新增 NTA 來源時,請考量以下操作:

  • 檢閱網站的政策目標,並詢問流量或 SNMP 傳輸流量統計資料如何滿足這些目標。
  • 瀏覽 [NTA 來源資料庫],找到已經完成流量匯出設定但尚未啟用的裝置。
  • 查看 [NTA 來源資料庫] 以瞭解可供使用的數據(例如流量、SNMP、NBAR)。
  • 確定流量匯出或 SNMP 已經設定並可在來源裝置上使用。

辨識重要路徑及潛在來源裝置

瞭解監控的目的有助您辨識目標來源裝置。

裝置

目的

ISP 的閘道器
  • 測量 WAN 傳輸流量移動。
  • 應用程式層級傳輸流量分析。
  • SLA 及上線時間稽核。
  • 根據應用程式、地理區域及網域追蹤傳輸流量。
  • 異常追蹤、鑑識及診斷。

WAN 和 LAN 路由器以及重要網路介面和連接埠。
  • 容量規劃。
  • 驗證在交換器實作的傳輸流量規則。
  • 異常追蹤、鑑識及診斷。

代理伺服器主機、重要服務及前端節點的入口及出口網路介面。
  • 驗證 IP 規則/傳輸流量。
  • 容量規劃。
  • 驗證負載平衡器功能。
  • 異常追蹤、鑑識及診斷。

防火牆考量

找出 Network Traffic Analysis 的潛在來源後,應考慮該裝置與其他網路裝置(尤其是執行網路位址轉譯 NAT 功能的裝置)的相對位置。內部(專屬)IP 位址收發的傳輸流量,在匯出的 NetFlow 資料中有不同回報方式,依來源裝置與執行 NAT 的裝置相對位置而定。

  • 若裝置在防火牆保護範圍內或沒有防火牆,匯出的流量資料,就會包含產生及接收傳輸流量的裝置內部 IP 位址。如此即可找出傳輸流量屬於內部網路中的哪台裝置。
  • 若裝置在防火牆保護範圍外,則匯出的流量資料,將統整內部裝置所有的出入傳輸流量,並回報為單一公用位址,屬於執行位址轉譯功能的裝置。在此狀況下,您只能判斷內部裝置是產生傳輸流量還是接收傳輸流量,無法指出傳輸流量屬於哪台內部裝置。
  • 若匯出流量的裝置也執行 NAT 功能,您可將裝置設定成以專屬還是公用的轉譯位址匯出流量資料,模擬以上的兩種狀況。若要查看內部 IP 位址,請將裝置設定成匯出內部網路介面的入口出口資料。若要查看以外部轉譯 IP 位址回報的所有傳輸流量,請將裝置設定成匯出外部網路介面的入口出口資料。

NAT 及虛擬機器考量

其他可能改變 Network Traffic Analysis 回報資料特性的其他情況包含:

  • 若在來源與目的地之間的路徑上任一點轉譯位址,所回報的 IP 位址會因而變動,加入轉譯後的位址。此舉通常不會造成問題,但可能需要監控多個傳送資料的裝置,才能追蹤複雜網路環境的傳輸流量。
  • 虛擬私有網路和其他通道技術(例如 ESP 或 SSH)看似會使報表失真。Network Traffic Analysis 的報表在這些情況下,會顯示有大批傳輸流量通過少數流量管道。這是正常行為,因為 VPN 和其他通道技術會統整多個連線的傳輸流量,並透過單一連線傳送。