WLAN的扩大使菲奇堡州立大学的网络流量剧增。为了改进网络可见性和保证网络安全,网络管理团队安装了一个NetFlow分析器。
马萨诸塞州大学的网络团队选择的是Lancope StealthWatch的NetFlow分析器,并且使用Enterasys路由器将NetFlow记录发送到设备上。学校还在校园中安装了多个StealthWatch FlowSensors,以监测本身不支持NetFlow的基础架构。FlowSensor设备能够从网络主机和其他设备采集数据,然后将它转换为NetFlow数据。而且,安装在虚拟主机的虚拟版FlowSensor能为各个虚拟机生成NetFlow记录。
这所大学的网络经理Tony Chila说:“我们在所有虚拟设备上安装了检测器,并用一台检测设备来映射SAN、服务器VLAN和DMZ流量。我们能够深入到协议栈的第4层流量和分析器,所以我们基本上能够实现所有网络流量的分析——包括具体的服务、使用的端口、位置和信息类型。”
WLAN覆盖率必然扩大
菲奇堡使用园区级802.11n Enterasys网络在公共区域和校园建筑部署Wi-Fi,实现100%学生宿舍无线覆盖,此时,优化网络流量处理至关重要。
大学附属服务主管Jamie Roger说:“我们新生从未见过以太网网线。很显然,这一代人都期待所有位置都能使用无线网络。”
通过升级,学生将越来越多的设备连接到网络。Roger说,突然间智能手机、平板电脑和游戏系统都开始连接网络。结果,以前一直只有3,000至3,500台设备连接的网络现在连接了7,000多台设备。网络容量管理突然变得极为重要。
NetFlow分析器有助容量管理
StealthWatch的流量监控优化了大学的网络容量管理,帮助学校免于昂贵且不必要的基础架构升级。
Roger说:“NetFlow分析器日常数据报表使我们能够在网络中实现CIO级的可见性。过去,如果遇到带宽不够问题,我们必须请求增加升级带宽的资金。现在,所有这些报告都直接发送给CIO,他能够看到最近几个月的带宽增长,然后他会自己跟我说:‘给我一个升级带宽的报价。’这让我申请资金变得很简单。”
对于在离校园1英里多的建筑,如果有用户抱怨连接主校园网络的54Mbps、站到站Wi-Fi连接性能不佳时,IT组织就使用NetFlow分析器来解决问题,从而避免了昂贵的升级。
这所大学已经考虑部署价值500万美元的光纤连接来解决这个问题,但是Roger和他团队使用StealthWatch了解到端到端Wi-Fi链路并未饱和,所以他们通过检查最终发现是校园的树木干扰了无线连接信号。
Roger补充说:“当您发现无线连接工作正常时,很可能有一些奇怪的问题影响了数据。”
可见性优化也能够帮助IT组织应对服务问题。
Chila说:“我们可以按照协议和应用程序来分析内部流量。如果遇到流量激增问题,我们就能够深入这些区域,查清实际上是谁在占用过多的带宽。”
这意味着不会再出现无端指责网络的情况。Roger说:“这个产品使我们能够查看服务器响应时间、网络响应时间和回程时间,确定实际延迟时间。我的服务器小组只有两个人,所以不可能把时间浪费在解决不存在的问题上,我们的时间很宝贵。”
NetFlow分析器强化PCI合规性,根除P2P流量
StealthWatch NetFlow分析器强化了大学的合规性,它有专门反对不正当的端到端(P2P)文件共享的策略,和符合信用卡行业PCI DSS要求的审计。
Roger说:“学校通过HP TippingPoint入侵防御系统(IPC)阻挡了所有进出校园网的互联网P2P流量。NetFlow分析器使网络管理员能够查看内部P2P流量。我们检测内部的P2P流量,但是目前没有对它进行特别处理。我们还没有使用StealthWatch主动处理P2P流量,而是控制了P2P流量的多少。”
根据Chila 的介绍,NetFlow分析器还使菲奇堡州多了一层PCI合规性保证。Chila说:“我们使用StealthWatch建立控制,如果发现有来自未授权子网或设备的流量进入该PCI网络,那么我们就会接收到警报。我们应用了访问清单,清楚定义可以访问的人员。如果真有未被允许的人进入,它也可以监控。但这不应该发现,实际也没有发生过。