Мережі - це важка справа для управління та моніторингу. Це зрозуміло: мережевий трафік відбувається всередині мідного кабелю або оптичних волокон, і його не можна побачити. Це ускладнює будь-якому адміністратору чітку та певну картину того, що відбувається з мережами, якими вони керують. Тут відбувається моніторинг мережі. І коли мова йде про моніторинг мережі, то доступно кілька рівнів, кожен з яких забезпечує більше інформації про трафік. Глибока перевірка пакетів - це найвищий рівень моніторингу, який забезпечує найбільшу інформацію про мережевий трафік. Для глибокої перевірки пакетів вам потрібні належні інструменти - і сьогодні ми розглядаємо деякі найкращі інструменти для глибокої перевірки пакетів.
Перш ніж почати, ми спробуємо пояснити глибокий пакетогляд. Схоже, у кожного є суперечливе уявлення про те, що це таке і що повинно бути. Інтересна для нас глибока перевірка пакетів пов'язана з моніторингом мережі, ще одним невиразним терміном. Щоб спробувати пролити трохи світла на цю тему, ми обговоримо моніторинг в цілому та аналіз потоку, зокрема, оскільки це є формою глибокої перевірки пакетів. А оскільки технологія NetFlow Cisco, здається, є найбільш поширеною, ми будемо детальніше розглядати це. Тільки тоді ми будемо готові розкрити, які найкращі інструменти для глибокої перевірки пакетів, і запропонувати вам короткий огляд кожного.
Пояснено глибоку перевірку пакетів
Глибока перевірка пакетів визначається як акт, длякомпонент мережевої інфраструктури для аналізу вмісту пакетів даних, крім простого перегляду заголовка пакета для збору статистичних даних про мережевий трафік або для цілей фільтрації, встановлення пріоритетів чи виявлення вторгнень. Хоча це визначення відносно точне, воно дещо загальне. Крім того, що таке глибока перевірка пакетів, може залежати від того, що ви намагаєтеся виконати. Наприклад, глибока перевірка пакетів для цілей збору статистики відрізняється від глибокої перевірки пакетів для фільтрації деякого трафіку. У контексті цієї статті те, що нас цікавить, - це переважно збір статистики. Інструменти, які ми розглянемо миттєво, є по суті сучасними інструментами моніторингу.
Про засоби моніторингу
Моніторинг мережі, як і глибокий пакетінспекція, не є чітко визначеним терміном. Найбільш основна форма моніторингу мережі - це моніторинг пропускної здатності. Зазвичай це робиться за допомогою простого протоколу управління мережею. Цей тип моніторингу дуже корисний для отримання чіткої картини використання вашої мережі, але він має обмеження. Хоча це дасть вам середнє використання пропускної здатності в певній точці мережі, воно не надасть детальну інформацію про використання пропускної здатності.
Для чіткішого уявлення про те, що таке трафіктранспортується по мережі, потрібно використовувати аналіз потоку. Аналіз потоку йде набагато глибше, ніж моніторинг пропускної здатності, і може надати детальну інформацію. Він покладається на самі мережеві пристрої, щоб надсилати інформацію про трафік до систем моніторингу, що називаються колекторами та / або аналізаторами, які можуть інтерпретувати дані потоку та представляти їх змістовно. Наприклад, аналіз потоку дозволить вам переглянути, як розподіляється мережевий трафік між усіма джерелами та пунктами призначення. Він розповість про те, які протоколи та типи трафіку використовуються.
Аналіз потоку можна розглядати як глибокий пакетперевірка того, що воно виходить за межі просто дивлячись на заголовок, щоб знайти якісну інформацію про фактичні дані, що передаються в мережі. Найпоширеніший з усіх технологій аналізу потоків, безумовно, є NetFlow Cisco. Давайте глибше поглянемо на це.
Детальніше про NetFlow
NetFlow спочатку був розроблений Cisco Systemsі представлені на своїх маршрутизаторах з метою надання можливості збирати інформацію про трафік IP-мережі під час входу в інтерфейс або виходу з нього. Первісний намір полягав у використанні для створення кращих списків контролю доступу (ACL). З цього часу вона перетворилася на справжню схему моніторингу, і дані про потоки, зібрані пристроями, зараз експортуються діа.
Складається технологія NetFlowпо суті три компоненти. Перший - це експортер потоку, який агрегує пакети в потоки та експортує записи потоків у напрямку до одного або декількох колекторів потоків. Наступний компонент, колектор потоку, відповідає за прийом, зберігання та попередню обробку даних потоку, отриманих від попереднього компонента. Нарешті, аналізатор потоку використовується для аналізу отриманих даних потоку. Цей аналіз може бути використаний для профілювання трафіку або усунення несправностей у мережі, серед іншого. Багато сучасних установок поєднують колектор потоку та аналізатор в єдиний інтегрований компонент.
Як працює NetFlow
Будь-який інший пристрій, який підтримує NetFlow, може бутивиконаний з можливістю виводити дані потоку у вигляді записів потоків та відправляти їх у колектор NetFlow. Потік - це повна розмова в сенсі IP. І може бути багато потоків, що проходять через один інтерфейс в будь-який момент часу. Мережевий пристрій, який готує записи потоків, надсилає їх до колектора, коли він визначає, чи то через старіння, чи після закінчення сеансу TCP, що потік закінчено.
Типового запису потоків досить багатоінформація. Сюди входять інтерфейси введення та виведення, позначки часу початку та закінчення потоку, кількість байтів та пакетів, які він містить, заголовки 3 рівня, IP-адреса джерела та призначення та номер порту, протокол IP та TOS ( Тип послуги) значення. Записи потоку не містять фактичних даних, що складали потік. Вони містять лише інформацію про потік. Це важливо з точки зору безпеки.
У більшості середовищ дебіти колекторів дезаписи відправляються часто також аналізаторами потоку. Лише дуже великі, багатосайтові мережі виграють від того, що на різних сайтах будуть розподілені окремі колектори. Колектори та аналізатори використовують інформацію, що міститься в записах потоків, для представлення даних про мережевий трафік таким чином, який корисний мережевим адміністраторам. Насправді основними відмінними факторами між різними інструментами є те, як вони можуть осмислити та представити дані змістовно.
Кращі інструменти для глибокої перевірки пакетів
З точки зору моніторингу, аналіз потоку - цеформують глибоку перевірку пакетів, тому інструменти, які ми сьогодні переглядаємо, - це справді аналізатори NetFlow. Багато з них зроблять більше того, хоча деякі з них є частиною повного рішення щодо моніторингу.
1. Аналізатор трафіку SolarWinds NetFlow (Безкоштовне випробування)
SolarWinds, у неймовірній справініколи не чув про компанію, робить одне з найкращих програмного забезпечення для мережевого та системного адміністрування. Один із його флагманських продуктів - мережевий монітор SolarWinds - багато хто вважає одним з найкращих інструментів контролю пропускної здатності мережі. І SolarWinds також робить кілька чудових безкоштовних інструментів, кожен вирішує конкретні завдання мережевих адміністраторів. Два приклади цих безкоштовних інструментів - безкоштовний розширений калькулятор підмережі та безкоштовний сервер syslog. Що стосується аналізу трафіку NetFlow, то аналізатор трафіку SolarWinds NetFlow (NTA), безумовно, є одним із найкращих колекторів та аналізаторів NetFlow, які ви можете знайти.
Серед найкращих особливостей продукту, - Аналізатор трафіку SolarWinds NetFlow може контролювати використання пропускної здатності за допомогою програми,протокол та група IP-адрес. Він може не лише контролювати Cisco NetFlow, але й Juniper J-Flow, sFlow, Huawei NetStream та IPFIX - кілька інших технологій аналізу потоків, заснованих на NetFlow - для виявлення, які програми та протоколи є найпопулярнішими споживачами пропускної здатності. Інструмент збирає дані про трафік, співвідносить їх у використаному форматі та представляє їх користувачеві на веб-панелі інформаційної панелі. Продукт підтримує Cisco NBAR2, щоб визначити, які програми та категорії споживають найбільшу пропускну здатність, забезпечуючи ще кращу видимість мережевого трафіку.
The Аналізатор трафіку SolarWinds NetFlow є надбудовою до Монітора ефективності мережі(NPM). Якщо ви ще не маєте ліцензії на NPM, вам доведеться її врахувати. Вони починаються від $ 2 955 за до 100 елементів. Що стосується додатку NTA, то його ліцензія повинна відповідати кількості вузлів вашої ліцензії NPN, а ціни починаються від $ 1 915. Якщо ви краще спробуйте виріб, перш ніж здійснити покупку, SolarWinds надає безкоштовну пробну версію.
- БЕЗКОШТОВНИЙ ПРОБНИЙ ПЕРІОД: Аналізатор трафіку SolarWinds NetFlow
- Офіційне посилання для завантаження: https://www.solarwinds.com/netflow-traffic-analyzer
2. SolarWinds в реальному часі аналізатор NetFlow (Безкоштовне завантаження)
Якщо вам потрібно рішення меншого масштабу, SolarWinds в реальному часі аналізатор NetFlow може бути саме те, що вам потрібно. Це один із відомих безкоштовних інструментів SolarWind і хоча не настільки повний, як аналізатор трафіку NetFlow, він надає вам однакові основні функціональні можливості.
Він може фіксувати та аналізувати дані потоку в режимі реального часу. І він покаже вам тип трафіку, який транспортується у вашій мережі, звідки він надходить і куди йде. Ви також можете використовувати його - певною мірою - для діагностування спайок трафіку та усунення проблем із пропускною здатністю.
Продукт дозволить вам визначити, яких користувачів,пристрої та програми споживають найбільшу пропускну здатність; виділити мережевий трафік за допомогою розмови, програми, домену, кінцевої точки та протоколу; і переглядати мережевий трафік за типом та вказаними періодами часу
Звичайно, ви не можете сподіватися на це безкоштовне програмне забезпеченняробити все, що робить її старший брат. Він має деякі суворі обмеження, і його головна увага - це поточний і дуже недавній стан вашої мережі. Він збиратиме дані лише з одного інтерфейсу NetFlow і зберігатиме та аналізує лише останні 60 хвилин даних.
Якщо вам потрібен швидкий і брудний огляд використання вашої пропускної здатності, безкоштовний аналізатор NetFlow в реальному часі SolarWinds забезпечить це, але не набагато більше.
- Безкоштовне завантаження: SolarWinds в реальному часі аналізатор NetFlow
- Офіційне посилання для завантаження: https://www.solarwinds.com/free-tools/real-time-netflow-analyzer
3. ManageEngine NetFlow Analyzer
ManageEngine - ще одне відоме ім’я в галузі інструментів управління мережею. Його ManageEngine NetFlow Analyzer надає адміністраторам мережі детальний виглядвикористання пропускної здатності мережі, а також структури трафіку. Продукт контролюється веб-інтерфейсом і пропонує вражаючу кількість різних переглядів у вашій мережі.
Наприклад, продукт дозволить вам переглянутитрафік за допомогою програми, розмови, протоколу та ще декількох варіантів. Ви також можете встановити сповіщення, щоб попередити вас про можливі проблеми. Наприклад, ви можете встановити поріг трафіку на певному інтерфейсі та отримувати сповіщення при його перевищенні.
Але найбільші сильні сторони цього інструменту - це йогозвіти та інформаційну панель. Він постачається з декількома дуже корисними попередньо створеними звітами, які налаштовані на конкретні цілі, такі як усунення несправностей, планування потужностей або виставлення рахунків. І наскільки він хороший, як і його вбудовані звіти, інструмент також дозволяє адміністраторам створювати власні звіти на свій смак.
Інформаційна панель продукту так само вражаєїї звіти. Він включає кілька кругових діаграм із такими речами, як топ-програми, топ-протоколи чи топові розмови. Він також може відображати свого роду теплову карту зі статусом інтерфейсів, що контролюються. Як і у звітах, приладну панель можна також налаштувати, щоб вона включала лише ту інформацію, яку ви вважаєте корисною. На приладовій панелі також відображаються сповіщення у вигляді спливаючих вікон. Адміністратор мережі в дорозі не відчує себе осторонь, оскільки доступний додаток для смартфонів, і він надасть вам доступ як до панелі приладів, так і до звітів.
The ManageEngine NetFlow Analyzer підтримує більшість потокових технологій, включаючиNetFlow, IPFIX, J-flow, NetStream та деякі інші. Цей інструмент також може похвалитися відмінною інтеграцією з пристроями Cisco, з можливістю коригування формування трафіку та / або QoS політики безпосередньо з цього інструменту.
The ManageEngine NetFlow Analyzer випускається у двох версіях. Існує безкоштовна версія, яка обмежується моніторингом лише двох інтерфейсів потоків. Хоча це не так багато, це може бути все, що вам потрібно. І ця безкоштовна версія дозволить необмеженим пристроям протягом перших 30 днів, що дасть вам можливість провести ретельний тестовий пробіг. Після закінчення пробного періоду ліцензії будуть доступні в декількох розмірах від 100 до 2500 інтерфейсів або потоки, ціни починаються приблизно від 600 доларів плюс щорічні плати за обслуговування.
4. Графік руху маршрутизатора Paessler (PRTG)
PRTG від Paessler - ще один відомий, все-в-одномурішення, основною метою якого є моніторинг використання пропускної здатності. Він також використовується для моніторингу наявності та стану здоров'я різних мережевих ресурсів. Таким чином, це ще один дуже корисний інструмент для мережевих адміністраторів. Але завдяки датчику NetFlow, який доступний для продукту, PRTG також може слугувати колектором та аналізатором NetFlow.
Фактично, PRTG - це не просто інструмент контролю пропускної здатності абоКолектор NetFlow та аналізатор. Він використовує декілька технологій для контролю систем, пристроїв, трафіку та додатків. Серед них продукт використовуватиме SNMP з готовими до використання та користувацькими параметрами, лічильниками продуктивності WMI та Windows, SSH для систем Linux / Unix та MacOS, потоками - такими як NetFlow або sFlow - та нюханням пакетів, HTTP-запитами, API REST, що повертають XML або JSON, Ping, SQL та багато іншого.
Встановлення PRTG легко. Ви просто запустите інсталятор, тоді процес автоматичного виявлення виявить пристрої та налаштує датчики. Після цього ви можете вручну додавати додаткові датчики (наприклад, колектори NetFlow). На веб-сайті Paessler є навіть докладне відео, яке покаже вам, як це робиться.
Сервер працює лише в Windows, окрім його користувачаІнтерфейс базується на веб-сторінках, до нього можна отримати доступ з будь-якого браузера. Також є мобільний клієнтський додаток, який можна встановити на свій смартфон. Додаток для мобільних клієнтів має унікальну функцію у вигляді QR-міток, яку ви можете друкувати та закріплювати на своїх пристроях. Потім сканування коду з мобільного додатку швидко відкриє дані датчика цього пристрою.
Дві версії PRTG доступні. Існує безкоштовна версія, яка обмежена 100 датчиками. Будьте в курсі, що датчик в PRTG мова не є приладом. Натомість це самий основний елемент, за яким можна контролювати. Наприклад, для моніторингу кожного порту 48-портового комутатора потрібно 48 датчиків, а для збору та аналізу NetFlow потрібен один датчик на експортера потоку. У такому темпі очевидно, що 100 датчиків може бути не стільки, скільки було вперше. Якщо вам потрібно більше 100 датчиків, вам потрібно буде придбати ліцензію. Вони доступні в 500, 1000, 2500 або 5000 датчиків, а також лімітована необмежена кількість. Ціни коливаються приблизно від $ 1 600 до трохи менше $ 15 000. Безкоштовна версія дозволить безлімітно датчиків протягом перших 30 днів, так що ви можете скористатися ретельним тест-драйвом продукту.
5. Провідник
Останній у нашому списку є Ревізор від Plixer, іншого чудового аналізатора NetFlow. Це насправді набагато більше того, і деякі розглядають це як повну систему реагування на інциденти. Продукт має можливість контролювати різні типи потоків, такі як NetFlow, J-flow, NetStream та IPFIX, тому ви не обмежуєтесь моніторингом лише пристроїв Cisco.
Ревізор може похвалитися ієрархічним дизайном, який пропонуєспрощений та ефективний збір даних і дозволяє розпочати невеликий, а потім масштабний шлях до багатьох мільйонів потоків в секунду. Мережу часто спочатку звинувачують у тому випадку, коли щось піде не так. За допомогою цього інструменту можна швидко знайти справжню причину майже всіх проблем мережі. Продукт працює як у фізичному, так і у віртуальному середовищах та постачається з розширеними функціями звітування.
Ревізор доступний у чотирьох ліцензійних рівнях. Вони варіюються від базової безкоштовної версії до повноцінного рівня SCR, який може масштабувати до 10 мільйонів потоків в секунду. Безкоштовна версія обмежена 10 тисячами потоків в секунду, і вона буде зберігати дані про непередбачувані потоки протягом 5 годин, але це повинно бути більш ніж достатньо для усунення проблем з мережею. Ви також можете спробувати будь-який рівень ліцензії протягом 30 днів, після чого він повернеться до безкоштовної версії.
Коментарі