Назад | Перейти на главную страницу

Мониторинг трафика с помощью Netflow: зеркалирование портов или потоковая передача?

У нас есть роутер, который нужно отслеживать с помощью NetFlow. Маршрутизатор очень важен, поэтому нам не разрешено включать Netflow на самом маршрутизаторе. Вместо этого будет включено зеркалирование портов, чтобы он мог зеркалировать трафик на другое сетевое устройство.

Теперь у нас есть два варианта:

a) Использование программного обеспечения Netflow probe на сервере Linux, например nProbe, для преобразования зеркального трафика в Netflow.

б) Купите другой маршрутизатор и включите Netflow на другом маршрутизаторе для согласования зеркального трафика в Netflow.

Мы знаем, что можем (а)

Возникает вопрос: а можно ли сделать (б)?

что более эффективно (а) или (б)?

Вы рассматривали возможность использования сетевые краны как продукты Ixia TAP вместо зеркалирования портов?

TAP - это пассивное разделительное устройство, размещаемое между 2 сетевыми устройствами и обеспечивающее соединение для мониторинга. TAP дублирует весь трафик и перенаправляет его на устройство мониторинга, устройство принимает весь трафик, как если бы он был встроенным, включая ошибки.

Основные различия между сетевым TAP и зеркалированием портов:

  • TAP захватывает все на проводе, включая ошибки, при зеркалировании порта эти пакеты будут отброшены.

  • На TAP не влияет насыщение полосы пропускания.

  • TAP прост в установке, зеркалирование портов требует вмешательства инженера.

  • TAP более безопасен, его невозможно взломать, зеркалирование портов уязвимо.

  • Зеркалирование портов - хороший способ захвата трафика сразу на нескольких портах.

  • Зеркалирование портов дешевле.

Покупка другого маршрутизатора не сработает, поскольку маршрутизаторы обычно создают записи Netflow только для перенаправленного трафика. Поскольку вы просто хотите, чтобы он смотрел на трафик, не пересылая ничего, это не сработает.

Использование программного зондирования может работать, но имейте в виду, что зеркальный трафик не содержит никакой информации, кроме самого трафика. Netflow может содержать информацию об интерфейсе (входящий / исходящий интерфейс), данные маршрутизации (nexthop, ASN и т. Д.) И другие полезные вещи, которые программный зонд не может узнать, просто глядя на трафик.

Если вам просто нужно провести базовый учет трафика, вероятно, будет достаточно программного зондирования, но это действительно зависит от вашего варианта использования.