Choix des sources NTA
Prenez en compte les éléments suivants lors de l'ajout de sources NTA :
- Examinez les objectifs de stratégie de votre site et trouvez comment les statistiques de trafic SNMP ou de flux peuvent y répondre.
- Parcourez la Bibliothèque de sources NTA pour identifier les périphériques configurés pour l'export de flux mais pas encore activés.
- Vérifiez la Bibliothèque de sources NTA et la boîte de dialogue Potential Netflow Sources (Sources NetFlow potentielles) pour connaitre les indicateurs disponibles à tout moment (flux, SNMP, NBAR, par exemple).
- Assurez-vous que l'export de flux ou SNMP soit configuré et disponible sur les périphériques source.
Identification des chemins d'accès et périphériques source potentiels
Comprendre l'objectif de l'analyse vous aide à identifier le périphérique source cible.
Périphérique
|
Objectif
|
Passerelle vers ISP
|
- Mesure du transfert de trafic WAN.
- Analyse du trafic au niveau de l'application.
- SLA et audit de temps de disponibilité.
- Suivi du trafic par application, région géographique et domaine.
- Suivi des anomalies, analyse et diagnostics.
|
Ports LAN et WAN des routeurs.
|
- Planification des capacités.
- Validation des règles de trafic implémentées au niveau du commutateur.
- Suivi des anomalies, analyse et diagnostics.
|
Interfaces entrantes et sortantes pour l'hôte proxy, les services critiques et nœuds de tête.
|
- Validation des règles d'IP/trafic.
- Planification des capacités.
- Validation de la fonction équilibreur de charge.
- Suivi des anomalies, analyse et diagnostics.
|
Parcourir pour accéder aux périphériques déjà configurés afin exporter les paquets de flux
Vous pouvez parcourir depuis la boîte de dialogue Sources NetFlow potentielles pour accéder aux périphériques qui sont déjà configurés ou prennent en charge les MIB de configuration à distance.
Considérations relatives au pare-feu
Dès qu'une source Analyse du trafic réseau potentielle est identifiée, vous devriez envisager l'emplacement du périphérique en fonction des autres périphériques réseau, en particuliers ceux qui exécutent la traduction d'adresses réseau (NAT). Selon l'endroit où la source est localisée par rapport au périphérique qui exécute NAT, le trafic de et vers des adresses IP internes (privées) est consigné différemment dans les données NetFlow exportées.
- Si le périphérique se trouve dans le pare-feu ou si aucun pare-feu n'existe, les données de flux exportées comprennent l'adresse IP interne pour les périphériques qui génèrent et reçoivent du trafic. Cela vous permet d'identifier le périphérique exact dans le réseau interne auquel le trafic appartient.
- Si le périphérique est hors du pare-feu, les données de flux exportées regroupent l'ensemble du trafic des et vers les périphériques internes et le signalent appartenant à une adresse publique unique appartenant au périphérique qui réalise la traduction de l'adresse. Dans ce cas, vous pouvez uniquement déterminer qu'un périphérique a généré ou reçu du trafic, mais vous ne pouvez indiquer le trafic comme appartenant à un périphérique interne spécifique.
- Si le périphérique qui exporte les flux exécute également NAT, vous pouvez configurer le périphérique pour exporter les données de flux en utilisant les adresses traduites publiques ou privées, selon l'un des deux scénarios ci-dessus. Pour afficher les adresses IP internes, configurez le périphérique pour exporter des données sur
ingress (entrée) et egress (sortie) pour l'interface internal (interne). Pour afficher l'ensemble du trafic consigné en utilisant les adresses IP traduites externes, configurez le périphérique pour exporter des données sur ingress (entrée) et egress (sortie) pour les interfaces external (externes).
NAT et considérations relatives à la machine virtuelle
Voici les autres conditions qui peuvent également modifier la nature des données indiquées par Analyse du trafic réseau :
- Lorsque la traduction d'une adresse survient n'importe où dans le chemin d'accès entre la source et la destination, les adresses IP consignées sont affectées pour y inclure l'adresse traduite. Dans la plupart des cas, cela ne présente aucun problème mais il peut être nécessaire d'analyser plusieurs périphériques compatibles avec les flux afin d'examiner le trafic dans des environnements réseau complexe.
- Les réseaux privés virtuels et les autres technologies de tunnelisation (ESP et SSHP, par exemple) peuvent donner l'impression de fausser les rapports. Dans ces cas, Analyse du trafic réseau crée le rapport d'une grande quantité de trafic envoyé à un petit nombre de flux. Il s'agit du comportement attendu, car les VPN et les autres tunnels agrègent le trafic provenant de plusieurs connexions et le font transiter par une connexion unique.