IPFIX

Scrutinizer如何建立Network Map?

Network Map為用戶提供了網路拓撲結構的高階視圖以及流量在網路中的流動方式。最常見的是作為快速參考用,以確定連接是否飽和。如果我們將結合Map功能與當前Flow數據中匯出的一些獨特元素相結合該如何處理?

在此介紹在Scrutinizer中建立網路地圖的過程以及用戶可以在其環境中利用的一些獨特範例。

設計你的地圖

第一步是決定我們想要建立的地圖類型。首先,我將建立一個簡單的網路。我們將從“地圖”標籤開始,然後選擇左側的“新建”選項。首先,我們必須決定要建立哪種地圖類型。我們可以建立一個’html5’,’Plixer Map’,或者我們可以利用Google地圖(請注意,Google地圖需要使用API密鑰,可免費申請)。在這裡,選擇了Plixer Map。

接下來,將設備作為Objects(目標)。正如下面的截圖中看到的,Objects(目標)不僅限於網路設備。在拓撲圖中包含了ISP的Objects(目標),以及嵌在拓撲視圖中的child maps。

一旦設定好Objects(目標),下一步就是建立連接。透過Connections Tab完成,Connections提供選項來表示這些連線。大部分連線都是連接每個設備的physical interfaces(實體介面) 。這允許我們以速率或百分比使用率來查看通過設備的流量。還在連接的設備之間的嵌套地圖建立了logical connections(邏輯連線)。

Connections的好處是雙重的:即時利用我們的連接並允許我們深入研究並查看正在進行的對話。

嵌套地圖

讓我們深入了解“Sales Team”地圖。從我們的拓撲圖中,我們透過點擊該地圖放大到我們的銷售部門:

在這裡,建立了一個代表幾個銷售團隊成員的地圖。該地圖的獨特之處在於連接回到3850的每個連線都是僅根據該用戶的流量進行過濾的自定報告。從這裡可以估計每個用戶消耗的流量。這裡的另一個常見用例是監控VoIP流量而不是用戶的流量。

首先,讓我們看看這些連接是如何形成的。首先建立了一個隔離用戶流量的報告:

然後我使用此報告將Objects(目標)“ShaneS”連接到3850 switch交換機。現在從拓撲圖中可以深入到銷售團隊,在那裡我可以監控每個特定用戶。

讓我們從用戶流量轉向監控我們的應用服務器。從拓撲圖中可以看到應用服務器建立了一個嵌套地圖。與建立銷售團隊地圖的方式類似,使用一個Objects(目標)來表示我們的應用服務器,然後製作一個自定報告來隔離特定的應用程式流量。

在這裡看到了一些特定於最終用戶環境的獨特地圖。由於沒有兩個環境是相同的,因此可以靈活地定義想關注的流量,這是一個很棒的用處。

如果您對Mapping Functionality有任何疑問,請隨時聯繫我們,還可以前往Plixer的Youtube頻道plixerweb,在那裡您可以查看許多影片範例,包括建立地圖的示範操作

Scrutinizer 提供永久免費版本,若有興趣想要了解完整的功能,歡迎在此申請下載

使用NetFlow監控BYOD設備

由於增加的網路負載以及它們可能帶來的新安全風險,使用Netflow監控BYOD正成為大多數人的網路的一個大問題。在這篇中,希望能夠闡明思科最近推出的一些新功能,以幫助跟踪網路上的行為。

思科無線NetFlow:

由於大多數進入網路的BYOD都可能連接到您的無線網路,因此思科採用AVC指標導出NetFlow。這允許我們使用Cisco ISE 或Active目錄通過MAC地址,SSID,接入點甚至用戶名稱追踪用戶的設備。以及查看有多少主機連接到每個SSID或AP。這使其在性能和安全空間都有益。

應用程式感知NetFlow:

獲取用戶/主機連接的用戶名和IP非常好,但應用程式訊息更好。截至2014年11月,NetFlix消耗了35%的互聯網流量(來源)。這導致企業網路的強力推動來監控網路,尤其是在頻寬非常昂貴的遠距辦公室。使用我們的思科WLC中的NetFlow以及從ISE給我們的指標,我們可以輕鬆地深入研究這個並抓住罪魁禍首!

除了捕捉非工作行為之外,您還可以幫助阻止一些辦公室盜版者在網路上下載受版權保護的資料。現在,我們可以輕鬆快速輕鬆地捕獲Bit Torrent流量或任何可疑流量,並輕鬆降低您的MTTK(平均知曉時間)並幫助解決您可能遇到的任何網路問題。

正如您從上圖中看到的那樣,列出了可疑IP以及登錄用戶,現在允許我們使用Cisco ISE integration在NetFlow收集器的GUI內從無線IP中踢出它們。

正如您所看到的,監控BYOD已經發生了相當大的變化,從跟踪網路中的MAC地址和將多維數據集轉移到多維數據集的過程中,試圖讓某人下載大文件。由於身份服務並使用戶意識到他們的流量正在被監控和看到,現在它變得更加容易。如果您在網路上設置監控BYOD有任何疑問或需要任何幫助,請隨時與我們聯繫!

從NetFlow報告查看監控的BYOD流量

大多數公司都認為BYOD(自帶設備)可以讓企業從員工中獲得更高的生產力。正因為如此,移動工作者正在崛起,它正在創造一個新的IT挑戰。IDC Health Insights項目主管Lynne Dunbrack表示,“某些自帶設備策略會帶來一定的安全風險:例如,將移動惡意軟體引入醫院網路”。一些擁有BYOD的醫院正在限制BYOD設備僅限互聯網接入。為什麼?

“在過去一年裡,BYOD確實成為我們日益增長的問題,”北卡羅來納州Rex Healthcare的高級網路架構師Bryan Safrit在一份聲明中表示。“我們看到的更多流量來自iPhone,iPad和Android設備。如果沒有區分用戶和執行政策的能力,我們的BYOD流量可能會超過我們的頻寬。“雇主如何確保流量的增加實際上與工作相關?而且,公司如何保護自己免受工作場所BYOD爆炸流量帶來的固有風險?這是一個棘手的問題。首先讓我們了解問題。

儘管生產力有所提高,但一些員工喜歡在Scrabble上回應他們,或者回應個人Skype消息等。在過去,公司可以查看電話費,以查看員工當天是否正在撥打或接聽過多的個人電話。今天,這並不是那麼容易,尤其是當像Facebook.com這樣的網站通過SSL連接輕易連接angrybirds遊戲時:https://apps.facebook.com/angrybirds/。

我到目前為止追踪BYOD設備的一些最佳方法是使用NetFlow,sFlow或IPFIX數據:

  • 過濾MAC地址。具體而言,可以使用供應商ID。
  • 過濾專門為無線設備預留的子網
  • 與Cisco ISE或Enterasys Mobile IAM整合

過濾MAC或IP地址:

在使用無線網路時,我們當然可以要求員工管理自己的行為。但是,我們仍然需要使用網路流量報告工具檢查流量,例如NetFlow Analyzer,它可以過濾MAC地址的供應商ID(例如iPhone):

上面報告中的更改以查看過濾後的MAC地址訪問的主要網域可能會生成BYOD流量報告解決方案,其中包含以下信息:

當發現違規者時,對不當行為施加後果,並且在員工之間傳播消息。如果管理員想要查看用戶已在網路上驗證了多少設備,則許多防火牆(例如Cisco ASA,Palo Alto Networks,SonicWALL)支持NetFlow或IPFIX並在其導出中提供用戶名。如果不這樣做,這些流量出口可以與Microsoft Active Directory服務器,Cisco ISE或Extreme Mobile IAM相關聯,以收集用戶名稱與詳細信息。

與Cisco ISE或Enterasys Mobile IAM整合

Extreme Mobile IAM解決方案還可用於跟踪BYOD。這些系統確定設備的類型(例如iPhone,Android,筆記本電腦等),並考慮在網路上進行身份驗證的用戶名,然後將策略下推到將處理設備通信的網路上的交換機。這種類型的BYOD流量監控允許管理員跟踪BYOD設備甚至對它們進行分組:

深入了解上面的操作系統,找到誰在驗證這些設備以及他們產生了多少流量。

Scrutinizer 常見問題之一

Q1:什麼是NetFlow?

Cisco®NetFlow技術是Cisco IOS路由器和高階交換機(例如6500系列)中的嵌入式功能。NetFlow數據記錄包括關於來源和目標地址的訊息,以及End-to-End conversation中使用的protocols和Ports。Scrutinizer使用此訊息產生成Flow模式和頻寬使用率的圖表和報告。更多訊息可以在這裡找到(英文)。

Q2:什麼是sFlow?

將多個conversation streams 包裝為單一個封包與NetFlow不同,sFlow是Flow的資料封包樣本。雖然它提供100%的資料封包,但嚴格用於IP計費時,它是不可靠的。更多訊息可以在這裡找到(英文)。

Q3。什麼是IPFIX?

NetFlow最初由思科實施並在“informational”檔中描述,該檔案不在IETF的標準上。NetFlow protocol 本身已被 Internet Protocol Flow Information eXport(IPFIX)取代。更多信息可以在這裡找到(英文)。

Q4。IPFIX如何與NetFlow和sFlow相關?

IPFIX是NetFlow v9的演變。IPFIX與NetFlow和sFlow的不同之處在於它允許指定供應商ID,從而供應商可以在Flow中打包專有訊息並匯出他們想要的任何細節。例如,傳統上使用Syslog發送或透過SNMP收集的相同詳細訊息可以在IPFIX中匯出。

此外,IPFIX允許變更長度字段。如果要匯出HTTP主機,URLs或防火牆資訊等詳細訊息,這將非常有用。

Q5。思科是唯一支持NetFlow的供應商嗎?

NetFlow技術由思科發明,Cisco IOS設備提供NetFlow相容性。除Cisco之外的許多供應商都提供類似的網路流量監控技術 Scrutinizer 在單一平台上執行所有Flow技術的收集,威脅檢測和報告。

點擊此處了解有關NetFlow的不同版本的更多詳細訊息(英文)。

Q6。NetFlow與MRTG等流量分析器有何不同?

MRTG和其他此類等效工具提供的訊息主要限於SNMP統計訊息。NetFlow更適合應用程式等級的詳細訊息,例如hosts, protocols, 和conversations, ,這些是IP流量的固有部分。

Plixer

一分鐘就讓你了解 Plixer Scrutinizer 特點

Scrutinizer是一套NetFlow、sFlow、JFlow與IPFIX的全方位解決方案,可同時是用於實體與虛擬環境的網路流量管理解決方案,可根據事件反應、威脅偵測、歷史報告與功能基礎提供多元的管理模式。這套屢獲無數獎項的網路管理系統,深入了解使用者需求、應用程式與網路設備狀態,藉此提供更完善的報表功能。

關於Scrutinizer的特點:

  1. 市場上領先的網路流量產品之一。(市場上已經有其他的相關產品,但少有功能這麼強大的)
  2. 可提供網管設備無法知道的資訊,並能處理任何流量,如sFlow,Netflow,JFlow和IPFIX。
  3. 存儲所有原始數據並產生報表
  4. 產生報表速度很快
  5. 從非常小到非常大的網路環境都適用。
  6. Scrutinizer設計成為法律取證(Forensic)和安全(Security)工具,它可以根據流量模式發出警報,具有DNS整合功能,並且可以顯示被隱藏的網路。
  7. 可以單獨使用或與其他監控工具整合使用。

何時會需要Scrutinizer?

  • 如果您需要安全取證工具(它收集所有內容不會丟失資料保留全部資訊)。
  • 為了符合安全規定,提供可驗證的證據給IT來符合內部管理政策,外部法規和行業最佳作法(例如: HIPAA,FIPS,NERC,SCADA,SOX,COBIT,PCI和NPPI)。
  • 如果您需要對您的網路流量(Traffic Flows)進行深入分析,誰正在建立連線並與誰進行通信。
  • 如果您需要特定參數來連接防火牆設備(如Cisco ASA,Paolo Alto等)。
  • 如果您想要了解Netflow的人或公司,選擇Plixer就對了。
  • 即時和快速的報表。
  • 深入研究網路流量性能問題。

Scrutinizer的擴展性

Scrutinizer的可擴展性是由一個非常有效的可擴展性平台的方式建置的:

  • 基於Windows平台
  • 提供虛擬設備更高的可擴展性
  • 專注於(最佳化)設備針對大規模的網路環境

與其他監測工具整合

將Scrutinizer與其他監控工具(如SolarWinds,Network mapping tools,SPLUNK等)整合很容易,有可用於整合的API。

擴展性和整合

作為Scrutinizer背後的公司Plixer擁有許多其他產品,可以輕鬆地整合現有環境,而無需大量投資/更換網路設備。簡單介紹一下:

  • Flow Pro APM(為您提供更多應用程式可見性的網路探測器)
  • Flow Replicator(如果您有需要複製收集的流量讓其他的軟體分析使用)。
  • Flow Pro Defender(掛入惡意DNS請求)。

免費下載與試用

Scrutinizer 提供永久免費版本,若有興趣想要了解完整的功能,歡迎在此申請下載

若對這套網路流量監控軟體有任何興趣請與我們聯繫

進一步閱讀的鏈接

訪問 Scrutinizer / Plixer 網站了解更多詳情,有更多的技術訊息可供參考。