Netflow

Scrutinizer 常見問題之三

Q17:如何輸入IP來命名分辨率,以便Scrutinizer不必使用DNS來解析IP?

編輯此文件:/etc/hosts 並輸入IP以轉換 x.x.x.x domain.tld 格式名稱

Q18:界面上的整體使用率似乎被低估了,什麼情況會導致這種狀況?

  • 確保在設備的所有實體連接埠上啟用NetFlow。不要管虛擬連接埠,因為一旦在物理連接埠上啟用了NetFlow,就會自動出現。
  • 如果硬體無法跟上發送NetFlow封包的速度,它會自動丟棄NetFlow。要檢查是否存在此問題,請登錄Cisco設備。

鍵入命令:Router_name> sh ip flow export

匯出資料,尋找“294503 export packets were dropped due to IPC rate limiting”之類的內容。如果此計數器遞增,則表示硬體無法滿足匯出要求。

  • 下面的命令將long-lived flows分解為1分鐘。您可以選擇1到60之間的任意分鐘數; 如果您保留30分鐘的預設值,您的使用率報告將會出現峰值。

輸入命令:ip flow-cache timeout active 1

  • 以下命令可確保及時匯出已完成的Flow。預設值為15秒; 您可以選擇介於10和600之間的任何值。但請注意,如果您選擇的值超過250秒,則Scrutinizer可能會報告顯示較低的Flow級別。

鍵入命令:ip flow-cache timeout inactive 15

  • NetFlow v5僅匯出IP流量(即沒有IPX等),並且此版本的NetFlow不會匯出Layer 2 broadcasts。

Q19:如何設定讓路由器將NetFlow轉發到兩個目的地?

在Cisco路由器上,使用“ip flow-export destination”命令兩次。思科允許使用NetFlow v5 / v9將流量導向到2個不同的目的地

router-name#ip flow-export destination 10.1.1.8 2055 
router-name#ip flow-export destination 10.1.1.9 2055

有關更多訊息,請參閱如何配置運行IOS的Cisco路由器。某些Flow技術僅允許配置單個目標。要導向到多個目標,您可能需要使用flow replicator

Q20:為什麼我的圖表報告的使用率超過100%?

    • 連接埠速度不正確。Scrutinizer使用SNMP OID中指定的速度。登錄路由器或交換機並修復問題或在Scrutinizer中轉到設備詳細訊息並手動輸入正確的速度。
    • 路由器上的活動超時未設置為1分鐘。登錄路由器或切換並解決問題。
    • 非專用的超頻彈性頻寬(burstable bandwidth),ISP允許您在分配的頻寬上使用。
    • 進入流量和出去流量在 NetFlow 收集都已經在連接埠上啟用。如果在出去Flow中設置了方向位,則這可以正常工作。Scrutinizer的最佳工作設定只需要在所有連接埠上配置進入流量 NetFlow 收集。只有收集出去的流量在所有連接埠也是可以的。
    • 你在連接埠上有設定加密通道嗎?
      • 47 – GRE,通用路由封裝。
      • 50 – ESP,封裝安全負載。
      • 94 – IP-within-IP封裝協議。
      • 97 – EtherIP。
      • 98 – 封裝表頭。
      • 99 – 任何私有加密方案。

這可能導致流量在連接埠上計數兩次。在Scrutinizer中可以到Admin Tab > Definitions > Manage Exporters。點擊“ – ”的圓形圖示。當滑鼠懸停在圖示上時,ALT將顯示“View the current protocol exclusions of this device.”點擊此按鈕,確保排除上述協議。

  • 完整流量暫存:匯出前所有流量都存儲在路由器的流量暫存區中。暫存區滿了後它會停止向暫存區中增加條目,直到暫存過期為止。當發生諸如DDOS或“social event”之類的事件時,路由器的暫存會滿載。暫存可以增加; 但是會佔用更多記憶體並可能對路由器產生負面影響。流量遺失將導致Scrutinizer低估使用率。

Q21:如何查看是否有可用的更新在Scrutinizer的程式中?

要檢查更新,請在登出(Log Out)按鈕旁邊的下拉列表中選擇“檢查更新”按鈕。

比較一下Scrutinizer更新歷史

Q22:我忘記了我的Scrutinizer密碼。我怎麼如何處理?

注意:必須從Scrutinizer伺服器執行這些命令。

[USERNAME]是要修改的Scrutinizer用戶帳戶的名稱。執行該命令時,它將提示輸入新密碼,然後重新輸入。

在安裝Scrutinizer本機中,從[homedir]\bin\ directory:命令提示符下輸入以下命令:

版本16.7

scrut_util.exe – set password webui [USERNAME]

版本7.x到16.3

scrut_util.exe -reset_admin_password [USERNAME]

Q23:如何在Scrutinizer設置SSL?

需要此條件使用SSL支援的安裝程式的用戶。請聯繫我們獲取SSL安裝程式。

Q24:Scrutinizer可以在虛擬環境中運行嗎?支援哪些管理程式?

當然可以。目前我們提供可部署在VMware,Hyper-V 2012+和KVM。您可以在“ 安裝選項”頁面上查看更多詳細訊息。

注意:與任何虛擬化環境一樣,當您的伺服器資源在多個虛擬機之間分配使用時,您的性能可能會急劇下降。

Q25:如何更新Scrutinizer?

查看https://forums.plixer.com/viewtopic.php?f=15&t=2544#p9095以更新Windows上的Scrutinizer。

查看https://forums.plixer.com/viewtopic.php?f=15&p=9127#p9127以更新Scrutinizer虛擬設備。

對於硬體設備(僅國外銷售),請聯繫技術支援進行升級。

如果您遇到麻煩,請發送到https://forums.plixer.com 或洽易璽科技尋求技術支援。

Q26:如何設定第三方的整合環境?

查看“ 附加整合(Additional Integration )頁面了解有關Scrutinizer中可用的第三方整合的更多訊息。

Q27:為什麼即使我在Windows中正確配置了DNS,我的IP也無法解析?

注意:這僅適用於Scrutinizer v16.3 +的Windows安裝(註:台灣未發行此版本)

在某些情況下,Scrutinizer可能無法正確解析IP地址。當存在多個具有不同記錄的DNS伺服器時,通常會發生這種情況。為了解決這個問題,Scrutinizer允許您在文件中指定DNS伺服器,而不是從Windows註冊表中獲取設置。步驟概述如下:

  1. 在名為dns.conf的\ scrutinizer \ html目錄中建立一個文件。
  2. 使用記事本等文字編輯器打開此文件。
  3. 使用以下格式在文件中建立DNS伺服器列表。
nameserver 192.168.1.1 
nameserver 166.186.184.2 
nameserver 224.39.1.171

現在您已經建立這個文件,您應該可以進入Scrutinizer Web界面並正確進行查看。

Q28:可以做些什麼來加速Scrutinizer的界面?

如果您遇到性能不佳或認為界面運行緩慢,請聯繫我們的支援團隊與代理商。他們知道許多改進安裝的方法,可以滿足您的系統性能需求。

Q29:我想將我的資料庫密碼從預設更改為更安全的密碼。除了在資料庫中設置密碼之外還有什麼我需要做的嗎?

在16.7版中執行

scrut_util ([HOMEDIR]\Scrutinizer\bin\scrut_util.exe). From the SCRUTINIZER> command line run <set password rootdb>

在16.3及更早版本中,您需要使用scrut_util.exe透過CLI更新MySQL Root密碼:

[HOMEDIR]\Scrutinizer\bin\scrut_util.exe -reset_mysql_password

**警告**此命令將改變Scrutinizer和/或用戶存取資料的方式。請謹慎使用。

Q30:哪裡可以找到Scrutinizer手冊?

以下是Scrutinizer手冊的線上副本供審閱。

Q31:我怎麼知道我需要多少硬碟空間?

使用NetFlow頻寬和硬碟消耗計算器來確定NetFlow資料量將消耗多少硬碟空間。

Q32:為什麼我的Juniper流量資料中的DSCP值錯誤?

在Juniper JunOS 11.2R4中,通過JFlow進行的DSCP報告存在問題。您有時可能會在Scrutinizer中看到意外的DSCP值。請使用Wireshark將您在Scrutinizer中看到的內容與您的Juniper設備在流量資料封包中匯出的內容來進行比較。

Q33:如何將第二個NIC加到Scrutinizer虛擬設備?

  1. 將第二個NIC安裝到ESX(i)主機中
  2. 使用vSphere,將第二個NIC分配給Scrutinizer VM
  3. 登錄Scrutinizer CLI並使用正確的網路設定建立/etc/sysconfig/network-scripts/ifcfg-eth1檔案。您可以使用ifcfg-eth0配置作為示例,因為不會自動建立ifcfg-eth1檔案。
  4. 使用以下命令重新啟動網路:service network restart

Q34:我在哪裡可以找到更改日誌?

每個安裝都包含scrutinizer / files中的changelog.txt,其中概述了所有錯誤修復。您還可以在https://www.plixer.com/support/updates/在線上查看更改日誌。

如何防止NetFlow Export 風暴?

在測量NetFlow 流量時,我們通常說每秒/數千個流量。該數據通過UDP從網路基礎結構導出到NetFlow收集器。這導致巨大的資料流量,其數量與NetFlow監控設備觀察到的唯一流量的量成比例。收集所有這些資料而不遺失封包可能是一個真正的挑戰,但通過一些基本的調整和高性能工具如Scrutinizer,可以實現完美的流量收集。

何時匯出NetFlow數據?

流量資料保存在流量暫存中,而對話仍然被處理流量的網路設備視為活動的。通常,您可能會發現自己將行輸入流量設定,例如“cache timeout active 60”或“cache timeout inactive 15”。這些命令用於定義如何確定流完整併準備匯出到Scrutinizer。如果連接始終處於活動狀態,則“活動超時”值將在指定的時間量後結束流量並開始新記錄,指示在匯出流量的最後一個封包之後多長時間開始“非活動值”設置計時器。這種類型的暫存適用於NetFlow 收集,因為它擴展了NetFlow的匯出。

流量資料的性能監視可能需要您設定週期暫存。在此設定中,無論任何單個流量的間格時間如何都會定期匯出所有流量資料。雖然在性能監視中收集某些數值是必需的,但這種類型的流量暫存可能很危險,因為它會立即轉儲存為完全流量暫存。這可能會導致大量Flow或IPFIX資料風暴(Storm)通過您的網路流向您的netflow收集器。可以通過設定“Spread”間隔來控制此行為。Spread間隔管控每幾秒的時間匯出暫存流量,從而減少預設行為的突發。在一個實例中,我們在現場觀察到具有數百個相同配置的設備的環境,所有設備都同步匯出而未配置傳播間隔。沒有收集大量的流量資料,因為它無法通過網路。請記住,NetFlow / IPFIX是UDP,因此當丟棄該封包時,來源不知道要重新傳輸。

如何防止NetFlow Export 風暴?

可以在效能監視器設定中開啟匯出Spread在套用在監視器的介面之前或直接透過Service Policy。

Conf t
Flow monitor type performance-monitor [name of monitor]
Cache type synchronized
Cache timeout synchronized [seconds until synchronized export] export-spread [amount of time in seconds to spread flows over]
End

在基本設定中,使用60秒作為同步匯出和15秒作為匯出Spread是安全的。這仍然會每分鐘終止流量和維持與Scrutinizer’s Atomic Flow估算在一分鐘的間隔,同時以15秒的間隔傳輸流量資料以防止流量風暴。有關詳細訊息,您可以參考此主題的思科檔案。

Scrutinizer 能消化每秒數百萬的流量在大型群簇環境設定中,並且採用匯出spreading等策略對於維護收集這些資料量所需的網路性能至關重要。如果您對Scrutinizer實例中的MFSN值有疑問或正在透過NetFlow部署,請聯繫我們Plixer支援團隊 (易璽科技 )。Plixer與世界各地的團隊合作,幫助在大容量環境中利用Netflow資料。

Scrutinizer 提供永久免費版本,若有興趣想要了解完整的功能,歡迎在此申請下載

Scrutinizer 快速安裝指南

本指南將回顧部署所需的內容以及成功完成部署所需的步驟。

(如果要在Hyper-V上進行部署或希望了解有關部署過程的更多詳細訊息,請查看我們的“詳細手冊”)。

在開始之前,您需要從Plixer獲取OVF和授權,或者在此處申請評估授權(評估將使用eval許可證進行部署),因為我們需要在部署後將授權輸入於webUI。

確保在部署期間準備好分配給Scrutinizer的IP地址是沒問題的。(我們建議您為Scrutinizer虛擬機NIC提供靜態MAC地址,因為這樣可以防止電腦ID發生變化並防止授權問題發生。)

Scrutinizer虛擬設備需要至少100GB的硬碟空間,16GB的RAM和1個帶4個核心的CPU。

您將從Scrutinizer VA中獲得的性能取決於其部署的硬體和分配給VA的資源。

建議專用於而不是共享分配給Scrutinizer虛擬機的所有資源。這對於Scrutinizer資料存儲區尤為重要。在具有大量NetFlow資料的環境中,Scrutinizer將需要專用資料存儲。建議將Scrutinizer硬體設備用於具有極高流量的部署,因為它們旨在處理最高流量。

現在我們知道了我們需要什麼,讓我們動手進行部署Scrutinizer吧!

在ESXi上Scrutinizer OVF 的詳細部署:

1.下載最新的Scrutinizer 虛擬設備版本。您可以按照我們之前討論過的評估連結或聯繫我們的OVF代表來完成此操作。

2.使用VMware vSphere或vCenter連接到要部署Scrutinizer虛擬設備的ESX主機。

3.從檔案(位於左上角)>部署OVF模板。

4.選擇“本地文件”並瀏覽到下載的Scrutinizer OVF文件和Scrutinizer VMDK文件,然後單擊“下一步”。

5.為您的Scrutinizer VA命名,然後按“下一步”。

6.如果尚未選擇主機,請選擇要部署的ESX,然後按“下一步”。

7.查看虛擬機的詳細訊息,然後按“下一步”。

8.選擇資料存儲,將硬碟格式設置為“Thin Provision”,然後按“Next”。

注意:請務必閱讀“優化Scrutinizer數據存儲”部分以獲得最佳性能和收集率。

9.選擇Scrutinizer虛擬設備要使用的網路。

10.將顯示您選擇的選項的摘要。單擊“完成”,它將導入Scrutinizer虛擬設備。這可能需要一些時間,所以可以去喝個咖啡然後回來再繼續。

11.在啟動Scrutinizer虛擬機之前,為授權目的設置靜態MAC地址非常重要。右鍵單擊Scrutinizer VM並選擇“編輯設置…”

12.選擇Network Adapter,將MAC地址設置為手動,輸入唯一的MAC地址,然後繼續執行下一步。

13.下一步是為Scrutinizer虛擬機分配和專用資源。出於評估目的,Scrutinizer OVF獲得4CPU 4核,16GB RAM和100GB磁碟空間。

部署Scrutinizer虛擬設備時,建議增加資源以滿足本文前面列出的建議系統要求。由於所有安裝都會有所不同,因此可能需要更多資源。

從“虛擬硬體”選項卡開始,根據需要增加RAM,CPU和硬碟(有關詳細訊息,請參閱系統要求部分)。

14.接下來,導航到“資源”選項卡。在“CPU和RAM”下,將“共享”值設置為“高”,並將“預留”最大值設置為專用於虛擬機的資源量。現在按“確定”。

注意:下面的螢幕截圖中的RAM量位於小型測試ESX伺服器上,因此它與生產安裝不匹配。

15.右鍵單擊Scrutinizer虛擬機並打開電源。

16.單擊控制台預覽窗口,然後選擇“打開遠程控制台”。將打開一個新窗口,然後您可以使用root / scrutinizer登錄Scrutinizer虛擬設備。

注意:伺服器將執行快速設置並立即重新啟動。

17.再次登錄伺服器並回答問題。按“Enter”鍵,伺服器將重新啟動以套用必要的設置。

18.現在,在Web瀏覽器中登錄Scrutinizer Web界面並輸入必要的授權密鑰。

安裝適用於ESXi的WMware Tools:

別擔心,我們剛剛完成!

打開電源並完成初始Scrutinizer配置後,您可以(可選)在設備上安裝VMware Tools。您需要這些工具才能正常關閉Scrutinizer並防止損壞。

預設情況下不安裝VMware Tools,因為每個版本的ESX都安裝不同的VMware Tools軟體套件。或是您可以從command line 執行:

1.使用您在初始部署中設置的密碼以“plixer”用戶身份登錄設備。

2.在Scrutinizer交互式提示符中,鍵入以下命令:

“scrut_util.exe”

‘enable vmwaretools’

3.然後,該工具將顯示終端中的檔案。

4.你完成了!您將能夠在摘要選項下查看vSphere中設備的詳細訊息。

有什麼問題嗎?請隨時聯繫我們尋求幫助並立即開始安裝吧。

Scrutinizer 提供永久免費版本,若有興趣想要了解完整的功能,歡迎在此申請下載

Scrutinizer 常見問題之二

Q7。Scrutinizer的試用版是否可用於評估使用?

當然可以。下載免費版的Scrutinizer後,您可以通過填寫此表單獲得評估授權以試用完整版本。

Q8。Scrutinizer免費版和商業版之間有什麼區別?

Scrutinizer事件反應系統的商業版本包括Flow Analytics附加模組,該模組可增加歷史資料保留和網路行為分析。

Q9。系統要求是什麼?

Scrutinizer的系統要求在此處詳述。

Q10。如何在路由器/交換機上啟用NetFlow或sFlow?

請參考我們編制的完整的指令列表,用於在不同的路由器和交換機上配置NetFlow,IPFIX和sFlow

Q11。如何確定我的Cisco設備是否支持NetFlow?

查看Cisco IOS NetFlow簡介,了解您是否擁有NetFlow兼容的Cisco路由器或交換機。

Q12。如果我需要Scrutinizer不支援的功能怎麼辦?

在Plixer,我們知道我們的平台需要靈活。如果您想要增加功能,請點擊這裡來了解我們的專業服務與您一起合作。

Q13。Scrutinizer是否支持其他語言?

Scrutinizer目前支持以下語言; 繁體中文,簡體中文,英語,法語,德語,日語,韓語,葡萄牙語,俄語和西班牙語。

Q14。啟用NetFlow是否會影響路由器/交換機的性能?

有關如何啟用NetFlow影響Cisco路由器或交換機性能的詳細信息,請查看NetFlow性能分析白皮書[PDF]

Q15。Scrutinizer在收集流量到產出圖表大約需要等多久?

基本上不到5分鐘甚至更快。請確保在路由器或交換機上正確配置NetFlow

Q16。為什麼某些Port標記為lflndex3或僅標記為1,2,3等?

如果Port未回應Scrutinizer發送的SNMP請求,則會發生這種情況。打開列出所有界面的SNMP視圖,然後點擊「更新」按鈕。請在“Scrutinizer手冊”中查看“Device Details View ”。

Plixer

Plixer與合作夥伴的解決方案

Cisco 解決方案整合簡介

Plixer很榮幸成為思科的首選解決方案合作夥伴,思科是全球IT和網路領域的領導者。Scrutinizer專注在從思科解決方案匯出的Flow和Matedata上,確保整個環境中呈現最佳上下文資料和可見性。對於具有異構網絡的組織,Scrutinizer將這些思科與網路上其他供應商設備的匯出的Flow結合數據來呈現視覺化分析。

[下載完整PDF電子檔]

Gigamon解決方案簡介

當出現問題時,無論是與設備,應用程式或安全相關的IT團隊都需要更好的洞察力和上下文,以便發現不需要的行為或惡意的行為。換句話說,他們需要Scrutinizer。與Gigamon GigaSECURE Security Delivery Platform配合使用時,Scrutinizer可提供快速了解根本原因與分析所需的取證資料並協助選擇最佳行動方案,可縮短解決問題的時間。

[下載完整PDF電子檔]

Palo Alto Networks解決方案簡介

PaloAltoNetworks®使用industry standard protocol安全分析透過Plixer NetFlow提供前所未有的用戶名和應用程式使用訊息的視覺化資料。用Plixer Scrutinizer系統收集並分析NetFlow,IPFIX和sFlow,以便進行監控在法律取證調查時提供上下文詳細訊息。

[下載完整PDF電子檔]

 

Ixia解決方案簡介

Ixia網路可視性解決方案與Plixer Scrutinizer事件反應系統相結合,有助於確保客戶不斷線或降低用戶體驗。Ixia NVS在客戶資料中心的所有實體和虛擬存取點提供分接點並提供客制的監控數據來源的分析工具。

[下載完整PDF電子檔]

Endace解決方案簡介

Scrutinizer和EndaceProbes一起提供獨特的強大Flow和封包分析解決方案,可加速識別、調查和解決安全威脅以及網路和應用程式性能問題。

[下載完整PDF電子檔]

 

Scrutinizer 提供永久免費版本,若有興趣想要了解完整的功能,歡迎在此申請下載

利用 Scrutinizer 縮短遭受網路攻擊時的反應時間

在網路攻擊期間,必須手動破譯大量安全數據來尋找相關訊息會花費很多時間,浪費金錢和失去客戶信任。 網路和安全智慧平台可大大地提高基礎架構的價值,顯著縮短反應時間並實現自動化數據報告和反應。

利用Scrutinizer 的智慧平台從流量Netflow來分析網路和安全更有效率來尋找問題會更有用。

Scrutinizer 提供永久免費版本,若有興趣想要了解完整的功能,歡迎在此申請下載

使用NetFlow監控BYOD設備

由於增加的網路負載以及它們可能帶來的新安全風險,使用Netflow監控BYOD正成為大多數人的網路的一個大問題。在這篇中,希望能夠闡明思科最近推出的一些新功能,以幫助跟踪網路上的行為。

思科無線NetFlow:

由於大多數進入網路的BYOD都可能連接到您的無線網路,因此思科採用AVC指標導出NetFlow。這允許我們使用Cisco ISE 或Active目錄通過MAC地址,SSID,接入點甚至用戶名稱追踪用戶的設備。以及查看有多少主機連接到每個SSID或AP。這使其在性能和安全空間都有益。

應用程式感知NetFlow:

獲取用戶/主機連接的用戶名和IP非常好,但應用程式訊息更好。截至2014年11月,NetFlix消耗了35%的互聯網流量(來源)。這導致企業網路的強力推動來監控網路,尤其是在頻寬非常昂貴的遠距辦公室。使用我們的思科WLC中的NetFlow以及從ISE給我們的指標,我們可以輕鬆地深入研究這個並抓住罪魁禍首!

除了捕捉非工作行為之外,您還可以幫助阻止一些辦公室盜版者在網路上下載受版權保護的資料。現在,我們可以輕鬆快速輕鬆地捕獲Bit Torrent流量或任何可疑流量,並輕鬆降低您的MTTK(平均知曉時間)並幫助解決您可能遇到的任何網路問題。

正如您從上圖中看到的那樣,列出了可疑IP以及登錄用戶,現在允許我們使用Cisco ISE integration在NetFlow收集器的GUI內從無線IP中踢出它們。

正如您所看到的,監控BYOD已經發生了相當大的變化,從跟踪網路中的MAC地址和將多維數據集轉移到多維數據集的過程中,試圖讓某人下載大文件。由於身份服務並使用戶意識到他們的流量正在被監控和看到,現在它變得更加容易。如果您在網路上設置監控BYOD有任何疑問或需要任何幫助,請隨時與我們聯繫!

從NetFlow報告查看監控的BYOD流量

大多數公司都認為BYOD(自帶設備)可以讓企業從員工中獲得更高的生產力。正因為如此,移動工作者正在崛起,它正在創造一個新的IT挑戰。IDC Health Insights項目主管Lynne Dunbrack表示,“某些自帶設備策略會帶來一定的安全風險:例如,將移動惡意軟體引入醫院網路”。一些擁有BYOD的醫院正在限制BYOD設備僅限互聯網接入。為什麼?

“在過去一年裡,BYOD確實成為我們日益增長的問題,”北卡羅來納州Rex Healthcare的高級網路架構師Bryan Safrit在一份聲明中表示。“我們看到的更多流量來自iPhone,iPad和Android設備。如果沒有區分用戶和執行政策的能力,我們的BYOD流量可能會超過我們的頻寬。“雇主如何確保流量的增加實際上與工作相關?而且,公司如何保護自己免受工作場所BYOD爆炸流量帶來的固有風險?這是一個棘手的問題。首先讓我們了解問題。

儘管生產力有所提高,但一些員工喜歡在Scrabble上回應他們,或者回應個人Skype消息等。在過去,公司可以查看電話費,以查看員工當天是否正在撥打或接聽過多的個人電話。今天,這並不是那麼容易,尤其是當像Facebook.com這樣的網站通過SSL連接輕易連接angrybirds遊戲時:https://apps.facebook.com/angrybirds/。

我到目前為止追踪BYOD設備的一些最佳方法是使用NetFlow,sFlow或IPFIX數據:

  • 過濾MAC地址。具體而言,可以使用供應商ID。
  • 過濾專門為無線設備預留的子網
  • 與Cisco ISE或Enterasys Mobile IAM整合

過濾MAC或IP地址:

在使用無線網路時,我們當然可以要求員工管理自己的行為。但是,我們仍然需要使用網路流量報告工具檢查流量,例如NetFlow Analyzer,它可以過濾MAC地址的供應商ID(例如iPhone):

上面報告中的更改以查看過濾後的MAC地址訪問的主要網域可能會生成BYOD流量報告解決方案,其中包含以下信息:

當發現違規者時,對不當行為施加後果,並且在員工之間傳播消息。如果管理員想要查看用戶已在網路上驗證了多少設備,則許多防火牆(例如Cisco ASA,Palo Alto Networks,SonicWALL)支持NetFlow或IPFIX並在其導出中提供用戶名。如果不這樣做,這些流量出口可以與Microsoft Active Directory服務器,Cisco ISE或Extreme Mobile IAM相關聯,以收集用戶名稱與詳細信息。

與Cisco ISE或Enterasys Mobile IAM整合

Extreme Mobile IAM解決方案還可用於跟踪BYOD。這些系統確定設備的類型(例如iPhone,Android,筆記本電腦等),並考慮在網路上進行身份驗證的用戶名,然後將策略下推到將處理設備通信的網路上的交換機。這種類型的BYOD流量監控允許管理員跟踪BYOD設備甚至對它們進行分組:

深入了解上面的操作系統,找到誰在驗證這些設備以及他們產生了多少流量。

Scrutinizer 常見問題之一

Q1:什麼是NetFlow?

Cisco®NetFlow技術是Cisco IOS路由器和高階交換機(例如6500系列)中的嵌入式功能。NetFlow數據記錄包括關於來源和目標地址的訊息,以及End-to-End conversation中使用的protocols和Ports。Scrutinizer使用此訊息產生成Flow模式和頻寬使用率的圖表和報告。更多訊息可以在這裡找到(英文)。

Q2:什麼是sFlow?

將多個conversation streams 包裝為單一個封包與NetFlow不同,sFlow是Flow的資料封包樣本。雖然它提供100%的資料封包,但嚴格用於IP計費時,它是不可靠的。更多訊息可以在這裡找到(英文)。

Q3。什麼是IPFIX?

NetFlow最初由思科實施並在“informational”檔中描述,該檔案不在IETF的標準上。NetFlow protocol 本身已被 Internet Protocol Flow Information eXport(IPFIX)取代。更多信息可以在這裡找到(英文)。

Q4。IPFIX如何與NetFlow和sFlow相關?

IPFIX是NetFlow v9的演變。IPFIX與NetFlow和sFlow的不同之處在於它允許指定供應商ID,從而供應商可以在Flow中打包專有訊息並匯出他們想要的任何細節。例如,傳統上使用Syslog發送或透過SNMP收集的相同詳細訊息可以在IPFIX中匯出。

此外,IPFIX允許變更長度字段。如果要匯出HTTP主機,URLs或防火牆資訊等詳細訊息,這將非常有用。

Q5。思科是唯一支持NetFlow的供應商嗎?

NetFlow技術由思科發明,Cisco IOS設備提供NetFlow相容性。除Cisco之外的許多供應商都提供類似的網路流量監控技術 Scrutinizer 在單一平台上執行所有Flow技術的收集,威脅檢測和報告。

點擊此處了解有關NetFlow的不同版本的更多詳細訊息(英文)。

Q6。NetFlow與MRTG等流量分析器有何不同?

MRTG和其他此類等效工具提供的訊息主要限於SNMP統計訊息。NetFlow更適合應用程式等級的詳細訊息,例如hosts, protocols, 和conversations, ,這些是IP流量的固有部分。

Plixer