La gestión de redes requiere el uso de servicios especializados.herramientas que le brindan la visibilidad necesaria para garantizar que todo funcione sin problemas en todo momento. A diferencia del tráfico rodado donde las ralentizaciones y las obstrucciones se pueden identificar fácilmente, el tráfico de red no es algo fácil de ver. Es por eso que herramientas como NetFlow pueden ayudar. La tecnología NetFlow puede brindarle una idea de qué tráfico atraviesa su red en lugar de cuánto tráfico hay. Siga leyendo mientras revisamos algunos de los mejores recopiladores y analizadores de NetFlow para Linux.
Comenzaremos nuestro viaje discutiendo eldiferentes métodos que los administradores de red pueden usar para monitorear su red y localizar –y solucionar– problemas antes de que se conviertan en problemas reales. Luego, explicaremos qué es NetFlow Cómo funciona y qué se necesita para explotarlo. Y mientras estamos allí, también discutiremos algunas alternativas de NetFlow que podrían ser de interés. Luego nos sumergiremos en el núcleo del asunto y revisaremos algunos de los mejores recopiladores y analizadores de NetFlow disponibles para la plataforma Linux. De acuerdo con la filosofía de código abierto de Linux, algunos de ellos están disponibles de forma gratuita, mientras que otros requieren una compra o una suscripción.
Redes de monitoreo
Como administrador de red, uno de susLa responsabilidad es asegurarse de que todo funcione sin problemas, que no haya ralentizaciones y que todo el tráfico de la red llegue a su destino en un tiempo aceptable. Desafortunadamente, lo que sucede en una red ocurre dentro de cables, enrutadores, conmutadores y otros equipos donde generalmente es muy difícil ver lo que está sucediendo. De aquí proviene el concepto de monitoreo de red. Con diferentes herramientas, los administradores pueden obtener cierta visibilidad de lo que sucede dentro de la red.
Utilidades de línea de comando
Hay varias herramientas que los administradores pueden usar para monitorearsu red Las herramientas más básicas son las herramientas de diagnóstico de línea de comandos. Probablemente los conozca y los esté usando constantemente. Ping, por ejemplo, le permite validar que se puede alcanzar una dirección IP determinada y proporcionar algunas estadísticas sobre retrasos de ida y vuelta y pérdida de paquetes. Tracert, o traceroute, dependiendo de su sistema operativo, rastreará la ruta de red completa entre dos dispositivos. Nmap enumerará todos los dispositivos que están presentes en una subred específica.
Herramientas de captura y análisis de paquetes
A continuación, hay herramientas de monitoreo de red que permitiráncaptura el tráfico que pasa por una ubicación específica y eso le permitirá decodificar los paquetes y analizarlos. Pueden ser muy útiles al tratar de resolver problemas de la capa de aplicación, pero a menudo no le darán mucha información sobre el rendimiento real de su red. Una de esas herramientas que se ha vuelto muy común se llama Wireshark. Tcpdump es otra herramienta similar que utiliza una interfaz de línea de comandos en lugar de una GUI.
Software de análisis de flujo
Para una visión más precisa de lo que está sucediendo,Análisis de flujo de lo que necesita. Se basa en dispositivos de red para enviar información de tráfico, por lo que los sistemas llamados colectores y / o analizadores pueden, a su vez, interpretar los datos de flujo y presentarlos de manera significativa. El protocolo que permite esto se llama NetFlow. Fue creado por Cisco Systems hace varios años, pero ahora se usa comúnmente de una forma u otra en equipos de redes de la mayoría de los principales fabricantes.
¿Qué es NetFlow?
NetFlow fue desarrollado por Cisco Systems y fueintroducido en sus enrutadores para proporcionar la capacidad de recopilar tráfico de red IP a medida que entra o sale de una interfaz. Luego, los administradores de red analizan los datos recopilados para ayudar a determinar el origen y el destino del tráfico, la clase de servicio y las causas de la congestión.
los exportador de flujo agrega paquetes en flujos y exporta registros de flujo hacia uno o más recolectores de flujo. Este es el componente que se ejecuta en los dispositivos monitoreados.
los colector de flujo es responsable de la recepción, el almacenamiento y el procesamiento previo de los datos de flujo recibidos de un exportador de flujo.
Finalmente, el fluir analitozer es una aplicación que se usa para analizar los datos de flujo recibidos. El análisis se puede utilizar para la creación de perfiles de tráfico o para la resolución de problemas de red.
Cómo funciona NetFlow
Enrutadores, conmutadores y cualquier otro dispositivo queadmite NetFlow se puede configurar para generar datos de flujo en forma de registros de flujo y enviarlos a un recopilador de NetFlow. Un flujo es una conversación completa en el sentido de IP. El dispositivo que prepara los registros de flujo normalmente los envía al recopilador cuando determina que el flujo ha finalizado ya sea por caducidad (no ha habido tráfico dentro de un tiempo de espera específico) o cuando ve una finalización de sesión TCP.
El registro de flujo contiene mucha información.sobre el flujo Incluye las interfaces de entrada y salida, las marcas de tiempo de inicio y finalización del flujo, la cantidad de bytes y paquetes que contiene, los encabezados de la capa 3, la dirección IP de origen y destino y el número de puerto, el protocolo IP y el valor TOS . Los registros de flujo no contienen los datos reales que componen el flujo. El único contiene información sobre el flujo. Esto es importante desde el punto de vista de la seguridad.
Excepto en entornos multisitio enormes, el flujoLos colectores a los que se envían los registros son a menudo también analizadores de flujo. Utilizan la información contenida en los registros de flujo para presentar datos sobre el tráfico de red de una manera que sea útil para los administradores de red. Los diferentes recolectores y analizadores de NetFlow tendrán diferentes formas de presentar los datos. Aquí es donde nuestra lista de los mejores colectores y analizadores de NetFlow será útil.
Algunas alternativas a NetFlow
Como ya hemos insinuado, NetFlow existe porVarios nombres diferentes. Pero también hay alternativas a NetFlow, las dos más conocidas son sFlow e IPFIX. Este último se basa en gran medida en la última versión de NetFlow, excepto que es un estándar IETF. Somos libres de pensar que Cisco podría incluso reemplazar NetFlow con IPFIX.
En cuanto a sFlow, es un sistema diferente y competitivo. Su objetivo y principios generales de funcionamiento son similares pero diferentes. Algunos analizadores de NetFlow también funcionarán con sFlow pero, en general, los usuarios de uno no usan el otro.
Los mejores colectores de NetFlow para Linux
Hemos buscado en el mercado el mejor NetFlowColeccionistas y analizadores para Linux. Lo que tenemos para usted son cinco de los mejores productos que pudimos encontrar, en orden de preferencia con nuestro favorito en la parte superior de la lista. Revisemos cada uno y exploremos sus características principales con el objetivo de ayudarlo a elegir el paquete que mejor se adapte a sus necesidades.
1. Analizador ManageEngine NetFlow
El analizador ManageEngine NetFlow proporcionaadministrador de red una vista detallada de la utilización del ancho de banda de la red, así como los patrones de tráfico. El producto está controlado por una interfaz basada en la web y ofrece una impresionante cantidad de vistas diferentes en su red.
Puede, por ejemplo, ver el tráfico poraplicación, por conversación, por protocolo y varias opciones más. También puede configurar alertas para advertirle de posibles problemas. Por ejemplo, puede establecer un umbral de tráfico en una interfaz específica y recibir alertas cuando el tráfico lo exceda.
Pero la mayor parte de la fuerza del producto vienede sus informes y tablero. La herramienta viene con varios informes prediseñados muy útiles que están diseñados específicamente para fines específicos, como la resolución de problemas, la planificación de la capacidad o la facturación. Pero no está atascado con los informes integrados, ya que la herramienta también permite a los administradores crear informes personalizados a su gusto.
En cuanto al panel de la herramienta que mencionamos, estan impresionante como sus informes. Incluye varios gráficos circulares con cosas como las mejores aplicaciones, los mejores protocolos o las mejores conversaciones. También puede mostrar un mapa de calor con el estado de las interfaces monitoreadas. Y como habrás adivinado, los paneles se pueden personalizar para incluir solo la información que consideres útil. El tablero también es donde se muestran las alertas en forma de ventanas emergentes. Y para el administrador de la red en movimiento, hay una aplicación para teléfonos inteligentes que le permitirá acceder al tablero y a los informes.
El analizador ManageEngine NetFlow es compatible con la mayoríatecnologías de flujo que incluyen NetFlow (por supuesto), IPFIX, J-flow, NetStream y algunos otros. Como beneficio adicional, también tiene una excelente integración con los dispositivos Cisco, con soporte para ajustar la configuración del tráfico y / o las políticas de QoS directamente desde la herramienta.
Al igual que muchos productos de la competencia, ManageEngineNetFlow Analyzer viene en dos versiones. La versión gratuita será idéntica a la pagada durante los primeros 30 días, pero luego volverá a monitorear solo dos interfaces de flujos. Si bien esto no es mucho, podría ser todo lo que necesita.
Si desea la versión paga, las licencias están disponibles en varios tamaños, desde 100 hasta 2500 interfaces o flujos con precios que varían entre aproximadamente $ 600 y más de $ 50K más tarifas anuales de mantenimiento.
2. Escrutador
El escrutinio de Plixer es otro gran NetFlowAnalizador. De hecho, es incluso más que eso y muchos lo ven como un sistema completo de respuesta a incidentes. Con su capacidad para monitorear diferentes tipos de flujo como NetFlow, J-flow, NetStream e IPFIX, no está limitado a monitorear solo dispositivos Cisco.
Con su diseño jerárquico, Scrutinizer ofreceRecopilación de datos optimizada y eficiente, y le permite comenzar de manera pequeña y fácil de escalar hasta muchos millones de flujos por segundo. A menudo se culpa primero a la red cada vez que algo sale mal. Con Scrutinizer, puede encontrar rápidamente la causa real de la mayoría de los problemas de red. Scrutinizer funciona en entornos físicos y virtuales y viene con funciones de informes avanzadas.
Scrutinizer viene en cuatro niveles de licencia que vandesde la versión básica gratuita hasta el nivel SCR completo que puede escalar hasta más de 10 millones de flujos por segundo. La versión gratuita está limitada a 10 mil flujos por segundo y solo conservará los datos de flujo sin procesar durante 5 horas, pero debería ser más que suficiente para solucionar problemas de red. También puede probar cualquier nivel de licencia durante 30 días, luego de lo cual volverá a la versión gratuita. La herramienta está disponible como dispositivo de hardware o como dispositivo virtual que puede ejecutarse en un host Linux a través de KVM
3. nProbe y ntopng
nProbe y ntopng son algo más avanzados, yherramientas más complicadas de código abierto. Ntopng es una herramienta de análisis de tráfico basada en la web para monitorear redes basadas en datos de flujo, mientras que nProbe es un exportador y recolector de NetFlow e IPFIX. Juntos, crean un paquete de análisis muy flexible. Si ha administrado redes Linux anteriormente, puede estar familiarizado con ntop. ntopng es la versión GUI de próxima generación de esta herramienta eterna.
Hay una versión comunitaria gratuita de ntopng yTambién puede comprar versiones empresariales. Pueden ser caros, pero son gratuitos para organizaciones educativas y sin fines de lucro. En cuanto a nProbe, puede probarlo de forma gratuita, pero está limitado a un total de 25 000 flujos exportados. Para ir más allá, deberá comprar una licencia.
Como la mayoría de las herramientas modernas de análisis de red, ntopngpresenta una interfaz de usuario basada en la web que puede presentar datos por tráfico, como los principales conversadores, flujos, hosts, dispositivos e interfaces. Tiene una mezcla de cuadros, tablas y gráficos. la mayoría con opciones de desglose que le permiten explorar en mayor profundidad. La interfaz es bastante flexible y permite mucha personalización.
4. FlowScan
FlowScan es una especie de herramienta de visualización que ustedpuede usar para analizar datos de Netflow e informar sobre ellos. Puede producir gráficos visuales en tiempo casi real que muestran lo que está sucediendo en su red. FlowScan puede implementarse en un sistema GNU / Linux o BSD. Utiliza varios otros paquetes para recopilar y procesar correctamente los flujos. Por ejemplo, Cflowd se usa como el colector de flujo. FlowScan es en realidad un script de Perl que constituye la mayor parte del paquete de software. Este componente es responsable de cargar y ejecutar informes. Un último componente importante es RRDtool, una herramienta popular para almacenar datos en bases de datos redondas y trazar esos datos en gráficos, que se utilizan para almacenar información de flujo y producir gráficos útiles.
Los administradores de red a menudo descubren que tieneno recolectó muy poca o demasiada información. El perfil de flujo proporcionado por FlowScan ofrece un compromiso pragmático entre estos extremos en la recopilación de datos. Debido a que los flujos agregan datos recopilados a medida que los paquetes viajan a través de un puerto o interfaz dados, pueden usarse como una abreviatura para series de paquetes que viajan entre puntos finales de interés. Pero esta característica por sí sola es insuficiente para un uso continuo confiable: se necesitan herramientas de software adicionales para definir, analizar y analizar estos flujos. Esas herramientas adicionales se incluyen con FlowScan.
5. inMon sFlowTrend (Mención especial)
Aunque no es un colector y analizador de NetFlow, peromás bien uno que maneja sFlow, sentimos que sFlowTrend merecía estar en esta lista. Puede ejecutarse en Linux y si los componentes de su red usan sFlow en lugar de NetFlow, es una de las mejores herramientas disponibles. La herramienta es de inMon, la compañía detrás de sFlow. Es una herramienta básica y algo limitada pero muy capaz. La versión gratuita del software le permite recopilar datos de hasta cinco conmutadores, enrutadores o hosts habilitados para sFlow y solo mantendrá los datos del historial en la RAM durante hasta una hora. Debería ser suficiente para solucionar la mayoría de los problemas de red. Y si desea avanzar, puede actualizar a la versión pro, a un costo, por supuesto, que elimina el límite de la cantidad de dispositivos y almacena los datos del historial en el disco.
La pestaña del panel de control de sFlowTrend proporcionavista del estado actual de los dispositivos y redes monitoreados, incluye umbrales de nivel superior e interfaces con posibles errores. Cuando uno hace clic en la pestaña Red, sflowTrend revela estadísticas resumidas de rendimiento y tráfico detallado a nivel de red o dispositivo. Se pueden definir umbrales de alerta. Le permite recibir alertas cuando se produce un uso de ancho de banda superior al habitual o un error de red. Incluso hay una pestaña de causa raíz donde puede profundizar en la causa de un problema, como una violación del umbral.
La pestaña Hosts es donde encontrarás más detallesinformación sobre cada dispositivo. Proporciona datos de rendimiento en red, CPU, disco, etc., para servidores habilitados para sFlow, incluidos los virtuales. En la pestaña Servicios, encontrará datos de rendimiento para aplicaciones (incluidos varios servidores web) que exportan datos de sFlow. En la pestaña Eventos, encontrará un registro de eventos como umbrales excedidos o errores detectados. Y, por último, la pestaña Informes proporciona varios informes predefinidos, pero también admite la creación de informes personalizados. Aquí es donde irá para ejecutar informes y luego ver sus resultados.
sFlowTrend está escrito en Java y viene con ambosuna interfaz de usuario basada en Java o en la web. Está disponible para Linux, Windows y Mac. También hay ayuda en línea disponible para ayudarlo a configurar y usar la herramienta. Es una gran herramienta, especialmente para organizaciones más pequeñas con equipos habilitados para sFlow. Y la ruta de actualización a la versión pro la convierte en una opción igualmente válida para redes más grandes.
Terminando
Aunque algunos de los mejores coleccionistas de NetFlowy los analizadores como SolarWinds NetFlow Traffic Analyzer solo se ejecutarán en máquinas con Windows, todavía hay muchas opciones disponibles si la plataforma de herramientas de monitoreo de su elección es Linux. Entre productos comerciales como ManageEngine NetFlow Analyzer o Pluter's Scrutinizer y herramientas de código abierto, debe haber uno que se ajuste perfectamente a sus necesidades.
Todos los productos que acabamos de revisar son genialesopciones. Algunos pueden no tener todas las funciones o pueden requerir un poco más de trabajo para configurarlos, pero cualquiera de ellos hará su trabajo y lo hará bien. Y dado que todos ofrecen algún tipo de prueba gratuita, o son completamente gratuitos, no hay razón para no probar algunos de ellos y ver por usted mismo cuál es para usted.
Comentarios