Hinzufügen einer NBAR-Quelle

Mit der netzwerkbasierten Anwendungserkennung (Network-Based Application Recognition – NBAR) wird ein genaueres Bild des Datenverkehrs, der im Netzwerk aktiv ist, gezeichnet. Die NBAR-Protokollerkennung nutzt die tiefgründige Paketinspektion (Deep Packet Inspection, DPI), die am Router durchgeführt wird. NBAR inspiziert die übertragenen Pakete (und nicht nur den von ihnen verwendeten Port), um ihr letztendlich verwendetes Protokoll zu bestimmen und ihren Zweck zu ermitteln.

Note: Kennzahlen zur klassenbasierten Dienstgüte (CBQoS) spiegeln eine Richtlinie oder Priorität wider, die bestimmten Datenverkehrsarten (in der Regel zeitkritischer Datenverkehr, z. B. Video oder Sprache) durch Regeln im Router zugewiesen wurden. Diese Regeln verlassen sich auf die NBAR-Klassifizierung.

Die NBAR-Datenverkehrsklassifizierung hat unter anderem folgende Vorteile:

Nicht konformen Datenverkehr identifizieren. Unerwarteter oder getarnter Datenverkehr kann bekannte Ports nutzen, d. h. Ports, die im IETF-Standardtext für ein bestimmtes Protokoll reserviert sind. Mit der Portverwendung wird nicht garantiert, dass die Paketdaten selbst legitim sind; dafür ist die Paketinspektion über NBAR notwendig.
Zufällige Nutzung von UDP und TCP identifizieren. Viele legitime Anwendungssitzungen (Protokolle auf Anwendungsebene) erzeugen UDP- oder TCP-Verbindungen; diese Verbindungen nutzen den nächsten verfügbaren Port im jeweiligen Portbereich. Die Paketinspektion ermittelt das detaillierte Protokoll, das UDP oder TCP nutzt.
Ein klareres Bild für gemischte Daten. Durch die Ermittlung des zugrundeliegenden, verwendeten Protokolls kann ermittelt werden, welchem Datenverkehr Priorität eingeräumt werden kann (Audio, Video, zeitkritische Übertragungen können z. B. eine höhere Priorität als das Hochladen von Dateien erhalten). Gleichzeitig erhalten Sie Einblicke in Organisationstrends, Benutzertrends und Organisationsverhalten.

Tip: Die NBAR-Klassifizierung steht auf den meisten Cisco-Routern zur Verfügung.

Abgefragte NBAR-Statistiken im Vergleich zu in umfangreiche NetFlow-Zusammenfassungen eingebetteten Statistiken

In der NTA-Quellenbibliothek gibt es zwei Möglichkeiten, NBAR-Berichte aus Netzwerkdatenverkehrsanalyse abzurufen.

Verfahren zur Erfassung von NBAR-Statistiken

Anforderungen

Eingebettet. NBAR-Statistiken von einem Strom von NetFlow-Datenverkehrszusammenfassungen abrufen.

Durch eine Einbettung wird ein detaillierter Bericht NBAR-Anwendungen – Flow-Details erzielt. Das bedeutet, dass NBAR-Daten und die beobachteten Datenverkehrsmessungen (NetFlow) zusammen ausgeliefert werden. Dadurch werden die Ergebnisse der NBAR-Paketinspektion in einen Kontext gesetzt und erhalten eine höhere Aussagekraft – Sie können die Aspekte der gewünschten NetFlow-Daten aus allen Blickwinkeln betrachten.

Automatisch, wenn es am Quellgerät, das für Flexible NetFlow konfiguriert wurde, aktiviert ist.

Die NetFlow-Quelle muss in der NTA-Quellenbibliothek als Aktiviert aufgeführt sein und Flows empfangen, wobei NBAR eingebettet als Eingebettet aufgeführt sein muss.

Per Abfrage. Fragen Sie die NBAR-Kennzahlen zum an der Quelle sichtbaren Datenverkehr von Geräten per SNMP ab.

Hierbei handelt es sich im Prinzip um eine Zusammenfassung/Aufschlüsselung der Anwendungspakete, die am Beobachtungspunkt (dem Switch, Router oder andere aktivierte NBAR-Quelle) erkannt werden.

Ergibt den Bericht NBAR-Anwendungen – Gesamtwerte für Schnittstelle.

Das Gerät muss zur NTA-Quellenbibliothek hinzugefügt werden.

Entsprechende SNMP-Anmeldeinformationen müssen für Abfragen ausgewählt werden.
NBAR-Daten von Quelle abrufen muss ausgewählt sein.

NBAR-/CBQoS-Statistiken durch Abfragen erfassen

So fügen Sie einer Netzwerkdatenverkehrsanalyse-Quelle die Erfassung von NBAR-Klassifizierungen per Abfrage hinzu:

Öffnen Sie die NTA-Quellenbibliothek (Menü EINSTELLUNGEN > Netzwerkdatenverkehrsanalyse > NTA-Quellen).
Klicken Sie auf Hinzufügen > NBAR-/CBQoS-Abfragequelle.
Daraufhin erscheint das Dialogfeld „Flow-Quelle“.
Geben Sie folgende Feldwerte an:
- Quell-IP-Adresse. Dies ist die IP-Adresse des Flow-Quellgeräts.
- Anzeigename. (Optional.) Dieser Name wird in der Quelle und in NTA-Berichten angezeigt.
Klicken Sie auf Aktivieren der Datenerfassung von dieser Quelle. (Wenn Sie diese Option wählen, wird die aktuelle Quelle auf Ihre Netzwerkdatenverkehrsanalyse-Lizenz angerechnet).
Abfragequelle.
- NBAR. Aktiviert die Erfassung von NBAR-Klassifizierungssummen über SNMP. (Bei Flexible NetFlow und in anderen Fällen, in denen NBAR bereits integriert ist, muss die NBAR-Erfassung hier nicht aktiviert werden).
- CBQoS. (Optional) Klicken Sie hierauf, um die Statistikerfassung für CBQoS-Richtlinien zu aktivieren.
Tip: Um sinnvolle Berichtdaten zu erhalten, müssen auf dem Quellgerät QoS-Klassen und ‑Richtlinien definiert werden.
- Abfragequelle für den Schnittstellendatenverkehr insgesamt. Klicken Sie auf dieses Feld, um das Gerät als Quelle für SNMP-Statistiken im Rahmen von Netzwerkdatenverkehrsanalyse freizugeben.
SNMP-Anmeldeinformationen. Wählen Sie aus der Dropdownliste die entsprechenden Anmeldeinformationen aus.
WhatsUp Gold Netzwerkdatenverkehrsanalyse fragt die Schnittstelleninformationen vom Quellgerät ab. Im Schnittstellenrahmen werden die bekannten Schnittstellen für das aktuelle Gerät angezeigt.
Zugriffsrechte. (Optional) Hiermit wird das Dialogfeld „Zugriffsrechte für Flow-Quelle“ geöffnet, über das Sie die Flow-Daten für WhatsUp Gold-Benutzer sperren können.
Schnittstellen. Wählen Sie Schnittstellen aus. Klicken Sie dann auf Einblenden oder Ausblenden, um den Datenverkehr in die Quellkennzahlen aufzunehmen, und klicken Sie anschließend auf OK.
Netzwerkdatenverkehrsanalyse speichert Ihre SNMP-Quelle, die auch in Ihrer NTA-Quellenbibliothek angezeigt wird.
Überprüfen Sie den Bericht NBAR-Anwendungen – Gesamtwerte für Schnittstelle und vergewissern Sie sich, dass Flow-Daten von WhatsUp Gold empfangen werden.