Upload
lemien
View
223
Download
0
Embed Size (px)
Citation preview
IsarFlowIsarFlow ÜÜberblickberblick
IT-Symposium 2007, HP User Society
Nürnberg, 19. April 2007
10.04.2007 IsarFlow Überblick Q1/2007 - © 2007 IsarNet SWS GmbH Seite 2
Agenda
• Kurzüberblick IsarNet
• Netflow Grundlagen
• IsarFlow Analyse-Möglichkeiten
• IsarFlow Stärken
IT-Symposium 2007 19.04.2007
www.hp-user-society.de 1
10.04.2007 IsarFlow Überblick Q1/2007 - © 2007 IsarNet SWS GmbH Seite 3
IsarNet
• 1999 Gründung durch 5 erfahrene Netzwerk-Spezialisten
• Sitz in München im Airport Business Center
• Januar 2007: 22 Mitarbeiter, 26 CCIE-Zertifizierungen
���� Umfassendes Netzwerk Know How
ÜÜber unsber uns
IsarNet bietet hoch spezialisierte Beratung (1999), Workshops (1999) und Management-Applikationen (2002), in allen Bereichen des Networking
Netflow GrundlagenNetflow Grundlagen
IT-Symposium 2007 19.04.2007
www.hp-user-society.de 2
10.04.2007 IsarFlow Überblick Q1/2007 - © 2007 IsarNet SWS GmbH Seite 5
Infrastruktur & AnwenderverkehrNetFlowNetFlow
GrundlagenGrundlagen
Infrastruktur->SNMPAnwenderverkehr ??
10.04.2007 IsarFlow Überblick Q1/2007 - © 2007 IsarNet SWS GmbH Seite 6
NetFlow Historie
• Einführung von NetFlow 1998 / IOS™ 11.1(18)CC
• Ursprünglich von Cisco Systems™ als performanter Switching Pfadentwickelt
• NetFlow ist primär eine Layer-3 Technologie
• NetFlow beantwortet die Schlüssel-Fragen zum IP Verkehr:
– Wer macht (IP-Adressen)
– Was (Protokoll / Destination-Port)
– Wann (Zeitstempel)
– Wo (Router-IP & SNMP Interface Index)
– Wie und in (QoS)
– Welchem Umfang ? (Packets & Bytes)
NetFlowNetFlowGrundlagenGrundlagen
IT-Symposium 2007 19.04.2007
www.hp-user-society.de 3
10.04.2007 IsarFlow Überblick Q1/2007 - © 2007 IsarNet SWS GmbH Seite 7
Was ist ein Flow ? (I)
Ein Flow wird definiert durch 7 Header-Eigenschaften eines IP-Packetes :
– Source IP Address
– Destination IP Address
– Source port
– Destination port
– Layer 3 Protocol
– TOS byte
– Input interface (ifIndex)
Flow Cache
Paket & Byte Zähler werden mit jedemPaket erhöht
NetFlowNetFlowGrundlagenGrundlagen
10.04.2007 IsarFlow Überblick Q1/2007 - © 2007 IsarNet SWS GmbH Seite 8
No. Bytes Contents Description1 0–3 srcaddr Source IP address2 4–7 dstaddr Destination IP address3 8–11 nexthop IP address of next hop router4 12–13 input SNMP index of input interface5 14–15 output SNMP index of output interface6 16–19 dPkts Packets in the flow7 20–23 dOctets Total number of Layer 3 bytes in the packets of the flow8 24–27 First SysUptime at start of flow9 28–31 Last SysUptime at the time the last packet of the flow was received
10 32–33 srcport TCP/UDP source port number or equivalent11 34–35 dstport TCP/UDP destination port numberor equivalent12 36 pad1 Unused (zero) bytes13 37 tcp_flags Cumulative OR of TCP flags14 38 prot IP protocol type (for example,TCP=6; UDP=17)15 39 tos IP typeof service (ToS)16 40–41 src_as Autonomous system number of the source, either origin or peer17 42–43 dst_as Autonomous system number of the destination,either origin or peer18 44 src_mask Source address prefix mask bits19 45 dst_mask Destination address prefix mask bits20 46–47 pad2 Unused (zero) bytes
NetFlow Cache Einträge enthalten noch etliche weitere EigenschaftenExport Format v5 (aktuell Standard) :
NetFlow Felder
NetFlow Export Format v9 kann bis zu 60 Felder pro Session enthalten
NetFlowNetFlowGrundlagenGrundlagen
IT-Symposium 2007 19.04.2007
www.hp-user-society.de 4
10.04.2007 IsarFlow Überblick Q1/2007 - © 2007 IsarNet SWS GmbH Seite 9
Was ist ein Flow ? (II)
Flows sind immer unidirektional
1 Client/Server – Session = 2 flows
Source IP
Destination IP
Source IP
Destination IP
NetFlowNetFlowGrundlagenGrundlagen
10.04.2007 IsarFlow Überblick Q1/2007 - © 2007 IsarNet SWS GmbH Seite 10
NetFlow Export (I)NetFlowNetFlow
GrundlagenGrundlagen
Inactive Timer • Ein Eintrag wird aus dem Flow Cache entfernt, wenn 15 Sekunden
(Default) lang kein Paket mehr über den Router läuft, was diesem Flow zugeordnet werden kann.
• Sekündlicher Check:ist der inactive timer für Flow Cache Einträge abgelaufen ?� Drop aus Cache & Flow exportieren (wenn konfiguriert)
Flow Cache Einträge
Collector / AnalyzerNetflow Export Paket
(max. 30 flows)
IT-Symposium 2007 19.04.2007
www.hp-user-society.de 5
10.04.2007 IsarFlow Überblick Q1/2007 - © 2007 IsarNet SWS GmbH Seite 11
NetFlow Export (II)NetFlowNetFlow
GrundlagenGrundlagen
• NetFlow Exporte werden via UDP übertragen • UDP Port einstellbar (typisch 9995 oder 2055)• NetFlow Export Formate : v1, v5, v7, v8 und v9
Flow Cache Einträge
Collector / AnalyzerNetflow Export Paket
(max. 30 flows)
10.04.2007 IsarFlow Überblick Q1/2007 - © 2007 IsarNet SWS GmbH Seite 12
Netflow auf Layer 2
Layer-2-Informationen können ausgewertet werden ab IOS / CatOS :
VLAN 21VLAN 20 VLAN 22 VLAN 23= netflow enabled
Analyzer
Ab CatOS 8.1Nur für Sup1A/PFC
Sup2/PFC2(Keine MSFC benötigt)Kein Support für Sup720
Ab IOS 12.2(18)SXENur für PFC3B or PFC3BXL
catos>set mls bridged-flow-statistics enable 23
IOS(config)# ip flow ingress layer2-switched vlan vlan_ID[- vlan_ID] [, vlan_ID[- vlan_ID]]
NetFlowNetFlowGrundlagenGrundlagen
IT-Symposium 2007 19.04.2007
www.hp-user-society.de 6
10.04.2007 IsarFlow Überblick Q1/2007 - © 2007 IsarNet SWS GmbH Seite 13
1998
Platform- & Softwaresupport
SiSiSiSi
GSR 12000
Catalyst 4500
700072007500
36003700
25002600
AS5300AS58004000
45004700
140016001700
Catalyst 500065007600
ESR10000
Cisco IOS™ Software Release Version
11.1CA, 11.1CC11.211.312.012.112.212.312.4
800
NetFlowNetFlowGrundlagenGrundlagen
10.04.2007 IsarFlow Überblick Q1/2007 - © 2007 IsarNet SWS GmbH Seite 14
Standardisierung
• Die IETF Arbeitsgruppe ipfix (IP Flow Information eXchange) hat einenStandard für die Erfassung von IP-Verkehr erarbeitet
• Die von Cisco Systems entwickelte Technologie NetFlow ist bereits von mehreren Herstellern als Defacto-Standard übernommen worden:
http://tools.ietf.org/wg/ipfix/draft-ietf-ipfix-protocol/
• Einen konkurrierenden Ansatz stellt sFlow dar :
NetFlowNetFlowGrundlagenGrundlagen
IT-Symposium 2007 19.04.2007
www.hp-user-society.de 7
Wie profitiert man durch Wie profitiert man durch den Einsatz von den Einsatz von IsarFlowIsarFlow ??
TransparenzTransparenz : was passiert im Netzwerk ?: was passiert im Netzwerk ?
SecuritySecurity : gibt es interne Attacken ?: gibt es interne Attacken ?
QoSQoS : ausf: ausfüührliches Monitoringhrliches Monitoring
AccountingAccounting : wer verursacht welche Kosten ?: wer verursacht welche Kosten ?
10.04.2007 IsarFlow Überblick Q1/2007 - © 2007 IsarNet SWS GmbH Seite 16
Link Transparenz : SNMPTransparenzTransparenz
Welche Informationen liefert Ihr SNMP Netzwerk-Management ?„Eine Hohe Last auf der Leitung“ – keine wirklich neue Information !
Auf einer Leitung gibt es Probleme mit SAP :
??????
IT-Symposium 2007 19.04.2007
www.hp-user-society.de 8
10.04.2007 IsarFlow Überblick Q1/2007 - © 2007 IsarNet SWS GmbH Seite 17
Link Transparenz : IsarFlowTransparenzTransparenz
Welche Informationen liefert Ihnen IsarFlow ?
Auf einer Leitung gibt es Probleme mit SAP :
………
………
0.8415.23 MBSNMP
1.4426.14 MBEPMAP
1.6930.62 MBHTTPS
2.9253.06 MBSOCKS
3.6666.53 MBRTP-AUDIO
4.3779.36 MBNCP
7.39134.20 MBGRE
19.19348.50 MBSAP
20.85378.62 MBNETBIOS-NS
35.10637.54 MBWWW-HTTP
%ByteProtocol
No. Source Destination Protocol Byte Percentage1 193.27.112.2 10.5.29.102 WWW-HTTP 128.97 MB 7.18 2 64.236.34.196 10.5.29.85 WWW-HTTP 87.79 MB 4.89 3 10.5.65.164 10.120.97.164 SAP 73.62 MB 4.10 4 10.120.97.164 10.5.65.164 RTP-AUDIO 65.02 MB 3.62 5 10.5.254.25 10.120.254.3 GRE 64.52 MB 3.59 6 209.61.191.11 10.5.29.72 WWW-HTTP 56.02 MB 3.12 7 10.5.254.9 10.120.254.3 GRE 52.56 MB 2.93 8 10.120.97.164 10.5.29.34 SAP 47.49 MB 2.65 9 194.138.38.22 10.5.29.102 WWW-HTTP 32.05 MB 1.79 10 10.5.29.34 10.120.97.164 SAP 25.95 MB 1.45 11 10.120.106.250 10.5.67.36 SAP 24.81 MB 1.38 12 193.225.54.240 10.5.29.114 WWW-HTTP 24.60 MB 1.37 13 10.120.97.159 10.5.65.161 NCP 23.43 MB 1.30 14 10.5.65.161 10.120.97.159 NCP 21.88 MB 1.22 15 10.92.161.30 10.88.36.33 SAP 20.31 MB 1.13 16 10.5.65.110 10.120.104.242 SOCKS 16.78 MB 0.93 17 10.5.65.110 10.120.106.247 SOCKS 16.66 MB 0.93 18 10.92.161.25 10.5.67.167 SAP 15.04 MB 0.84 19 10.120.104.244 10.5.67.8 NETBIOS-SSN 13.34 MB 0.74 20 204.157.3.229 10.5.29.72 WWW-HTTP 13.26 MB 0.74
sum 824.10 MB 45.91total traffic 1.75 GB 100%
Top SessionsView: WAN link Shanghai
There were no filters selected8/13/2004 00:55 - 23:55
10.5.29.10210.5.29.102
10.5.29.8510.5.29.85
HTTPHTTP
10.04.2007 IsarFlow Überblick Q1/2007 - © 2007 IsarNet SWS GmbH Seite 18
Wer benutzt die Hauptanwendungen (bezogen auf die Volumina) ? PlanungPlanung
Rechenzentrum ParisRechenzentrum Paris
VPN USVPN US
MarketingMarketing
VertriebVertriebProduktion Produktion AsienAsien
IsarFlow erlaubt beliebige “View“ Definitionen-basierend auf physikalischenInterfaces oder IP Adressenbzw. Subnets
IT-Symposium 2007 19.04.2007
www.hp-user-society.de 9
10.04.2007 IsarFlow Überblick Q1/2007 - © 2007 IsarNet SWS GmbH Seite 19
Kommunikations Matrix
637.76 MBSumme der Bytes:
0.00 B18.39 KB257.13 MB0.00 B2.84 MB308.65 KBRestverkehr
4.19 MB0.00 B0.00 B0.00 B499.03 KB 0.00 BIsarNet-office
56.25 MB0.00 B9.87 KB 0.00 B277.74 KB 65.43 MB Office
0.00 B0.00 B0.00 B0.00 B0.00 B0.00 BMgmt
36.50 MB0.00 B248.00 B 0.00 B0.00 B6.75 KB Server
2.73 MB0.00 B190.90 MB 0.00 B20.71 MB 0.00 BProd
RestverkehrIsarNet-officeOfficeMgmtServerProdSender / Empfänger
ServerProduction
Office
Mgmt
Passt die aktuelle Infrastruktur zu den Datenströmen ?Macht eine Server-Zentralisierung Sinn ?…
PlanungPlanung
Anteil an dargestellter Bytesumme
90% - 100%
80% - 90%
70% - 80%
60% - 70%
50% - 60%
40% - 50%
30% - 40%
20% - 30%
10% - 20%
< 10%
10.04.2007 IsarFlow Überblick Q1/2007 - © 2007 IsarNet SWS GmbH Seite 20
SecuritySecuritySecurity
Security Alarm report
IsarFlow untersucht alle IP Adressenim Netz einmal pro 5 Minuten-Intervallund schickt Reports bei auffälligemVerhalten
IT-Symposium 2007 19.04.2007
www.hp-user-society.de 10
10.04.2007 IsarFlow Überblick Q1/2007 - © 2007 IsarNet SWS GmbH Seite 21
Hilfe bei der Einführung von QoSQoSQoS
Stellen Sie QoS-Konzepte mit Daten aus Ihrem Netz zusammen :
• Welche Volumina pro Anwendung gibt es ?• Gibt es Lokations-typischen Verkehr ? => Design der QoS policies !• In welchen Bereichen wird VoIP verwendet ?
* Eine Anwendung wird durch eine Farbe identifiziert
10.04.2007 IsarFlow Überblick Q1/2007 - © 2007 IsarNet SWS GmbH Seite 22
QoS : Kontrolle des Verkehrs pro Klasse
Trend QoS Analyse
Es wurden keine Filter ausgewählt
23.10.2004 - 22.11.2004(Intervall 1 Tag)
100.00260.97 GBSumme
0.0115.26 MB(PREC 7)
0.0128.35 MB(PREC 1)
0.0243.74 MB(PREC 3)
0.05121.17 MBIP Precedence 2 (PREC 2)
0.22589.80 MB(PREC 4)
3.047.92 GBIP Precedence 6 (PREC 6)
25.7367.15 GBIP Precedence 5 (PREC 5)
70.94185.12 GB(PREC 0)
%byteTOS
Trend Analyse
TOS: Precedence 523.10.2004 - 22.11.2004
(Intervall 1 Tag)
1.651.09 GBPRINTER
1.751.16 GBHTTP-PROXY
2.021.34 GBNCP
2.421.60 GBSOCKS
3.732.47 GBPORT_9100_TCP
4.793.18 GBPORT_3230_TCP
4.803.18 GBNETBIOS-SSN
6.324.19 GBPORT_3201_TCP
7.354.87 GBDOMINO
8.595.70 GBGRE
22.9415.21 GBWWW-HTTP
25.0316.59 GBTCP-OTHER
%byteProtokoll
Arbeitet QoS wie geplant ?
Welche Anwendungen werden in einer bestimmten Klasse transportiert ?
QoSQoS
IT-Symposium 2007 19.04.2007
www.hp-user-society.de 11
10.04.2007 IsarFlow Überblick Q1/2007 - © 2007 IsarNet SWS GmbH Seite 23
QoS : Alarm für verworfene Pakete
Service-Policy 'ce_output_llq_mark'
100%170.05 KB1.19 GBSumme
0.03 0.00 B 393.60 KB ce-management-output
28.18 0.00 B 344.26 MB ce_class_output
71.77 170.05 KB 876.67 MB class-default
%dropped bytesbytesKlassenname
Werden an irgendeinem Interface, inirgendeiner Klasse Pakete verworfen ?
IsarFlow kann konfiguriertwerden, Alarme zu schicken, wenn Schwellwerte über-schritten werden.
QoSQoS
QoS KlassenübersichtEs wurden keine Filter ausgewählt
15.3.2005 05:00 - 18:00 (Intervall 5 min)Device: 172.16.11.196, mpls_singapure, Interface: Se0/0
Output QoS Policy: ce_output_llq_mark(Hierarchy Level 1, Reference Bandwidth 1152 kbps)
10.04.2007 IsarFlow Überblick Q1/2007 - © 2007 IsarNet SWS GmbH Seite 24
AccountingAccountingAccounting
Subnet 1 Subnet 2 Bytes Packets10.0.0.0/24 10.0.0.0/24 19831610 229827217.233.0.0/16 217.233.0.0/16 30121694 10659910.0.1.0/24 10.0.1.0/24 3058186 2832510.0.0.0/24 10.0.1.0/24 2004413 25993217.172.0.0/16 217.233.0.0/16 67038 5810.0.0.0/24 217.172.0.0/16 3506 43
Subnet VPN Bytes Packets
10.0.0.0/24 VPN-A 994,779,209 7,877,820
10.0.0.0/24 VPN-B 827,942,465 5,861,859
10.0.1.0/24 VPN-A 247,337,971 1,194,709
10.0.1.0/24 VPN-B 227,521,032 1,124,320
10.0.0.0/24 VPN-C 12,156,078 82,217
Subnet TOS Bytes Packets
10.0.0.0/24 Class 1 248,516,917 4,080,459
10.0.0.0/24 Best Effort 676,835,942 3,560,342
172.20.0.0/16 Best Effort 603,613,403 2,399,300
10.0.1.0/24 Best Effort 290,322,449 1,384,079
172.20.0.0/16 Class 1 93,166,403 700,725
10.0.0.0/24 Class 2 113,686,488 477,787
172.20.0.0/16 Class 2 106,774,196 357,470
10.0.1.0/24 Class 1 16,859,674 287,261
10.0.1.0/24 Class 2 1,358,909 17,632
Department Server Bytes PacketsOFFICE File-Server 1004824231 1613270VPN File-Server 990160195 1421661OFFICE CENTRAL_SER
VER11683486 163493
LAB-Netz File-Server 1444655 14326LAB-Netz GSX 1091862 10400VPN CENTRAL_SER
VER72492 1340
LAB-Netz CENTRAL_SER 41039 302
BusinessBusinessUnit AUnit A
BusinessBusinessUnit BUnit B
BusinessBusinessUnit CUnit C
Verschiedene Unternehmens-Bereiche nutzen weltweit anallen Lokationen die gleicheInfrastruktur und müssen einzeln abgerechnet werden.IsarFlow bietet beliebigdefinierbare Abrechnungs-Modelle !
IT-Symposium 2007 19.04.2007
www.hp-user-society.de 12
10.04.2007 IsarFlow Überblick Q1/2007 - © 2007 IsarNet SWS GmbH Seite 25
Accounting InfrastrukturSAP
Kunden Informationen (Kostenstellen, Topologie / Filter- Definitionen,…)
Analysen &Administration
täglicherExport
täglicher Upload
täglicher Import
IsarFlowPortal
IsarFlowAnalyzer
AccountingAccounting
Wodurch zeichnet sich Wodurch zeichnet sich IsarFlowIsarFlow allgemein ausallgemein aus ??
Skalierbarkeit, StabilitSkalierbarkeit, Stabilitäät, Hochverft, Hochverfüügbarkeitgbarkeit
FlexibilitFlexibilitäätt
VielfVielfäältige Anwendungsbereiche ltige Anwendungsbereiche
Service & SupportService & Support
IT-Symposium 2007 19.04.2007
www.hp-user-society.de 13
10.04.2007 IsarFlow Überblick Q1/2007 - © 2007 IsarNet SWS GmbH Seite 27
• Linux, SLES 9.0, redundant hardware• monitoring of system hardware & processes
Hig
h a
vailabili
tysc
ala
bili
tyst
ability
• auto-sampling mode• more processes to be monitored• snmptraps
StandbyActive
IsarFlowPortal 1
IsarFlowPortal 2
SyncSync
NetflowDistribution
IsarFlowAnalyzer
NetflowexportingRouter & L3-Switches
Active Standby
IsarFlowAnalyzer
Hot StandbyIP Analyzer 1
Netflow exportingRouter & L3-switches
Standby (1) + Active (2)
Hot Standby-IP Analyzer 2Active (1) +
Standby (2)
IsarFlowAnalyzer
FlowFlowdistributiondistribution
PortalPortalredundancyredundancy
Stabilität, Skalierbarkeit, Hochverfügbarkeit
WeiterentwicklungWeiterentwicklung
WeiterentwicklungWeiterentwicklung
WeiterentwicklungWeiterentwicklung
IsarFlowIsarFlow
Wodurch zeichnet sich Wodurch zeichnet sich IsarFlowIsarFlow allgemein ausallgemein aus ??
Skalierbarkeit, StabilitSkalierbarkeit, Stabilitäät, Hochverft, Hochverfüügbarkeitgbarkeit
FlexibilitFlexibilitäätt
VielfVielfäältige Anwendungsbereiche ltige Anwendungsbereiche
Service & SupportService & Support
IT-Symposium 2007 19.04.2007
www.hp-user-society.de 14
10.04.2007 IsarFlow Überblick Q1/2007 - © 2007 IsarNet SWS GmbH Seite 29
flexiblere Zeiträume
• Auswahl beliebiger Zeiträume für scheduled reports• Analysen über Tagesgrenzen hinweg (siehe Graphik)• v4.6.1 : Trend-Analysen limitiert für business hours
(z.B. letzten 3 Monate nur für Verkehr zwischen 7:00 – 16:00)
FlexibilitFlexibilitäätt
10.04.2007 IsarFlow Überblick Q1/2007 - © 2007 IsarNet SWS GmbH Seite 30
Flexible Accounting Regeln
[VPN_per_IP]
DEFINITION = hash(VPN_INFO, inet_ntoa(ed_ip), input), \match(DEFAULT, src, dst), sum(bytes)
IMPORT3 = VPN_INFO, \/usr/local/IsarNet/IsarFlow/etc/vpn_info.txt
TRIGGERED_SCRIPT = split_per_vpn.pl...
[VPN_Protokoll]
DEFINITION = hash(VPN_INFO, inet_ntoa(ed_ip), input), \translate_protocol(protocol), sum(bytes)
HEADLINE = VPN, Protokoll, BytesIMPORT3 = VPN_INFO, \
/usr/local/IsarNet/IsarFlow/etc/vpn_info.txtSORTING = Bytes-…
Accounting Konfigurations Beispiele
VPN_per_IP result:
VPN_A, 172.16.43.4, 1235932VPN_A, 10.13.65.3, 77677VPN_B, 10.13.4.2, 3256634VPN_B, 10.13.65.3, 77677VPN_C, 172.17.54.3, 783532VPN_C, 172.17.10.2, 423667VPN_C, 10.14.4.2, 3256634…
Accounting framework
customer specific
implementation
accounting configuration
language
VPN_Protokoll result:
VPN_A, http-proxy, 1235932VPN_A, Application1, 783532VPN_A, SAP, 423667VPN_B, microsoft-ds, 123864VPN_C, Application2, 643677…
Accounting framework
customer specific
implementation
accounting configuration
language
FlexibilitFlexibilitäätt
IT-Symposium 2007 19.04.2007
www.hp-user-society.de 15
10.04.2007 IsarFlow Überblick Q1/2007 - © 2007 IsarNet SWS GmbH Seite 31
Dynamische Netflow-Export Filter
Anforderungen :
• doppelte flows eliminieren (basierend aufexportierendem Router und SRC/DST IP-Adresse)
• 2 input Listen benötigt :– export-device-to-location– IP-to-location mapping
• Beide Listen werden täglich von einemNetwork Management System des Kunden importiert
IP1 IP3
IP2
ED1
ED2
ED3
filterIP1IP3ED3
acceptIP1IP3ED1
acceptIP2IP3ED3
acceptIP3IP2ED3
acceptIP3IP1ED3
filterIP3IP1ED1
ActionDSTSRCExport Device
Algorithmus :
1. if location(dst) is “passive”-> accept flow
2. elsif location(dst) == location(ED) -> accept flow
3. else-> drop flow
FlexibilitFlexibilitäätt
10.04.2007 IsarFlow Überblick Q1/2007 - © 2007 IsarNet SWS GmbH Seite 32
Flexible Schwellwert-DefinitionenFlexibilitFlexibilitäätt
IT-Symposium 2007 19.04.2007
www.hp-user-society.de 16
10.04.2007 IsarFlow Überblick Q1/2007 - © 2007 IsarNet SWS GmbH Seite 33
Applikations-Definitionen
Applikations-Definition über Ports + IP-Adressen :
FlexibilitFlexibilitäätt
10.04.2007 IsarFlow Überblick Q1/2007 - © 2007 IsarNet SWS GmbH Seite 34
Flexibilität bei View-Definitionen
Views können Interfaces, IP-Adressen oder Gruppen davon sein
Beliebige Leitungen können mit IsarFlowzu einem „View“ gruppiert werden.
..und mit Schwellwerte korreliert werden, z.B. :
• mehr als 80% Auslastung auf allen 4 Leitungen ?
• mehr als 40% HTTP-Verkehr ?
IntfIntf „View‘s“
FlexibilitFlexibilitäätt
Einzelne Leitung
Gruppe von Leitungen
Server
Server-Farm
SubnetsStandort-übergreifend
IPIP
Beliebige IP-Adressen & Subnets können zu einem „View“ gruppiert werden.
• welche Applikationen verwendet die Produktion ?
• welche Bereiche erzeugen untereinander den meisten Verkehr ?
IT-Symposium 2007 19.04.2007
www.hp-user-society.de 17
10.04.2007 IsarFlow Überblick Q1/2007 - © 2007 IsarNet SWS GmbH Seite 35
Flexible Schwellwert-Definitionen
Kunden-Beispiel :
Catalyst 6000 mit CatOS < 8.1 => kein „DHCP snooping“ Feature
FlexibilitFlexibilitäätt
Abbildung in IsarFlow :
- whitelist für echte DHCP-Server - Schwellwertüberwachung für Verkehr
auf den Ports 68 und 69
DHCP-ServerNetflowNetflow
Wodurch zeichnet sich Wodurch zeichnet sich IsarFlowIsarFlow allgemein ausallgemein aus ??
Skalierbarkeit, StabilitSkalierbarkeit, Stabilitäät, Hochverft, Hochverfüügbarkeitgbarkeit
FlexibilitFlexibilitäätt
VielfVielfäältige Anwendungsbereicheltige Anwendungsbereiche
Service & SupportService & Support
IT-Symposium 2007 19.04.2007
www.hp-user-society.de 18
10.04.2007 IsarFlow Überblick Q1/2007 - © 2007 IsarNet SWS GmbH Seite 37
Vielfältige AnwendungsbereicheIsarFlowIsarFlow
• Fehlersuche
• Kapazitätsplanung
• Security Analysen
• Accounting(sehr flexible Konfiguration & viel Erfahrung mit großen Konzernen)
• QoS Monitoring(Netflow & SNMP basiert)
• Reporting
• Schwellwert-Überwachung
• SNMP Analysen => IT Konsolidierung
10.04.2007 IsarFlow Überblick Q1/2007 - © 2007 IsarNet SWS GmbH Seite 38
IT Konsolidierung
Mit IsarFlow können neben cbQoS ab v4.6. drei Klassen von SNMP Variablen gepollt werden :
1. Interface Load (Bytes In & Out)
2. Interface Error (Alignment-, FCS- & Xmit-Errors, CRC, Single-, Multi-,Late-& Excess-Collisions, Undersize, Outdiscards, Carrier-Sensitive, Runts, Giants)
3. System-Variablen (CPU, Memory)
IsarFlowIsarFlow
IT-Symposium 2007 19.04.2007
www.hp-user-society.de 19
10.04.2007 IsarFlow Überblick Q1/2007 - © 2007 IsarNet SWS GmbH Seite 39
Eigener Betrieb oder ISP-Service
- Sowohl für Enterprise Kunden (Eigenbetrieb des Produktes) als auch für Service-Provider (Service für Enterprise Kunden)
- Bei ISP‘s : sowohl als Service für Kunden, als auch für den eigenen Betrieb
- Bei ISP‘s : 2 Arten von Service darstellbar : offline reports und online-Analysen für Enterprise Kunden
- Demnächst für ISP‘s : XML für Portallösungen und Abbildung von Mandantenfähigkeit
EnterpriseNetwork
ServiceProvider
IsarFlowIsarFlow
Wodurch zeichnet sich Wodurch zeichnet sich IsarFlowIsarFlow allgemein ausallgemein aus ??
Skalierbarkeit, StabilitSkalierbarkeit, Stabilitäät, Hochverft, Hochverfüügbarkeitgbarkeit
FlexibilitFlexibilitäätt
VielfVielfäältige Anwendungsbereiche ltige Anwendungsbereiche
Service & SupportService & Support
IT-Symposium 2007 19.04.2007
www.hp-user-society.de 20
10.04.2007 IsarFlow Überblick Q1/2007 - © 2007 IsarNet SWS GmbH Seite 41
Services/SupportServicesServices
���� Cisco Presales Support– Netflow workshops (Technologie,Design)
– Statistiken zu Netflow Implementierungen (Analysen)
���� Umfassender Service innerhalb der Wartung– Unterstützug bei Router/Switch Konfiguration, Plattform/IOS support, Netflow
Design
– Updates via RAS (IsarFlow & Betriebssystem)
���� Feature request commitments
� Erfahrung mit Netzwerken internationaler Konzerne
� Permanente Weiterentwicklung & Support (vs. open source)
���� Partner in Deutschland, UK, Frankreich, Österreich, Schweiz, USA und Singapur
10.04.2007 IsarFlow Überblick Q1/2007 - © 2007 IsarNet SWS GmbH Seite 42
Referenzliste – AuszugReferenzenReferenzen
IT-Symposium 2007 19.04.2007
www.hp-user-society.de 21
10.04.2007 IsarFlow Überblick Q1/2007 - © 2007 IsarNet SWS GmbH Seite 43
Kontaktisarflow.deisarflow.de
IsarNet Software IsarNet Software SolutionsSolutions GmbHGmbHTerminalstrasse Mitte 18Terminalstrasse Mitte 1885356 M85356 Müünchennchen
Tel:Tel: +49 89 97007 499+49 89 97007 499
Fax:Fax: +49 89 97007 200+49 89 97007 200
[email protected]@isarnet.de
http://http://www.isarnet.dewww.isarnet.dehttp://http://www.isarflow.dewww.isarflow.de
10.04.2007 IsarFlow Überblick Q1/2007 - © 2007 IsarNet SWS GmbH Seite 44
IT-Symposium 2007 19.04.2007
www.hp-user-society.de 22
10.04.2007 IsarFlow Überblick Q1/2007 - © 2007 IsarNet SWS GmbH Seite 45
Netflow-Design Unterstützung
Tu1 als Interface-View und Input traffic filter zeigen nur eindeutigeflows : nur der erste record stimmt mit Tu1 als Input Interface überein
Int Tu 2
Int Eth0/1
Int Tu 1
Int Eth0/0
Lokation A Lokation BTu2Tu2Eth0/1Eth0/1A A --> B (2)> B (2)
Eth0/0Eth0/0Tu1Tu1A A --> B (1)> B (1)
OutputOutputInputInputPathPath
Doppelte records in der Datenbank – nicht in der SQL query !
Das Netflow enabledInterface sammelt Datendie von der SQL querynicht erfasst werden
Das Netflow enabledInterface sammelt Datendie von der SQL queryerfasst werden
IsarFlowIsarFlow
10.04.2007 IsarFlow Überblick Q1/2007 - © 2007 IsarNet SWS GmbH Seite 46
Netflow VerkehrsanteilIsarFlowIsarFlow
IT-Symposium 2007 19.04.2007
www.hp-user-society.de 23