Que représentent les nombres de l'épingle de distribution du trafic ?

Le pourcentage donne un aperçu de la distribution du trafic en fonction de l'analyse des flux.
Tableau 1.
Trafic Description
Est-Ouest (E-O) Trafic Est-Ouest en pourcentage du trafic du groupe total
Commuté (% d'E-O) Trafic commuté en pourcentage du trafic Est-Ouest
Acheminé (% d'E-O) Trafic acheminé en pourcentage (%) du trafic Est-Ouest
Dans un hôte (% de VM vers VM) Trafic dont la source et la destination sont sur le même hôte, en pourcentage de trafic de VM vers VM
VM vers VM (% d'E-O) Trafic de machine virtuelle vers machine virtuelle en pourcentage du trafic Est-Ouest
Internet Trafic Internet en pourcentage du trafic du groupe total

Comment les ports sont-ils agrégés dans les flux ?

L'agrégation de ports est conçue pour agréger les flux de port éphémère, tels que FTP dynamique, Oracle, MS-RPC, etc. Cela permet de réduire le nombre de flux dans le système et de fournir une vue agrégée d'un nombre élevé de flux qui sont essentiellement destinés au même service. Le mécanisme à réaliser est le suivant :
  • Pendant les trois premiers jours d'observation d'une adresse_ip_destination, nous agrégeons les ports de destination sur cette adresse IP dans des compartiments de 10 k et commençons à créer un profil de port (port-profile) pour cette adresse IP.

  • À l'issue des trois jours, nous avons créé un profil qui peut être utilisé en toute sûreté : nous commencerons à agréger des plages de ports dans lesquelles la densité de port est élevée (en d'autres termes, reflétant le modèle d'ouverture de port éphémère). Les plages elles-mêmes seront de taille dynamique (100, 1 000, 10 000) et seront créées en fonction du nombre de ports ouverts et de leur étendue dans la plage d'agrégation donnée.
  • Cela permet de signaler des flux de port à numéro élevé sans agrégation lorsqu'aucune activité d'ouverture de port en bloc ne se produit et permet d'appliquer une agrégation dynamique lorsqu'une telle activité se produit.
  • Le profil est continuellement mis à jour à intervalles réguliers pour prendre en compte les nouveaux ports ouverts ou les anciens désormais fermés.

Que signifie l'adresse IP 240.240.240.240 dans vRealize Network Insight ?

240.240.240.240 est l'adresse IP de l'espace réservé dans vRealize Network Insight. Cette adresse IP est utilisée lorsqu'un nombre élevé d'adresses IP (> 5 000) atteint une adresse IP particulière. Toutes les autres adresses IP Internet entrantes (à partir de la 5 001ème) avec cette adresse IP d'espace réservé 240.240.240.240 peuvent être remplacées pour ce point de terminaison de service.

Cela permet de limiter le nombre de flux dans le système, car le service publiquement exposé qui journalise chaque client Internet séparément peut générer un nombre considérable de flux, ce qui entraînerait une augmentation de la charge du système.

Pour tous les flux remplacés par cette adresse IP d'espace réservé, toutes les mesures sont agrégées sur le flux correspondant avec cette adresse IP ; aucune statistique n'est donc perdue à un niveau agrégé.

Toutes les adresses IP de destination des flux signalés dans la vue des flux sont indiquées comme provenant de l'adresse 240.240.240.240 et sont en fait atteintes par un nombre élevé d'adresses IP Internet (> 5 000).

Quels sont les protocoles pris en charge lors de la configuration des flux dans vRealize Network Insight ?

Les protocoles TCP et UDP sont pris en charge lors de la configuration des flux dans vRealize Network Insight.

Est-ce que vRealize Network Insight gère la déduplication et l'agrégation de flux provenant de sources multiples ?

Oui, dans vRealize Network Insight, les mêmes données signalées à partir de sources multiples sont dédupliquées et la meilleure mesure parmi toutes les sources est prise en compte. De plus, différents attributs provenant de sources multiples sont agrégés et affichés sur le flux.

Note : Le champ Rapporteur dans le flux affiche le rapporteur du flux.

Que se passe-t-il si l'établissement de la liaison TCP n'est pas terminé ?

Le flux est rejeté si l'établissement de la liaison TCP est incomplet. Désormais, nous prenons en charge la vérification TCP uniquement pour les flux VDS. Les autres sources de données ne signalent pas les indicateurs TCP et la vérification ne peut pas être effectuée. Il n'existe aucune vérification pour le protocole UDP. Si le VDS communique que l'établissement de la liaison TCP est incomplet pour un flux, son équivalent NSX ou physique est également rejeté.

Que puis-je voir lorsque les ports sont agrégés pour un flux ?

L'agrégation de ports est conçue pour agréger les flux de port éphémère, tels que FTP dynamique, Oracle, MS-RPC, etc. Cela permet de réduire le nombre de flux dans le système et fournit une vue agrégée pour un grand nombre de flux du même service.

Pourquoi ne puis-je pas voir les noms de VM dans la source ou la destination des flux ?

Voici les raisons pour lesquelles une machine virtuelle (source ou de destination) n'est pas attachée à un flux :
  • La source de données n'est pas ajoutée
  • L'adresse IP est une adresse IP physique ou Internet
  • Si vmtools n'est pas installé ou est actif sur la machine virtuelle et que le flux n'est pas signalé depuis le VDS
  • Si plusieurs cartes réseau sont attribuées avec la même adresse IP et qu'aucune règle NAT n'est impliquée

Pourquoi puis-je voir plusieurs règles de pare-feu sur un flux ?

Lorsqu'une règle de pare-feu passe de R1 à R2, vRealize Network Insight affiche la nouvelle règle de pare-feu (R2), mais ne supprime pas immédiatement l'ancienne règle de pare-feu (R1). La suppression de l'ancienne règle peut prendre jusqu'à 6 heures. Pendant cet intervalle de temps, avant la suppression de l'ancienne règle, les deux règles s'affichent. Si cela se produit plusieurs fois (par exemple, R1 est remplacé par R2, puis R2 devient R3 avant la suppression de l'ancienne règle), plusieurs règles de pare-feu s'affichent pour un seul flux.

Quel est le nombre de flux sur la page d'une source de données et comment le calcul est-il effectué ?

Les nombres affichés sur la page d'une source de données sont les nombres de flux uniques (quatre tuples) vus depuis la source de données au cours des dernières 24 heures et la valeur est mise à jour régulièrement (toutes les 5 minutes). Le nombre de flux peut changer, car seuls les flux des dernières 24 heures sont pris en compte. Le nombre doit correspondre au résultat de la requête : 'count of flows where reporter = '.