Определение сетевых устройств для мониторинга
При планировании развертывания Flow Monitor следует определить сетевые устройства, которые смогут предоставить необходимую информацию. При идентификации таких устройств следует учесть такие аспекты, как данные, проходящие через отдельное устройство, его расположение относительно других сетевых устройств и типы адресов (внутренние/внешние), доступные для такого устройства.
Интересует ли вас возможность мониторинга маршрутизаторов веб-шлюзов, подключающихся к ISP для анализа трафика на уровне приложения, выполнение анализа и диагностики на основном маршрутизаторе общей сети или мониторинг ядра WAN для планирования дополнительной мощности? Ответы на эти и другие вопросы, связанные с целью мониторинга, помогут понять, какие сетевые устройства представляют собой наибольший интерес, как источники данных для Flow Monitor.
После определения потенциальных источников данных для Flow Monitor необходимо определить расположение таких устройств относительно других сетевых устройств, в частности это касается тех из них, которые выполняют преобразование сетевых адресов (NAT). В зависимости от места расположения источника относительно устройства, на котором выполняется NAT, по входящему и исходящему трафику внутренних (частных) IP-адресов составляются различные отчеты в экспортируемых данных NetFlow.
- Если устройство находится за брандмауэром или он не существует, то экспортируемые данные потока будут включать внутренний IP-адрес устройств, создающих и принимающих трафик. Это позволяет выявить конкретное устройство внутренней сети, которому принадлежит трафик.
- Если устройство располагается вне брандмауэра, то экспортируемые данные потока выполняют статическое вычисление всего входящего/исходящего трафика внутренних устройств и создают по такому трафику отчет, как по трафику с одного общего адреса устройства, выполняющего преобразование адреса. В этом случае можно определить только то, что трафик создается или принимается внутренним устройством, но невозможно выявить, какому именно устройству этот трафик принадлежит.
- Если устройство, экспортирующее данные, также выполняет NAT, то на таком устройстве можно настроить экспорт данных потока через частный или общий преобразованный адрес, имитируя любой из указанных выше сценариев. Чтобы видеть внутренние IP-адреса, настройте на устройстве экспорт данных при
приеме и отправке на внутреннем интерфейсе. Чтобы видеть весь трафик через внешний преобразованный IP-адрес, настройте на устройстве экспорт данных при приеме и отправке на внешних интерфейсах. Дополнительную информацию смотрите в разделе Ручная настройка экспорта данных потока в Flow Monitor на сетевых устройствах.
Другие условия, которые могут изменить характер данных, предоставляемых Flow Monitor:
- Если преобразование адреса происходит в любой части пути между источником и местом назначения, в отчете IP-адреса изменяются и дополняются преобразованным адресом. В большинстве случаев это не составляет проблемы, но может требовать мониторинга нескольких устройств с поддержкой Flow для отслеживания трафика в условиях сложных сетей.
- Виртуальные частные сети и другие туннельные технологии (такие как ESP или SSH) могут искажать отчеты. В этих случаях Flow Monitor включает в отчеты большие объемы трафика, отправленного через малое количество потоков. Это достаточно распространенная ситуация, поскольку VPN и другие туннели выполняют статическое вычисление трафика по нескольким подключениям и пропускают его через одно подключение.