Анализът на трафик модел е процес, който позволявамрежовите администратори и мениджърите получават отлично представяне не само на това колко мрежа е използвана, но и по-важното - КАК тя се използва. Едно е да знаем, че даден мрежов сегмент страда от задръствания, но е различен - и много по-полезен - да научиш какво причинява това задръстване. И без тази информация, единствената възможност за фиксиране на задръстванията е да хвърлите повече честотна лента към него. Но честотната лента е скъпа и със сигурност има по-добри начини за решаване на този тип проблеми. Анализът на модела на трафик може да бъде отговорът и днес ние разглеждаме най-добрите инструменти, които можете да използвате.
Ще започнем своето пътешествие по схемата на трафикаанализ с някаква полезна теория. Първо ще разгледаме по-подробно какво представлява анализът на трафика. Това е важно, тъй като е това, което ще ви помогне да определите какво представлява инструмент за анализ на модел на трафик. След това ще обсъдим NetFlow и други системи и протоколи за отчитане на потока, тъй като те са в основата на повечето инструменти за анализ на модели на трафик. Първо ще разгледаме NetFlow протокола на Cisco и неговите множество варианти, преди да разгледаме S-Flow, конкуриращ се протокол, който е малко по-различен в това как работи. Въоръжени с цялата тази информация, ще сме готови да прегледаме най-добрите инструменти за анализ на модели на трафик, които бихме могли да намерим.
Анализ на модела на трафик накратко
В най-простия си израз мрежовият трафиканализ на модели е процесът на запис, преглед и / или анализ на мрежовия трафик с цел изпълнение, сигурност и / или общи мрежови операции и управление. По-конкретно, това е процесът на използване на ръчни и автоматизирани техники за преглед на подробни данни и статистически данни в рамките на мрежовия трафик.
Съществуват предимно два вида мрежов трафикмониторинг. Първият е мониторинг на използването на честотната лента, който може да предостави количествени данни. Този тип мониторинг ще ви позволи да видите колко трафик преминава в конкретна точка в мрежата, но няма да предостави никакви данни за естеството на този трафик. Вторият вид мониторинг, този, който обсъждаме днес и който се нарича анализ на модела на трафик на мрежа или просто анализ на мрежовия трафик, се задълбочава и основната му цел е да предложи задълбочен поглед върху какъв тип трафик, мрежа пакети или данни преминават през мрежа.
Въпреки че анализът на модела на мрежовия трафик може да бъденаправено ръчно, най-често се извършва с помощта на мрежов инструмент за наблюдение. Да го направите ръчно, просто ще изисква твърде много усилия. Статистическата информация за трафика, получена от анализа на мрежовия трафик, може да помогне за разбирането и оценяването на използването на мрежата. Той ще разкрие важни данни за вида, размера, произхода и местоназначението на пакетите с данни. Той дори може да включва някаква информация за съдържанието на пакетите с данни.
Екипите за сигурност на мрежата могат да използват мрежов трафиканализ на модел за идентифициране на злонамерени или подозрителни пакети в трафика. По същия начин мрежовите администрации, които се стремят да наблюдават скоростта на изтегляне и качване, пропускане, съдържание и т.н., ще го използват за по-добро разбиране на използването на мрежата.
Надолу, анализът на мрежовия трафик анализможе също да се използва от нападатели и / или натрапници за анализ на модели на мрежовия трафик и идентифициране на уязвимости или средства за разбиване или извличане на чувствителни данни. Това е меч с две остриета.
NetFlow и други системи за отчитане на потоци
NetFlow е функция, която беше въведена на Ciscoмаршрутизатори още през 1996 г. - дайте или отнеме година или две - което предлага възможност за събиране на IP мрежов трафик, когато влиза или излиза от интерфейс. Това е различно от мониторинга на честотната лента, където данните се броят, но не се събират. Анализирайки събраните данни, човек може да определи неща като източника и местоназначението на трафика, класа и вида на услугата и в крайна сметка да използва тази информация за идентифициране на причините за задръстванията.
Типичната настройка за мониторинг на NetFlow е съставена от три основни компонента:
- Най- енисък износител агрегира пакети в потоци и експортира записи на потока към един или повече колектори на потоци. Това е компонентът, който се намира в мрежовото устройство.
- Най- енисък колектор отговаря за приемането, съхранението и предварителната обработка на данните от потока, получени от износител на потоци.
- Най- анализатор на дебита анализира получените данни за потока в контекста на откриване на проникване или профилиране на трафик, например.
Поток, на езика на NetFlow, е aеднопосочна последователност на пакети, които споделят определен брой атрибути, като техния входящ интерфейс, източник и дестинация IP адреси, IP протокол (TCP / UDP / ICMP и др.), IP портове източник и дестинация и тип IP услуга. Подробни данни за всеки отделен поток се събират от износителя на потока, преди да бъдат изнесени в поточния колектор. В повечето случаи днес колекторът на потока и анализаторът са два компонента на една и съща система и рядко ги виждаме разделени.
След като Cisco е изключителен, NetFlow вече е наличенза оборудване от много доставчици, включително Juniper, Alcatel-Lucent и Nortel, само за да назовем няколко. Някои доставчици го наричат различно име като J-flow за Juniper. Има дори сравнително скорошна IETF-стандартизирана версия, наречена IPFIX, която означава eXport информация за потока на интернет протокола.
sFlow е малко еквивалентен, но широко разпространенразлична технология. sFlow използва подобни методи за събиране на информация за потока, но добавя извадка от данни - оттук и S - за още по-подробна информация. Много малко NetFlow анализатори и колектори могат да обработват sFlow данни, тъй като двете са твърде различни.
Най-добрите инструменти за анализ на модели на трафик
Има доста инструменти, които предлагатанализ на модела на мрежовия трафик. Повечето от тях ще събират данни от NetFlow и ще ги показват по някакъв смислен графичен начин, докато някои използват различни техники за постигане на подобни цели.
1. SolarWinds NetFlow анализатор на трафика (БЕЗПЛАТЕН ПРОБЕН ПЕРИОД)
Първо в нашия списък е SolarWinds NetFlow анализатор на трафика или NTA, Ако не знаете SolarWinds, компанията имаси извая солидна репутация за създаването на едни от най-добрите инструменти за управление на мрежата. Неговият водещ продукт, Network Performance Monitor е едно от най-добрите налични инструменти за мониторинг на честотната лента. А SolarWinds е известен и със страхотния си безплатен инструмент за справяне с конкретни нужди на мрежовата администрация като един от най-добрите калкулатори на подмрежата или TFTP сървър.
Както подсказва името му, SolarWinds NetFlow анализатор на трафика използва протокола NetFlow, за да предостави подробностиинформация за това какъв е наблюдаваният трафик. Той може например да отчита какъв тип трафик е по-често или какъв потребител използва най-честотната лента. Няколко различни изгледа са достъпни на таблото за управление на инструмента, като например най-добрите приложения, най-добрите протоколи или топ говорители, например. Инструментът ще поддържа повечето варианти на NetFlow от различни доставчици
БЕЗПЛАТЕН ПРОБЕН ПЕРИОД: SolarWinds NETFLOW ТРАФИЧЕН АНАЛИЗ
Ето някои от най-добрите функции на продукта.
- Може да се използва за наблюдение на използването на мрежата чрез приложение, протокол и група IP адреси.
- Той ще следи Cisco NetFlow, Juniper J-Flow, sFlow, Huawei NetStream и IPFIX данни за потока, за да идентифицира кои приложения и протоколи са най-добрите потребители на честотна лента.
- Той ще събира данни за трафика, ще ги съпостави в използваем формат и ще го представи в своя уеб базиран потребителски интерфейс
- Тя може да ви помогне да определите кои приложения и категории консумират най-голяма честотна лента за по-добра видимост на мрежовия трафик и има поддръжка за Cisco NBAR2.
Най- SolarWinds NetFlow анализатор на трафика се предлага като добавка към мрежатаМонитор на ефективността (NPM). Цените започват от 1,915 долара за 100 възли. Броят на възлите, които купувате, трябва да съответства на вашия лиценз за NPM. Ако вече не притежавате софтуера на NPM, това ще струва $ 2,995 за същото ниво от 100 възли. И ако искате да го изпробвате, преди да го купите, можете да изтеглите напълно функционална 30-дневна версия за оценка на един или на двата продукта,
2. Grapher Traffic Grapher (PRTG) на Paessler
Най- Paessler Router Grapher Traffic Grapher, или PRTG, е решение всичко в едно, чиято основна целследи използването на честотната лента. Като такъв той интегрира SNMP мониторинг на честотната лента и NetFlow събиране и анализ. Но това не спира и PRTG ще използва много различни технологии за наблюдение на системи, устройства, трафик и приложения. Ето извличане на поддържаните протоколи за наблюдение:
- Потоци (като NetFlow или sFlow)
- SNMP с готови за използване и персонализирани опции
- Броячи на производителността на WMI и Windows
- SSH за Linux / Unix и MacOS системи
- Pani Sniffing
- Ping, SQL и много други
Инсталиране PRTG лесно е. Всъщност Paessler твърди, че бихте могли да го направите в рамките на няколко минути. След стартиране на инсталатора, процесът на автоматично откриване ще открие устройства и ще настрои основни сензори. След това можете да добавяте сензори - например NetFlow колектори - ръчно. Ако имате нужда, има подробно видео, което ще ви покаже как е направено.
PRTG работи само на Windows, но потребителският й интерфейс еуеб-базирани и могат да бъдат достъпни от всеки браузър на всяка платформа. Има и мобилни приложения за Android и iOS, които можете да инсталирате на вашия смартфон. Говорейки за мобилните приложения, този инструмент има уникална функция под формата на QR кодове, които можете да отпечатвате и поставяте на своите устройства. Тогава е просто въпрос на сканиране на кода от мобилните приложения за бързо преглеждане на сензорните данни на устройството.
PRTG се предлага в две версии. Има безплатна версия, която е ограничена до 100 сензора. Всеки наблюдаван елемент се счита за един сензор. Например, за да наблюдавате всеки порт на 48-порта порта, ще ви трябват 48 датчика. За събиране и анализ на NetFlow ще ви е необходим по един сензор на всеки износител на поток. За повече от 100 сензора се нуждаете от платен лиценз. Те са налични за 500, 1000, 2500, 5000 и неограничени възли на цени, вариращи от около $ 1 600 до малко под $ 15 000. Обърнете внимание, че безплатната версия ще позволи неограничени сензори за първите 30 дни, което ви позволява да изпробвате цялостно тестване продуктът.
3. Проверка
Scrutinizer от Plixer е отличен NetFlow анализатор. Всъщност това е много повече от това и мнозина считат за пълноценна система за реагиране на инциденти. И със своята способност да наблюдава различни типове потоци като NetFlow, J-flow, NetStream и IPFIX, вие не се ограничавате да наблюдавате само устройства на Cisco.
Scrutinizer разполага с йерархичен дизайн и офертирационално и ефективно събиране на данни, което позволява да се започне един малък и лесен за мащабиране начин до милиони потоци в секунда. Въпреки че мрежата често се обвинява винаги, когато нещо се обърка, Scrutinizer ще ви помогне бързо да намерите истинската първопричина за повечето мрежови проблеми. Продуктът може да работи както във физическа, така и във виртуална среда и се предлага с разширени функции за отчитане.
Scrutinizer се предлага в четири лицензни нива от основниябезплатна версия до най-високо ниво на SCR, която може да мащабира до над десет милиона потока в секунда. Безплатната версия е ограничена до десет хиляди потока в секунда и ще съхранява само сурови данни за 5 часа. Между слоевете са нивото на MDX, което съхранява данни за 25 часа, и SSRV, което ги съхранява завинаги. Можете да опитате всеки лицензен ред за 30 дни, след което той ще се върне към безплатната версия.
4. ManageEngine NetFlow Analyzer
ManageEngine е още едно име на домакинство на арена за инструменти за мрежово администриране. Подобно на SolarWinds, компанията прави шепа отлични инструменти, както и няколко безплатни. Най- ManageEngine NetFlow Analyzer предоставя подробен изглед на честотната лента на мрежатаизползване, както и модели на трафик. Продуктът разполага с уеб базиран потребителски интерфейс, който предлага впечатляващ брой различни изгледи във вашата мрежа.
Този инструмент ще ви позволи например да видитетрафик чрез приложение, разговор, протокол и още няколко опции. Можете също така да зададете сигнали, които да ви предупреждават за потенциални проблеми. Можете например да зададете праг на трафик на определен интерфейс и да бъдете известявани, когато трафикът го надвишава.
Повечето от ManageEngine NetFlow AnalyzerСилата идва от докладите и таблото за управление. Продуктът има няколко полезни предварително съставени отчета, които са пригодени за конкретни цели като отстраняване на проблеми, планиране на капацитет или таксуване. Но ако предпочитате да създадете персонализирани отчети, инструментът позволява на администраторите да ги създават по свой вкус.
Най- ManageEngine NetFlow AnalyzerТаблото за управление е също толкова впечатляващо, колкото и неговите доклади. Тя включва няколко пай диаграми, изобразяващи най-добрите приложения, топ протоколи или топ разговори, например. Той може също така да показва топлинна карта, показваща състоянието на наблюдаваните интерфейси. Таблата за управление могат да бъдат персонализирани да включват само информацията, от която се нуждаете. За администраторите на мрежата в движение има приложение за смартфони, което ще ви позволи да получите достъп до таблото за управление и отчетите.
Най- ManageEngine NetFlow Analyzer поддържа повечето технологии на потока, включителноNetFlow, IPFIX, J-flow, NetStream и няколко други. Като бонус, прекалено отличната интеграция с устройствата на Cisco, с възможност за регулиране на трафика и / или QoS политики направо от инструмента.
Най- ManageEngine NetFlow Analyzer идва в две версии. Безплатната версия ви ограничава да наблюдавате само два интерфейса или износители на потоци. За по-голям капацитет лицензите се предлагат в няколко размера от 100 до 2500 интерфейса или потоци на цени, вариращи от около 600 до над 50 000 долара плюс годишни такси за поддръжка. Безплатен 30-дневен пробен период е наличен за всички платени планове.
5. sFlowTrend
Въпреки че всички предишни продукти са отлични,досега само PRTG поддържа протокола sFlow. Както обяснихме, двата протокола са доста различни и рядко е един инструмент да поддържа и двата. Така че, ако вашата мрежа е изградена предимно от устройства с активиран sFlow, ето един от най-добрите инструменти, които бихме могли да намерим.
sFlowTrend е sFlow инструмент за наблюдение от inMon, theкомпания зад протокола sFlow. Това е основно и донякъде ограничено, но много способно средство. Има безплатна версия, която ще ви позволява да събирате данни от до пет устройства с активиран sFlow и ще съхранява данни от историята в RAM само до един час. Въпреки че това може да е достатъчно за отстраняване на някои проблеми с работата в мрежата, това не е това, което ви е необходимо за текущ мониторинг. За по-пълен инструмент трябва да надстроите до професионалната версия, която премахва ограничението на броя устройства и съхранява данни от историята на диска.
Най- sFlowTrend Таблото за управление предлага бърз преглед на текущото състояние на наблюдаваните устройства и мрежи. Той ще покаже праговете от най-високо ниво и интерфейсите с потенциални грешки. Кликнете върху sFLowTrend Раздел Мрежа разкрива обобщена производителностстатистика и подробен трафик на ниво мрежа или устройство. Праговете за предупреждение могат да се използват за получаване на сигнали, когато се наблюдава по-висока от обичайната честотна лента или се случи грешка в мрежата. Софтуерът разполага и с раздела Root причини, където можете да проверите причината за проблем като нарушение на прага.
Най- sFlowTrend Разделът хостове е мястото, където ще намерите по-подробноинформация за всяко устройство. Той може да показва данни за производителността на процесора, диска и други, за сървъри с активиран sFlow. Както ще разберете, sFlow не е само за мониторинг на мрежовото оборудване. В раздела Услуги ще намерите данни за ефективността на приложения, които експортират sFlow данни. В раздела Събития ще намерите дневник на събития като надвишени прагове или открити грешки. И накрая, разделът Отчети предлага няколко предварително дефинирани отчета и също така поддържа създаването на персонализирани отчети.
sFlowTrend е написано на Java и се предлага и с aJava-базиран или уеб-базиран потребителски интерфейс. Предлага се за Windows, Mac и Linux. Софтуерът разполага с отлична онлайн система за помощ, за да ви помогне в конфигурирането и използването на инструмента.
В заключение
Без значение кой инструмент изберете, мрежов трафиканализът на шаблоните ще ви даде безценна представа за това какво се случва във вашата мрежа. Всеки от инструментите, които разгледахме, осигурява отлична стойност и изборът на един най-вероятно ще бъде въпрос на лично предпочитание. Може да има специфична функция в един от инструментите, който особено ви харесва. С всички платени инструменти, предлагащи или безплатна пробна версия, или безплатна версия, няма причина, поради която не можете да опитате няколко, преди да вземете решение.
Коментари