「不完全な」アプリケーショントラフィックに関する Netflow データの不一致
Resolution
問題
Netflow アナライザを使用してパロアルトネットワークのファイアウォールの帯域幅とネットワークトラフィックを監視する場合、Netflow サーバー上で報告された「不完全な」アプリケーショントラフィックには、ファイアウォールの ACC タブにあるものとは何らかの不一致がある可能性があります。
詳細
tcp セッションの場合、tcp ハンドシェイクの最初のパケットには、アプリケーションを識別するために署名を使用してパターンマッチングを実行するアプリケーションデータがありません。したがって、アプリ ID キャッシュは、最初のパケットでアプリケーションを識別するために使用されます。これは、ルーティングの決定は、セッションの最初のパケットに基づいてする必要があるポリシーベースの転送ルールに役立ちます。この場合、アプリケーションを識別する前にルーティングの決定が行われるため、アプリ ID キャッシュは、転送の決定に最適な見積もりを作成するためのメカニズムを提供します。
ファイアウォールは、同じ宛先 IP/ポートに関連付けられているキャッシュされたエントリに基づいて、新しいセッションのアプリケーションを識別しようとします。一致するものが見つからない場合、ファイアウォールは、Netflow コレクタに送信されたデータレコードの ' 不完全 ' と見なされるアプリケーションを ' none ' として使用します。
次の例を参照してください。
ファイアウォールがこのセッションのデータ交換をさらに見ると、パターンマッチングシグネチャに基づいてアプリケーションを識別し、セッションの更新されたデータレコードを Netflow コレクタに送信します。
いくつかの Netflow コレクターは、セッションのアプリケーションの最初の識別に固執し、セッションのアプリケーションフィールドにさらに変更を加えることはありません。これにより、ファイアウォールによって報告された「不完全な」アプリケーショントラフィックと、netflow サーバーが報告するものとの間に不一致が生じます。
所有者: apasupulati