Выбор источников NTA

При добавлении источников NTA обратите внимание на следующее:

Проверьте политики вашего сайта и подумайте, каким образом статистика потока или трафика SNMP может им способствовать.
Просмотрите библиотеку источников NTA на предмет устройств, уже настроенных для экспорта потока, но еще не включенных.
Проверьте библиотеку источников NTA и диалоговое окно Потенциальные источники Netflow для определения доступных данных (например, поток, SNMP, NBAR).
Экспорт потока или SNMP должен быть настроен и доступен на устройствах-источниках.

Определение критических путей и потенциальных устройств-источников

Понимание назначения мониторинга помогает определять целевое устройство-источник.

Устройство	Назначение
Шлюз к ISP	Измерение движения трафика WAN. Анализ трафика на уровне приложения. SLA и аудит времени работы. Отслеживание трафика по приложению, географическому региону и домену. Отслеживание, анализ и диагностика аномалий.
Маршрутизаторы WAN и LAN, а также важные интерфейсы и порты.	Планирование пропускной способности. Проверка правил трафика, использованных при переключении. Отслеживание, анализ и диагностика аномалий.
Интерфейсы приема и передачи для узла прокси, критических служб и главных узлов.	Проверка правил IP/трафика. Планирование пропускной способности. Проверка работы балансировщика нагрузки. Отслеживание, анализ и диагностика аномалий.

Обзор устройств, уже настроенных для экспорта пакетов потока

Можно просматривать устройства, уже настроенные или поддерживающие удаленную конфигурацию MIB, в диалоговом окне «Потенциальные источники Netflow».

О брандмауэре

После определения потенциальных источников данных для Анализ сетевого трафика необходимо определить расположение таких устройств относительно других сетевых устройств, в частности это касается тех из них, которые выполняют преобразование сетевых адресов (NAT). В зависимости от места расположения источника относительно устройства, на котором выполняется NAT, по входящему и исходящему трафику внутренних (частных) IP-адресов составляются различные отчеты в экспортируемых данных NetFlow.

Если устройство находится за брандмауэром или брандмауэр не существует, то экспортируемые данные потока будут включать внутренний IP-адрес устройств, создающих и принимающих трафик. Это позволяет выявить конкретное устройство внутренней сети, которому принадлежит трафик.
Если устройство располагается вне брандмауэра, то экспортируемые данные потока выполняют статическое вычисление всего входящего/исходящего трафика внутренних устройств и создают по такому трафику отчет, как по трафику с одного общего адреса устройства, выполняющего преобразование адреса. В этом случае можно определить только то, что трафик создается или принимается внутренним устройством, но невозможно выявить, какому именно устройству этот трафик принадлежит.
Если устройство, экспортирующее данные, также выполняет NAT, то на таком устройстве можно настроить экспорт данных потока через частный или общий преобразованный адрес, имитируя любой из указанных выше сценариев. Чтобы видеть внутренние IP-адреса, настройте на устройстве экспорт данных при приеме и отправке на внутреннем интерфейсе. Чтобы видеть весь трафик через внешний преобразованный IP-адрес, настройте на устройстве экспорт данных при приеме и отправке на внешних интерфейсах.

О NAT и виртуальных машинах

Другие условия, которые могут изменить характер данных, предоставляемых Анализ сетевого трафика:

Если преобразование адреса происходит в любой части пути между источником и местом назначения, в отчете IP-адреса изменяются и дополняются преобразованным адресом. В большинстве случаев это не составляет проблемы, но может требовать мониторинга нескольких устройств с поддержкой Flow для отслеживания трафика в условиях сложных сетей.
Виртуальные частные сети и другие туннельные технологии (такие как ESP или SSH) могут искажать отчеты. В этих случаях Анализ сетевого трафика включает в отчеты большие объемы трафика, отправленного через малое количество потоков. Это достаточно распространенная ситуация, поскольку VPN и другие туннели выполняют статическое вычисление трафика по нескольким подключениям и пропускают его через одно подключение.