Nätverk är en svår sak att hantera och övervaka. Det är förståeligt, nätverkstrafik sker i kopparkablar eller optiska fibrer och det kan inte ses. Detta gör det lite komplicerat för alla administratörer att ha en tydlig och tydlig bild av vad som händer med de nätverk de hanterar. Det är här nätverksövervakning kommer in. Och när det gäller nätverksövervakning finns flera nivåer av det tillgängliga, var och en ger mer information om trafiken. Djup paketinspektion är den översta nivån på övervakning som ger mest information om nätverkstrafik. För att utföra djup paketinspektion behöver du rätt verktyg - och idag granskar vi några av de bästa verktygen för djup paketinspektion.
Innan vi börjar försöker vi förklara djup paketinspektion. Det verkar som om alla har en motstridig uppfattning om vad det är och vad det ska vara. Den djupa paketinspektionen av intresse för oss idag har att göra med nätverksövervakning, en annan vag term. För att försöka belysa ämnet diskuterar vi övervakning i allmänhet och flödesanalys i synnerhet eftersom det utgör en form av djup paketinspektion. Och eftersom Ciscos NetFlow-teknik verkar vara den vanligaste kommer vi att titta djupare på den. Först då är vi redo att avslöja vad de bästa verktygen för djup paketkontroll är och att ge dig en kort genomgång av var och en.
Deep Packet Inspection Explained
Djup paketinspektion definieras som handlingen fören nätverksinfrastrukturkomponent, för att analysera innehållet i datapaket utöver att bara titta på pakethuvudet för att samla in statistik om nätverkstrafik eller för filter, prioriteringar eller intrångsdetekteringsändamål. Även om denna definition är relativt korrekt är den lite generisk. Dessutom kan djuppaketinspektionen variera baserat på vad du försöker åstadkomma. Den djupa paketinspektionen som görs för statistikinsamlingsändamål skiljer sig till exempel från djuppaketinspektionen för att filtrera bort viss trafik. I samband med denna artikel är det vi intresserad av mestadels statistikinsamling. Verktygen som vi kommer att granska för tillfället är i huvudsak avancerade övervakningsverktyg.
Om övervakningsverktyg
Nätverksövervakning, precis som ett djuppaketinspektion, är inte en tydligt definierad term. Den mest grundläggande formen för nätverksövervakning är bandbreddövervakning. Det görs vanligtvis med hjälp av Simple Network Management Protocol. Den här typen av övervakning är mycket användbar för att få en tydlig bild av nätverkets användning, men det har begränsningar. Även om det ger dig det genomsnittliga bandbreddanvändningen vid en specifik punkt i nätverket ger den inte detaljer om vad som använder upp bandbredden.
För en tydligare bild av vad trafiken ärtransporteras i ett nätverk, måste du använda flödesanalys. Flödesanalys går långt djupare än bandbreddövervakning och kan ge detaljerad information. Den förlitar sig på nätverksenheterna själva för att skicka trafikinformation till övervakningssystem som kallas samlare och / eller analysatorer som kan tolka flödesdata och presentera den på meningsfulla sätt. Med flödesanalys kan du till exempel se hur nätverkstrafik är fördelad mellan alla källor och destination. Det kommer att berätta om vilka protokoll och vilka typer av trafik som används.
Flödesanalys kan betraktas som ett djuppaketinspektion genom att det går utöver att bara titta på rubriken för att hitta kvalitativ information om de faktiska uppgifterna som transporteras i ett nätverk. Den vanligaste av alla flödesanalysstekniker är verkligen Ciscos NetFlow. Låt oss titta djupare på det.
Mer om NetFlow
NetFlow utvecklades ursprungligen av Cisco Systemsoch introducerade på sina routrar med målet att tillhandahålla förmågan att samla in IP-nätverkstrafikinformation när den går in eller lämnar ett gränssnitt. Dess ursprungliga avsikt skulle användas för att bygga bättre åtkomstkontrolllistor (ACL). Sedan har det expanderat till ett riktigt övervakningsschema och flödesdata som samlats in av enheter exporteras nu dia.
NetFlow-tekniken består avi huvudsak tre komponenter. Den första är flödesexportören som aggregerar paket till flöden och exporterar flödesregister till en eller flera flödessamlare. Nästa komponent, flödesuppsamlaren, ansvarar för mottagning, lagring och förbehandling av flödesdata som erhållits från den föregående komponenten. Slutligen används flödesanalysatorn för att analysera de mottagna flödesdata. Denna analys kan användas för trafikprofilering eller nätverksfelsökning, bland andra användningar. Många moderna inställningar kombinerar flödeskollektorn och analysatorn till en enda integrerad komponent.
Så fungerar NetFlow
Alla andra enheter som stöder NetFlow kan varakonfigurerad för att mata ut flödesdata i form av flödesregister och skicka dem till en NetFlow-samlare. Ett flöde är en komplett konversation i IP-meningen. Och det kan vara många flöden som går igenom ett gränssnitt vid en viss tidpunkt. Nätverksenheten som förbereder flödesregister skickar dem till samlaren när den bestämmer, antingen genom åldring eller se en terminering av TCP-sessionen, att flödet är slut.
En typisk flödesrekord förpackar ganska mycket avinformation. Detta inkluderar ingångs- och utgångsgränssnitten, start- och måltidstämplarna för flödet, antalet byte och paket som det innehåller, lager 3-rubriker, källan och destinationens IP-adress och portnummer, IP-protokollet och TOS ( Typ av tjänst) värde. Flödesposter innehåller inte de faktiska uppgifterna som utgör flödet. De innehåller bara information om flödet. Detta är viktigt ur säkerhetssynpunkt.
I de flesta miljöer är flödessamlarna därposten som skickas är ofta också flödesanalysatorer. Endast mycket stora nätverk med flera platser kommer att dra nytta av att separata samlare distribueras över de olika webbplatserna. Samlarna och analysatorerna använder informationen i flödesregister för att presentera data om nätverkstrafik på ett sätt som är användbart för nätverksadministratörer. Faktum är att de viktigaste skillnadsfaktorerna mellan de olika verktygen är hur de kan förstå och presentera data på ett meningsfullt sätt.
De bästa verktygen för djuppaketinspektion
Från en övervakningssynpunkt är flödesanalys abilda djup paketinspektion så att verktygen vi granskar idag verkligen är NetFlow-analysatorer. Många av dem kommer dock att göra mer än så, och vissa är en del av en komplett övervakningslösning.
1. SolarWinds NetFlow Traffic Analyzer (GRATIS prov)
SolarWinds, i det osannolika fallet du haraldrig hört talas om företaget, gör några av de bästa programvarorna för nätverks- och systemadministration. En av dess flaggskeppsprodukter, SolarWinds Network Performance Monitor, anses av många vara det bästa övervakningsverktyget för bandbredd. Och SolarWinds gör också några utmärkta gratisverktyg, var och en tar upp en specifik uppgift för nätverksadministratörer. Två exempel på dessa gratisverktyg är en gratis avancerad undernätkalkylator och en gratis syslog-server. Och när det gäller NetFlow-trafikanalys är SolarWinds NetFlow Traffic Analyzer (NTA) definitivt en av de bästa NetFlow-samlarna och analysatorerna du kan hitta.
Bland produktens bästa funktioner, SolarWinds NetFlow Traffic Analyzer kan övervaka användningen av bandbredd efter applikation,protokoll och IP-adressgrupp. Det kan inte bara övervaka Cisco NetFlow utan också Juniper J-Flow, sFlow, Huawei NetStream och IPFIX - några andra flödesanalysteknologier baserade på NetFlow - för att identifiera vilka applikationer och protokoll som är de bästa bandbreddskunderna. Verktyget samlar in trafikdata, korrelerar dem till ett användbart format och presenterar det för användaren på en webbaserad instrumentbräda. Produkten stöder Cisco NBAR2 för att identifiera vilka applikationer och kategorier som förbrukar mest bandbredd, vilket ger dig en ännu bättre sikt för nätverkstrafik.
De SolarWinds NetFlow Traffic Analyzer är ett tillägg till Network Performance Monitor(NPM). Om du inte redan har en NPM-licens måste du fakturera den som kostar. De börjar på 2 955 $ för upp till 100 element. När det gäller NTA-tillägget måste dess licens matcha antalet noder för din NPN-licens och priserna börjar på 1 915 $. Om du hellre vill prova produkten innan du går in på ett köp, finns det en kostnadsfri testversion från SolarWinds.
- GRATIS PRÖVNING: SolarWinds NetFlow Traffic Analyzer
- Officiell nedladdningslänk: https://www.solarwinds.com/netflow-traffic-analyzer
2. SolarWinds NetFlow Analyzer i realtid (Gratis nedladdning)
Om du behöver en mindre skala lösning SolarWinds NetFlow Analyzer i realtid kan vara precis vad du behöver. Detta är ett av SolarWinds berömda gratisverktyg och även om det inte är lika komplett som NetFlow Traffic Analyzer ger det dig samma grundläggande funktionalitet.
Det kan fånga och analysera flödesdata i realtid. Och det visar dig vilken typ av trafik som transporteras i ditt nätverk, var den kommer ifrån och vart den ska. Du kan också använda den - i viss utsträckning - för att diagnostisera trafikspikar och felsöka bandbreddproblem.
Produkten låter dig identifiera vilka användare,enheter och applikationer förbrukar mest bandbredd; isolera nätverkstrafik efter konversation, app, domän, slutpunkt och protokoll; och visa nätverkstrafik efter typ och specificerade tidsperioder
Naturligtvis kan du inte förvänta dig att denna gratis programvara ska göra detgör allt som storebror gör. Det har några allvarliga begränsningar och dess primära fokus är det nuvarande och mycket senaste tillståndet i ditt nätverk. Det samlar bara data från ett NetFlow-gränssnitt och kommer bara att behålla och analysera de sista 60 minuterna med data.
Om du behöver en snabb och smutsig bild av din bandbreddanvändning kommer SolarWinds gratis realtid NetFlow Analyzer att tillhandahålla det men inte mycket mer.
- Gratis nedladdning: SolarWinds NetFlow Analyzer i realtid
- Officiell nedladdningslänk: https://www.solarwinds.com/free-tools/real-time-netflow-analyzer
3. ManageEngine NetFlow Analyzer
ManageEngine är ett annat välkänt namn inom nätverkshanteringsverktyg. Dess Hantera Engine NetFlow Analyzer ger nätverksadministratörer en detaljerad bild avnätverksbandbreddanvändning samt trafikmönster. Produkten styrs av ett webbaserat gränssnitt och erbjuder ett imponerande antal olika vyer på ditt nätverk.
Till exempel låter produkten dig setrafik efter applikation, konversation, protokoll och flera alternativ. Du har också möjlighet att ställa in varningar för att varna dig om potentiella problem. Du kan till exempel ställa in en trafiktröskel för ett specifikt gränssnitt och bli varnat när det överskrids.
Men de största styrkorna med detta verktyg är dessrapporter och instrumentpanelen. Det kommer med flera mycket användbara förbyggda rapporter som är skräddarsydda för specifika ändamål som felsökning, kapacitetsplanering eller fakturering. Och så bra som dess inbyggda rapporter är, gör verktyget också administratörer att skapa anpassade rapporter efter deras önskemål.
Produktens instrumentbräda är lika imponerande somdess rapporter. Det innehåller flera cirkeldiagram med saker som toppapplikationer, toppprotokoll eller toppsamtal. Den kan också visa en slags värmekarta med status för de övervakade gränssnitten. Och precis som rapporterna kan instrumentpanelen också anpassas så att den endast innehåller information som du tycker är användbar. Instrumentpanelen är också där varningar visas i form av popup-fönster. Pågående nätverksadministratör känner sig inte utelämnad eftersom en smartphone-app är tillgänglig och den ger dig tillgång till både instrumentpanelen och rapporter.
De Hantera Engine NetFlow Analyzer stöder de flesta flödeteknologier inklusiveNetFlow, IPFIX, J-flow, NetStream och några andra. Detta verktyg har också en utmärkt integration med Cisco-enheter, med möjligheten att justera trafikformning och / eller QoS-policyer direkt från verktyget.
De Hantera Engine NetFlow Analyzer finns i två versioner. Det finns en gratis version som är begränsad till att bara övervaka två gränssnitt för flöden. Även om detta inte är mycket, kan det vara allt du behöver. Och den kostnadsfria versionen tillåter obegränsade enheter under de första 30 dagarna, vilket ger dig en chans att ge en grundlig testkörning. När rättegången är över är licenser tillgängliga i flera storlekar från 100 till 2500 gränssnitt eller flöden med priser som börjar på cirka $ 600 plus årliga underhållsavgifter.
4. Paessler Router Traffic Grapher (PRTG)
PRTG från Paessler är en annan välkänd, allt-i-ettlösning vars primära syfte är att övervaka bandbreddanvändning. Det används också för att övervaka tillgängligheten och hälsan för olika nätverksresurser. Som sådan är det ett annat mycket användbart verktyg för nätverksadministratörer. Men tack vare en NetFlow-sensor som är tillgänglig för produkten, PRTG kan också fungera som en NetFlow-samlare och analysator.
Faktiskt, PRTG är inte bara ett bandbreddövervakningsverktyg eller enNetFlow-samlare och analysator. Den använder flera tekniker för att övervaka system, enheter, trafik och applikationer. Bland dem kommer produkten att använda SNMP med klara att använda och anpassade alternativ, WMI- och Windows-prestationsräknare, SSH för Linux / Unix och MacOS-system, flöden - som NetFlow eller sFlow - och paketsniffer, HTTP-förfrågningar, REST-API: er som returnerar XML eller JSON, Ping, SQL och många fler.
installera PRTG är lätt. Du kör helt enkelt installationsprogrammet, då kommer autoupptäcktprocessen att upptäcka enheter och sätta upp sensorer. Du kan då lägga till ytterligare sensorer - till exempel NetFlow-samlare - manuellt. Det finns till och med en detaljerad video på Paesslers webbplats som visar hur det har gjorts.
Servern körs endast på Windows men dess användaregränssnittet är webbaserat och kan nås från valfri webbläsare. Det finns också en mobilklientapp som du kan installera på din smartphone. Mobilklientappen har en unik funktion i form av QR-etiketter som du kan skriva ut och anbringa på dina enheter. Sedan öppnar en genomsökning av koden från mobilappen snabbt enhetens sensordata.
Två versioner av PRTG finns tillgängliga. Det finns en gratisversion som är begränsad till 100 sensorer. Var medveten om att en sensor i PRTG parlance är inte en enhet. Det är istället det mest grundläggande elementet som kan övervakas. Exempelvis kräver övervakning av varje port på en 48-portströmbrytare 48 sensorer och NetFlow-insamling och analys kräver en sensor per flödesexportör. I den takt är det uppenbart att 100 sensorer kanske inte är lika mycket som de först dök upp. Om du behöver mer än 100 sensorer måste du köpa en licens. De finns i 500, 1000, 2500 eller 5000 sensorer och det finns också en obegränsad licens. Priserna varierar från cirka 1 600 $ till knappt 15 000 $. Den kostnadsfria versionen tillåter obegränsade sensorer under de första 30 dagarna så att du kan dra nytta av en noggrann testkörning av produkten.
5. Granskare
Senast på vår lista är Scrutinizer från Plixer, en annan utmärkt NetFlow Analyzer. Det är faktiskt mycket mer än så och vissa ser det som ett fullständigt svarssystem för händelser. Produkten har möjlighet att övervaka olika flödestyper som NetFlow, J-flow, NetStream och IPFIX så att du inte begränsar dig till att endast övervaka Cisco-enheter.
Scrutinizer har en hierarkisk design som erbjuderströmlinjeformad och effektiv datainsamling och låter dig starta små och sedan skala upp till många miljoner flöden per sekund. Nätverket får ofta först skylden när något går fel. Med det här verktyget kan du snabbt hitta den verkliga orsaken till nästan alla nätverksproblem. Produkten fungerar med både fysiska och virtuella miljöer och har avancerade rapporteringsfunktioner.
Scrutinizer finns i fyra licensnivåer. De sträcker sig från den grundläggande gratisversionen till den fullfjädrade SCR-nivån som kan skala upp till över 10 miljoner flöden per sekund. Den kostnadsfria versionen är begränsad till 10 tusen flöden per sekund och den kommer bara att hålla råflödesdata i 5 timmar men det borde vara mer än tillräckligt för att felsöka nätverksproblem. Du kan också prova valfri licensnivå i 30 dagar varefter den kommer att återgå till gratisversionen.
kommentarer