选择 NTA 来源
添加 NTA 来源时,请考虑下列事项:
- 审查站点的策略目标,并询问流或 SNMP 流量统计如何满足这些目标。
- 在 NTA 来源库中浏览已配置为流输出但尚未启用的设备。
- 检查 NTA 来源库和潜在 Netflow 来源对话框,以了解哪些指标是现成的(例如流、SNMP、NBAR)。
- 确保来源设备上具备并配置了流输出或 SNMP。
找出关键路径和潜在来源设备
了解监控目的有助于您确定目标来源设备。
设备
|
用途
|
网关至 ISP
|
- 测量 WAN 流量移动。
- 应用程序级的流量分析。
- SLA 和正常运行时间审核。
- 按应用程序、地理区域和域来跟踪流量。
- 异常跟踪、取证和诊断。
|
路由器的 WAN 和 LAN 端口。
|
- 容量规划。
- 验证交换机上实施的流量规则。
- 异常跟踪、取证和诊断。
|
代理主机、关键服务和头节点的输入和输出接口。
|
- 验证 IP 规则/流量。
- 容量规划。
- 验证负载平衡器的功能。
- 异常跟踪、取证和诊断。
|
浏览已配置为输出流数据包的设备
您可以从“潜在 Netflow 来源”对话框中,浏览已配置的或支持远程配置 MIB 的设备。
防火墙考虑事项
在找出潜在 网络流量分析 来源后,应考虑该设备与其他网络设备 (尤其是执行网络地址转换 NAT 功能的设备) 的相对位置。根据来源设备与执行 NAT 的设备相对位置,内部 (专用) IP 地址收发的流量,在输出的 NetFlow 数据中有不同的报告方式。
- 若设备在防火墙范围内或没有防火墙,输出的流数据会包含产生及接收流量的设备内部 IP 地址。如此即可找出流量属于内部网络中的哪台设备。
- 若设备在防火墙范围外,则输出的流数据将聚合内部设备所有的出入流量,并报告为单一公用地址,属于执行地址转换的设备。在此状况下,您只能判断内部设备是产生流量还是接收流量,无法找出流量属于哪台内部设备。
- 若输出流的设备也执行 NAT 功能,则可以配置设备以使用专用地址还是公用的转换地址来输出流数据,模拟上述任一种情况。若要查看内部 IP 地址,请配置设备以输出内部接口的
入口与出口数据。若要查看以外部转换 IP 地址报告的所有流量,请配置设备以输出外部接口的入口与出口数据。
NAT 和虚拟机考虑事项
其他情况也可能改变 网络流量分析 报告数据的性质,包括:
- 若在来源与目标之间的路径上任一点发生地址转换,则会改变所报告的 IP 地址以包括转换的地址。此举通常不会造成问题,但可能需要监控多个启用流的设备,才能跟踪复杂网络环境的流量。
- 虚拟专用网络和其他隧道技术(例如 ESP 或 SSH)可能使报告失真。在这些情况下,网络流量分析 会报告有较大流量通过少量流通道。这是正常行为,因为 VPN 和其他隧道会聚合多个连接的流量,并通过单个连接发送。