Was stellen die Zahlen im Pin zur Datenverkehrsverteilung dar?

Der Prozentsatz gibt einen Überblick über die Datenverkehrsverteilung basierend auf der Flow-Analyse.
Tabelle 1.
Datenverkehr Beschreibung
Ost-West (OW) Ost-West-Datenverkehr als Prozentsatz des Datenverkehrs der gesamten Gruppe
Umgeschaltet (% von OW) Umgeschalteter Datenverkehr als Prozentsatz des Ost-West-Datenverkehrs
Weitergeleitet (% von OW) Weitergeleiteter Datenverkehr als Prozentsatz (%) des Ost-West-Datenverkehrs
Innerhalb Host (% von VM-VM) Datenverkehr mit Quelle und Ziel auf demselben Host als prozentualer Anteil des Datenverkehrs zwischen virtuellen Maschinen
VM zu VM (% von OW) Datenverkehr von virtueller Maschine zu virtueller Maschine als Prozentsatz des Ost-West-Datenverkehrs
Internet Internet-Datenverkehr als Prozentsatz des Datenverkehrs der gesamten Gruppe

Wie werden Ports in Flows aggregiert?

Die Portzusammenfassung ist integriert, um die flüchtigen Port-Flows zu aggregieren – wie beispielsweise Dynamic FTP, Oracle, MS-RPC usw. Dies hilft bei der Verringerung der Anzahl der Flows im System und bietet eine aggregierte Ansicht für eine hohe Anzahl von Flows, die im Wesentlichen für denselben Dienst gelten. Der Mechanismus hierfür lautet wie folgt:
  • Für die ersten drei Tage nach dem Erkennen einer „destination_ip“ fassen wir Zielports auf dieser speziellen IP-Adresse in Buckets von 10.000 zusammen und beginnen mit der Erstellung eines port-profile für diese IP-Adresse.

  • Sobald drei Tage vorüber sind – und wir ein Profil erstellt haben, das ruhigen Gewissens verwendet werden kann – werden wir mit der Zusammenfassung von Portbereichen beginnen, bei denen die Portdichte hoch ist (d. h., das flüchtige Portöffnungsmuster berücksichtigt wird). Die Bereiche selbst sind dynamisch, z. B. 100, 1000, 10.000, und werden erstellt, je nachdem, wie viele Ports geöffnet werden und wie weit verbreitet sie sich im angegebenen Zusammenfassungsbereich befinden.
  • Auf diese Weise können Flows mit hohen Ports ohne Zusammenfassung gemeldet werden, wenn keine offene Aktivität von Massenports stattfindet, und es kann auch eine dynamische Zusammenfassung angewandt werden, wenn eine solche Aktivität stattfindet.
  • Das Profil wird ständig zeitlich abgedämpft aktualisiert, um zu berücksichtigen, dass neue Ports geöffnet werden oder ältere nicht mehr verwendet werden.

Was bedeutet die IP-Adresse 240.240.240.240 in vRealize Network Insight?

240.240.240.240 ist eine Platzhalter-IP-Adresse in vRealize Network Insight. Diese IP-Adresse wird verwendet, wenn eine sehr große Anzahl von IP-Adressen (> 5000) auf eine bestimmte IP-Adresse trifft. Alle weiteren eingehenden Internet-IP-Adressen (ab der 5001. aufwärts) mit dieser Platzhalter-IP-Adresse 240.240.240.240 können für diesen Dienstendpunkt ersetzt werden.

Dadurch wird die Anzahl der Flows im System begrenzt, da der öffentlich offen gelegte Dienst, der jeden Internet-Client einzeln protokolliert, zu einer sehr großen Anzahl von Flows führen kann, was zu einer erhöhten Systemlast führen würde.

Für alle Flows, die durch diese Platzhalter-IP-Adresse ersetzt wurden, werden alle Metriken auf dem entsprechenden Flow mit dieser IP-Adresse aggregiert, sodass Statistiken auf aggregierter Ebene nicht verloren gehen.

Alle Ziel-IP-Adressen für die in der Flow-Ansicht gemeldeten Flows werden als ausgehend von 240.240.240.240 angezeigt und sind tatsächlich von einer großen Anzahl von Internet-IP-Adressen (> 5000) betroffen.

Welche Protokolle werden während der Konfiguration von Flows in vRealize Network Insight unterstützt?

Die TCP- und UDP-Protokolle werden während der Konfiguration von Flows in vRealize Network Insight unterstützt.

Kann vRealize Network Insight die Deduplizierung und Aggregation von Flows aus mehreren Quellen verarbeiten?

Ja, in vRealize Network Insight werden dieselben Daten, die von mehreren Quellen gemeldet werden, nicht mehr dupliziert und die beste Metriken unter allen Quellen werden berücksichtigt. Darüber hinaus werden verschiedene Attribute aus mehreren Quellen zusammengefasst und im Flow angezeigt.

Hinweis: Das Feld „Reporter“ im Flow zeigt den Reporter des Flows an.

Was passiert, wenn der TCP-Handshake nicht vollständig ist?

Der Flow wird abgelehnt, wenn der TCP-Handshake unvollständig ist. Ab sofort wird die TCP-Prüfung nur für die VDS-Flows unterstützt. Andere Datenquellen melden die TCP-Flags nicht, und die Prüfung kann nicht durchgeführt werden. Es gibt keine Prüfungen für UDP. Wenn das VDS mitteilt, dass der TCP-Handshake für einen Flow unvollständig ist, wird dessen NSX bzw. physisches Pendant ebenfalls abgelehnt.

Was sieht man, wenn die Ports für einen Fluss aggregiert werden?

Die Portzusammenfassung wird erstellt, um die flüchtigen Port-Flows zu aggregieren – wie beispielsweise Dynamic FTP, Oracle, MS-RPC usw. Dies hilft bei der Verringerung der Anzahl der Flows im System und bietet eine aggregierte Ansicht für eine hohe Anzahl von Flows, die für denselben Dienst gelten.

Warum werden die VM-Namen nicht in der Quelle oder im Ziel der Flows angezeigt?

Einige der Gründe dafür, dass eine VM (Quelle, Ziel) nicht mit einem Flow verbunden ist, sind:
  • Die Datenquelle wird nicht hinzugefügt
  • Die IP ist eine physische IP oder eine Internet-IP
  • Wenn vmtools nicht auf der VM installiert oder aktiv ist und der Flow nicht vom VDS gemeldet wird
  • Wenn mehreren Netzwerkkarten dieselbe IP zugewiesen ist und kein NATing beteiligt ist

Warum sehen wir mehrere Firewallregeln für einen Flow?

Wenn eine Firewallregel von R1 in R2 geändert wird, zeigt vRealize Network Insight die neue Firewallregel (R2) an, entfernt aber nicht sofort die alte Firewallregel (R1). Es dauert bis zu 6 Stunden, bis die alte Regel entfernt wird. Während dieses Zeitraums werden, bevor die alte Regel entfernt wird, beide Regeln angezeigt. Wenn dies mehrfach geschieht (z. B. wird R1 in R2 und anschließend R2 in R3 geändert, bevor die alte Regel entfernt wird), werden mehrere Firewallregeln für einen einzigen Flow angezeigt.

Was ist die Flow-Anzahl für eine Datenquellenseite und wie wird sie berechnet?

Die auf der Seite „Datenquelle“ angezeigten Zahlen sind die Anzahl der eindeutigen Flows (vier Tupel), die in den letzten 24 Stunden von der Datenquelle gesehen wurden, und der Wert wird regelmäßig (alle 5 Minuten) aktualisiert. Die Flow-Anzahl kann sich ändern, da nur die Flows der letzten 24 Stunden berücksichtigt werden. Die Anzahl muss mit dem Ergebnis für die Abfrage „'count of flows where reporter = '“ übereinstimmen.