Yra keli tinklo stebėjimo tipaiprieinama. Vienas iš jų, galbūt labiausiai paplitęs, yra SNMP stebėjimas. Tai gali būti naudojama norint suteikti administratoriams gana aiškų vaizdą, kiek duomenų yra perduodama jų valdomuose tinkluose. Bet kai jie nori išsamesnio vaizdo, pavyzdžiui, sužinoti, koks yra srautas, o ne vien tik kiek ten yra, jie turi kreiptis į kitokią technologiją.
„NetFlow“, stebėjimo technologija, kurią sukūrė „Cisco“ ir kurį laiką pristatė gamintojo įrenginius, tapo de facto standartu, kai reikia kokybiškos tinklo stebėsenos. „NetFlow“ stebėjimo įrankiai gali būti brangūs ir nepasiekiami daugeliui mažesnių įmonių. Laimei, yra keli atvirojo kodo „NetFlow“ programinės įrangos paketai ir mes ketiname juos peržiūrėti.
Kelionę pradėsime apžiūrėjętinklo stebėjimas apskritai. Tęsime diskusiją apie įvairius stebėjimo tipus, ypač daug dėmesio skirdami pralaidumo stebėjimui ir srauto analizei. Toliau, nesigilindami į techninius dalykus, įsigilinsime į „NetFlow“ technologiją, kas ji yra ir kaip ji veikia.
Aptarsime kai kurias panašias technologijastaip pat prieinami, kol pateksime į savo temos esmę - tai yra galimi atvirojo kodo „NetFlow“ įrankiai. Kai kurios priemonės yra gana ribotos, atsižvelgiant į tai, ką jos gali atlikti, arba jas gali būti sunkiau sukonfigūruoti nei kai kuriuos mokamus paketus, tačiau visos jos teikia tikrai įdomias funkcijas.
Apie tinklo stebėjimą
Tinklo eismas labai panašus į kelių eismą. Kaip tinklo grandinės gali būti laikomos greitkeliais, tinklais perduodami duomenys yra kaip transporto priemonės, važiuojančios tuo greitkeliu. Tačiau priešingai nei transporto priemonių eismui, kur reikia tik pasidomėti, ar ne, ir kas ne taip, pamatyti, kas vyksta tinkle, gali būti sudėtinga. Pradedantiesiems viskas vyksta labai greitai, o tinkle perduodami duomenys nematomi plika akimi.
Tinklo stebėjimo įrankiai leidžia tiksliai pamatytikas vyksta tavo tinkle. Su jais galėsite išmatuoti kiekvienos grandinės naudojimą, išanalizuoti, kas ir kam sunaudoja pralaidumą, ir įsigilinti į tinklo „pokalbius“, kad patikrintumėte, ar viskas veikia normaliai.
Skirtingi stebėjimo priemonių tipai
Iš esmės yra trys pagrindiniai tinklo tipaistebėjimo priemonės. Kiekvienas iš jų eina šiek tiek giliau nei ankstesnis ir pateikia daugiau informacijos apie srautą. Pirma, yra pralaidumo naudojimo monitoriai. Šie įrankiai parodys, kiek duomenų perkeliama į jūsų tinklą, bet tai yra apie jį.
Norėdami gauti daugiau informacijos apie tinklą, jūsreikia kito tipo įrankių, tinklo analizatorių. Tai yra įrankiai, kurie gali suteikti jums informacijos apie tai, kas tiksliai vyksta. Jie ne tik pasakys, kiek eismas pravažiuoja. Jie taip pat gali pasakyti, kokio tipo srautą ir tarp kokio pagrindinio kompiuterio juda.
O kuo tiksliau, jūs turite paketinius šnifus. Jie atlieka išsamią analizę fiksuodami ir iššifruodami srautą. Jų teikiama informacija leis jums tiksliai pamatyti, kas vyksta, ir kuo tiksliau nustatyti problemas. Kaip naudingi, jie nepatenka į šio įrašo taikymo sritį.
Pralaidumo naudojimo stebėjimo įrankiai
Daugelis pralaidumo naudojimo monitorių priklauso nuoPaprastas tinklo valdymo protokolas arba SNMP, skirtas apklausti įrenginius ir gauti srautą per visas jų sąsajas arba kai kurias iš jų. Naudodamiesi šiais duomenimis, jie dažnai sudarys grafikus, vaizduojančius pralaidumo naudojimą bėgant laikui. Paprastai jie leis priartinti siauresnį laiko intervalą, kai grafiko skiriamoji geba yra aukšta, ir parodo, pavyzdžiui, 1 minutės vidutinį srautą arba atitolinti ilgesnį laiko intervalą - dažnai iki mėnesio ar net metų - Tai rodo dienos ar savaitės vidurkius.
Tinklo srauto analizės įrankiai
Jei reikia žinoti daugiau neieismui pravažiuojant, jums reikia sudėtingesnės stebėjimo sistemos. Jums reikia tai, ką mes vadiname tinklo analizės sistema. Šios sistemos priklauso nuo programinės įrangos, integruotos į tinklo įrangą, kad galėtų siųsti išsamius naudojimo duomenis. Šios sistemos paprastai gali rodyti geriausius kalbėtojus ir klausytojus, naudojimą pagal šaltinį ar paskirties adresą, naudojimą pagal protokolą ar programą ir dar keletą naudingos informacijos apie tai, kas vyksta.
Nors kai kurios sistemos naudoja programinės įrangos agentus, kuriuos jūsturi būti įdiegtos tikslinėse sistemose, dauguma jų naudojasi standartiniais protokolais, tokiais kaip „NetFlow“, „IPFIX“ ar „sFlow“. Paprastai jie įmontuojami į įrangą ir yra paruošti naudoti iškart, kai tik jie bus sukonfigūruoti.
„NetFlow“ trumpai
„NetFlow“ sukūrė „Cisco Systems“ ir buvopristatė savo maršrutizatoriuose, kad suteiktų galimybę rinkti IP tinklo srautus, kai jis įeina arba išeina iš sąsajos. Tada tinklo administratoriai išanalizuoja surinktus duomenis, kad padėtų nustatyti srauto šaltinį ir tikslą, paslaugos klasę ir perkrovos priežastis. Yra trys pagrindiniai „NetFlow“ technologijos komponentai:
- Srauto eksportuotojas kaupia paketus į srautus ir eksportuoja srautų įrašus į vieną ar daugiau srautų rinktuvų. Tai yra komponentas, kuris veikia stebimuose įrenginiuose.
- Srautų rinkėjas yra atsakingas už srautų duomenų, gautų iš srautų eksportuotojo, priėmimą, saugojimą ir išankstinį apdorojimą.
- Ir paskutinis, bet ne mažiau svarbus dalykas - srauto analizatorius yra programa, naudojama analizuoti gautus srauto duomenis. Analizė gali būti naudojama srauto profiliavimui arba tinklo trikčių šalinimui.
Kaip tai veikia
Maršrutizatoriai, jungikliai ir bet kokie kiti įrenginiaipalaiko „NetFlow“, gali būti sukonfigūruotas išvesti srauto duomenis srautų įrašų forma ir siųsti juos į „NetFlow“ kolektorių. Srautas yra išsamus pokalbis IP prasme. Srauto įrašus rengiantis įrenginys paprastai juos siunčia kolektoriui, kai nustato, kad srautas baigtas senstant - per tam tikrą laiką nebuvo srauto - arba kai jis mato TCP seanso pabaigą.
Srauto įraše yra daug informacijosapie srautą. Tai apima įvesties ir išvesties sąsajas, srauto pradžios ir pabaigos laiko žymenis, jame esančių baitų ir paketų skaičių, 3 sluoksnio antraštes, šaltinio ir paskirties IP adresą ir prievado numerį, IP protokolą ir TOS vertę. Srauto įrašuose nėra faktinių duomenų, iš kurių sudarytas srautas. Vienintelėse yra informacijos apie srautą. Tai svarbu saugumo požiūriu.
Srautas, išskyrus didžiules daugiavietes aplinkaskolekcininkai, kur siunčiami įrašai, dažnai yra ir srautų analizatoriai. Jie naudoja srauto įrašuose esančią informaciją norėdami pateikti duomenis apie tinklo srautą tinklo administratoriams naudingu būdu. Skirtingi „NetFlow“ kolekcionieriai ir analizatoriai turės skirtingus duomenų pateikimo būdus. Čia pravers mūsų geriausių „NetFlow“ kolekcionierių ir analizatorių sąrašas.
Kitos panašios technologijos
Įvairios „NetFlow“ versijos ir pritaikymai tai daroegzistuoja ir kai kurie yra žinomi kitu pavadinimu. Tiesą sakant, daugelis iš jų naudojami pagal „Cisco“ licenciją. Taip pat yra tikrų „NetFlow“ alternatyvų, dvi geriausiai žinomos yra „sFlow“ ir „IPFIX“. Pastaroji labai pagrįsta naujausia „NetFlow“ versija, išskyrus tai, kad tai yra IETF standartas. Tiesą sakant, yra daugybė priežasčių manyti, kad „Cisco“ net galiausiai NetFlow gali pakeisti IPFIX. „SFlow“ yra skirtinga, konkuruojanti sistema. Jos tikslas ir bendrieji veikimo principai yra panašūs, bet skirtingi. Kai kurie „NetFlow“ analizatoriai taip pat veiks su „sFlow“, tačiau paprastai kalbant, vieno vartotojo vartotojai nenaudoja kito.
Geriausia atvirojo kodo „NetFlow“ programinė įranga
1. „SolarWinds“ realaus laiko „NetFlow“ analizatorius (NEMOKAMAS ATSISIUNTIMAS)
„Saulės vėjai“ yra vienas geriausiai žinomų žaidėjų tinklo administravimo įrankių srityje. Bendrovė veikia maždaug 20 metų, atnešimas keletas geriausių tinklo administravimo įrankių. Tai turi taip pat įgytas tvirta reputacija kuriant puikius nemokamus įrankius, kurie, nors kartais ir ribojami funkcijų, vis tiek yra puikūs įrankiai. Viena iš tokių priemonių yra Laisvas Realiojo laiko „NetFlow“ analizatorius. Nors tai nėra atvirojo kodo priemonė, ji yra visiškai nemokama ir yra verta pasidomėti. Šis įrankis gali būti ne visai kaip pilnas ir visavertis kaip jo didelis brolis, „Saulės vėjai“ „NetFlow“ srauto analizatorius, Šis produktas suteikia jums tą patį pagrindinį funkcionalumą.
- NEMOKAMAS ATSISIUNTIMAS: „SolarWinds“ realaus laiko „NetFlow“ analizatorius
- Oficiali atsisiuntimo nuoroda: https://www.solarwinds.com/free-tools/real-time-netflow-analyzer/registration
Priemonė gali fiksuoti ir analizuoti „Appflow“, „NetFlow“, „JFlow“,ir „sFlow“ duomenis realiuoju laiku. Ir tai tiksliai parodys srauto tipus tinkle, iš kur jis ateina ir kur eina. Taip pat galite ją naudoti diagnozuodami eismo srautus ir šalindami pralaidumo problemas.
Čia yra šiek tiek į Realiojo laiko „NetFlow“ analizatoriusPagrindinės savybės:
- Nustatykite, kurie vartotojai, įrenginiai ir programos sunaudoja daugiausia pralaidumo
- Atskirkite tinklo srautą pagal pokalbį, programą, domeną, baigtį ir protokolą
- Peržiūrėkite tinklo srautą pagal tipą ir nurodytus laikotarpius
Įrankis, kaip ir dauguma kitų „Saulės vėjai“ įrankius, lengvai įdiegia per standartą W„indows“ sąrankos vedlys. Įdiegus „NetFlow“ konfigūratorių, jis bus įtrauktas į padėti tau su konfigūracija įrenginiai, palaikantys įvairius „NetFlow“ variantus.
Ši nemokama programinė įranga turi keletą apribojimų, palyginti su jos didesniu broliu, nors. Pavyzdžiui, tts pagrindinis dėmesys skiriamas dabartinei ir naujai jūsų tinklo būklei. Iš esmės, ji gali rinkti duomenis tik iš vienos „NetFlow“ sąsajos ir kaups bei analizuos tik paskutines 60 minučių duomenis.
2. „FlowScan“
„FlowScan“ yra tam tikra vizualizacijos priemonėpaprastai naudojamas „NetFlow“ duomenims analizuoti ir ataskaitoms apie juos teikti. Tai gali sudaryti vaizdines diagramas, kurios sukuriamos beveik realiuoju laiku ir parodo dabartinę tinklo būklę. „FlowScan“ galima įdiegti daugumoje GNU / Linux ar BSD sistemų. Norint teisingai rinkti ir apdoroti srautus, jis priklauso nuo kelių kitų paketų. Pavyzdžiui, „Cflowd“ yra naudojamas kaip srauto kolektorius. „FlowScan“ daugiausia sudaro „Perl“ scenarijus, kuris sudaro didžiąją dalį programinės įrangos paketo. Šis komponentas yra atsakingas už ataskaitų įkėlimą ir vykdymą. Kitas svarbus programinės įrangos komponentas yra „RRDtool“ - populiarus įrankis, naudojamas duomenims saugoti apvaliojo robino duomenų bazėse ir žymėti tuos duomenis diagramose. „FlowSanc“ ją naudoja srauto informacijai saugoti ir naudingoms diagramoms kurti.
Tinklo administratoriai dažnai supranta, kad jiesurinko per mažai arba per daug duomenų. Srauto profiliavimas, kaip galima rasti „FlowScan“, yra įdomus kompromisas tarp šių kraštutinumų renkant duomenis. Kadangi srautai, sukaupti kaupiant paketus, keliauja per tam tikrą uostą ar sąsają, juos galima naudoti kaip tam tikrą paketų, keliaujančių tarp dominančių galinių taškų, serijos suvestinę. Tačiau vien šios funkcijos nepakanka patikimam ir nuolatiniam naudojimui. Norint apibrėžti, analizuoti ir analizuoti šiuos srautus, reikalingos papildomos programinės įrangos priemonės. Šie papildomi įrankiai yra „FlowScan“ komplekte.
3. nProbe ir ntopng
nProbe ir ntopng yra šiek tiek patobulintos, taigi ir šiek tiek sudėtingos, atvirojo kodo priemonės. Ntopng yra internetinė srauto analizės priemonė, skirta tinklams stebėti remiantis srauto duomenimis, kol nProbe yra „NetFlow“ ir „IPFIX“ eksportuotoja ir kolekcininkė. Kartu jie sukuria labai lankstų analizės paketą. Jei anksčiau esate administravę „Linux“ tinklus, galbūt jau esate susipažinęs su „ntop“. Tokiu atveju jums bus malonu žinoti, kad „ntopng“ yra naujos kartos GUI versija šiam amžinam įrankiui.
Yra nemokama bendruomenės versija ntopng tačiau taip pat galite įsigyti įmonės versijos. Tai gali būti brangu, tačiau švietimo ir ne pelno organizacijoms tai nemokama. Kalbant apie nProbe, galite išbandyti nemokamai, tačiau jis gali būti apribotas iki 25 000 eksportuotų srautų. Norėdami peržengti tai, turite įsigyti licenciją.
Kaip ir dauguma šiuolaikinių tinklo analizės priemonių, ntopngturi internetinę vartotojo sąsają, kuri gali pateikti duomenis srauto būdu, pavyzdžiui, aukščiausi pašnekovai, srautai, pagrindiniai kompiuteriai, įrenginiai ir sąsajos. Jame yra diagramų, lentelių ir grafikų derinys, daugumoje jų pateikiamos išskleidžiamosios parinktys, leidžiančios išsamiau panagrinėti juos. Vartotojo sąsaja yra labai lanksti ir leidžia daug pritaikyti.
4. Srauto įrankiai
Srauto įrankiai yra įrankių rinkinys darbui su „NetFlow“ duomenimis. Tiksliau, tai yra biblioteka kartu su programų rinkiniu, naudojamu rinkti, siųsti, apdoroti ir generuoti ataskaitas iš „NetFlow“ duomenų. Įrankius galima naudoti kartu viename serveryje arba paskirstyti keliuose serveriuose didesniam diegimui. Srauto įrankiai biblioteka taip pat teikia API tinkintų programų, skirtų „NetFlow“ 1, 5, 6 ir 14 versijų, apibrėžtų 8 versijos antrinėms versijoms, kūrimui.
Šis projektas yra senosios šakos ir daugiausiapasenęs OSU srauto įrankių projektas. tai nėra pats aktyviausias projektas, o naujausia versija kilo prieš kokius devynerius metus. Tačiau, jei jūs ieškote paprasto įrankio ir norite dėti visas pastangas, reikalingus jo nustatymui, tai gali būti puiki priemonė, į kurią reikia atsižvelgti.
5. „NFsen“ / „NFDump“
NFsen, trumpai apibūdinantį „Netflow Sensor“, yra žiniatinklyje esantis „Google“ įrankis nfdump. Paprastai jis naudojamas gražiam ir patogiam grafiniam duomenų vaizdui atvaizduoti nfdump generuoja, įskaitant „NetFlow“ duomenis. Naudodamiesi RRD duomenų bazės įrankiu, galite sugeneruoti „NetFlow“ duomenų ataskaitas su visų rūšių informacija, įskaitant srautus, paketus ir baitus, bet tuo neapsiribojant. Be to, galite nustatyti įspėjimus ir peržiūrėti istorinius duomenis.
Į NFsen projektas vis dar yra labai aktyvus ir programinė įranga galiatsisiųskite iš „Sourceforge“ puslapio. Jis veiks bet kurioje „Unix“ / „Linux“ sistemoje. Anksčiau turėsite nustatyti PHP, PERL (kartu su „Perl Mail :: Header“ ir „Mail :: Internet“ moduliais), „RRD Tools“ modulį ir NFDump įrankiai, įdiegti jūsų sistemoje, kad būtų galima tinkamai naudoti.
6. pmGrafas
pmGrafas yra dar vienas puikus atvirojo kodo įrankis, leidžiantis grafikuoti ir stebėti pralaidumą. Jis skirtas papildyti pmacct, tinklo stebėjimo ir audito įrankis. Abu įrankiai tiekiami kartu kaip „Debian“ paketas, o „pmGraph“ diegimo instrukcijos apima abiejų įrankių diegimą. „pmacct“ surenka ir stebi srautą naudodamas „Netflow“ arba „Sflow“ tinklo įrenginiuose (įskaitant ugniasienes, maršrutizatorius ir jungiklius) į duomenų bazę ir leidžia analizuoti surinktus duomenis naudojant „pmGraph“.
pmGrafas sukūrė darbuotojai ir savanoriai išTarptautinė plėtros skaitmeninė agentūra „Aptivate“ - tai lankstus ir galingas įrankis tinklų ir sistemų administratoriams, turintis pažangias vartotojui patogias grafikų sudarymo galimybes. Štai pagrindinės produkto savybės:
- Patogi vartotojui ir paprasta sąsaja
- Rodo informaciją apie ryšius tarp nuotolinių ir vietinių kompiuterių bei naudojamų prievadų
- Pagrindinio kompiuterio vardo skiriamoji geba naudojant DNS ir DHCP serverius
- Parodo konkretaus IP adreso ar prievado naudojimą
- Konfigūruojamas rezultatų skaičius
pmGrafas yra nuo platformos nepriklausoma programinė įranga, kuri buvo sukurta „Java“ ir skirta darbui su servituto konteineriu, tokiu kaip „Tomcat“, kuris yra prieinamas visoms įprastoms platformoms. pmGrafas yra labai lengvas ir reikalauja tik 8 MBdisko talpa. Tačiau ji remiasi išorinėmis, masinėmis programomis. Jei dar neturite „Tomcat“, „Java“ ir „MySQL“ serverių, juos taip pat turėsite įdiegti, užimdami maždaug 300 MB vietos diske, vis dar neužimdami daug vietos. Šie komponentai bus įdiegti jums, jei naudosite paketo diegimą ir galėsite įdiegti „pmGraph“, daug apie juos nemokėdami.
Komentarai