Tinklai yra sunkus dalykas, kurį reikia valdyti ir stebėti. Suprantama, tinklo srautas vyksta varinių laidų ar optinių skaidulų viduje ir jo negalima pamatyti. Dėl to bet kuriam administratoriui yra sudėtinga turėti aiškų ir aiškų vaizdą apie tai, kas vyksta su jų valdomais tinklais. Štai kur stebimas tinklo stebėjimas. Kalbant apie tinklo stebėjimą, galimi keli jo lygiai, kiekvienas teikiantis daugiau informacijos apie srautą. Giluminis paketų tikrinimas yra aukščiausias stebėjimo lygis, suteikiantis daugiausia informacijos apie tinklo srautą. Norint atlikti gilų paketų patikrinimą, jums reikia tinkamų įrankių - ir šiandien mes apžvelgiame kelis geriausius gilaus paketų patikrinimo įrankius.
Prieš pradėdami bandysime paaiškinti gilų paketąinspekcija. Panašu, kad visi turi prieštaringą idėją, kas tai yra ir koks jis turėtų būti. Šiandien mus dominantis giluminis paketų patikrinimas susijęs su tinklo stebėjimu, tai dar viena neaiški sąvoka. Norėdami pabandyti paaiškinti šią temą, aptarsime stebėjimą apskritai ir ypač srautų analizę, nes tai yra gilaus paketo tikrinimo forma. O kadangi atrodo, kad „Cisco“ „NetFlow“ technologija yra labiausiai paplitusi, mes giliau pažvelgsime į ją. Tik tada mes būsime pasirengę atskleisti, kokie yra geriausi giluminių paketų tikrinimo įrankiai, ir pasiūlyti jums trumpą jų apžvalgą.
Paaiškintas gilus paketų tikrinimas
Gilus paketo tikrinimas yra apibrėžiamas kaip veiksmastinklo infrastruktūros komponentas, skirtas analizuoti duomenų paketų turinį, neapsiribojant vien paketo antraštės analize, siekiant rinkti statistinius duomenis apie tinklo srautą arba filtravimo, prioritetų nustatymo ar įsibrovimo aptikimo tikslais. Nors šis apibrėžimas yra gana tikslus, jis yra šiek tiek bendras. Be to, tai, kas yra gilus paketų patikrinimas, gali skirtis atsižvelgiant į tai, ką jūs bandote atlikti. Pavyzdžiui, gilus paketų tikrinimas, atliekamas statistikos rinkimo tikslais, skiriasi nuo gilaus paketų tikrinimo, atlikto norint filtruoti tam tikrą srautą. Šio straipsnio kontekste dažniausiai domimės statistikos rinkimu. Įrankiai, kuriuos trumpai peržiūrėsime, iš esmės yra pažangūs stebėjimo įrankiai.
Apie stebėjimo įrankius
Tinklo stebėjimas, kaip ir giluminis paketasapžiūra, nėra aiškiai apibrėžtas terminas. Pati pagrindinė tinklo stebėjimo forma yra pralaidumo stebėjimas. Paprastai tai daroma naudojant paprastą tinklo valdymo protokolą. Šis stebėjimo būdas yra labai naudingas norint gauti aiškų jūsų tinklo naudojimo vaizdą, tačiau jis turi trūkumų. Nors tai suteiks jums vidutinį pralaidumo naudojimą konkrečiame tinklo taške, jis nepateiks informacijos apie tai, kas naudoja pralaidumą.
Norėdami gauti aiškesnį vaizdą, koks yra srautasgabenami tinkle, turite naudoti srauto analizę. Srauto analizė yra daug gilesnė nei pralaidumo stebėjimas ir gali suteikti išsamios informacijos. Siunčiant srauto informaciją stebėjimo sistemoms, vadinamoms kolekcionieriais ir (arba) analizatoriais, kurios gali interpretuoti srauto duomenis ir juos prasmingai pateikti, priklauso nuo pačių tinklo įrenginių. Srauto analizė, pavyzdžiui, leis jums pamatyti, kaip tinklo srautas pasiskirsto tarp visų šaltinių ir paskirties. Tai jums pasakys apie tai, kokie protokolai ir kokio tipo srautai naudojami.
Srauto analizę galima laikyti giliu paketutikrinimas tuo, kad neapsiriboja vien tik antraštės paieška, kad būtų galima rasti kokybiškos informacijos apie faktinius duomenis, kurie yra gabenami tinkle. Labiausiai paplitusi iš visų srautų analizės technologijų yra „Cisco“ „NetFlow“. Pažvelkime giliau.
Daugiau apie „NetFlow“
„NetFlow“ iš pradžių sukūrė „Cisco Systems“ir pristatė savo maršrutizatoriuose, kad suteiktų galimybę rinkti IP tinklo srauto informaciją jai įeinant ar išeinant iš sąsajos. Pirminis jo ketinimas turėjo būti naudojamas kuriant geresnius prieigos kontrolės sąrašus (ACL). Vėliau jis išsiplėtė į tikrą stebėjimo schemą, o prietaisų surinkti srauto duomenys dabar yra eksportuojami per parą.
„NetFlow“ technologiją sudaroiš esmės trys komponentai. Pirmasis yra srautų eksportuotojas, kuris agreguoja paketus į srautus ir eksportuoja srautų įrašus į vieną ar kelis srautų surinkimo įrenginius. Kitas komponentas, srauto surinkėjas, yra atsakingas už srauto duomenų, gautų iš ankstesnio komponento, priėmimą, saugojimą ir išankstinį apdorojimą. Galiausiai gautų srautų duomenims analizuoti naudojamas srauto analizatorius. Ši analizė, be kitų atvejų, gali būti naudojama srauto profiliavimui ar tinklo trikčių šalinimui. Daugybė šiuolaikinių konfigūracijų sujungia srauto kolektorių ir analizatorių į vieną integruotą komponentą.
Kaip veikia „NetFlow“
Gali būti bet koks kitas įrenginys, palaikantis „NetFlow“sukonfigūruotas srauto duomenims išvesti srauto įrašų forma ir siųsti juos į „NetFlow“ kolektorių. Srautas yra išsamus pokalbis IP prasme. Vienu metu gali būti daug srautų, einančių per vieną sąsają. Tinklo įrenginys, ruošiantis srauto įrašus, siunčia juos kolektoriui, kai jis, pasendamas arba pamatęs TCP seanso pabaigą, nustato, kad srautas baigtas.
Įprastas srauto įrašas gana dauginformacija. Tai apima įvesties ir išvesties sąsajas, srauto pradžios ir pabaigos laiko žymenis, jame esančių baitų ir paketų skaičių, 3 sluoksnio antraštes, šaltinio ir paskirties IP adresą ir prievado numerį, IP protokolą ir TOS ( Paslaugos tipas) vertė. Srauto įrašuose nėra faktinių duomenų, iš kurių sudarytas srautas. Jose yra tik informacijos apie srautą. Tai svarbu saugumo požiūriu.
Daugelyje aplinkų srauto kolektoriai yra kursiunčiami įrašai dažnai yra ir srautų analizatoriai. Tik labai dideliuose daugiaviečiuose tinkluose bus naudinga, jei atskiri kolekcininkai bus paskirstyti įvairiose svetainėse. Kolektoriai ir analizatoriai srauto įrašuose esančią informaciją naudoja duomenims apie tinklo srautą pateikti tokiu būdu, kuris naudingas tinklo administratoriams. Tiesą sakant, pagrindiniai skiriamieji veiksniai tarp skirtingų priemonių yra tai, kaip jie gali įprasminti ir prasmingai pateikti duomenis.
Geriausi giluminių paketų tikrinimo įrankiai
Stebėjimo požiūriu srauto analizė yra:sudaro gilų paketų patikrinimą, todėl šiandien apžvelgiami įrankiai iš tikrųjų yra „NetFlow“ analizatoriai. Daugelis iš jų padarys daugiau, tačiau kai kurie yra viso stebėjimo sprendimo dalis.
1. „SolarWinds“ „NetFlow“ srauto analizatorius (NEMOKAMAS bandymas)
„SolarWinds“, neįmanomu atvejuniekada negirdėjęs apie įmonę, sukuria geriausią tinklo ir sistemos administravimo programinę įrangą. Vienas iš jos pavyzdinių produktų, tinklo „SolarWinds Performance Performance Monitor“, daugelio laikomas geriausiu tinklo pralaidumo stebėjimo įrankiu. „SolarWinds“ taip pat sukuria keletą puikių nemokamų įrankių, kurių kiekviena skirta tam tikrai tinklo administratorių užduočiai. Du tokių nemokamų įrankių pavyzdžiai yra nemokama išplėstinė potinklio skaičiuoklė ir nemokamas syslog serveris. Kalbant apie „NetFlow“ srauto analizę, „SolarWinds“ „NetFlow“ srauto analizatorius (NTA) yra tikrai vienas geriausių „NetFlow“ kolekcionierių ir analizatorių, kuriuos galite rasti.
Tarp geriausių produkto savybių yra: „SolarWinds“ „NetFlow“ srauto analizatorius gali stebėti pralaidumo naudojimą pagal programas,protokolą ir IP adresų grupę. Jis gali ne tik stebėti „Cisco NetFlow“, bet ir „Juniper J-Flow“, „sFlow“, „Huawei NetStream“ ir IPFIX - kelias kitas srauto analizės technologijas, pagrįstas „NetFlow“ - nustatyti, kurios programos ir protokolai yra didžiausi pralaidumo vartotojai. Įrankis kaupia srauto duomenis, koreliuoja juos į tinkamą formatą ir pateikia vartotojui žiniatinklio prietaisų skydelyje. Produktas palaiko „Cisco NBAR2“, kad galėtų nustatyti, kurios programos ir kategorijos sunaudoja didžiausią pralaidumą, taip suteikiant dar geresnį tinklo srauto matomumą.
Į „SolarWinds“ „NetFlow“ srauto analizatorius yra „Network Performance Monitor“ priedas(NPM). Jei dar neturite NPM licencijos, turėsite atsižvelgti į šias išlaidas. Jie prasideda nuo 2 955 USD iki 100 elementų. Kalbant apie NTA priedą, jo licencija turi atitikti jūsų NPN licencijos mazgų skaičių, o kainos prasideda nuo 1 915 USD. Jei mieliau išbandytumėte produktą prieš įsipareigodami įsigyti, „SolarWinds“ siūlo nemokamą bandomąją versiją.
- NEMOKAMAS BANDYMAS: „SolarWinds“ „NetFlow“ srauto analizatorius
- Oficiali atsisiuntimo nuoroda: https://www.solarwinds.com/netflow-traffic-analyzer
2. „SolarWinds“ realaus laiko „NetFlow“ analizatorius (Nemokamas atsisiuntimas)
Jei jums reikia mažesnio masto sprendimo, „SolarWinds“ realaus laiko „NetFlow“ analizatorius gali būti tik tai, ko jums reikia. Tai yra vienas iš garsiausių „SolarWind“ nemokamų įrankių ir, nors ir nėra toks išbaigtas kaip „NetFlow“ srauto analizatorius, suteikia keletą pagrindinių funkcijų.
Jis gali fiksuoti ir analizuoti srauto duomenis realiuoju laiku. Tai parodys jūsų tinklo srauto tipą, iš kur jis ateina ir kur eina. Tam tikru mastu tai galite naudoti ir diagnozuodami eismo srautus ir šalindami pralaidumo problemas.
Produktas leis jums nustatyti, kurie vartotojai,įrenginiai ir programos sunaudoja daugiausia pralaidumo; izoliuoti tinklo srautą pagal pokalbį, programą, domeną, baigtį ir protokolą; ir peržiūrėti tinklo srautą pagal tipą ir nurodytus laikotarpius
Žinoma, negalima tikėtis, kad ši nemokama programinė įranga bus pritaikytadaryk viską, ką daro didysis brolis. Jis turi keletą rimtų apribojimų, o pagrindinis dėmesys skiriamas dabartinei ir naujausiai jūsų tinklo būklei. Tai rinks duomenis tik iš vienos „NetFlow“ sąsajos ir saugos ir analizuos tik paskutines 60 minučių duomenis.
Jei jums reikia greito ir nešvaraus vaizdo apie jūsų pralaidumo naudojimą, „SolarWinds“ realiojo laiko „NetFlow“ analizatorius tai suteiks, bet ne daug daugiau.
- Nemokamas atsisiuntimas: „SolarWinds“ realaus laiko „NetFlow“ analizatorius
- Oficiali atsisiuntimo nuoroda: https://www.solarwinds.com/free-tools/real-time-netflow-analyzer
3. „ManageEngine NetFlow“ analizatorius
„ManageEngine“ yra dar vienas gerai žinomas vardas tinklo valdymo įrankių srityje. Jos „ManageEngine NetFlow“ analizatorius pateikia tinklo administratoriams išsamų vaizdątinklo pralaidumo panaudojimas, taip pat srauto įpročiai. Produktas yra valdomas internetine sąsaja ir siūlo daugybę skirtingų rodinių jūsų tinkle.
Pvz., Produktas leis jums peržiūrėtisrautas pagal programą, pagal pokalbį, pagal protokolą ir dar kelios parinktys. Taip pat turite galimybę nustatyti perspėjimo signalus, kurie įspėtų apie galimas problemas. Pavyzdžiui, galite nustatyti srauto slenkstį konkrečioje sąsajoje ir būti įspėti, kai tik jis bus viršytas.
Tačiau didžiausi šio įrankio pranašumai yra joataskaitos ir informacijos suvestinė. Kartu pateikiamos kelios labai naudingos iš anksto parengtos ataskaitos, kurios yra pritaikytos konkretiems tikslams, pavyzdžiui, trikčių šalinimui, talpos planavimui ar sąskaitų išrašymui. Nepriklausomai nuo integruotų ataskaitų, šis įrankis taip pat leidžia administratoriams sukurti pasirinktines ataskaitas pagal savo skonį.
Produkto prietaisų skydelis yra toks pat įspūdingas kaip irjos ataskaitos. Tai apima keletą lentelių su tokiomis problemomis, kaip populiariausios programos, geriausi protokolai ar geriausi pokalbiai. Jis taip pat gali parodyti tam tikrą šilumos žemėlapį su stebimų sąsajų būsena. Kaip ir ataskaitas, prietaisų skydelį taip pat galima tinkinti, kad jame būtų tik jums naudinga informacija. Prietaisų skydelis taip pat yra tas, kuriame įspėjimai rodomi iššokančiųjų langų pavidalu. „On-the-go“ tinklo administratorius nenusivils, nes yra išmaniojo telefono programa, kuri suteiks prieigą ir prie prietaisų skydelio, ir prie ataskaitų.
Į „ManageEngine NetFlow“ analizatorius palaiko daugumą srautų technologijų, įskaitant„NetFlow“, „IPFIX“, „J-flow“, „NetStream“ ir keletas kitų. Šis įrankis taip pat gali pasigirti puikia integracija su „Cisco“ įrenginiais, turėdamas galimybę pritaikyti srauto formavimo ir (arba) „QoS“ strategijas tiesiai iš įrankio.
Į „ManageEngine NetFlow“ analizatorius yra dviejų versijų. Yra nemokama versija, apsiribojanti tik dviejų srautų sąsajų stebėjimu. Nors tai nėra daug, tai gali būti viskas, ko jums reikia. Ir ta nemokama versija leis naudoti neribotą kiekį įrenginių per pirmąsias 30 dienų, suteikdama galimybę atlikti išsamų bandymą. Pasibaigus bandomajam laikotarpiui, galima įsigyti kelių dydžių licencijas nuo 100 iki 2500 sąsajų arba srautus, kurių kainos prasideda nuo maždaug 600 USD ir pridedami metiniai priežiūros mokesčiai.
4. „Paessler Router Traffic Grapher“ (PRTG)
PRTG iš Paessler yra dar vienas gerai žinomas, viskas vienamesprendimas, kurio pagrindinis tikslas yra pralaidumo naudojimo stebėjimas. Jis taip pat naudojamas stebėti įvairių tinklo išteklių prieinamumą ir būklę. Tai yra dar vienas labai naudingas įrankis tinklo administratoriams. Bet dėka „NetFlow“ jutiklio, kurį galima įsigyti šiam produktui, PRTG taip pat gali tarnauti kaip „NetFlow“ kolekcionierius ir analizatorius.
Faktiškai, PRTG nėra tik pralaidumo stebėjimo įrankis arba„NetFlow“ kolektorius ir analizatorius. Tam naudojamos kelios technologijos, kad būtų galima stebėti sistemas, įrenginius, eismą ir programas. Tarp jų produktas naudos SNMP su parengtomis naudoti ir pasirinktinėmis parinktimis, WMI ir Windows našumo skaitikliais, SSH Linux / Unix ir MacOS sistemoms, srautus - tokius kaip NetFlow ar sFlow - ir paketų šnipinėjimą, HTTP užklausas, REST API, grąžinančias XML ar JSON, Ping, SQL ir dar daugiau.
Diegimas PRTG yra lengva. Tiesiog paleisite diegimo programą, tada automatinio aptikimo procesas atras įrenginius ir sukurs jutiklius. Tada galėsite laisvai pridėti papildomų jutiklių, tokių kaip „NetFlow“ kolektoriai, rankiniu būdu. „Paessler“ svetainėje yra net išsamus vaizdo įrašas, kuriame parodoma, kaip tai daroma.
Serveris veikia tik „Windows“, bet jo vartotojassąsaja yra internetinė ir prie jos galima prisijungti iš bet kurios naršyklės. Taip pat yra mobiliojo kliento programa, kurią galite įdiegti į savo išmanųjį telefoną. Kliento mobiliesiems programa turi unikalią funkciją QR etikečių pavidalu, kurią galite atspausdinti ir pritvirtinti savo įrenginiuose. Tada nuskaitytas kodas iš programos mobiliesiems greitai atvers to įrenginio jutiklio duomenis.
Dvi versijos PRTG yra prieinami. Yra nemokama versija, apribota iki 100 jutiklių. Atminkite, kad jutiklis PRTG balsas nėra prietaisas. Tai yra svarbiausias elementas, kurį galima stebėti. Pavyzdžiui, norint stebėti kiekvieną 48 uostų jungiklio uostą, reikia 48 jutiklių, o „NetFlow“ rinkimui ir analizei reikalingas vienas jutiklis kiekvienam srauto eksportuotojui. Tokiu tempu akivaizdu, kad 100 jutiklių gali būti ne tiek, kiek pasirodė iš pradžių. Jei jums reikia daugiau nei 100 jutiklių, turėsite įsigyti licenciją. Juos galima įsigyti su 500, 1000, 2500 arba 5000 jutikliais. Taip pat yra neribota licencija. Kainos svyruoja nuo maždaug 1 600 USD iki šiek tiek mažiau nei 15 000 USD. Nemokama versija leis naudoti neribotus jutiklius pirmąsias 30 dienų, kad galėtumėte gauti naudos iš kruopštaus produkto bandymo.
5. Tikrintojas
Paskutinis mūsų sąraše yra Tikrintojas iš „Plixer“, dar vieno nuostabaus „NetFlow“ analizatoriaus. Tai iš tikrųjų yra daug daugiau, ir kai kurie žmonės tai vertina kaip visišką reagavimo į incidentus sistemą. Produktas turi galimybę stebėti įvairius srautų tipus, tokius kaip „NetFlow“, „J-flow“, „NetStream“ ir „IPFIX“, todėl jūs neapsiribojate vien tik „Cisco“ įrenginių stebėjimu.
Tikrintojas gali pasigirti hierarchiniu dizainu, kurį siūlosupaprastintą ir efektyvų duomenų rinkimą ir leidžia pradėti mažus, o vėliau - iki daugybės milijonų srautų per sekundę kelią. Tinklas dažnai pirmiausia kaltinamas, kai kas nors nutinka ne taip. Naudodamiesi šiuo įrankiu galite greitai rasti tikrąją beveik visų tinklo problemų priežastį. Produktas veikia tiek fizinėje, tiek virtualioje aplinkoje ir aprūpintas patobulintomis ataskaitų teikimo funkcijomis.
Tikrintojas yra keturiose licencijų pakopose. Jie svyruoja nuo pagrindinės nemokamos versijos iki visaverčio SCR lygio, kuris gali padidinti iki 10 milijonų srautų per sekundę. Nemokama versija yra apribota iki 10 tūkst. Srautų per sekundę ir joje bus saugomi neapdoroti srautų duomenys tik 5 valandas, tačiau jos turėtų būti daugiau nei pakankamai, kad būtų galima pašalinti tinklo problemas. Taip pat 30 dienų galite išbandyti bet kurią licencijos pakopą, po kurios ji grįš į nemokamą versiją.
Komentarai