Мониторинг трафика с помощью Netflow: зеркалирование портов или потоковая передача?

Question

Мониторинг трафика с помощью Netflow: зеркалирование портов или потоковая передача?

У нас есть маршрутизатор, который мы должны отслеживать с помощью NetFlow. Маршрутизатор очень важен, поэтому нам не разрешено включать Netflow на самом маршрутизаторе. Вместо этого у него будет включено зеркалирование портов, чтобы оно могло отражать трафик на другое сетевое устройство.

Теперь у нас есть два варианта:

a) Использование программного зонда Netflow на сервере Linux, такого как nProbe, для преобразования зеркального трафика в Netflow

б) Купите другой маршрутизатор и включите Netflow на другом маршрутизаторе для согласования зеркального трафика в Netflow.

Мы знаем, что мы можем сделать (а)

Вопрос: возможно ли это сделать (б)?

что является более эффективным (а) или (б)?

0

netflow ntop port-mirroring

Источник

Max Ivak 21 апр '17 в 12:29

2 ответа

Другие вопросы по тегам netflow ntop port-mirroring

Oliver 21 апр '17 в 13:45 2017-04-21 13:45 · Answer 1 · 2017-04-21 13:45

Покупка другого маршрутизатора не будет работать, потому что маршрутизаторы обычно генерируют записи Netflow только для перенаправленного трафика. Поскольку вы просто хотите, чтобы он смотрел на трафик, фактически ничего не пересылая, это не сработает.

Использование программного зонда может работать, но имейте в виду, что зеркальный трафик не содержит никакой информации, кроме самого трафика. NETflow может содержать информацию об интерфейсе (входящий / исходящий интерфейс), данные маршрутизации (nexthop, ASN и т. Д.) И другие полезные вещи, которые программный зонд не может узнать, просто взглянув на трафик.

Если вам просто необходимо выполнить некоторые базовые учетные записи трафика, возможно, достаточно программного зонда, но это действительно зависит от вашего варианта использования.

Mika Wolf 13 июл '17 в 12:48 2017-07-13 12:48 · Answer 2 · 2017-07-13 12:48

Рассматривали ли вы использование сетевых отводов, таких как продукты TAP от Ixia, вместо зеркалирования портов?

TAP - это устройство пассивного разделения, размещаемое между двумя сетевыми устройствами и обеспечивающее соединение для мониторинга. TAP дублирует весь трафик и направляет его на устройство мониторинга, устройство получает весь трафик, как он был встроен, включая ошибки.

Основные различия между сетевым TAP и зеркалированием портов:

TAP перехватывает все данные на проводе, включая ошибки, при зеркалировании портов эти пакеты будут отбрасываться.
TAP не зависит от насыщения полосы пропускания.
TAP прост в установке, зеркалирование портов требует вмешательства инженера.
TAP более безопасен, его нельзя взломать, зеркалирование портов уязвимо.
Зеркалирование портов является хорошим способом захвата трафика на нескольких портах одновременно.
Портовое зеркалирование дешевле.