Аналіз структури трафіку - це процес, який дозволяємережеві адміністратори та менеджери чудово відображають не лише те, наскільки мережа використовується, але, що ще важливіше, як її використовувати. Одне з них знати, що певний сегмент мережі страждає від перевантаженості, але це інше - і набагато корисніше - дізнатися, що викликає затори. І без цієї інформації єдиний варіант виправлення заторів - це скинути на нього більше пропускної здатності. Але пропускна здатність дорога, і, безумовно, є кращі способи вирішити цей тип проблеми. Аналіз структури трафіку може відповісти, і сьогодні ми розглядаємо основні інструменти, які ви можете використовувати.
Ми розпочнемо нашу подорож за схемою рухуаналіз з деякою корисною теорією. Спочатку ми детальніше ознайомимося з тим, що таке аналіз структури трафіку. Це важливо, оскільки саме це допоможе визначити, що являє собою інструмент аналізу структури трафіку. Потім ми обговоримо NetFlow та інші системи та протоколи звітності про потоки, оскільки вони лежать в основі більшості інструментів аналізу структури трафіку. Спочатку ми розглянемо протокол NetFlow від Cisco та його декілька варіантів, перш ніж ми подивимось на S-Flow, конкуруючий протокол, який дещо відрізняється за своїм функціонуванням. Озброївшись всією цією інформацією, ми будемо готові переглянути найважливіші інструменти аналізу трафіку, які ми могли б знайти.
Аналіз руху трафіку в двох словах
У своєму найпростішому вираженні - мережевий трафіканаліз шаблону - це процес запису, перегляду та / або аналізу мережевого трафіку з метою продуктивності, безпеки та / або загальних мережевих операцій та управління. Більш конкретно, це процес використання ручних та автоматизованих методів для перегляду деталізованих даних та статистики в межах мережевого трафіку.
Існує насамперед два типи мережевого трафікумоніторинг. Перший - це моніторинг використання пропускної здатності, який може надати кількісні дані. Цей тип моніторингу дозволить вам побачити, скільки трафіку відбувається в певній точці мережі, але він не надасть жодних даних про характер цього трафіку. Другий тип моніторингу, той, про який ми сьогодні обговорюємо і який називається аналізом схеми мережевого трафіку або просто аналіз мережевого трафіку, проходить глибше, і його основна мета полягає в тому, щоб запропонувати поглиблене уявлення про тип трафіку, мережу пакети або дані протікають по мережі.
Хоча аналіз структури мережевого трафіку може бутиробиться вручну, найчастіше це робиться за допомогою інструменту мережевого моніторингу. Робити це вручну просто вимагатиме занадто багато зусиль. Статистика трафіку, отримана в результаті аналізу мережевого трафіку, може допомогти зрозуміти та оцінити використання мережі. Це дозволить виявити важливі дані про тип, розмір, походження та призначення пакетів даних. Він може навіть включати деяку інформацію про вміст пакетів даних.
Команди з безпеки мережі можуть використовувати мережевий трафіканаліз шаблону для виявлення зловмисних або підозрілих пакетів у межах трафіку. Так само мережеві адміністрації, які прагнуть контролювати швидкість завантаження та завантаження, пропускну здатність, контент тощо будуть використовувати це для кращого розуміння використання мережі.
З іншого боку, аналіз структури мережевого трафікуможе також використовуватися зловмисниками та / або зловмисниками для аналізу моделей мережевого трафіку та виявлення уразливості або засобів для вторгнення або отримання конфіденційних даних. Це меч з двома кінцями.
NetFlow та інші системи звітування про потоки
NetFlow - це функція, яка була представлена на Ciscoмаршрутизатори ще в 1996 році - дайте або зайнять рік-два, що пропонує можливість збирати мережевий трафік IP під час входу або виходу з інтерфейсу. Це відрізняється від моніторингу пропускної здатності, коли дані враховуються, але не збираються. Аналізуючи зібрані дані, можна визначити такі речі, як джерело та призначення трафіку, клас та тип послуги, і, зрештою, використати цю інформацію для виявлення причин перевантаженості.
Типова програма моніторингу NetFlow складається з трьох основних компонентів:
- The fнизький експортер агрегує пакети в потоки та експортує записи потоків до одного або декількох колекторів потоків. Це компонент, який знаходиться в мережевому пристрої.
- The fнизький колектор відповідає за прийом, зберігання та попередню обробку даних потоку, отриманих від експортера потоку.
- The аналізатор потоку аналізує отримані дані потоку в контексті виявлення вторгнень або профілювання трафіку, наприклад.
Потік, кажучи мовами NetFlow, - цеоднонаправлена послідовність пакетів, які поділяють певну кількість атрибутів, таких як їх вхідний інтерфейс, IP-адреса джерела та призначення, IP-протокол (TCP / UDP / ICMP тощо), порти IP-адреси джерела та призначення та тип послуги IP. Детальні дані про кожен окремий потік збирає експортер потоку перед тим, як експортувати його в колектор потоку. У більшості випадків сьогодні колектор потоку та аналізатор є двома компонентами однієї системи, і ми рідко бачимо їх розділеними.
Колись ексклюзивний Cisco, тепер доступний NetFlowна обладнання багатьох виробників, включаючи Juniper, Alcatel-Lucent та Nortel, лише декілька. Деякі продавці називають це іншою назвою, такою як J-flow для ялівцю. Існує навіть відносно недавня версія, стандартизована IETF, під назвою IPFIX, яка розшифровується як інформація про потік протоколу Internet eXport.
sFlow є дещо еквівалентним, але широкорізні технології. sFlow використовує подібні методи для збору інформації про потік, але додає вибірку даних - отже, S - для ще більш детальної інформації. Дуже мало аналізаторів і колекторів NetFlow може обробляти дані sFlow, оскільки вони надто різні.
Кращі інструменти для аналізу структури трафіку
Існує досить багато інструментів, які пропонуютьаналіз структури мережевого трафіку. Більшість з них збирає дані NetFlow та відображатиме їх у деякому змістовному графічному вигляді, тоді як деякі використовують різні методи для досягнення подібних цілей.
1. Аналізатор трафіку SolarWinds NetFlow (БЕЗКОШТОВНИЙ ПРОБНИЙ ПЕРІОД)
Першим у нашому списку є Аналізатор трафіку SolarWinds NetFlow або NTA. Якщо ви не знаєте SolarWinds, компанія маєстворив собі міцну репутацію для створення деяких найкращих інструментів управління мережею. Монітор мережевої ефективності, який є його флагманським продуктом, є одним з найкращих інструментів контролю пропускної здатності. А також SolarWinds відомий своїм чудовим безкоштовним інструментом для вирішення конкретних потреб адміністрації мережі, таких як один з найкращих калькуляторів підмережі або сервер TFTP.
Як випливає з назви, Аналізатор трафіку SolarWinds NetFlow використовує протокол NetFlow для надання детальної інформаціїінформація про те, що таке спостережуваний трафік. Наприклад, він може повідомити, який тип трафіку частіший або який користувач використовує найбільшу пропускну здатність. На приладовій панелі інструмента доступні декілька різних поглядів, наприклад, топ-програми, топ-протоколи або топові розмовники. Інструмент підтримує більшість варіантів NetFlow від різних постачальників
БЕЗКОШТОВНИЙ ПРОБНИЙ ПЕРІОД: SOLARWINDS NETFLOW ТРАФІЧНИЙ АНАЛІЗЕР
Ось деякі найкращі функції продукту.
- З його допомогою можна контролювати використання мережі за допомогою програми, протоколу та групи IP-адрес.
- Він контролюватиме дані Cisco NetFlow, Juniper J-Flow, sFlow, Huawei NetStream та IPFIX, щоб визначити, які програми та протоколи є найвищими споживачами пропускної здатності.
- Він буде збирати дані про трафік, співвідносити їх у використаному форматі та представляти їх у своєму веб-інтерфейсі користувача
- Це може допомогти вам визначити, які програми та категорії споживають найбільшу пропускну здатність для кращої видимості мережевого трафіку, і він підтримує Cisco NBAR2.
The Аналізатор трафіку SolarWinds NetFlow доступний як доповнення до МережіМонітор продуктивності (NPM). Ціни починаються від 1915 доларів за 100 вузлів. Кількість придбаних вузлів має відповідати вашій ліцензії NPM. Якщо ви ще не володієте програмним забезпеченням NPM, це коштуватиме 2995 доларів за той самий рівень 100 вузлів. І якщо ви хочете спробувати його перед покупкою, ви можете завантажити повністю функціональну 30-денну оціночну версію одного або обох продуктів,
2. Грайфер трафіку Paessler (PRTG)
The Paessler Router Grapher Traffic Grapher, або PRTG, - це рішення "все в одному", основне призначення якогоздійснює моніторинг використання пропускної здатності. Як такий, він інтегрує моніторинг пропускної здатності SNMP та збір та аналіз NetFlow. Але це на цьому не зупиняється PRTG буде використовувати багато різних технологій для моніторингу систем, пристроїв, трафіку та додатків. Ось перелік підтримуваних протоколів моніторингу:
- Потоки (наприклад, NetFlow або sFlow)
- SNMP з готовими до використання та нестандартними опціями
- Лічильники продуктивності WMI та Windows
- SSH для систем Linux / Unix та MacOS
- Знизування пакетів
- Ping, SQL та багато іншого
Встановлення PRTG легко. Насправді Пасслер стверджує, що ви могли це зробити за пару хвилин. Після запуску інсталятора процес автоматичного виявлення виявить пристрої та налаштує базові датчики. Потім ви можете додавати датчики (наприклад, колектори NetFlow) вручну. Якщо вам це потрібно, є детальне відео, яке покаже вам, як це робиться.
PRTG працює лише в Windows, але його користувальницький інтерфейс євеб-базі та доступ до нього можна з будь-якого браузера на будь-якій платформі. Також є мобільні додатки для Android та iOS, які можна встановити на свій смартфон. Якщо говорити про мобільні додатки, цей інструмент має унікальну функцію у вигляді ярликів QR-коду, які ви можете друкувати та закріплювати на своїх пристроях. Тоді просте сканування коду з мобільних додатків - це швидкий перегляд даних датчика пристрою.
PRTG доступний у двох версіях. Існує безкоштовна версія, обмежена 100 датчиками. Кожен контрольований елемент вважається одним датчиком. Наприклад, для контролю кожного порту 48-портового комутатора знадобиться 48 датчиків. Для збору та аналізу NetFlow вам знадобиться один датчик на експортера потоку. Для більш ніж 100 датчиків потрібна платна ліцензія. Вони доступні для 500, 1000, 2500, 5000 та необмежених вузлів за цінами, що коливаються приблизно від 1 600 доларів США до трохи менше 15 000 доларів. продукт.
3. Провідник
Ревізор від Plixer - відмінний аналізатор NetFlow. Це насправді набагато більше, ніж просто це, і багато хто вважає повноцінною системою реагування на інциденти. І завдяки його можливості контролювати різні типи потоків, такі як NetFlow, J-flow, NetStream та IPFIX, ви не обмежуєтесь моніторингом лише пристроїв Cisco.
Ревізор має ієрархічний дизайн та пропозиціїспрощений та ефективний збір даних, який дозволяє запустити невеликий та легкий масштаб шляху до мільйонів потоків в секунду. Хоча мережу часто спочатку звинувачують у будь-якому випадку, Ревізор допоможе швидко знайти справжню першопричину більшості мережевих проблем. Продукт може працювати як у фізичному, так і у віртуальному середовищах, і він має вдосконалені функції звітування.
Ревізор доступний у чотирьох ліцензійних рівнях від основноїбезкоштовна версія до рівня SCR вищого рівня, яка може масштабувати до десяти мільйонів потоків в секунду. Безкоштовна версія обмежена десятьма тисячами потоків в секунду, і вона зберігатиме лише необроблені дані протягом 5 годин. Між ярусами є рівень MDX, який зберігає дані протягом 25 годин, і SSRV, який зберігає їх назавжди. Ви можете спробувати будь-який рівень ліцензії протягом 30 днів, після чого він повернеться до безкоштовної версії.
4. ManageEngine NetFlow Analyzer
ManageEngine - ще одне домашнє ім’я на арені інструментів мережевого адміністрування. Як і SolarWinds, компанія робить кілька чудових інструментів, а також кілька безкоштовних. The ManageEngine NetFlow Analyzer надає детальний перегляд пропускної здатності мережівикористання, а також схеми руху. Продукт має веб-інтерфейс користувача, який пропонує вражаючу кількість різних переглядів у вашій мережі.
Цей інструмент дозволить вам, наприклад, переглядатитрафік за допомогою програми, розмови, протоколу та ще декількох варіантів. Ви також можете встановити сповіщення, щоб попереджати про можливі проблеми. Наприклад, ви можете встановити поріг трафіку на певному інтерфейсі та отримувати сповіщення, коли трафік перевищує його.
Більшість з ManageEngine NetFlow AnalyzerПотужність виходить з його звітів та інформаційної панелі. У продукті є кілька корисних попередньо створених звітів, які підходять для конкретних цілей, таких як усунення несправностей, планування потужностей або виставлення рахунків. Але якщо ви краще створили спеціалізовані звіти, інструмент дозволяє адміністраторам створювати їх на свій смак.
The ManageEngine NetFlow AnalyzerІнформаційна панель настільки ж вражає, як і її звіти. Вона включає в себе кілька кругових діаграм, що зображають, наприклад, топ-програми, топ-протоколи або топ-розмови. Він також може відображати теплову карту, що показує стан інтерфейсів, що контролюються. Інформаційні панелі можна налаштувати, щоб вони містили лише необхідну інформацію. Для адміністраторів мережі в дорозі є додаток для смартфонів, який дозволяє вам отримувати доступ до інформаційної панелі та звітів.
The ManageEngine NetFlow Analyzer підтримує більшість потокових технологій, включаючиNetFlow, IPFIX, J-flow, NetStream та деякі інші. Як бонус, також є чудова інтеграція з пристроями Cisco, з можливістю коригування формування трафіку та / або QoS політики безпосередньо з інструменту.
The ManageEngine NetFlow Analyzer випускається у двох версіях. Безкоштовна версія обмежує моніторинг лише двох інтерфейсів або експортерів потоку. Для більшої ємності ліцензії доступні в декількох розмірах від 100 до 2500 інтерфейсів або потоків за цінами, що коливаються приблизно від 600 доларів до понад 50 000 доларів плюс щорічні плати за обслуговування. Для всіх платних планів доступна безкоштовна 30-денна пробна версія.
5. sFlowTrend
Хоча всі попередні продукти відмінні,досі підтримує протокол sFlow лише PRTG. Як ми пояснили, два протоколи сильно відрізняються, і рідко один інструмент підтримує обидва. Отже, якщо ваша мережа в основному складається з пристроїв із підтримкою sFlow, ось один із найкращих інструментів, які ми могли знайти.
sFlowTrend є інструментом моніторингу sFlow від InMon, theкомпанія, що стоїть за протоколом sFlow. Це основний і дещо обмежений, але дуже здібний інструмент. Існує безкоштовна версія, яка дозволить вам збирати дані з до п'яти пристроїв, що підтримують функцію sFlow, і зберігатиме дані історії в оперативній пам’яті до години. Хоча цього може бути достатньо для усунення деяких проблем з мережею, це не те, що потрібно для постійного моніторингу. Для більш повного інструменту вам потрібно оновити до професійної версії, яка видаляє обмеження кількості пристроїв та зберігає дані історії на диску.
The sFlowTrend Інформаційна панель пропонує швидкий перегляд поточного стану ваших пристроїв та мереж, що відстежуються. Він відображатиме пороги верхнього рівня та інтерфейси з потенційними помилками. Клацнувши на sFLowTrend Вкладка "Мережа" показує узагальнену ефективністьстатистику та детальний трафік на рівні мережі або пристрою. Порогові сповіщення можуть бути використані для отримання сповіщень, коли спостерігається більш широке використання пропускної здатності або відбувається помилка мережі. У програмному забезпеченні також є вкладка «Причинна причина», де ви можете зрозуміти причину проблеми, наприклад порушення порогу.
The sFlowTrend На вкладці "Хости" ви знайдете більш детальну інформаціюінформація про кожен пристрій. Він може відображати дані про продуктивність на процесорі, диску та багато іншого для серверів з підтримкою sFlow. Як ви зрозуміли, sFlow - це не лише моніторинг мережевого обладнання. На вкладці Служби ви знайдете дані про ефективність програм, які експортують дані sFlow. На вкладці "Події" ви знайдете журнал подій, таких як перевищені пороги або виявлені помилки. Нарешті, на вкладці "Звіти" є кілька попередньо визначених звітів, а також підтримується створення спеціальних звітів.
sFlowTrend написано на Java і постачається з обомаНа базі Java або веб-інтерфейс користувача. Він доступний для Windows, Mac та Linux. Програмне забезпечення має чудову онлайн-довідкову систему, яка допоможе вам налаштувати та використовувати інструмент.
У висновку
Незалежно від того, який інструмент ви вибрали, мережевий трафіканаліз шаблонів дасть вам неоціненну інформацію про те, що відбувається у вашій мережі. Кожен з розглянутих нами інструментів забезпечує чудову цінність, а вибір одного, найімовірніше, буде питанням особистої переваги. Можливо, в одному з інструментів, який особливо подобається вам, може бути специфічна особливість. Оскільки всі платні інструменти пропонують або безкоштовну пробну версію, або безкоштовну версію, немає жодної причини, чому ви не можете спробувати декілька, перш ніж приймати рішення.
Коментарі