Mit Hilfe der Layer-7-Anwendungserkennung haben Sie die Möglichkeit, Dienste in Ihrem Netzwerk zu identifizieren, auf die besonders häufig zugegriffen wird und somit viel Bandbreite beanspruchen. Diese Funktion ermöglicht es Ihnen zudem, denjenigen Client aus dem vorhandenen Clientpool zu isolieren, der diese(n) Dienst(e) intensiv nutzt und den gesamten Traffic des betreffenden Benutzers einzusehen.
Die Anwendungserkennung analysiert ein- und ausgehende Verbindungen aller Schnittstellen, die für eine Überwachung definiert wurden und speichert die Statistik der konfigurierten Anwendungen. Ab LCOS-Version 10.12 erfasst die Layer-7-Anwendungserkennung auch separat IPv4- und IPv6‑Traffic.
Aktivieren und konfigurieren Sie die Layer-7-Anwendungserkennung mit LANconfig unter
.- Layer-7-Anwendungserkennung aktiviert
- Aktivieren oder deaktivieren Sie die Layer-7-Anwendungserkennung.
- Port-Tabelle
- Legen Sie hier fest, welche Verbindungen mit der Layer-7-Anwendungserkennung überwacht werden sollen. Aktivieren oder
deaktivieren Sie dazu die zur Verfügung stehenden Ports.
- VLAN-Tabelle
-
Geben Sie hier die zu überwachenden VLAN-IDs an und legen Sie fest, in welchem Umfang die Layer-7-Anwendungserkennung
Traffic-Informationen erfasst.
- Layer 7-Anwendungserkennung für dieses VLAN aktiviert: Das Gerät erfasst allgemeine bzw. applikationsspezifische Daten.
- Benutzernamen erfassen: Das Gerät erfasst in dem angegebenen VLAN benutzerspezifische Daten (Benutzer- oder Client-Name sowie MAC-Adresse).
Wichtig: Damit die Layer-7-Anwendungserkennung im VLAN aktiv ist, muss das Gerät zumindest applikationsspezifischen Daten erfassen. - Port-basiertes Tracking
- Wählen Sie hier die Anwendungen aus, die überwacht werden sollen. Sie haben dabei die Möglichkeit, aus Default-Anwendungen
zu wählen oder eigene Anwendungen zu definieren. Geben Sie zusätzlich die Zieldomänen oder die Zielnetze der Anwendung an.
Erweitern Sie die Liste nach Ihren Bedürfnissen.
Anmerkung: Geben Sie mehrere Zieldomänen, Zielnetze oder Ports mittels einer kommaseparierten Liste in CIDR-Notation (Classless Inter-Domain Routing) an. Dabei haben Sie die Möglichkeit, IPv4- oder IPv6-Zielnetze verwenden. - Aktualisierungs-Intervall
- Geben Sie einen Wert in Minuten an, nach dessen Ablauf die Nutzungsstatistik aktualisiert wird.
Baut ein Client eine Verbindung über eine überwachte Schnittstelle auf, beginnt die Anwendungserkennung mit der Analyse und Aufzeichnung des Traffic-Volumens.
Die Layer-7-Anwendungserkennung beobachtet den Ziel-Port einer Anwendung. Wird eine Verbindung über Port 80 oder 443 (HTTP oder HTTPS) erkannt, erfolgt eine weitere Analyse des Verbindungsaufbaus. Weicht der Ziel-Port davon ab, erfolgt die Zuordnung der Verbindung Port-abhängig über die in der Liste "Port-basiertes Tracking" festgelegten Anwendungen.
Bei einem erkannten HTTP/HTTPS-Aufbau wird diese Verbindung tiefer analysiert. Dazu extrahiert die Anwendungserkennung bei HTTP-Verbindungen den Ziel-Host aus der Ziel-URL des HTTP GET Requests.
- Server Name Indication aus dem TLS Client Hello
- Common Name aus dem übermittelten TLS-Server-Zertifikat
- Reverse DNS Request auf die Server-IP-Adresse
Sowohl bei Verbindungen über HTTP als auch über HTTPS wird der ermittelte Ziel-Hostname mit der Liste "HTTP/HTTPS-Tracking" abgeglichen. Diese Liste enthält die am weitesten verbreiteten Web-Dienste/Anwendungen inklusive der Bestandteile ihrer Hostnamen.
Sollte der aufgerufene Dienst oder die gewählte Verbindung nicht in der Liste enthalten und deshalb eine Zuordnung nicht möglich sein, erfolgt eine Port-basierte Zuordnung zu dem generellen Dienst HTTP oder HTTPS.
Ist der Ziel-Dienst für jede über eine überwachte Schnittstelle geführte Verbindung bekannt, ist es gemeinsam mit dem verbindungsherstellenden Client möglich, die Verbindung zu tracken und so zu ermitteln, welcher Client wie viel Traffic von / zu einem Dienst verursacht hat.
Die ermittelten Werte finden Sie in den zugehörigen Tabellen im LCOS-Menübaum unter .
Sie haben die Möglichkeit, die Layer-7-Anwendungserkennung zentral oder dezentral in Ihrem Netzwerk einzusetzen. Beide Varianten verhindern, dass Traffic mehrfach gelistet wird:
- Zentraler Einsatz
- Die Layer-7-Anwendungserkennung wird auf einem zentralen Router im LAN aktiviert, auf allen anderen LANCOM Geräten ist sie deaktiviert.
- Dezentraler Einsatz
- Die Layer-7-Anwendungserkennung wird nur auf den letzten Bridges im LAN aktiviert, z. B. Access Points oder LANCOM Router, an deren LAN-Schnittstellen die Clients direkt angeschlossen sind.
Um verfälschte Ergebnisse zu verhindern, achten Sie bitte darauf, dass der Traffic nur genau ein Gerät oder eine Bridge mit aktiver Layer-7-Anwendungserkennung durchläuft.