Le reti sono difficili da gestire e monitorare. È comprensibile, il traffico di rete avviene all'interno di cavi di rame o fibre ottiche e non può essere visto. Questo rende un po 'complicato per qualsiasi amministratore avere un quadro chiaro e definito di ciò che sta succedendo con le reti che gestiscono. È qui che entra in gioco il monitoraggio della rete. E quando si tratta del monitoraggio della rete, sono disponibili diversi livelli, ognuno dei quali fornisce maggiori informazioni sul traffico. L'ispezione approfondita dei pacchetti è il massimo livello di monitoraggio che fornisce la maggior parte delle informazioni sul traffico di rete. Per eseguire l'ispezione approfondita dei pacchetti, sono necessari strumenti adeguati e oggi stiamo esaminando alcuni dei migliori strumenti per l'ispezione approfondita dei pacchetti.
Prima di iniziare, proveremo a spiegare il pacchetto profondoispezione. Sembra che tutti abbiano un'idea contrastante di cosa sia e cosa dovrebbe essere. L'ispezione approfondita dei pacchetti che ci interessa oggi ha a che fare con il monitoraggio della rete, un altro termine vago. Per cercare di far luce sull'argomento, discuteremo del monitoraggio in generale e dell'analisi del flusso in particolare in quanto costituisce una forma di ispezione approfondita dei pacchetti. E poiché la tecnologia NetFlow di Cisco sembra essere la più diffusa, avremo uno sguardo più approfondito. Solo allora saremo pronti a rivelare quali sono i migliori strumenti per l'ispezione approfondita dei pacchetti e offrirvi una breve revisione di ciascuno.
Spiegazione dell'ispezione dei pacchetti profondi
L'ispezione profonda dei pacchetti è definita come l'atto, perun componente di infrastruttura di rete, che analizza il contenuto dei pacchetti di dati oltre a guardare semplicemente l'intestazione del pacchetto per raccogliere statistiche sul traffico di rete o per scopi di filtro, definizione delle priorità o rilevamento delle intrusioni. Mentre questa definizione è relativamente accurata, è un po 'generica. Inoltre, ciò che è l'ispezione approfondita dei pacchetti può variare in base a ciò che si sta tentando di realizzare. L'ispezione approfondita dei pacchetti effettuata a fini di raccolta di statistiche, ad esempio, è diversa dall'ispezione approfondita dei pacchetti eseguita per filtrare un po 'di traffico. Nel contesto di questo articolo, ciò che ci interessa è principalmente la raccolta di statistiche. Gli strumenti che esamineremo momentaneamente sono strumenti di monitoraggio essenzialmente avanzati.
Informazioni sugli strumenti di monitoraggio
Monitoraggio della rete, proprio come pacchetto profondoispezione, non è un termine chiaramente definito. La forma più semplice di monitoraggio della rete è il monitoraggio della larghezza di banda. In genere viene eseguita utilizzando il protocollo di gestione della rete semplice. Questo tipo di monitoraggio è molto utile per avere un quadro chiaro dell'utilizzo della rete ma presenta dei limiti. Sebbene ti fornisca l'utilizzo della larghezza di banda media in un punto specifico della rete, non fornirà dettagli su ciò che sta utilizzando la larghezza di banda.
Per un quadro più chiaro di cosa sia il trafficotrasportato su una rete, è necessario utilizzare l'analisi del flusso. L'analisi del flusso è molto più profonda del monitoraggio della larghezza di banda e può fornire informazioni dettagliate. Si affida ai dispositivi di rete stessi per inviare informazioni sul traffico a sistemi di monitoraggio chiamati collettori e / o analizzatori che possono interpretare i dati di flusso e presentarli in modo significativo. L'analisi del flusso, ad esempio, ti permetterà di vedere come il traffico di rete è distribuito tra tutte le fonti e destinazione. Ti dirà su quali protocolli e quali tipi di traffico vengono utilizzati.
L'analisi del flusso può essere considerata come pacchetto profondoispezione in quanto va oltre il semplice guardare l'intestazione per trovare informazioni qualitative sui dati reali che vengono trasportati su una rete. La più comune di tutte le tecnologie di analisi del flusso è sicuramente NetFlow di Cisco. Diamo un'occhiata più da vicino.
Maggiori informazioni su NetFlow
NetFlow è stato originariamente sviluppato da Cisco Systemse introdotti sui loro router con l'obiettivo di fornire la possibilità di raccogliere informazioni sul traffico di rete IP quando entrano o escono da un'interfaccia. Il suo intento originale doveva essere utilizzato per creare elenchi di controllo di accesso (ACL) migliori. Da allora si è espanso in un vero schema di monitoraggio e i dati di flusso raccolti dai dispositivi vengono ora esportati dia.
La tecnologia NetFlow comprendeessenzialmente tre componenti. Il primo è l'esportatore di flusso che aggrega i pacchetti in flussi ed esporta i record di flusso verso uno o più raccoglitori di flusso. Il componente successivo, il raccoglitore di flusso, è responsabile della ricezione, archiviazione e pre-elaborazione dei dati di flusso ricevuti dal componente precedente. Infine, l'analizzatore di flusso viene utilizzato per analizzare i dati di flusso ricevuti. Questa analisi può essere utilizzata per la profilazione del traffico o per la risoluzione dei problemi di rete, tra gli altri usi. Molte configurazioni moderne combinano il collettore di flusso e l'analizzatore in un unico componente integrato.
Come funziona NetFlow
Qualsiasi altro dispositivo che supporti NetFlow può essereconfigurato per emettere dati di flusso sotto forma di record di flusso e inviarli a un raccoglitore NetFlow. Un flusso è una conversazione completa in senso IP. E potrebbero esserci molti flussi che attraversano un'interfaccia in un dato momento. Il dispositivo di rete che prepara i record di flusso li invia al raccoglitore quando determina, tramite l'invecchiamento o la visualizzazione di una chiusura della sessione TCP, che il flusso è terminato.
Un tipico record di flusso contiene un bel po 'diinformazione. Ciò include le interfacce di input e output, i timestamp di inizio e fine del flusso, il numero di byte e pacchetti in esso contenuti, le intestazioni di livello 3, l'indirizzo IP e il numero di porta di origine e destinazione, il protocollo IP e il TOS ( Tipo di servizio). I record di flusso non contengono i dati effettivi che hanno costituito il flusso. Contengono solo informazioni sul flusso. Questo è importante dal punto di vista della sicurezza.
Nella maggior parte degli ambienti, i collettori di flusso dovei record inviati sono spesso anche gli analizzatori di flusso. Solo reti molto grandi e multi-sito trarranno vantaggio dalla distribuzione di collettori separati nei vari siti. I raccoglitori e gli analizzatori utilizzano le informazioni contenute nei record di flusso per presentare i dati sul traffico di rete in modo utile per gli amministratori di rete. In effetti, i principali fattori distintivi tra i diversi strumenti è il modo in cui possono dare un senso e presentare i dati in modo significativo.
I migliori strumenti per l'ispezione di pacchetti profondi
Dal punto di vista del monitoraggio, l'analisi del flusso è aforma un'ispezione approfondita dei pacchetti in modo che gli strumenti che stiamo esaminando oggi siano proprio gli analizzatori NetFlow. Molti di loro faranno di più, anche se alcuni fanno parte di una soluzione di monitoraggio completa.
1. Analizzatore di traffico NetFlow di SolarWinds (Prova gratuita)
SolarWinds, nel caso improbabile che haimai sentito parlare della compagnia, produce alcuni dei migliori software per l'amministrazione di reti e sistemi. Uno dei suoi prodotti di punta, SolarWinds Network Performance Monitor, è considerato da molti come uno dei migliori strumenti di monitoraggio della larghezza di banda della rete. E SolarWinds offre anche alcuni eccellenti strumenti gratuiti, ciascuno indirizzato a un'attività specifica degli amministratori di rete. Due esempi di questi strumenti gratuiti sono un calcolatore subnet avanzato gratuito e un server syslog gratuito. E quando si tratta di analisi del traffico NetFlow, il SolarWinds NetFlow Traffic Analyzer (NTA) è sicuramente uno dei migliori raccoglitori e analizzatori NetFlow che puoi trovare.
Tra le migliori caratteristiche del prodotto, il Analizzatore di traffico NetFlow di SolarWinds può monitorare l'utilizzo della larghezza di banda per applicazione,protocollo e gruppo di indirizzi IP. Non solo può monitorare Cisco NetFlow ma anche Juniper J-Flow, sFlow, Huawei NetStream e IPFIX, alcune altre tecnologie di analisi del flusso basate su NetFlow, per identificare quali applicazioni e protocolli sono i principali consumatori di larghezza di banda. Lo strumento raccoglie i dati sul traffico, li mette in correlazione in un formato utilizzabile e li presenta all'utente su una dashboard basata sul Web. Il prodotto supporta Cisco NBAR2 per identificare quali applicazioni e categorie consumano più larghezza di banda, offrendo una visibilità del traffico di rete ancora migliore.
Il Analizzatore di traffico NetFlow di SolarWinds è un componente aggiuntivo di Network Performance Monitor(NPM). Se non possiedi già una licenza NPM, dovrai tenerne conto. Iniziano a $ 2 955 per un massimo di 100 elementi. Per quanto riguarda il componente aggiuntivo NTA, la sua licenza deve corrispondere al numero di nodi della licenza NPN e i prezzi partono da $ 1 915. Se si preferisce provare il prodotto prima di impegnarsi in un acquisto, è disponibile una versione di prova gratuita da SolarWinds.
- PROVA GRATUITA: Analizzatore di traffico NetFlow di SolarWinds
- Link per il download ufficiale: https://www.solarwinds.com/netflow-traffic-analyzer
2. Analizzatore NetFlow in tempo reale di SolarWinds (Download gratuito)
Se hai bisogno di una soluzione su scala ridotta, il Analizzatore NetFlow in tempo reale di SolarWinds potrebbe essere proprio quello di cui hai bisogno. Questo è uno dei famosi strumenti gratuiti di SolarWind e, sebbene non sia così completo come NetFlow Traffic Analyzer, offre alcune delle stesse funzionalità di base.
Può acquisire e analizzare i dati di flusso in tempo reale. E ti mostrerà il tipo di traffico trasportato sulla tua rete, da dove proviene e dove sta andando. Puoi anche usarlo, in una certa misura, per diagnosticare picchi di traffico e risolvere problemi di larghezza di banda.
Il prodotto ti permetterà di identificare quali utenti,i dispositivi e le applicazioni consumano più larghezza di banda; isolare il traffico di rete mediante conversazione, app, dominio, endpoint e protocollo; e visualizzare il traffico di rete per tipo e periodi di tempo specificati
Certo, non puoi aspettarti che questo software gratuito lo facciafa tutto ciò che fa il suo fratello maggiore. Presenta alcune gravi limitazioni e il suo obiettivo principale è lo stato attuale e molto recente della rete. Raccoglierà dati solo da un'interfaccia NetFlow e manterrà e analizzerà solo gli ultimi 60 minuti di dati.
Se hai bisogno di una visione veloce e sporca dell'utilizzo della larghezza di banda, l'analizzatore NetFlow in tempo reale gratuito di SolarWinds lo fornirà, ma non molto di più.
- Download gratuito: Analizzatore NetFlow in tempo reale di SolarWinds
- Link per il download ufficiale: https://www.solarwinds.com/free-tools/real-time-netflow-analyzer
3. ManageEngine NetFlow Analyzer
ManageEngine è un altro nome ben noto nel campo degli strumenti di gestione della rete. Suo ManageEngine NetFlow Analyzer offre agli amministratori di rete una visione dettagliata diutilizzo della larghezza di banda della rete e modelli di traffico. Il prodotto è controllato da un'interfaccia web e offre un numero impressionante di diverse visualizzazioni sulla rete.
Ad esempio, il prodotto ti consentirà di visualizzaretraffico per applicazione, per conversazione, per protocollo e molte altre opzioni. Hai anche la possibilità di impostare avvisi per avvisarti di potenziali problemi. Ad esempio, è possibile impostare una soglia di traffico su un'interfaccia specifica ed essere avvisato ogni volta che viene superato.
Ma i maggiori punti di forza di questo strumento sono i suoireport e dashboard. Viene fornito con numerosi report predefiniti molto utili personalizzati su misura per scopi specifici quali risoluzione dei problemi, pianificazione della capacità o fatturazione. E buono come i suoi report integrati, lo strumento consente anche agli amministratori di creare report personalizzati a loro piacimento.
La dashboard del prodotto è altrettanto impressionantei suoi rapporti. Include diversi grafici a torta con elementi quali le migliori applicazioni, i principali protocolli o le migliori conversazioni. Può anche visualizzare una sorta di mappa di calore con lo stato delle interfacce monitorate. E proprio come i report, la dashboard può anche essere personalizzata per includere solo le informazioni che ritieni utili. Il dashboard è anche il punto in cui gli avvisi vengono visualizzati sotto forma di popup. L'amministratore di rete in movimento non si sentirà escluso poiché è disponibile un'app per smartphone e ti darà accesso sia alla dashboard che ai rapporti.
Il ManageEngine NetFlow Analyzer supporta la maggior parte delle tecnologie di flusso tra cuiNetFlow, IPFIX, J-flow, NetStream e pochi altri. Questo strumento vanta anche un'eccellente integrazione con i dispositivi Cisco, con la possibilità di regolare le politiche di traffic shaping e / o QoS direttamente dallo strumento.
Il ManageEngine NetFlow Analyzer è disponibile in due versioni. Esiste una versione gratuita che si limita a monitorare solo due interfacce di flussi. Anche se questo non è molto, potrebbe essere tutto ciò di cui hai bisogno. E quella versione gratuita consentirà dispositivi illimitati per i primi 30 giorni, dandoti la possibilità di eseguire un test completo. Al termine del periodo di prova, le licenze sono disponibili in diverse dimensioni da 100 a 2500 interfacce o flussi con prezzi a partire da circa $ 600 più spese di manutenzione annuali.
4. Paessler Router Traffic Grapher (PRTG)
PRTG di Paessler è un altro ben noto, tutto in unosoluzione il cui scopo principale è il monitoraggio dell'utilizzo della larghezza di banda. Viene anche utilizzato per monitorare la disponibilità e lo stato di diverse risorse di rete. In quanto tale, è un altro strumento molto utile per gli amministratori di rete. Ma grazie a un sensore NetFlow disponibile per il prodotto, PRTG può anche fungere da raccoglitore e analizzatore NetFlow.
Infatti, PRTG non è solo uno strumento di monitoraggio della larghezza di banda o unCollettore e analizzatore NetFlow. Utilizza diverse tecnologie per monitorare sistemi, dispositivi, traffico e applicazioni. Tra questi, il prodotto utilizzerà SNMP con opzioni pronte all'uso e personalizzate, contatori delle prestazioni WMI e Windows, SSH per sistemi Linux / Unix e MacOS, flussi — come NetFlow o sFlow — e sniffing dei pacchetti, richieste HTTP, API REST che restituiscono XML o JSON, Ping, SQL e molti altri.
Installazione PRTG è facile. È sufficiente eseguire il programma di installazione, quindi il processo di rilevamento automatico rileverà i dispositivi e configurerà i sensori. Sei quindi libero di aggiungere altri sensori, come i collezionisti NetFlow, manualmente. C'è anche un video dettagliato sul sito Web di Paessler che ti mostrerà come è stato fatto.
Il server funziona solo su Windows ma il suo utentel'interfaccia è basata sul web ed è possibile accedervi da qualsiasi browser. Esiste anche un'app client mobile che puoi installare sul tuo smartphone. L'app client mobile ha una funzione unica sotto forma di etichette QR che puoi stampare e apporre sui tuoi dispositivi. Quindi, una scansione del codice dall'app mobile aprirà rapidamente i dati del sensore di quel dispositivo.
Due versioni di PRTG sono disponibili. Esiste una versione gratuita che è limitata a 100 sensori. Essere consapevoli del fatto che un sensore in PRTG parlance non è un dispositivo. È invece l'elemento più basilare che può essere monitorato. Ad esempio, il monitoraggio di ciascuna porta di uno switch a 48 porte richiede 48 sensori e la raccolta e l'analisi NetFlow richiedono un sensore per esportatore di flusso. A quel ritmo, è ovvio che 100 sensori potrebbero non essere così come apparivano per la prima volta. Se hai bisogno di più di 100 sensori, dovrai acquistare una licenza. Sono disponibili in 500, 1000, 2500 o 5000 sensori e c'è anche una licenza illimitata. I prezzi variano da circa $ 1 600 a poco meno di $ 15 000. La versione gratuita consentirà sensori illimitati per i primi 30 giorni in modo da poter beneficiare di un test drive completo del prodotto.
5. Scrutinizer
L'ultimo sulla nostra lista è Scrutinizer da Plixer, un altro eccellente analizzatore NetFlow. In realtà è molto più di questo e alcuni lo vedono come un sistema completo di risposta agli incidenti. Il prodotto ha la capacità di monitorare diversi tipi di flusso come NetFlow, J-flow, NetStream e IPFIX in modo da non limitarsi al monitoraggio solo dei dispositivi Cisco.
Scrutinizer vanta un design gerarchico che offreraccolta dei dati semplificata ed efficiente e consente di iniziare in piccolo e quindi scalare fino a molti milioni di flussi al secondo. La rete viene spesso incolpata per la prima volta ogni volta che qualcosa va storto. Con questo strumento puoi trovare rapidamente la vera causa di quasi tutti i problemi di rete. Il prodotto funziona con ambienti sia fisici che virtuali e presenta funzionalità di reporting avanzate.
Scrutinizer è disponibile in quattro livelli di licenza. Si va dalla versione base gratuita al livello SCR a tutti gli effetti che può scalare fino a oltre 10 milioni di flussi al secondo. La versione gratuita è limitata a 10 mila flussi al secondo e manterrà i dati di flusso non elaborati per 5 ore, ma dovrebbe essere più che sufficiente per risolvere i problemi di rete. Puoi anche provare qualsiasi livello di licenza per 30 giorni, dopo di che tornerà alla versione gratuita.
Commenti