マイクロセグメンテーションおよびフロー
トラフィック分布ピンの数の意味
この割合は、フロー分析に基づくトラフィック分布の概要を示します。
トラフィック
| 説明
|
|---|---|
East-West (EW)
| グループ合計のトラフィックに対する East-West のトラフィック
|
スイッチング (EW の割合)
| East-West トラフィックに対するスイッチングされたトラフィックの割合 (%)
|
ルーティング (EW の割合)
| East-West トラフィックに対するルーティングされたトラフィックの割合 (%) |
ホスト内(仮想マシン間の割合)
| 仮想マシン間のトラフィックに対する、同じホスト上の送信元と宛先のトラフィック
|
仮想マシン間 (EW の割合)
| East-West トラフィックに対する仮想マシン間のトラフィックの割合 (%)
|
インターネット
| グループ合計のトラフィックに対するインターネットのトラフィック
|
ポートのフロー内での集約方法
ポート集約は、動的 FTP、Oracle、MS-RPC などの短期ポート フローを集約するために組み込まれています。これにより、システム内のフローの数を削減し、同じサービスで根幹である多数のフローを集約して表示できます。これを実行するメカニズムは次のとおりです。
- 最初の 3 日間で、宛先 IP アドレスを認識し、この IP アドレス上の宛先ポートを 1 万件単位のバケットに集約して、この IP アドレスのポートプロファイルの作成を開始します。
- 3 日間が経過すると、高い確度で使用できるプロファイルが作成されます。これにより、ポートの密度が高い(短期ポートを開くパターンを反映する)ポート範囲を集約します。範囲そのものは動的であり、サイズの単位は 100、1,000、10,000 となります。これは、開いたポート数と指定された集約範囲に分布に応じて、作成されます。
- これにより、ポートの一括開放アクティビティが発生していない場合でも、集約を行わずにフロー数の多いポートを報告できます。また、このようなアクティビティの発生時に動的な集約を適用することもできます。
- このプロファイルは、新たに開放されたポートや、使用されなくなった古いポートを考慮して、時系列で常に更新されます。
240.240.240.240 IP アドレスは VMware Aria Operations for Networks で何を示していますか。
VMware Aria Operations for Networks
で何を示していますか。 240.240.240.240 は、
VMware Aria Operations for Networks
のプレース ホルダ IP アドレスです。この IP アドレスは、特定の IP アドレスを含む、多数の IP アドレスがある場合に使用されます(5,000 件超)。このプレースホルダ IP アドレス 240.240.240.240 で受信するその他のすべてのインターネット IP アドレス(5001 番目以降)は、このサービス エンド ポイントに置き換えることができます。 これは、各インターネット クライアントを個別に記録する公開サービスでは、非常に多くのフローが発生し、システムの負荷が大きくなる可能性があるため、システム内のフローの数を制限することを目的としています。
このプレースホルダ IP アドレスで置き換えられたすべてのフローにおいては、すべてのメトリックはこの IP アドレスを使用するそれぞれのフローで集計されるため、集計レベルで統計情報が失われることはありません。
フロー ビューで報告されるフローのすべての宛先 IP アドレスは、240.240.240.240 からの送信元が、実際には多数のインターネット IP アドレス(5,000 件超)でヒットしていることが示されています。
VMware Aria Operations for Networks でフローを構成する場合は、どのプロトコルがサポートされますか。
VMware Aria Operations for Networks
でフローを構成する場合は、どのプロトコルがサポートされますか。 VMware Aria Operations for Networks
でフローを構成する場合は、TCP および UDP プロトコルがサポートされます。複数のソースからのフローの重複排除と集約は VMware Aria Operations for Networks で処理されますか?
VMware Aria Operations for Networks
で処理されますか?はい。
VMware Aria Operations for Networks
で複数のソースから同じデータが報告された場合は、重複が排除され、すべてのソースの中で最適なメトリックが考慮されます。また、複数のソースから取得されたさまざまな属性が集約されて、フローに表示されます。フローの [レポータ] フィールドに、フローのレポータが表示されます。
TCP ハンドシェイクが完了していない場合は、どうなりますか?
TCP ハンドシェイクが不完全な場合、フローは拒否されます。現時点では、VDS フローに対する TCP チェックのみがサポートされています。その他のデータ ソースからは TCP フラグが報告されないため、チェックを実行できません。UDP にはチェックが行われません。VDS から、TCP ハンドシェイクがフローに対して不完全であることが通知された場合、対応する NSX/物理フローも拒否されます。
ポートが特定のフローに集約されている場合は、どのように表示されますか?
ポート集約は、動的 FTP、Oracle、MS-RPC などの短期ポート フローを集約するために組み込まれています。これにより、システム内のフローの数を削減し、同じサービスの多数のフローを集約して表示できます。
フローの送信元または宛先に仮想マシン名が表示されないのはなぜですか?
仮想マシン(送信元、宛先)がフローに接続されていない理由は、次のとおりです。
- データ ソースが追加されていない
- IP アドレスが物理 IP アドレスまたはインターネット IP アドレスである
- vmtools が仮想マシンにインストールされていないか、アクティブでないため、VDS からフローが報告されない
- 同じ IP アドレスが複数の NIC に割り当てられていて、関係している NAT がない
フローに複数のファイアウォール ルールが表示されるのはなぜですか?
ファイアウォール ルールが R1 から R2 に変更された場合、
VMware Aria Operations for Networks
に新しいファイアウォール ルール (R2) が表示されますが、古いファイアウォール ルール (R1) が直ちに削除されるわけではありません。古いルールが削除されるまで、最大で 6 時間かかります。この期間中は、古いルールが削除されるまで、両方のルールが表示されます。この問題が複数回発生した場合(たとえば、R1 が R2 に変更されてから、古いルールが削除されるまでの間に、R2 が R3 に変更された場合)は、1 つのフローに対して複数のファイアウォール ルールが表示されます。データ ソース画面のフロー数はどのように計算されますか?
データ ソース画面に表示される値は、過去 24 時間にデータ ソースから検出された一意のフローの数(4 つのタプル)で表され、定期的に更新されます(5 分ごと)。フロー数には過去 24 時間のフローのが反映されるため、値が変更されることがあります。この数は、次のクエリの結果と一致する必要があります。
'count of flows where reporter = '