La gestione delle reti richiede l'uso di specialististrumenti che ti danno la visibilità necessaria per garantire che tutto funzioni senza intoppi in ogni momento. A differenza del traffico stradale in cui rallentamenti e ostacoli possono essere facilmente individuati, il traffico di rete non è qualcosa di facile da vedere. Ecco perché strumenti come NetFlow possono aiutare. La tecnologia NetFlow può darti un'idea del traffico che attraversa la tua rete invece di quanto traffico c'è. Continua a leggere mentre esaminiamo alcuni dei migliori collezionisti e analizzatori NetFlow per Linux.
Inizieremo il nostro viaggio discutendo didiversi metodi che gli amministratori di rete possono utilizzare per monitorare la propria rete e individuare e risolvere i problemi prima che diventino problemi reali. Quindi, spiegheremo cos'è NetFlow come funziona e cosa è necessario per sfruttarlo. E mentre siamo lì, discuteremo anche alcune alternative di NetFlow che potrebbero essere di interesse. Ci immergeremo quindi nel nocciolo della questione e esamineremo alcuni dei migliori collezionisti e analizzatori NetFlow disponibili per la piattaforma Linux. Secondo la filosofia open source di Linux, alcuni di essi sono disponibili gratuitamente mentre altri richiedono un acquisto o un abbonamento.
Reti di monitoraggio
Come amministratore di rete, uno dei tuoila responsabilità è assicurarsi che tutto funzioni senza intoppi, che non ci siano rallentamenti e che tutto il traffico di rete arrivi a destinazione entro un tempo accettabile. Sfortunatamente, ciò che accade su una rete accade all'interno di cavi, router, switch e altre apparecchiature in cui è in genere molto difficile vedere cosa sta succedendo. È qui che nasce il concetto di monitoraggio della rete. utilizzando diversi strumenti, gli amministratori possono ottenere una certa visibilità su ciò che accade all'interno della rete.
Utilità da riga di comando
Esistono diversi strumenti che gli amministratori possono utilizzare per monitorarela loro rete. Gli strumenti più basilari sono gli strumenti diagnostici della riga di comando. Probabilmente li conosci e li usi costantemente. Il ping, ad esempio, consente di convalidare il raggiungimento di un determinato indirizzo IP e di fornire alcune statistiche sui ritardi di andata e ritorno e sulla perdita di pacchetti. Tracert - o traceroute, a seconda del sistema operativo in uso - traccerà il percorso di rete completo tra due dispositivi. Nmap elencherà tutti i dispositivi presenti su una sottorete specifica.
Strumenti di acquisizione e analisi dei pacchetti
Successivamente, sono strumenti di monitoraggio della rete che consentirannocatturi il traffico che passa attraverso una posizione specifica e che ti permetterà di decodificare i pacchetti e analizzarli. Possono essere molto utili quando si tenta di risolvere i problemi a livello di applicazione, ma spesso non forniscono molte informazioni sulle prestazioni effettive della rete. Uno di questi strumenti che è diventato molto comune si chiama Wireshark. Tcpdump è un altro strumento simile che utilizza un'interfaccia della riga di comando anziché una GUI.
Software di analisi del flusso
Per una visione più precisa di ciò che sta succedendo,analisi del flusso di cosa hai bisogno. Si basa su dispositivi di rete per inviare informazioni sul traffico in modo che i sistemi chiamati collettori e / o analizzatori che, a loro volta, possano interpretare i dati di flusso e presentarli in modo significativo. Il protocollo che lo consente si chiama NetFlow. È stato creato da Cisco Systems diversi anni fa, ma ora viene comunemente utilizzato in un modo o nell'altro su apparecchiature di rete della maggior parte dei principali produttori.
Che cos'è NetFlow?
NetFlow è stato sviluppato da Cisco Systems ed è statointrodotti sui loro router per fornire la possibilità di raccogliere il traffico di rete IP quando entra o esce da un'interfaccia. I dati raccolti vengono quindi analizzati dagli amministratori di rete per aiutare a determinare l'origine e la destinazione del traffico, la classe di servizio e le cause della congestione.
Il esportatore di flusso aggrega i pacchetti in flussi ed esporta i record di flusso verso uno o più raccoglitori di flusso. Questo è il componente in esecuzione sui dispositivi monitorati.
Il collettore di flusso è responsabile della ricezione, archiviazione e pre-elaborazione dei dati di flusso ricevuti da un esportatore di flussi.
Infine, il flusso analyzer è un'applicazione che viene utilizzata per analizzare i dati di flusso ricevuti. L'analisi può essere utilizzata per la profilazione del traffico o per la risoluzione dei problemi di rete.
Come funziona NetFlow
Router, switch e qualsiasi altro dispositivo chesupporta NetFlow può essere configurato per emettere dati di flusso sotto forma di record di flusso e inviarli a un raccoglitore NetFlow. Un flusso è una conversazione completa in senso IP. Il dispositivo che prepara i record di flusso normalmente li invia al raccoglitore quando determina che il flusso è terminato attraverso l'invecchiamento - non c'è stato traffico entro un determinato timeout - o quando vede una chiusura della sessione TCP.
Il record di flusso contiene molte informazionisul flusso. Include le interfacce di input e output, i timestamp di inizio e fine del flusso, il numero di byte e pacchetti in esso contenuti, le intestazioni di livello 3, l'indirizzo IP e il numero di porta e di destinazione, il protocollo IP e il valore TOS . I record di flusso non contengono i dati effettivi che hanno costituito il flusso. Le uniche contengono informazioni sul flusso. Questo è importante dal punto di vista della sicurezza.
Tranne che in enormi ambienti multi-sito, il flussoi collezionisti ai quali vengono inviati i record sono spesso anche gli analizzatori di flusso. Usano le informazioni contenute nei record di flusso per presentare i dati sul traffico di rete in modo utile per gli amministratori di rete. Diversi collettori e analizzatori NetFlow avranno modi diversi di presentare i dati. È qui che la nostra lista dei migliori collettori e analizzatori NetFlow tornerà utile.
Alcune alternative a NetFlow
Come abbiamo già accennato, NetFlow esistediversi nomi diversi. Ma ci sono anche alternative a NetFlow, le due più conosciute sono sFlow e IPFIX. Quest'ultimo è fortemente basato sull'ultima versione di NetFlow, tranne per il fatto che è uno standard IETF. Siamo liberi di pensare che Cisco potrebbe eventualmente sostituire NetFlow con IPFIX.
Per quanto riguarda sFlow, è un sistema diverso e in competizione. L'obiettivo e i principi generali di funzionamento sono simili ma diversi. Alcuni analizzatori NetFlow funzioneranno anche con sFlow ma, in generale, gli utenti di uno non usano l'altro.
I migliori collezionisti NetFlow per Linux
Abbiamo cercato sul mercato il miglior NetFlowCollezionisti e analizzatori per Linux. Quello che abbiamo per te sono cinque dei migliori prodotti che potremmo trovare, in ordine di preferenza con il nostro preferito in cima all'elenco. Esaminiamo ciascuno di essi ed esploriamo le loro caratteristiche principali con l'obiettivo di aiutarti a scegliere il pacchetto più adatto alle tue esigenze.
1. ManageEngine NetFlow Analyzer
ManageEngine NetFlow Analyzer fornisce ilamministratore di rete una vista dettagliata dell'utilizzo della larghezza di banda della rete e dei modelli di traffico. Il prodotto è controllato da un'interfaccia web e offre un numero impressionante di visualizzazioni diverse sulla rete.
Ad esempio, puoi visualizzare il traffico perapplicazione, per conversazione, per protocollo e molte altre opzioni. Puoi anche impostare avvisi per avvisarti di potenziali problemi. Ad esempio, è possibile impostare una soglia di traffico su un'interfaccia specifica ed essere avvisato ogni volta che il traffico lo supera.
Ma la maggior parte della forza del prodotto arrivadai suoi report e dashboard. Lo strumento viene fornito con numerosi report predefiniti molto utili, appositamente studiati per scopi specifici come risoluzione dei problemi, pianificazione della capacità o fatturazione. Ma non sei bloccato con i report integrati poiché lo strumento consente anche agli amministratori di creare report personalizzati a loro piacimento.
Per quanto riguarda la dashboard dello strumento che abbiamo menzionato, lo èimpressionante quanto i suoi rapporti. Include diversi grafici a torta con elementi quali le migliori applicazioni, i principali protocolli o le migliori conversazioni. Può anche visualizzare una mappa di calore con lo stato delle interfacce monitorate. E come avrai intuito, i dashboard possono essere personalizzati per includere solo le informazioni che ritieni utili. Il pannello di controllo è anche il punto in cui gli avvisi vengono visualizzati sotto forma di popup. E per l'amministratore di rete in movimento, c'è un'app per smartphone che ti permetterà di accedere alla dashboard e ai rapporti.
ManageEngine NetFlow Analyzer supporta la maggior partetecnologie di flusso tra cui NetFlow (ovviamente), IPFIX, J-flow, NetStream e pochi altri. Come bonus, anche questo ha un'eccellente integrazione con i dispositivi Cisco, con il supporto per la regolazione del traffic shaping e / o le politiche QoS direttamente dallo strumento.
Come molti prodotti concorrenti, ManageEngineNetFlow Analyzer è disponibile in due versioni. La versione gratuita sarà identica a quella a pagamento per i primi 30 giorni, ma tornerà a monitorare solo due interfacce di flussi. Anche se questo non è molto, potrebbe essere tutto ciò di cui hai bisogno.
Se si desidera la versione a pagamento, le licenze sono disponibili in diverse dimensioni da 100 a 2500 interfacce o flussi con prezzi che variano tra circa $ 600 e oltre $ 50K più le spese di manutenzione annuali.
2. Scrutinizer
Scrutinizer di Plixer è un altro fantastico NetFlowAnalizzatore. In realtà, è anche più di questo e molti lo vedono come un sistema di risposta agli incidenti completo. Con la sua capacità di monitorare diversi tipi di flusso come NetFlow, J-flow, NetStream e IPFIX, non sei limitato al monitoraggio solo dei dispositivi Cisco.
Con il suo design gerarchico, offre Scrutinizerraccolta dei dati semplificata ed efficiente e consente di avviare piccoli e facilmente scalare fino a molti milioni di flussi al secondo. La rete viene spesso incolpata per la prima volta ogni volta che qualcosa va storto. Con Scrutinizer, puoi trovare rapidamente la vera causa della maggior parte dei problemi di rete. Scrutinizer funziona in ambienti sia fisici che virtuali e presenta funzionalità di reporting avanzate.
Scrutinizer è disponibile in quattro livelli di licenza che vannodalla versione gratuita di base al livello SCR a tutti gli effetti che può scalare fino a oltre 10 milioni di flussi al secondo. La versione gratuita è limitata a 10 mila flussi al secondo e manterrà i dati di flusso non elaborati per 5 ore, ma dovrebbe essere più che sufficiente per risolvere i problemi di rete. Puoi anche provare qualsiasi livello di licenza per 30 giorni, dopo di che tornerà alla versione gratuita. Lo strumento è disponibile come dispositivo hardware o dispositivo virtuale che può essere eseguito su un host Linux tramite KVM
3. nProbe e ntopng
nProbe e ntopng sono leggermente più avanzati – estrumenti open source più complicati. Ntopng è uno strumento di analisi del traffico basato sul web per il monitoraggio di reti basate sui dati di flusso, mentre nProbe è un esportatore e un collezionista di NetFlow e IPFIX. Insieme, creano un pacchetto di analisi molto flessibile. Se hai già gestito reti Linux, potresti avere familiarità con ntop. ntopng è la versione GUI di prossima generazione di questo strumento senza età.
Esiste una versione gratuita della community di ntopng epuoi anche acquistare versioni aziendali. Possono essere costosi ma sono gratuiti per le organizzazioni educative e senza fini di lucro. Per quanto riguarda nProbe, puoi provarlo gratuitamente ma è limitato a un totale di 25000 flussi esportati. Per andare oltre, dovrai acquistare una licenza.
Come la maggior parte dei moderni strumenti di analisi della rete, ntopngdispone di un'interfaccia utente basata sul web che può presentare i dati per traffico, come i migliori talker, flussi, host, dispositivi e interfacce. Ha un mix di grafici, tabelle e grafici. la maggior parte delle opzioni di drill-down che ti consentono di esplorare in modo più approfondito. L'interfaccia è abbastanza flessibile e consente molte personalizzazioni.
4. FlowScan
FlowScan è una sorta di strumento di visualizzazione che tupuò utilizzare per analizzare i dati Netflow e riferire su di essi. Può produrre grafici visivi quasi in tempo reale che mostrano ciò che sta accadendo sulla tua rete. FlowScan può essere distribuito su un sistema GNU / Linux o BSD. Utilizza numerosi altri pacchetti per raccogliere ed elaborare correttamente i flussi. Ad esempio, Cflowd viene utilizzato come raccoglitore di flusso. FlowScan è in realtà uno script Perl che costituisce la maggior parte del pacchetto software. Questo componente è responsabile del caricamento e dell'esecuzione dei report. Un ultimo componente importante è RRDtool, uno strumento popolare per l'archiviazione dei dati in database round robin e la stampa di tali dati su grafici, che viene utilizzato per archiviare informazioni sul flusso e produrre grafici utili.
Gli amministratori di rete spesso scoprono di averloraccolti troppo pochi o troppi dati. La profilazione del flusso fornita da FlowScan offre un compromesso pragmatico tra tali estremi nella raccolta dei dati. Poiché i flussi aggregano i dati raccolti mentre i pacchetti viaggiano attraverso una determinata porta o interfaccia, possono essere usati come una sorta di abbreviazione per serie di pacchetti che viaggiano tra endpoint di interesse. Ma questa funzione da sola non è sufficiente per un uso continuo affidabile: sono necessari strumenti software aggiuntivi per definire, analizzare e analizzare questi flussi. Tali strumenti aggiuntivi sono inclusi in FlowScan.
5. inMon sFlowTrend (Menzione speciale)
Sebbene non sia un raccoglitore e un analizzatore NetFlow mapiuttosto uno che gestisce sFlow, ritenevamo che sFlowTrend meritasse di essere in questa lista. Può funzionare su Linux e se i componenti della tua rete usano sFlow anziché NetFlow, è uno dei migliori strumenti disponibili. Lo strumento è di inMon, la società dietro sFlow. È uno strumento di base e in qualche modo limitato ma molto capace. La versione gratuita del software consente di raccogliere dati da un massimo di cinque switch, router o host abilitati per sFlow e manterrà i dati cronologici nella RAM per un massimo di un'ora. Dovrebbe essere sufficiente per risolvere la maggior parte dei problemi di rete. E se vuoi fare un passo avanti, puoi eseguire l'aggiornamento alla versione pro, ovviamente a un costo, che rimuove il numero di dispositivi limitati e memorizza i dati della cronologia su disco.
La scheda Dashboard di sFlowTrend fornisce una rapidavista dello stato attuale dei dispositivi e delle reti monitorati, include soglie di livello superiore e interfacce con potenziali errori. Quando si fa clic sulla scheda Rete, sflowTrend rivela statistiche riassuntive sulle prestazioni e traffico dettagliato a livello di rete o dispositivo. È possibile definire soglie di avviso. Ti consente di ricevere avvisi quando si verifica un utilizzo della larghezza di banda superiore al solito o un errore di rete. Esiste anche una scheda della causa principale in cui è possibile eseguire il drill down sulla causa di un problema come una violazione della soglia.
La scheda Host è dove troverai maggiori dettagliinformazioni su ciascun dispositivo. Fornisce dati sulle prestazioni su rete, CPU, disco, ecc. Per server abilitati per sFlow, inclusi quelli virtuali. Nella scheda Servizi, troverai i dati sul rendimento delle applicazioni (inclusi vari server Web) che esportano i dati sFlow. Nella scheda Eventi, troverai un registro di eventi come soglie superate o errori rilevati. Infine, la scheda Rapporti fornisce diversi rapporti predefiniti, ma supporta anche la creazione di rapporti personalizzati. Qui è dove andrai per eseguire i rapporti e quindi visualizzarne i risultati.
sFlowTrend è scritto in Java e viene fornito con entrambiun'interfaccia utente basata su Java o Web. È disponibile per Linux, Windows e Mac. C'è anche una guida online disponibile per aiutarti nella configurazione e nell'utilizzo dello strumento. È uno strumento eccezionale, soprattutto per le organizzazioni più piccole con apparecchiature abilitate per sFlow. E il percorso di aggiornamento alla versione pro lo rende una scelta altrettanto valida per reti più grandi.
Avvolgendo
Anche se alcuni dei migliori collezionisti NetFlowe analizzatori come NetWlow Traffic Analyzer di SolarWinds funzioneranno solo su macchine Windows, ci sono ancora molte opzioni disponibili se la tua piattaforma di strumenti di monitoraggio preferita è Linux. Tra prodotti commerciali come ManageEngine NetFlow Analyzer o Plixer's Scrutinizer e strumenti open source, ce n'è uno che si adatta perfettamente alle tue esigenze.
Tutti i prodotti che abbiamo appena recensito sono fantasticiopzioni. Alcuni potrebbero non essere così completi o potrebbero richiedere un po 'più di lavoro per configurarli, ma ognuno di loro farà il suo lavoro e lo farà bene. E poiché tutti offrono una qualche forma di prova gratuita o sono completamente gratuiti, non c'è motivo di non provarne alcuni e vedere di persona quale è per te.
Commenti