NetFlow AnalyzerでDPIを有効にする方法

DPI(ディープ パケットインスペクション)を有効にするには、WinPcapと高性能レポート エンジン オプションをダウンロードします。以下の手順で操作してください。
1:Windowsマシンの場合、WinPcapのリンクかをダウンロードしてインストールします。Linuxの場合はこの手順をスキップします。
2:当社ページから、「その他のダウンロード」の下にある高性能レポート エンジンをダウンロードしてインストールします。

DPI:NetFlow1

3:「設定」 > 「フロー解析」 > 「高性能レポート エンジン」に移動し、インストールされたサーバーへのログイン認証情報を入力して、テストと保存を行います。

DPI:NetFlow3

4:「設定」 > 「DPI」 > 「データ収集の有効化」の順に移動し、イーサネット カードを選択し、「データ保持期間」を選択して保存します。

DPI:NetFlow2

5:\DPI\PcapFilesTempに移動し、新しいファイルが生成されるかどうかを確認します。

イーサネット カードの選択方法

Windowsの場合、それぞれのネットワーク カードを見つけるには、regeditを開き、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkCards\に移動します。ここでは、ネットワーク カードのそれぞれの名前を判読可能な形式で見つけることができます。

イーサネットカード

DPIを動作させる方法

ネットワーク装置を通過するトラフィック パケットは、調査目的で同じ装置のポートにミラーリングできます。また、複数の(WAN/LAN/アップリンク)ポート トラフィックをミラーリングして調査に設定することもできます。複数の装置からのパケットを検査する場合、ミラーリングしたパケットを保存して、NetFlow Analyzerサーバーにアップロードできます。リアルタイム パケット キャプチャは、NetFlow Analyzerサーバーがミラーポートに直接接続されている場合にのみ機能します。

DPI:しくみ1

上記の図では、4つのポート(1、2、7、8)は、監視用に装置の最後のポート(ポート24)にミラーリングされています。ここで、ミラーリングされたネットワーク パケットはすべて、直接接続済みためNetFlow Analyzerに到達します。ポート ミラーリング コマンドはベンダーによって異なります。コマンドについては、それぞれの装置ベンダーに確認できます。

以下は、HP製スイッチのポート ミラーリングの例です。

以下は、23個のポートすべてを最後の24番目のポートにミラーリングするためのコマンドです。

DPI:しくみ2
DPI:しくみ3

これらのネットワーク パケットを受信すると、NetFlow Analyzerは捕捉したパケットを分析してレポートを生成します。