導入
ネットワークトラフィックとは、単位時間あたりにネットワークリンクを通過するパケットの総数であり、ネットワーク負荷と転送性能を測定するための基本的な指標です。ネットワークトラフィック監視とは、ネットワーク伝送パケットの全体的なデータと統計情報を収集することであり、ネットワークトラフィックデータキャプチャとは、ネットワークIPデータパケットをキャプチャすることです。
データセンターのネットワーク規模の拡大に伴い、アプリケーションシステムはますます豊富になり、ネットワーク構造はますます複雑化し、ネットワークサービスに対するネットワークリソースの要求はますます高まり、ネットワークセキュリティの脅威はますます増え、運用保守の要件はますます高度化しています。ネットワークトラフィックの収集と分析は、データセンターインフラストラクチャの不可欠な分析手段となっています。ネットワークトラフィックを詳細に分析することで、ネットワーク管理者は障害箇所の特定を迅速化し、アプリケーションデータを分析し、ネットワーク構造、システムパフォーマンス、セキュリティ制御をより直感的に最適化し、障害箇所の特定を迅速化できます。ネットワークトラフィックの収集は、トラフィック分析システムの基盤です。包括的で合理的かつ効果的なトラフィックキャプチャネットワークは、ネットワークトラフィックのキャプチャ、フィルタリング、分析の効率を向上させ、さまざまな角度からのトラフィック分析のニーズを満たし、ネットワークとビジネスパフォーマンス指標を最適化し、ユーザーエクスペリエンスと満足度を向上させるのに役立ちます。
ネットワークを効果的に理解し活用し、ネットワークを正確に監視・分析するためには、ネットワークトラフィックのキャプチャ方法とツールを研究することが非常に重要です。
ネットワークトラフィックの収集/キャプチャの価値
データセンターの運用・保守においては、統一されたネットワークトラフィックキャプチャプラットフォームを構築し、監視・分析プラットフォームと組み合わせることで、運用・保守管理および事業継続管理のレベルを大幅に向上させることができます。
1. 監視および分析データソースの提供: ネットワークトラフィックキャプチャによって取得されたネットワークインフラストラクチャ上のビジネスインタラクションのトラフィックは、ネットワーク監視、セキュリティ監視、ビッグデータ、顧客行動分析、アクセス戦略要件分析および最適化、あらゆる種類の視覚分析プラットフォーム、ならびにコスト分析、アプリケーションの拡張および移行に必要なデータソースを提供できます。
2. 完全な障害証明追跡機能: ネットワークトラフィックキャプチャを通じて、履歴データのバック分析と障害診断を実現し、開発、アプリケーション、およびビジネス部門に履歴データサポートを提供し、証拠の取得の困難さ、効率の低さ、さらには否認の可能性といった問題を完全に解決します。
3. 障害処理の効率向上。ネットワーク、アプリケーション監視、セキュリティ監視などのプラットフォームに統一されたデータソースを提供することで、従来の監視プラットフォームで収集された情報の不整合や非対称性を解消し、あらゆる種類の緊急事態への対応効率を向上させ、問題を迅速に特定し、業務を再開し、事業継続性のレベルを向上させることができます。
ネットワークトラフィック収集/キャプチャの分類
ネットワークトラフィックキャプチャは、主にコンピュータネットワークのデータフローの特性と変化を監視・分析し、ネットワーク全体のトラフィック特性を把握することを目的としています。ネットワークトラフィックは、その発生源に応じて、ネットワークノードポートトラフィック、エンドツーエンドIPトラフィック、特定サービスのサービストラフィック、および完全なユーザーサービスデータトラフィックに分類されます。
1. ネットワークノードポートトラフィック
ネットワークノードポートトラフィックとは、ネットワークノードデバイスポートにおける送受信パケットの情報統計を指します。これには、データパケット数、バイト数、パケットサイズ分布、パケット損失率などの非学習統計情報が含まれます。
2. エンドツーエンドのIPトラフィック
エンドツーエンドIPトラフィックとは、送信元から宛先までのネットワーク層におけるPパケットの統計情報を指します。ネットワークノードポートトラフィックと比較すると、エンドツーエンドIPトラフィックにはより豊富な情報が含まれています。これを分析することで、ネットワーク内のユーザーがアクセスする宛先ネットワークを知ることができ、これはネットワークの分析、計画、設計、最適化の重要な基礎となります。
3. サービスレイヤーのトラフィック
サービス層のトラフィックには、エンドツーエンドのIPトラフィックに加えて、第4層(TCPデイレイヤー)のポートに関する情報が含まれています。当然ながら、より詳細な分析に利用できるアプリケーションサービスの種類に関する情報も含まれています。
4. 完全なユーザービジネスデータトラフィック
ユーザーサービスデータのトラフィック全体を収集することは、セキュリティ、パフォーマンス、その他の側面を分析する上で非常に効果的です。ユーザーサービスデータ全体をキャプチャするには、非常に強力なキャプチャ能力と、非常に高速なハードディスクのストレージ速度および容量が必要です。例えば、ハッカーからの受信データパケットをキャプチャすることで、特定の犯罪を阻止したり、重要な証拠を入手したりすることができます。
ネットワークトラフィックの収集/キャプチャの一般的な方法
ネットワークトラフィックキャプチャの特性と処理方法に基づき、トラフィックキャプチャは、部分収集と完全収集、アクティブ収集とパッシブ収集、集中収集と分散収集、ハードウェア収集とソフトウェア収集など、以下のカテゴリに分類できます。トラフィック収集の発展に伴い、上記の分類に基づき、効率的かつ実用的なトラフィック収集方法がいくつか開発されてきました。
ネットワークトラフィック収集技術は、主にトラフィックミラーに基づく監視技術、リアルタイムパケットキャプチャに基づく監視技術、SNMP/RMONに基づく監視技術、およびNetowsFlowなどのネットワークトラフィック分析プロトコルに基づく監視技術を含む。中でも、トラフィックミラーに基づく監視技術には、仮想TAP方式とハードウェアプローブに基づく分散方式が含まれる。
1. 交通ミラー監視に基づく
全ミラーリングに基づくネットワークトラフィック監視技術の原理は、スイッチなどのネットワーク機器のポートミラーリング、または光スプリッタやネットワークプローブなどの追加機器を介して、ネットワークトラフィックのロスレスコピーとイメージ収集を実現することです。ネットワーク全体の監視には分散方式を採用し、各リンクにプローブを配置し、バックグラウンドサーバーとデータベースを介してすべてのプローブのデータを収集し、ネットワーク全体のトラフィック分析と長期レポートを作成します。他のトラフィック収集方法と比較して、トラフィックイメージ収集の最も重要な特徴は、豊富なアプリケーション層情報を提供できることです。
2. リアルタイムパケットキャプチャ監視に基づく
リアルタイムパケットキャプチャ解析技術に基づき、主に物理層からアプリケーション層までの詳細なデータ分析を提供し、プロトコル解析に重点を置いています。短時間でインターフェースパケットをキャプチャして解析するため、ネットワークのパフォーマンスや障害の迅速な診断と解決によく用いられます。ただし、トラフィック量が多く長時間のパケットをキャプチャできない、ユーザーのトラフィック傾向を分析できないといった欠点があります。
3. SNMP/RMONに基づく監視技術
SNMP/RMONプロトコルに基づくトラフィック監視では、ネットワーク機器のMIBを介して、特定の機器やトラフィック情報に関連するいくつかの変数が収集されます。これには、入力バイト数、入力非ブロードキャストパケット数、入力ブロードキャストパケット数、入力パケットドロップ数、入力パケットエラー数、入力不明プロトコルパケット数、出力パケット数、出力非ブロードキャストパケット数、出力ブロードキャストパケット数、出力パケットドロップ数、出力パケットエラー数などが含まれます。現在、ほとんどのルータが標準SNMPをサポートしているため、この方法の利点は、追加のデータ収集機器が不要であることです。ただし、バイト数やパケット数といった最も基本的な内容しか含まれていないため、複雑なトラフィック監視には適していません。
4. Netflowベースのトラフィック監視技術
Nethowのトラフィック監視に基づき、提供されるトラフィック情報は、5タプル(送信元IPアドレス、宛先IPアドレス、送信元ポート、宛先ポート、プロトコル番号)統計に基づいてバイト数とパケット数に拡張され、各論理チャネル上のフローを区別できます。この監視方法は情報収集効率が高いものの、物理層とデータリンク層の情報を分析することはできず、ルーティングリソースを消費する必要があります。通常、ネットワーク機器に別途機能モジュールを取り付ける必要があります。
投稿日時:2024年10月17日
