微分段和流
流量分布看板项中的数字表示什么?
百分比值提供了基于流分析的流量分布概况。
流量
| 描述
|
|---|---|
东西向 (EW)
| 东西向流量,表示为组总流量的百分比
|
已交换 (占东西向流量的百分比)
| 已交换流量,表示为东西向流量的百分比
|
已路由 (占东西向流量的百分比)
| 已路由流量,表示为东西向流量的百分比 (%) |
在主机内 (占虚拟机-虚拟机流量的百分比)
| 源和目标位于同一主机上的流量,表示为虚拟机到虚拟机流量的百分比
|
虚拟机到虚拟机 (占东西向流量的百分比)
| 虚拟机到虚拟机流量,表示为东西向流量的百分比
|
Internet
| Internet 流量,表示为组总流量的百分比
|
如何在流中聚合端口?
端口聚合功能已内置于系统中,可聚合临时端口流,如动态 FTP、Oracle、MS-RPC 等。这有助于减少系统中的流数,并为基本上用于同一服务的大量流提供聚合视图。执行此操作的机制如下所示:
- 在通告 destination_ip 的前三天,会将该 IP 上的目标端口聚合到 10K 存储桶中,并开始为该 IP 构建端口配置文件。
- 三天后,已经构建了可以放心使用的配置文件,如果端口密度较高,将开始聚合端口范围(换句话说,反映临时端口打开模式)。范围本身为动态大小(100、1,000、10,000),并且将根据打开的端口数以及在给定聚合范围内的分布情况进行创建。
- 这将允许在没有批量端口打开活动的情况下报告高端口流,但不会进行聚合;此外,还允许在发生此类活动时应用动态聚合。
- 配置文件会按时间衰减的方式不断更新,以说明正在打开新端口或不再使用旧端口。
240.240.240.240 IP 地址在 VMware Aria Operations for Networks 中表示什么?
VMware Aria Operations for Networks
中表示什么? 240.240.240.240 是
VMware Aria Operations for Networks
中的占位 IP 地址。如果有大量 IP 地址 (> 5000) 命中某个特定 IP 地址,则使用此 IP 地址。可以将该服务端点的所有后续入站 Internet IP(自第 5001 个 IP 起)替换为此占位 IP 240.240.240.240。 这是为了限制系统中的流数,因为单独记录每个 Internet 客户端的公开服务可能会导致出现大量流,从而增加系统负载。
对于已替换为此占位 IP 的所有流,所有衡量指标都汇总在具有此 IP 地址的相应流中,因此在汇总级别不会丢失任何统计信息。
流视图中报告的流的所有目标 IP 均显示为源自 240.240.240.240,实际上,由大量 Internet IP (> 5000) 命中。
在 VMware Aria Operations for Networks 中配置流时支持哪些协议?
VMware Aria Operations for Networks
中配置流时支持哪些协议? 在
VMware Aria Operations for Networks
中配置流时,支持 TCP 和 UDP 协议。
VMware Aria Operations for Networks 是否对来自多个源的流处理去重和聚合?
VMware Aria Operations for Networks
是否对来自多个源的流处理去重和聚合?是,在
VMware Aria Operations for Networks
中,会对报告来自多个源的相同数据进行去重,并考虑所有源中的最佳衡量指标。此外,来自多个源的不同属性也会聚合并显示在流中。流中的“报告器”字段显示流的报告器。
如果 TCP 握手未完成,会怎样?
如果 TCP 握手未完成,则会拒绝流。截至目前,仅对 VDS 流支持执行 TCP 检查。其他数据源不报告 TCP 标志,因此无法执行检查。没有针对 UDP 的检查。如果 VDS 传达流的 TCP 握手未完成信息,则其 NSX/物理对应项也会被拒绝。
为流聚合端口时会带来什么效果?
端口聚合功能旨在聚合临时端口流,如动态 FTP、Oracle、MS-RPC 等。这有助于减少系统中的流数,并为同一服务的大量流提供聚合视图。
为什么在流的源或目标中看不到虚拟机名称?
虚拟机(源、目标)未连接到流的部分原因是:
- 未添加数据源
- IP 是物理 IP 或 Internet IP
- 如果 vmtools 未在虚拟机上安装或未处于活动状态,则不从 VDS 报告流
- 如果为多个网卡分配了相同的 IP,则无需执行 NAT
为什么在一个流中看到多个防火墙规则?
将防火墙规则从 R1 更改为 R2 时,
VMware Aria Operations for Networks
会显示新的防火墙规则 (R2),但不会立即移除旧防火墙规则 (R1)。移除旧规则需要长达 6 小时的时间才能完成。在此时间段内,移除旧规则之前,将显示两个规则。如果多次出现此行为(例如,将 R1 更改为 R2,然后在移除旧规则之前将 R2 更改为 R3),将看到单个流中有多个防火墙规则。数据源页面上的流计数是多少以及如何计算该值?
数据源页面上显示的数字是过去 24 小时内从数据源看到的唯一流计数(四元组),且该值定期更新(每 5 分钟更新一次)。流计数数字可能会更改,因为它仅考虑过去 24 小时内的流。该计数必须与以下查询的结果一致:
'count of flows where reporter = '
。