרשת.
זמן פרסום: 17 באוקטובר 2024
