Test

Besser entscheiden

15. Oktober 2014, 12:15 Uhr | Dirk Jarzyna, Journalist und freier Mitarbeiter der funkschau | Kommentar(e)

Fortsetzung des Artikels von Teil 2

Wie es funktioniert

Traditionelle Netflow-Systeme sammeln und definieren Verkehr basierend auf IP-Adressen und TCP/UDP-Ports. Purview hingegen entdeckt, sammelt, dekodiert und prüft Schicht-7-Daten, während es die gewöhnlichen Netflow-Informationen für die jeweiligen Applikations-Flows unverändert lässt. Und während viele andere Analyse-Systeme teure Hardware benötigen, um den massiven Verkehr zu bearbeiten, den Port-Mirrors oder Netzwerk-Taps in den Multi-Gigabit-Segmenten sammeln, kann Purview Millionen von Flows aus dem gesamten Netzwerk mit Multi-Gigabit-Geschwindigkeit analysieren, ohne die Performance der Coreflow2 nutzenden Switching-Hardware zu beeinträchtigen.

Es funktioniert ganz einfach: Zunächst ist die Netzwerk-Hardware (S- oder K-Series-Switches) so einzustellen, dass sie Netflow an eine Purview-Engine weiterleitet. Dies bietet bereits sämtliche Informationen, die in Netflow-v9-Paketen enthalten sind, darunter die Quell- und Ziel-IP-Adressen gemeinsam mit Protokoll- und Paket-Counter-Informationen. Im zweiten Schritt ist dann auf denselben Schnittstellen ein spezieller Policy-Mirror (oder Purview-Mirror) einzuschalten, der die ersten Pakete (0 bis 31, Standard 15) jedes neuen Flows zur Purview-Engine sendet. Die Purview-Engine prüft den Stream und identifiziert per Fingerprinting die jeweilige Applikation. Diese Information kombiniert sie dann wieder mit dem korrespondierenden Netflow-Satz. Der so kombinierte Satz enthält nun also nicht nur IP- und TCP/UDP-Informationen, sondern auch den Applikationsnamen und die Kategorisierung, TCP- und Applikations-Antwortzeiten und Applikations-Metadaten, im Fall von HTTP- oder HTTPS-Verkehr beispielsweise URL-, User-Agent- und SSL-Zertifikats-Informationen.

Extreme Networks sagt, die Purview-Lösung funktioniere in jedem Netzwerk, nicht nur in solchen, die Extreme-Switches einsetzen. Ein Purview-Deployment besteht aus einem Coreflow2-fähigen Gerät im Netzwerk, das die Daten sammelt, der Purview-Engine und Onefabric-Control-Center (worin Netsight enthalten ist). Netzwerke, die bereits mit Switches der Extreme-K- oder -S-Serie arbeiten, unterstützen Purview sofort. Netzwerke, die keine Coreflow2-Switches nutzen, also auch Nicht-Extreme-Netzwerke, benötigen mindestens ein Coreflow2-basiertes Gerät, das irgendwo im Netzwerk installiert wird.

Anbieterkompass Anbieter zum Thema

zum Anbieterkompass

  1. Besser entscheiden
  2. Die Brücke von Management zu Analytics schlagen
  3. Wie es funktioniert
  4. Lizenzierung & Fazit

Verwandte Artikel

Extreme Networks, Extreme Networks GmbH

Anbieterkompass