Auswahl der NTA-Quellen
Beachten Sie beim Hinzufügen von NTA-Quellen Folgendes:
- Überprüfen Sie, was Sie mit Ihrer Website erreichen möchten, und überlegen Sie, wie Flow- oder SNMP-Datenverkehrstatistiken Ihnen dabei helfen können.
- Durchsuchen Sie die NTA-Quellenbibliothek nach Geräten, die bereits für den Flow-Export konfiguriert, aber noch nicht aktiviert sind.
- Schauen Sie in der NTA-Quellenbibliothek und im Dialogfeld Potenzielle Netflow-Quellen nach, welche Kennzahlen sofort verfügbar sind (z. B. Flow, SNMP, NBAR).
- Vergewissern Sie sich, dass Flow-Export oder SNMP auf den Quellgeräten konfiguriert und verfügbar ist.
Kritische Pfade und potenzielle Quellgeräte ermitteln
Wenn Sie sich vor Augen führen, wozu die Überwachung stattfinden soll, können Sie das Zielquellgerät besser ermitteln.
Gerät
|
Funktion
|
Gateway zu ISP
|
- Messung des WAN-Datenverkehrsstroms.
- Datenverkehrsanalyse auf Anwendungsebene.
- Wirtschaftsprüfung für SLA und Betriebszeit.
- Aufspüren von Datenverkehr nach Anwendung, geografischer Region und Domäne.
- Verfolgen von Anomalien, Forensik und Diagnostik.
|
WLAN- und LAN-Router und wichtige Schnittstellen und Ports.
|
- Kapazitätsplanung.
- Validierung der an einem Switch implementierten Datenverkehrsregeln.
- Verfolgen von Anomalien, Forensik und Diagnostik.
|
Schnittstellen für eingehenden und ausgehenden Datenverkehr für Proxy-Host, kritische Dienste und Kopfknoten.
|
- Validierung von IP-Regeln/Datenverkehr.
- Kapazitätsplanung.
- Validierung der Lastenausgleichsfunktion.
- Verfolgen von Anomalien, Forensik und Diagnostik.
|
Suchen nach Geräten, die vorab für den Export von Flow-Paketen konfiguriert sind
Über das Dialogfeld „Potenzielle NetFlow-Quellen“ können Sie nach bereits konfigurierten Geräten suchen oder nach solchen, die Remote-Konfiguration-MIBs unterstützen.
Bei Verwendung einer Firewall
Nachdem eine potenzielle Netzwerkdatenverkehrsanalyse-Quelle ermittelt wurde, sollten Sie den Standort des Geräts hinsichtlich anderer Netzwerkgeräte überdenken, insbesondere von Geräten mit Netzwerkadressübersetzung (NAT). Je nachdem, wo sich die Quelle im Verhältnis zum Gerät mit NAT-Funktion befindet, fallen die Berichte in den exportierten NetFlow-Daten zum Datenverkehr in und aus Richtung einer internen (privaten) IP-Adresse unterschiedlich aus.
- Befindet sich das Gerät innerhalb der Firewall oder ist keine Firewall vorhanden, enthalten die exportierten Flow-Daten die interne IP-Adresse für Geräte mit Datenein- und -ausgang. Das ermöglicht Ihnen, den Datenverkehr dem jeweiligen Gerät im internen Netzwerk zuzuordnen.
- Befindet sich das Gerät außerhalb der Firewall, wird mit den exportierten Flow-Daten der gesamte Datenverkehr in und aus Richtung der internen Geräte vereint und so in den Berichten aufgeführt, als würden sie zu einer einzigen öffentlichen Adresse desjenigen Geräts gehören, das die Adressübersetzung vornimmt. In diesem Fall können Sie lediglich erkennen, dass ein internes Gerät Daten erzeugt oder empfangen hat. Hingegen können Sie den Datenverkehr keinem einzelnen internen Gerät zuordnen.
- Nimmt das Gerät mit Flow-Export auch NAT vor, können Sie das Gerät so konfigurieren, dass es die Flow-Daten mit Hilfe der privaten oder öffentlichen übersetzten Adresse exportiert, was eine Imitation eines der obigen Szenarien darstellt. Wenn Sie sich interne IP-Adressen anzeigen lassen möchten, konfigurieren Sie das Gerät so, dass sowohl
eingehende
als auch ausgehende
Daten exportiert werden, die die interne Schnittstelle durchlaufen. Wenn Sie sich den gesamten Datenverkehr anzeigen lassen möchten, der über die externe, übersetzte IP-Adresse läuft, konfigurieren Sie das Gerät so, dass sowohl eingehende
als auch ausgehende
Daten exportiert werden, die externe Schnittstellen durchlaufen.
Überlegungen zu NAT und VM
Zu den weiteren Bedingungen, die möglicherweise die Art der von Netzwerkdatenverkehrsanalyse gemeldeten Daten beeinflussen, gehören:
- Sobald an einer Stelle des Pfades zwischen Quelle und Ziel eine Adressübersetzung stattfindet, werden gemeldete IP-Adressen so geändert, dass sie auch die übersetzte Adresse enthalten. Dies stellt in den wenigsten Fällen ein Problem dar. Allerdings kann die Überwachung mehrerer Flow-fähiger Geräte erforderlich werden, um Datenverkehr in komplexen Netzwerkumgebungen zu verfolgen.
- Virtuelle private Netzwerke und sonstige Tunneling-Technik (wie ESP oder SSH) können eine Verfälschung der Berichte hervorrufen. In diesen Fällen werden in den Netzwerkdatenverkehrsanalyse-Berichten hohe Datenverkehrsvolumen aufgeführt, die über eine kleine Anzahl von Flows gesendet werden. Dieses Verhalten entspricht den Erwartungen, da VPNs und andere Tunnel Datenverkehr von mehreren Verbindungen zusammenfassen und über eine einzelne Verbindung leiten.