Was sind „Flow-Daten“?

Da die Beobachtung der Netzwerkverkehrsdaten an Beobachtungspunkten erfolgt, können die Daten als Flow-Daten erfasst und durch Netzwerküberwachungsprotokolle übermittelt werden. Wenn ein Router oder ein anderes Gerät Netzwerkdaten (Flow-Daten) an Netzwerkdatenverkehrsanalyse sendet, wird dabei die Folge gemäß Abbildung beachtet.

Note: Beim Flow-Exporter kann es sich entweder um eine integrierte Funktion im Netzwerkgerät handeln, beispielsweise die NetFlow-Exportfunktion bei Cisco-Routern, oder um eine externe Sonde, die so konfiguriert ist, dass eine oder mehrere Schnittstellen am Gerät überwacht werden, wie es etwa beim NetFlow-Tester von NTA der Fall ist.

Flow Monitor process

1	Flow-Quelle (Exporter)	Das Flow-Quellgerät (in der Abbildung als Router dargestellt) beobachtet den Durchgangs-Flow und fasst die Datenmerkmale unter Verwendung von NetFlow, NetFlow-Lite, sFlow, J-Flow (NetFlow-Stichprobe) oder IPFIX (IP Flow Information Export) in einem Exportdatagramm zusammen.
2	Flow-Daten	Flow-Pakete werden in Form eines Exportdatagramms an einen Netzwerkdatenverkehrsanalyse-Collector auf dem WhatsUp Gold-System gesendet.
3	Collector	Der Netzwerkdatenverkehrsanalyse-Collector speichert den Export von NetFlow, NetFlow-Lite, sFlow, J-Flow (NetFlow-Stichprobe) oder IPFIX (IP Flow Information Export) in der Netzwerkdatenverkehrsanalyse-Datenbank. In der Standardeinstellung erwartet der NTA-Host (im Prinzip der zentrale Host von WhatsUp Gold) den Empfang von Paketen an Port 9999. Bei Bedarf können Sie diese Einstellung in den NTA-Einstellungen ändern.
4	Datenbank	Die NTA- und Flow-Daten werden einer Datenbank auf dem WhatsUp Gold-System archiviert.
5	Web-Schnittstelle	Mit WhatsUp Gold können Sie benutzerbasierte Zugangskontrollen einsehen, freigeben und anwenden, aber auch interaktive Dashboards und Berichte analysieren, was für Netzwerkvorgänge, forensische Analysen, die Planung von Kapazitäten u. v. m. sehr hilfreich ist.

Note: sFlow-Daten werden in Abständen von x Paketen übermittelt (diese Anzahl lässt sich am sFlow-Gerät konfigurieren), wohingegen alle NetFlow-Daten erfasst und überwacht werden. Das heißt, dass in den sFlow-Daten eine Stichprobe an Netzwerkverkehrs-Datenmerkmalen enthalten ist, wohingegen NetFlow-Daten alle Netzwerkverkehrsdaten enthalten.

Flow-Quelle

Netzwerkdatenverkehrsanalyse verwendet den Flow-Cache/-Exporter, der auf dem Quellgerät (ordnungsgemäß konfigurierten Schnittstellen, Switches oder Gateways) aktiviert ist, zum Erfassen eines Datenverkehrsüberblicks im Zeitverlauf. Diese Datenverkehrsüberblicke werden Flow-Pakete genannt.

Auf dem potenziellen Flow-Exportgerät (z. B. Netzwerk-Switches und -Schnittstellen) muss SNMP- oder Flow-Caching/-Export aktiviert sein. Mit Netzwerkdatenverkehrsanalyse-Flow-Collectors werden potenzielle Flow-Exportgeräte in Ihrem Netzwerk erkannt (hier auch als Flow-„Quellgeräte“ bezeichnet), woraufhin automatisch mit dem Abrufen der zugehörigen Flow-Pakete begonnen wird. Für ausgewählte Quellgeräte können Sie die Netzwerkdatenverkehrsanalyse-Überwachung auch zunächst anhalten und später erneut starten. Dazu stehen die Kontrollmaßnahmen in der NTA-Quellenbibliothek zur Verfügung.

Flow-Daten

Bei einem Netzwerk-Flow handelt es sich um eine gerichtete Folge von Paketen, deren Bewegung durch ein Flow-Cache/-Exportgerät hindurch (in diesem Leitfaden als NTA-Quelle bezeichnet) beobachtet wird, das für ein Zielgerät bestimmt ist. Anders ausgedrückt: Eine einzelne TCP-Verbindung zwischen zwei Hosts kann nur durch zwei verschiedene Flows dargestellt werden.

Flow-Monitor-Daten hängen von folgenden Faktoren ab

Quell-IP-Adresse und Portnummer
Ziel-IP-Adresse und Portnummer
IP-Protokoll
Schnittstelle eingehend
IP-Diensttyp (ToS)

Collector: Verwenden der Netzwerkdatenverkehrsanalyse-Überwachung als Ergänzung zur WhatsUp Gold-Überwachung

Netzwerkdatenverkehrsanalyse ergänzt hier andere Formen der Überwachung, da diese Art weniger invasiv ist und die Netzwerkdaten unabhängig von der Verfügbarkeit des Sende- wie auch des Empfangsgeräts zurückgegeben werden. Anders ausgedrückt: Selbst wenn ein bestimmtes Zielgerät nicht erreichbar ist oder nicht auf aktive Monitore reagiert, können Sie die Netzwerkdatenverkehrsanalyse-Überwachung verwenden. Damit lassen sich Berichte und Dashboards erzeugen, über die Prüfpunkte jedes Netzwerk-Hops bereitgestellt werden (z. B. vor- oder nachgeschaltete Netzwerkgeräte), der Flow-Paketexporte unterstützt.

Datenbank

Mit Netzwerkdatenverkehrsanalyse kann WhatsUp Gold den Verlauf der kritischen Verfügbarkeit, Nutzungskennzahlen sowie Indikatoren für ganze Segmente und Abschnitte Ihres Netzwerks zurückgeben. Mit Netzwerkdatenverkehrsanalyse können Sie die zugrundeliegende Ursache analysieren und ermitteln, wenn im Netzwerk unerwartete Ereignisse auftreten. Beispiel: kaputte oder falsch konfigurierte Geräte, die die QoS beeinträchtigen und Staus verursachen, die die Dienstverfügbarkeit stören usw.

Web-Benutzeroberfläche: Datenanalyse und Berichte in Netzwerkdatenverkehrsanalyse

Zu folgenden Zwecken können Sie Netzwerkdatenverkehrsanalyse-Protokolle, -Daten und -Dashboards nutzbringend einsetzen:

Ermittlung der Netzwerknutzung, die für Entscheidungen hinsichtlich Hardware-Upgrades, Netzwerkkapazität und sonstiger Skalierungsüberlegungen erforderlich ist.
Erkennung und Behebung von Problemen mit der Netzwerkkonfiguration, wenn der Verbrauch der Netzwerkressourcen unnötig erhöht ist oder die Sicherheit Ihres Netzwerks gefährdet wird.
Ermittlung des Datenverkehrs, der möglicherweise auf eine unberechtigte Nutzung von Anwendungen für die P2P-Datenfreigabe oder auf einen DOS-Angriff auf Ihr Unternehmen hinweist.
Diagnose und Behebung der Ursachen von periodisch auftretenden Spitzen im Netzwerkverkehr, bevor sie problematisch werden.

Tip: Netzwerkdatenverkehrsanalyse kann Berichte für Flow-Daten von mehreren Geräten erfassen und erzeugen.