Test
Besser entscheiden
Fortsetzung des Artikels von Teil 2
Wie es funktioniert
Traditionelle Netflow-Systeme sammeln und definieren Verkehr basierend auf IP-Adressen und TCP/UDP-Ports. Purview hingegen entdeckt, sammelt, dekodiert und prüft Schicht-7-Daten, während es die gewöhnlichen Netflow-Informationen für die jeweiligen Applikations-Flows unverändert lässt. Und während viele andere Analyse-Systeme teure Hardware benötigen, um den massiven Verkehr zu bearbeiten, den Port-Mirrors oder Netzwerk-Taps in den Multi-Gigabit-Segmenten sammeln, kann Purview Millionen von Flows aus dem gesamten Netzwerk mit Multi-Gigabit-Geschwindigkeit analysieren, ohne die Performance der Coreflow2 nutzenden Switching-Hardware zu beeinträchtigen.
Es funktioniert ganz einfach: Zunächst ist die Netzwerk-Hardware (S- oder K-Series-Switches) so einzustellen, dass sie Netflow an eine Purview-Engine weiterleitet. Dies bietet bereits sämtliche Informationen, die in Netflow-v9-Paketen enthalten sind, darunter die Quell- und Ziel-IP-Adressen gemeinsam mit Protokoll- und Paket-Counter-Informationen. Im zweiten Schritt ist dann auf denselben Schnittstellen ein spezieller Policy-Mirror (oder Purview-Mirror) einzuschalten, der die ersten Pakete (0 bis 31, Standard 15) jedes neuen Flows zur Purview-Engine sendet. Die Purview-Engine prüft den Stream und identifiziert per Fingerprinting die jeweilige Applikation. Diese Information kombiniert sie dann wieder mit dem korrespondierenden Netflow-Satz. Der so kombinierte Satz enthält nun also nicht nur IP- und TCP/UDP-Informationen, sondern auch den Applikationsnamen und die Kategorisierung, TCP- und Applikations-Antwortzeiten und Applikations-Metadaten, im Fall von HTTP- oder HTTPS-Verkehr beispielsweise URL-, User-Agent- und SSL-Zertifikats-Informationen.
Extreme Networks sagt, die Purview-Lösung funktioniere in jedem Netzwerk, nicht nur in solchen, die Extreme-Switches einsetzen. Ein Purview-Deployment besteht aus einem Coreflow2-fähigen Gerät im Netzwerk, das die Daten sammelt, der Purview-Engine und Onefabric-Control-Center (worin Netsight enthalten ist). Netzwerke, die bereits mit Switches der Extreme-K- oder -S-Serie arbeiten, unterstützen Purview sofort. Netzwerke, die keine Coreflow2-Switches nutzen, also auch Nicht-Extreme-Netzwerke, benötigen mindestens ein Coreflow2-basiertes Gerät, das irgendwo im Netzwerk installiert wird.
- Besser entscheiden
- Die Brücke von Management zu Analytics schlagen
- Wie es funktioniert
- Lizenzierung & Fazit
Lesen Sie mehr zum Thema
