Мрежите са трудно нещо за управление и наблюдение. Разбираемо е, мрежовият трафик се случва в медно окабеляване или оптични влакна и не може да се види. Това прави малко сложно всеки администратор да има ясна и определена картина за това какво става с мрежите, които управляват. Оттук идва мрежовият мониторинг. А що се отнася до мрежовия мониторинг, има няколко нива от него, всяко от които предоставя повече информация за трафика. Дълбоката проверка на пакетите е най-високото ниво на мониторинг, което предоставя най-много информация за мрежовия трафик. За да извършите дълбока проверка на пакетите, се нуждаете от подходящи инструменти - и днес ние преглеждаме някои от най-добрите инструменти за дълбока проверка на пакетите.
Преди да започнем, ще се опитаме да обясним дълбок пакетинспекция. Изглежда, че всеки има противоречива представа какво е и какво трябва да бъде. Дълбоката проверка на пакетите, която ни интересува днес, е свързана с мониторинга на мрежата, още един неясен термин. За да се опитаме да хвърлим малко светлина по темата, ще обсъдим наблюдението като цяло и анализа на потока в частност, тъй като представлява форма на задълбочена проверка на пакети. И тъй като технологията NetFlow на Cisco изглежда най-разпространена, ще я разгледаме по-задълбочено. Едва тогава ще бъдем готови да разкрием какви са най-добрите инструменти за дълбока проверка на пакетите и да ви предложим кратък преглед на всеки.
Обяснена е дълбока проверка на пакети
Дълбоката проверка на пакетите се определя като акт закомпонент на мрежовата инфраструктура, който анализира съдържанието на пакети данни отвъд простото разглеждане на заглавната част на пакета за събиране на статистически данни за мрежовия трафик или за целите на филтриране, приоритизиране или откриване на проникване. Въпреки че това определение е сравнително точно, то е малко общо. Освен това, каква е дълбоката проверка на пакетите, може да варира в зависимост от това, което се опитвате да постигнете. Проверката на дълбоки пакети, извършена например за целите на събирането на статистически данни, е различна от инспекцията на дълбоки пакети, извършена за филтриране на някакъв трафик. В контекста на тази статия това, което ни интересува, е най-вече събиране на статистика. Инструментите, които ще преглеждаме моментално, са по същество модерни инструменти за мониторинг.
За инструментите за мониторинг
Мрежов мониторинг, също като дълбок пакетинспекция, не е ясно определен термин. Най-основната форма на мрежов мониторинг е мониторинг на честотната лента. Обикновено се прави с помощта на Простата протокол за управление на мрежата. Този тип мониторинг е много полезен за получаване на ясна картина за използването на мрежата, но има ограничения. Въпреки че ще ви даде средното използване на честотната лента в конкретна точка на мрежата, тя няма да предостави подробности за това, което използва честотната лента.
За по-ясна картина какво представлява трафикъттранспортирани по мрежа, трябва да използвате анализ на потока. Анализът на потока отива много по-дълбоко от мониторинга на честотната лента и може да предостави подробна информация. Той разчита на самите мрежови устройства да изпращат информация за трафика към системи за наблюдение, наречени колектори и / или анализатори, които могат да интерпретират данните от потока и да ги представят по смислен начин. Анализът на потока например ще ви позволи да видите как се разпределя мрежовият трафик между всички източници и местоназначение. Той ще ви каже за какви протоколи и какви видове трафик се използват.
Анализът на потока може да се счита за дълбок пакетпроверка, тъй като надхвърля само поглед в заглавката, за да намери качествена информация за действителните данни, които се пренасят в мрежа. Най-разпространеният от всички технологии за анализ на потока със сигурност е NetFlow на Cisco. Нека да го разгледаме по-задълбочено.
Повече за NetFlow
NetFlow първоначално е разработен от Cisco Systemsи въведени на техните маршрутизатори с цел да предоставят възможност за събиране на информация за трафик на IP мрежа, когато тя влиза или излиза от интерфейс. Първоначалното му намерение беше да се използва за създаване на по-добри списъци за контрол на достъпа (ACL). Оттогава тя се е разширила в истинска схема за наблюдение и данните за потока, събирани от устройства, вече се експортират диа.
Технологията NetFlow се състои отпо същество три компонента. Първият е износител на потоци, който агрегира пакети в потоци и изнася записи на потока към един или повече колектори на потоци. Следващият компонент, колекторът на потоци, отговаря за приемането, съхранението и предварителната обработка на данните от потока, получени от предишния компонент. Накрая, анализаторът на потока се използва за анализ на получените данни за потока. Този анализ може да се използва за профилиране на трафика или за отстраняване на проблеми с мрежата, наред с други приложения. Много съвременни инсталации комбинират колектор на потока и анализатор в един интегриран компонент.
Как работи NetFlow
Може да бъде всяко друго устройство, което поддържа NetFlowконфигурирани да извеждат данни за потока под формата на записи на потоци и да ги изпращат в NetFlow колектор. Потокът е пълен разговор в IP смисъла. И може да има много потоци, преминаващи през един интерфейс във всеки даден момент. Мрежовото устройство, подготвящо записи на потоци, ги изпраща на колектора, когато той определи, или чрез стареене, или като види прекратяване на TCP сесията, че потокът е приключил.
Типичен запис на потока е доста голяминформация. Това включва входните и изходните интерфейси, началните и крайните времеви печати на потока, броя на байтовете и пакетите, които съдържа, заглавките на слой 3, източника и целевия IP адрес и номера на порта, IP протокола и TOS ( Тип на услугата) стойност. Записите на потока не съдържат действителните данни, съставляващи потока. Те съдържат само информация за потока. Това е важно от гледна точка на сигурността.
В повечето среди колекторите на потока къдетозаписите се изпращат често са и анализатори на потока. Само много големи, многосайтови мрежи ще се възползват от отделни колектори, разпределени в различните сайтове. Колекторите и анализаторите използват информацията, съдържаща се в протоколите на потока, за да представят данни за мрежовия трафик по начин, полезен за мрежовите администратори. Всъщност основните отличителни фактори между различните инструменти е начинът, по който те могат да осмислят и представят данните по смислен начин.
Най-добрите инструменти за проверка на дълбоки пакети
От гледна точка на мониторинга, анализът на потока е aформират задълбочена проверка на пакети, така че инструментите, които разглеждаме днес, наистина са анализатори на NetFlow. Много от тях ще направят повече от това, въпреки че някои от тях са част от цялостно решение за мониторинг.
1. SolarWinds NetFlow анализатор на трафика (Безплатен пробен период)
SolarWinds, в невероятния случай, който стеникога не съм чувал за компанията, прави едни от най-добрите софтуер за мрежова и системна администрация. Един от водещите му продукти, SolarWinds Network Monitor Monitor, се счита от мнозина за един от най-добрите инструменти за мониторинг на пропускателната способност на мрежата. SolarWinds също така прави някои отлични безплатни инструменти, всеки от които адресира конкретна задача на мрежовите администратори. Два примера за тези безплатни инструменти са безплатен разширен калкулатор на подмрежата и безплатен syslog сървър. А що се отнася до анализа на трафика на NetFlow, SolarWinds NetFlow Traffic Analyzer (NTA) определено е един от най-добрите NetFlow колектор и анализатор, които можете да намерите.
Сред най-добрите характеристики на продукта, SolarWinds NetFlow анализатор на трафика може да следи използването на честотна лента чрез приложение,протокол и група IP адреси. Той може не само да наблюдава Cisco NetFlow, но и Juniper J-Flow, sFlow, Huawei NetStream и IPFIX - няколко други технологии за анализ на потока, базирани на NetFlow - за да идентифицира кои приложения и протоколи са най-добрите потребители на честотна лента. Инструментът събира данни за трафика, съпоставя го в използваем формат и го представя на потребителя на уеб-базирано табло. Продуктът поддържа Cisco NBAR2, за да идентифицира кои приложения и категории консумират най-голяма честотна лента, като ви осигурява още по-добра видимост на мрежовия трафик.
Най- SolarWinds NetFlow анализатор на трафика е добавка към монитора за ефективност на мрежата(NPM). Ако вече не притежавате лиценз за NPM, ще трябва да го фактурирате като цена. Те започват от $ 2 955 за до 100 елемента. Що се отнася до добавката за NTA, нейният лиценз трябва да съответства на броя на възлите на вашия лиценз за NPN, а цените започват от $ 1 915. Ако предпочитате да изпробвате продукта, преди да се ангажирате с покупка, от SolarWinds е на разположение безплатна пробна версия.
- БЕЗПЛАТЕН ПРОБЕН ПЕРИОД: SolarWinds NetFlow анализатор на трафика
- Официална връзка за изтегляне: https://www.solarwinds.com/netflow-traffic-analyzer
2. SolarWinds NetFlow анализатор в реално време (Безплатно сваляне)
Ако имате нужда от решение с по-малък мащаб, SolarWinds NetFlow анализатор в реално време може да е точно това, от което се нуждаете. Това е един от известните безплатни инструменти на SolarWind и макар да не е толкова пълен като NetFlow Traffic Analyzer, той ви дава една и съща основна функционалност.
Той може да улавя и анализира данните от потока в реално време. И ще ви покаже вида на трафика, превозван в мрежата ви, откъде идва и къде отива. Можете също да го използвате - до известна степен - за диагностициране на скокове на трафика и отстраняване на проблеми с честотната лента.
Продуктът ще ви позволи да идентифицирате кои потребители,устройства и приложения консумират най-голяма честотна лента; изолиране на мрежовия трафик чрез разговор, приложение, домейн, крайна точка и протокол; и преглед на мрежовия трафик по тип и зададени времеви периоди
Разбира се, не можете да очаквате от този безплатен софтуернаправи всичко, което прави големият й брат. Той има някои сериозни ограничения и основният му фокус е текущото и много скорошно състояние на вашата мрежа. Той ще събира данни само от един NetFlow интерфейс и ще съхранява и анализира само последните 60 минути данни.
Ако се нуждаете от бърз и мръсен изглед на използването на вашата честотна лента, безплатният анализатор NetFlow в реално време SolarWinds ще ви го предостави, но не много повече.
- Безплатно сваляне: SolarWinds NetFlow анализатор в реално време
- Официална връзка за изтегляне: https://www.solarwinds.com/free-tools/real-time-netflow-analyzer
3. ManageEngine NetFlow Analyzer
ManageEngine е друго добре познато име в областта на инструментите за управление на мрежата. негов ManageEngine NetFlow Analyzer дава на мрежовите администратори подробен изглед наизползване на мрежовата честотна лента, както и моделите на трафик. Продуктът се контролира от уеб-базиран интерфейс и предлага впечатляващ брой различни изгледи във вашата мрежа.
Например, продуктът ще ви позволи да видитетрафик чрез приложение, разговор, протокол и още няколко опции. Освен това имате възможност да зададете сигнали, за да ви предупреждават за потенциални проблеми. Можете, например, да зададете праг на трафик на определен интерфейс и да бъдете известявани при всяко превишаване.
Но най-големите силни страни на този инструмент са неговитеотчети и табло. Той идва с няколко много полезни предварително изградени отчета, които са персонализирани за конкретни цели, като отстраняване на проблеми, планиране на капацитет или таксуване. И колкото и вградените му отчети, инструментът също така позволява на администраторите да създават персонализирани отчети по свой вкус.
Таблото за управление на продукта е също толкова впечатляващонеговите доклади. Тя включва няколко диаграми на пай с неща като топ приложения, топ протоколи или топ разговори. Той може също така да показва своеобразна топлинна карта със състоянието на наблюдаваните интерфейси. И точно като отчетите, таблото за управление може да бъде персонализирано така, че да включва само информацията, която намирате за полезна. Таблото за управление също е мястото, където сигналите се показват под формата на изскачащи прозорци. Администраторът на мрежата в движение няма да се почувства изоставен, тъй като приложението за смартфони е достъпно и ще ви даде достъп както до таблото за управление, така и до отчетите.
Най- ManageEngine NetFlow Analyzer поддържа повечето технологии на потока, включителноNetFlow, IPFIX, J-flow, NetStream и няколко други. Този инструмент може да се похвали и с отлична интеграция с устройства на Cisco, с възможност за настройване на трафика и / или QoS политики отвътре в инструмента.
Най- ManageEngine NetFlow Analyzer идва в две версии. Има безплатна версия, която е ограничена да наблюдава само два интерфейса на потоците. Въпреки че това не е много, може да е всичко, от което се нуждаете. И тази безплатна версия ще позволи неограничени устройства за първите 30 дни, като ви дава шанс да направите задълбочен тестов старт. След като изпитанието приключи, лицензите се предлагат в няколко размера от 100 до 2500 интерфейса или потоци, като цените започват от около $ 600 плюс годишни такси за поддръжка.
4. Grapher Traffic Grapher (PRTG) на Paessler
PRTG от Paessler е друг добре известен, all-in-oneрешение, чиято основна цел е мониторинг на използването на честотната лента. Използва се и за наблюдение на наличността и здравето на различните мрежови ресурси. Като такъв, това е друг много полезен инструмент за мрежовите администратори. Но благодарение на сензор NetFlow, който е наличен за продукта, PRTG може да служи и като NetFlow колектор и анализатор.
Всъщност, PRTG не е само инструмент за наблюдение на честотната лента или aNetFlow колектор и анализатор. Той използва няколко технологии за наблюдение на системи, устройства, трафик и приложения. Сред тях продуктът ще използва SNMP с готови за използване и персонализирани опции, броячи на WMI и Windows производителност, SSH за Linux / Unix и MacOS системи, потоци - като NetFlow или sFlow - и подслушване на пакети, HTTP заявки, REST API, връщащи XML или JSON, Ping, SQL и много други.
Инсталиране PRTG лесно е. Просто стартирате инсталатора, след което процесът на автоматично откриване ще открие устройства и ще настрои сензори. След това можете да добавите ръчно допълнителни сензори - например NetFlow колектори. На уебсайта на Paessler дори има подробно видео, което ще ви покаже как е направено.
Сървърът работи само в Windows, но неговият потребителинтерфейсът е базиран на уеб и може да бъде достъпен от всеки браузър. Има и мобилно клиентско приложение, което можете да инсталирате на вашия смартфон. Приложението за мобилни клиенти има уникална функция под формата на QR етикети, които можете да отпечатвате и поставяте на своите устройства. След това сканиране на кода от мобилното приложение бързо ще отвори данните на сензора на това устройство.
Две версии на PRTG са налични. Има безплатна версия, която е ограничена до 100 сензора. Имайте предвид, че сензор в PRTG езикът не е устройство. Вместо това той е най-основният елемент, който може да бъде наблюдаван. Например, мониторингът на всеки порт на превключвател с 48 порта изисква 48 сензора, а за събирането и анализа на NetFlow е необходим един сензор на износител на потока. С това темпо очевидно е, че 100 сензора може да не са толкова, колкото се появиха за пръв път. Ако имате нужда от повече от 100 сензора, ще трябва да закупите лиценз. Те се предлагат в 500, 1000, 2500 или 5000 сензора, като има и неограничен лиценз. Цените варират от около $ 1 600 до малко под $ 15 000. Безплатната версия ще позволи неограничени сензори за първите 30 дни, така че можете да се възползвате от задълбочен тест-драйв на продукта.
5. Проверка
Последно в нашия списък е Scrutinizer от Plixer, друг отличен анализатор на NetFlow. Всъщност това е много повече от това и някои го разглеждат като система за пълно реагиране на инциденти. Продуктът има възможност да наблюдава различни типове потоци като NetFlow, J-flow, NetStream и IPFIX, така че не сте ограничени да наблюдавате само устройства Cisco.
Scrutinizer може да се похвали с йерархичен дизайн, който предлагарационално и ефективно събиране на данни и ви позволява да стартирате малък и след това мащабен път до много милиона потока в секунда. Мрежата често се обвинява винаги, когато нещо се обърка. С този инструмент можете бързо да намерите истинската причина за почти всички проблеми в мрежата. Продуктът работи както с физическа, така и с виртуална среда и се предлага с разширени функции за отчитане.
Scrutinizer се предлага в четири лицензни нива. Те варират от основната безплатна версия до пълноценното ниво на SCR, което може да мащабира до над 10 милиона потока в секунда. Безплатната версия е ограничена до 10 хиляди потока в секунда и тя ще съхранява само сурови данни за 5 часа, но би трябвало да е повече от достатъчно за отстраняване на проблеми с мрежата. Можете също така да опитате всеки лицензен ред за 30 дни, след което той ще се върне обратно към безплатната версия.
Коментари