NTA ソースの選択

NTA ソースを追加するときは、以下の項目を検討してください。

サイトのポリシー目標を見直し、フローまたは SNMP トラフィック統計がそれらの目標をどの程度達成できるかを確認します。
フローエクスポート用に設定済みだが有効になっていないデバイスの NTA ソースライブラリを確認します。
NTA ソースライブラリと [潜在的な Netflow ソース] ダイアログを確認して、すぐに使用できる指標を把握します (フロー、SNMP、NBAR など)。
フローエクスポートまたは SNMP がソースデバイスで設定されていて使用可能であることを確認します。

重要なパスとソースデバイス候補を特定する

監視の目的を理解することは、ターゲットソースデバイスを特定するのに役立ちます。

デバイス	目的
ISP へのゲートウェイ	WAN トラフィックの動きを測定する。アプリケーションレベルのトラフィック分析。 SLA および稼動時間の監査。アプリケーション、地域、ドメインごとにトラフィックを追跡する。例外追跡、フォレンジック、診断。
WAN および LAN ルーターと、重要なインターフェイスおよびポート。	容量計画。スイッチに導入されたトラフィックルールを検証する。例外追跡、フォレンジック、診断。
プロキシホスト、重要なサービス、ヘッドノードの進入/退出インターフェイス。	IP ルール/トラフィックを検証する。容量計画。ロードバランサー機能を検証する。例外追跡、フォレンジック、診断。

フローパケットをエクスポートするよう設定済みのデバイスを確認する

[潜在的な Netflow ソース] ダイアログで、すでに設定済みのデバイス、またはリモート設定 MIB をサポートしているデバイスを確認できます。

ファイアウォールに関する考慮事項

ネットワークトラフィック分析ソースの候補が特定されたら、次に他のネットワークデバイス、特にネットワークアドレス変換 (NAT) を行うデバイスとの位置関係を考慮する必要があります。出力された NetFlow データでは、ソースがアドレス変換を行うデバイスに対して相対的にどこにあるかによって、内部 (プライベート) IP アドレスへ出入りするトラフィックに関する報告が異なります。

デバイスがファイアウォールの内部にある場合、またはファイアウォールが存在しない場合、出力されたフローデータには、トラフィックを送受信したデバイスの内部 IP アドレスが含まれます。これにより、どのトラフィックが内部ネットワーク上のどのデバイスのものかを正確に特定することができます。
ファイアウォールの外側にあるデバイスの場合、内部デバイスが送受信したすべてのトラフィックをまとめたものがフローデータとして出力され、アドレス変換するデバイスに与えられた単一の公開アドレスに属するデータとして報告されます。その場合、内部デバイスのどれかがそのトラフィックを送受信したことはわかりますが、それがどの内部デバイスだったのかを知ることはできません。
フローを出力するデバイスがネットワークアドレス変換も行う場合、そのデバイスからのフローデータにプライベートアドレスを使用するか公開されている変換されたアドレスを使用するかを設定でき、上記のシナリオのいずれかを再現できます。内部 IP アドレスを表示するには、デバイスが内部インターフェイスに対する進入と退出に関するデータが出力されるように設定します。すべてのトラフィックが変換された外部 IP アドレスを使用して報告されるようするには、デバイスが外部インターフェイスに対する進入と退出に関するデータを出力するように設定します。

NAT と仮想マシンに関する考慮事項

ネットワークトラフィック分析が報告するデータの性質にも影響する可能性のあるその他の条件には、以下の項目があります。

送信元と送信先の間の経路のどこかでアドレス変換が行われると、報告される IP アドレスには変換されたアドレスが含まれるように変更されます。ほとんどの場合、これは問題になりませんが、複雑なネットワーク環境でのトラフィックを追跡するためには、複数のフロー対応デバイスの監視が必要になる場合があります。
仮想プライベートネットワークやその他のトンネルテクノロジー (ESP や SSH など) により、レポートに誤りがあるように見える場合があります。その場合、ネットワークトラフィック分析では少数のフローで大量のトラフィックが送信されたことが報告されます。VPN などのトンネルを使用すると複数の接続からのトラフィックが 1 つの接続に集められるので、これは予期される動作です。