Mäch­tige Werk­zeuge für die Netz­werk-Admi­nis­tra­tion: Netflow und NBAR

Beim Betrieb eines Netz­werks ist es für den Admi­nis­trator sehr wichtig, den Über­blick über Appli­ka­tionen und den Verkehr im Netz­werk zu behalten. Die Firma Cisco Systems hat bereits im Jahre 1990 mit „Netflow“ ein äusserst mäch­tiges Werk­zeug entwi­ckelt, das bis heute den De-facto-Stan­dard für Traffic-Accoun­ting darstellt und von vielen Herstel­lern adap­tiert wird.
Bei Netflow werden IP-Pakete, die gemein­same IP-Adressen und Ports besitzen, zu einem soge­nannten „Flow“ zusam­men­ge­fasst. Ein Flow ist ein Daten­fluss, der inner­halb einer Appli­ka­tion zwischen zwei Rech­nern anfällt. Diese Flows besitzen weitere Attri­bute wie beispiels­weise die Über­tra­gungs­dauer oder die enthal­tene Daten­menge. Diese Infor­ma­tionen werden übli­cher­weise von Routern im Netz­werk aufge­zeichnet; es gibt jedoch mitt­ler­weile auch Swit­ches, die in der Lage sind, Netflow-Infor­ma­tionen aufzu­zeichnen - wenn auch nicht bis ins letzte Detail. Um diese dezen­tral erfassten Daten histo­risch auswertbar aufzu­zeichnen, kommen Netflow-Kollek­toren zum Einsatz, die die von den Routern erzeugten Flow-Infor­ma­tionen sammeln und aufzeichnen. Netflow-Kollek­toren haben oft tief­ge­hende Analyse- und Filter­me­cha­nismen, die es dem Admi­nis­trator ermög­li­chen, volu­metri­sche Analysen im Netz durch­zu­führen, akute und histo­ri­sche Probleme von Appli­ka­tionen nach­zu­voll­ziehen, Netz­werk- und Server­ka­pa­zi­täten zu über­wa­chen oder gar Anoma­lien wie dDoS-Angriffe oder Viren­in­fek­tionen zu erkennen.

NBAR unter­scheidet zwischen Applikationen

In der aktu­ellen Appli­ka­ti­ons­welt kann oft nicht mehr vom TCP/IP-Port auf eine Appli­ka­tion geschlossen werden. Ein Groß­teil der Appli­ka­tionen setzt auf einen HTTP/SSL-basierten Austausch von Daten, die dann nicht mehr allein über die TCP/UDP-Port­in­for­ma­tion zu unter­scheiden sind. Daher besitzen moderne Router - wie die in den NT/Con­nect-Produkten von NETHINKS einge­setzten ISR4000-Router von Cisco - entspre­chende Analyse-Features, um Zugriffe auf Cloud-Dienste wie Office365 von Zugriffen auf Dienste wie Youtube unter­scheiden zu können. Cisco setzt hier auf das „Network-Based-Application-Recognition“-Feature (aktuell “NBAR2”), das in der Lage ist, auf diese Weise weit über 1.000 Appli­ka­tionen vonein­ander zu unter­scheiden. Die rudi­men­tären Netflow-Accoun­ting-Daten können nun mit diesen deut­lich spezi­fi­scheren Appli­ka­ti­ons­daten ange­rei­chert werden, wodurch die Traf­fi­cana­lyse am Kollektor deut­lich aussa­ge­kräf­tiger und spezi­fi­scher wird.
Ihre Fragen zu tech­ni­schen Details unserer Stand­ort­ver­net­zungs-Lösungen beant­worten unsere freund­li­chen Mitar­beiter gerne persön­lich. Spre­chen Sie uns einfach an!
 
Bild: © Goro­den­koff – Fotolia.com

Schreibe einen Kommentar

Cookie Einstellungen
Diese Website verwendet Cookies, um die bestmögliche Funktionalität zu gewährleisten. Mehr lesen

Akzeptiere alle Cookies Speichern