La gestione delle reti richiede l'uso di strumenti specializzati che ti diano la visibilità necessaria per garantire che tutto funzioni senza intoppi in ogni momento. A differenza del traffico stradale in cui è possibile individuare facilmente rallentamenti e ostacoli, il traffico di rete non è facile da vedere. Questo è il motivo per cui strumenti come NetFlow possono aiutare. La tecnologia NetFlow può darti un'idea del traffico che attraversa la tua rete invece di quanto traffico c'è. Continua a leggere mentre esaminiamo alcuni dei migliori raccoglitori e analizzatori NetFlow per Linux.
Inizieremo il nostro viaggio discutendo i diversi metodi che gli amministratori di rete possono utilizzare per monitorare la propria rete e individuare e risolvere i problemi prima che diventino problemi reali. Quindi, spiegheremo cos'è NetFlow, come funziona e cosa è necessario per sfruttarlo. E già che ci siamo, discuteremo anche di alcune alternative NetFlow che potrebbero interessare. Ci immergeremo quindi nel nocciolo della questione e esamineremo alcuni dei migliori raccoglitori e analizzatori NetFlow disponibili per la piattaforma Linux. In accordo con la filosofia open source di Linux, alcuni di essi sono disponibili gratuitamente mentre altri richiedono un acquisto o un abbonamento.
Reti di monitoraggio
In qualità di amministratore di rete, una delle tue responsabilità è assicurarti che tutto funzioni senza intoppi, che non ci siano rallentamenti e che tutto il traffico di rete arrivi a destinazione entro un tempo accettabile. Sfortunatamente, ciò che accade su una rete accade all'interno di cavi, router, switch e altre apparecchiature dove è generalmente molto difficile vedere cosa sta succedendo. Da qui nasce il concetto di monitoraggio della rete. utilizzando diversi strumenti, gli amministratori possono ottenere una certa visibilità su ciò che accade all'interno della rete.
Utilità da riga di comando
Esistono diversi strumenti che gli amministratori possono utilizzare per monitorare la propria rete. Gli strumenti di base sono strumenti di diagnostica della riga di comando. Probabilmente li conosci e li usi costantemente. Ping, ad esempio, consente di convalidare che un determinato indirizzo IP può essere raggiunto e fornire alcune statistiche sui ritardi di andata e ritorno e la perdita di pacchetti. Tracert, o traceroute, a seconda del sistema operativo, traccerà il percorso di rete completo tra due dispositivi. Nmap elencherà tutti i dispositivi presenti su una specifica sottorete.
Acquisizione di pacchetti e strumenti di analisi
Successivamente, ci sono strumenti di monitoraggio della rete che ti permetteranno di catturare il traffico che passa attraverso una posizione specifica e che ti permetteranno di decodificare i pacchetti e analizzarli. Possono essere molto utili quando si tenta di risolvere problemi a livello di applicazione, ma spesso non forniscono molte informazioni sulle prestazioni effettive della rete. Uno di questi strumenti che è diventato molto comune si chiama Wireshark. Tcpdump è un altro strumento simile che utilizza un'interfaccia a riga di comando anziché una GUI.
Software di analisi del flusso
Per una visione più precisa di cosa sta succedendo, analizza il flusso di cui hai bisogno. Si basa su dispositivi di rete per inviare informazioni sul traffico, così sistemi chiamati raccoglitori e/o analizzatori che possono, a loro volta, interpretare i dati di flusso e presentarli in modi significativi. Il protocollo che lo consente si chiama NetFlow. È stato creato da Cisco Systems diversi anni fa, ma ora è comunemente utilizzato in una forma o nell'altra sulle apparecchiature di rete della maggior parte dei principali produttori.
Che cos'è NetFlow?
NetFlow è stato sviluppato da Cisco Systems ed è stato introdotto sui loro router per fornire la capacità di raccogliere il traffico di rete IP quando entra o esce da un'interfaccia. I dati raccolti vengono quindi analizzati dagli amministratori di rete per aiutare a determinare l'origine e la destinazione del traffico, la classe di servizio e le cause della congestione.
L' esportatore di flusso aggrega i pacchetti in flussi ed esporta i record di flusso verso uno o più raccoglitori di flusso. Questo è il componente in esecuzione sui dispositivi monitorati.
Il raccoglitore di flusso è responsabile della ricezione, dell'archiviazione e della pre-elaborazione dei dati di flusso ricevuti da un esportatore di flusso.
Infine, il flusso analy zer è un'applicazione che viene utilizzato per analizzare i dati di flusso ricevuti. L'analisi può essere utilizzata per la profilazione del traffico o per la risoluzione dei problemi di rete.
Come funziona NetFlow
Router, switch e qualsiasi altro dispositivo che supporti NetFlow possono essere configurati per emettere dati di flusso sotto forma di record di flusso e inviarli a un raccoglitore NetFlow. Un flusso è una conversazione completa nel senso IP. Il dispositivo che prepara i record di flusso normalmente li invia al collector quando determina che il flusso è terminato a causa dell'invecchiamento (non c'è stato traffico entro un timeout specifico) o quando vede una terminazione della sessione TCP.
Il record di flusso contiene molte informazioni sul flusso. Include le interfacce di input e output, i timestamp di inizio e fine del flusso, il numero di byte e pacchetti che contiene, le intestazioni di livello 3, l'indirizzo IP di origine e destinazione e il numero di porta, il protocollo IP e il valore TOS . I record di flusso non contengono i dati effettivi che hanno costituito il flusso. Le uniche contengono informazioni sul flusso. Questo è importante dal punto di vista della sicurezza.
Tranne che in enormi ambienti multi-sito, i collettori di flusso a cui vengono inviati i record sono spesso anche gli analizzatori di flusso. Usano le informazioni contenute nei record di flusso per presentare i dati sul traffico di rete in modo utile per gli amministratori di rete. Diversi raccoglitori e analizzatori NetFlow avranno modi diversi di presentare i dati. È qui che tornerà utile la nostra lista dei migliori raccoglitori e analizzatori NetFlow.
Alcune alternative a NetFlow
Come abbiamo già accennato, NetFlow esiste con diversi nomi. Ma ci sono anche alternative a NetFlow, le due più note sono sFlow e IPFIX. Quest'ultimo è fortemente basato sull'ultima versione di NetFlow, tranne per il fatto che è uno standard IETF. Siamo liberi di pensare che Cisco potrebbe anche sostituire NetFlow con IPFIX.
Per quanto riguarda sFlow, è un sistema diverso e concorrente. Il suo obiettivo e i principi generali di funzionamento sono simili ma diversi. Alcuni analizzatori NetFlow funzioneranno anche con sFlow ma, in generale, gli utenti di uno non usano l'altro.
I migliori collettori NetFlow per Linux
Abbiamo cercato sul mercato i migliori NetFlow Collector e analizzatori per Linux. Quello che abbiamo per te sono cinque dei migliori prodotti che siamo riusciti a trovare, in ordine di preferenza con il nostro preferito in cima alla lista. Esaminiamo ciascuno ed esploriamo le loro caratteristiche principali con l'obiettivo di aiutarti a scegliere il pacchetto che meglio soddisfa le tue esigenze.
1. ManageEngine NetFlow Analyzer
ManageEngine NetFlow Analyzer offre all'amministratore di rete una visione dettagliata dell'utilizzo della larghezza di banda della rete e dei modelli di traffico. Il prodotto è controllato da un'interfaccia basata sul Web e offre un numero impressionante di visualizzazioni diverse sulla rete.
Puoi, ad esempio, visualizzare il traffico per applicazione, conversazione, protocollo e molte altre opzioni. Puoi anche impostare avvisi per avvisarti di potenziali problemi. Ad esempio, puoi impostare una soglia di traffico su un'interfaccia specifica ed essere avvisato ogni volta che il traffico la supera.
Ma la maggior parte della forza del prodotto deriva dai suoi report e dashboard. Lo strumento viene fornito con diversi report predefiniti molto utili che sono specificamente personalizzati per scopi specifici come la risoluzione dei problemi, la pianificazione della capacità o la fatturazione. Ma non sei bloccato con i rapporti integrati poiché lo strumento consente anche agli amministratori di creare rapporti personalizzati a loro piacimento.
Per quanto riguarda la dashboard dello strumento di cui abbiamo parlato, è impressionante quanto i suoi report. Include diversi grafici a torta con cose come le migliori applicazioni, i migliori protocolli o le migliori conversazioni. Può anche visualizzare una mappa termica con lo stato delle interfacce monitorate. E come avrai intuito, i dashboard possono essere personalizzati per includere solo le informazioni che ritieni utili. La dashboard è anche il luogo in cui vengono visualizzati gli avvisi sotto forma di pop-up. E per l'amministratore di rete in movimento, c'è un'app per smartphone che ti consentirà di accedere alla dashboard e ai report.
ManageEngine NetFlow Analyzer supporta la maggior parte delle tecnologie di flusso, tra cui NetFlow (ovviamente), IPFIX, J-flow, NetStream e poche altre. Come bonus, anche questo ha un'eccellente integrazione con i dispositivi Cisco, con supporto per la regolazione del traffico shaping e/o delle politiche QoS direttamente dallo strumento.
Come molti prodotti concorrenti, ManageEngine NetFlow Analyzer è disponibile in due versioni. La versione gratuita sarà identica a quella a pagamento per i primi 30 giorni ma poi tornerà a monitorare solo due interfacce di flussi. Anche se questo non è molto, potrebbe essere tutto ciò di cui hai bisogno.
Se si desidera la versione a pagamento, le licenze sono disponibili in diverse dimensioni da 100 a 2500 interfacce o flussi con prezzi che variano tra circa $ 600 e oltre $ 50K più spese di manutenzione annuali.
2. Scrutatore
Scrutinizer di Plixer è un altro ottimo NetFlow Analyzer. In effetti, è anche più di questo e molti lo vedono come un sistema completo di risposta agli incidenti. Con la sua capacità di monitorare diversi tipi di flusso come NetFlow, J-flow, NetStream e IPFIX, non sei limitato al monitoraggio solo dei dispositivi Cisco.
Con il suo design gerarchico, Scrutinizer offre una raccolta dati snella ed efficiente e ti consente di iniziare in piccolo e facilmente scalare fino a molti milioni di flussi al secondo. La rete viene spesso incolpata per la prima volta ogni volta che qualcosa va storto. Con Scrutinizer, puoi trovare rapidamente la vera causa della maggior parte dei problemi di rete. Scrutinizer funziona sia in ambienti fisici che virtuali ed è dotato di funzionalità di reporting avanzate.
Scrutinizer è disponibile in quattro livelli di licenza che vanno dalla versione gratuita di base al livello SCR completo che può scalare fino a oltre 10 milioni di flussi al secondo. La versione gratuita è limitata a 10 mila flussi al secondo e manterrà i dati di flusso grezzi solo per 5 ore, ma dovrebbe essere più che sufficiente per risolvere i problemi di rete. Puoi anche provare qualsiasi livello di licenza per 30 giorni, dopodiché tornerà alla versione gratuita. Lo strumento è disponibile come dispositivo hardware o come dispositivo virtuale che può essere eseguito su un host Linux tramite KVM
3. nProbe e ntopng
nProbe e ntopng sono strumenti open source un po' più avanzati e più complicati. Ntopng è uno strumento di analisi del traffico basato sul web per monitorare le reti in base ai dati di flusso mentre nProbe è un esportatore e raccoglitore di NetFlow e IPFIX. Insieme, costituiscono un pacchetto di analisi molto flessibile. Se hai già amministrato reti Linux, potresti avere familiarità con ntop. ntopng è la versione GUI di nuova generazione di questo strumento senza età.
C'è una versione community gratuita di ntopng e puoi anche acquistare versioni aziendali. Possono essere costosi ma sono gratuiti per le organizzazioni educative e senza scopo di lucro. Per quanto riguarda nProbe, puoi provarlo gratuitamente ma è limitato a un totale di 25.000 flussi esportati. Per andare oltre, dovrai acquistare una licenza.
Come la maggior parte dei moderni strumenti di analisi di rete, ntopng presenta un'interfaccia utente basata sul web che può presentare dati in base al traffico, come i principali oratori, flussi, host, dispositivi e interfacce. Ha un mix di grafici, tabelle e grafici. la maggior parte presenta opzioni di drill-down che ti consentono di esplorare in modo più approfondito. L'interfaccia è abbastanza flessibile e consente molte personalizzazioni.
4. FlowScan
FlowScan è una sorta di strumento di visualizzazione che puoi utilizzare per analizzare i dati Netflow e creare report su di essi. Può produrre grafici visivi quasi in tempo reale che mostrano cosa sta succedendo sulla tua rete. FlowScan può essere distribuito su un sistema GNU/Linux o BSD. Utilizza diversi altri pacchetti per raccogliere ed elaborare correttamente i flussi. Ad esempio, Cflowd viene utilizzato come collettore di flusso. FlowScan è in realtà uno script Perl che costituisce la maggior parte del pacchetto software. Questo componente è responsabile del caricamento e dell'esecuzione dei report. Un ultimo componente importante è RRDtool, uno strumento popolare per archiviare dati in database round-robin e tracciare tali dati su grafici, che viene utilizzato per memorizzare informazioni sul flusso e produrre grafici utili.
Gli amministratori di rete spesso scoprono di aver raccolto troppo pochi o troppi dati. Il profilo di flusso fornito da FlowScan offre un compromesso pragmatico tra tali estremi nella raccolta dei dati. Poiché i flussi aggregano i dati raccolti mentre i pacchetti viaggiano attraverso una determinata porta o interfaccia, possono essere utilizzati come una sorta di abbreviazione per serie di pacchetti che viaggiano tra gli endpoint di interesse. Ma questa funzionalità da sola non è sufficiente per un uso continuo affidabile: sono necessari strumenti software aggiuntivi per definire, analizzare e analizzare questi flussi. Questi strumenti aggiuntivi sono inclusi con FlowScan.
5. inMon sFlowTrend (menzione speciale)
Sebbene non sia un raccoglitore e analizzatore NetFlow, ma piuttosto uno che gestisce sFlow, abbiamo ritenuto che sFlowTrend meritasse di essere in questo elenco. Può essere eseguito su Linux e se i componenti della tua rete utilizzano sFlow anziché NetFlow, è uno dei migliori strumenti disponibili. Lo strumento è di inMon, l'azienda dietro sFlow. È uno strumento di base e in qualche modo limitato ma molto capace. La versione gratuita del software consente di raccogliere dati da un massimo di cinque switch, router o host abilitati per sFlow e conserverà i dati della cronologia nella RAM solo per un massimo di un'ora. Dovrebbe essere sufficiente per risolvere la maggior parte dei problemi di rete. E se vuoi fare un passo avanti, puoi aggiornare alla versione pro, ovviamente a un costo, che rimuove il limite del numero di dispositivi e memorizza i dati della cronologia su disco.
La scheda sFlowTrend Dashboard fornisce una rapida visualizzazione dello stato corrente dei dispositivi e delle reti monitorati, include soglie di primo livello e interfacce con potenziali errori. Quando si fa clic sulla scheda Rete, sflowTrend rivela statistiche sulle prestazioni riepilogate e traffico dettagliato a livello di rete o dispositivo. È possibile definire soglie di allerta. Ti consente di ricevere avvisi quando si verifica un utilizzo della larghezza di banda superiore al normale o un errore di rete. C'è anche una scheda della causa principale in cui è possibile approfondire la causa di un problema come una violazione della soglia.
La scheda Host è dove troverai informazioni più dettagliate su ciascun dispositivo. Fornisce dati sulle prestazioni su rete, CPU, disco e così via per i server abilitati per sFlow, inclusi quelli virtuali. Nella scheda Servizi, troverai i dati sulle prestazioni per le applicazioni (inclusi vari server Web) che esportano i dati sFlow. Nella scheda Eventi, troverai un registro di eventi come il superamento delle soglie o gli errori rilevati. Infine, la scheda Rapporti fornisce diversi rapporti predefiniti ma supporta anche la creazione di rapporti personalizzati. Qui è dove andrai per eseguire i rapporti e quindi visualizzare i loro risultati.
sFlowTrend è scritto in Java e viene fornito con un'interfaccia utente basata su Java o web. È disponibile per Linux, Windows e Mac. È disponibile anche una guida in linea per assistere l'utente nella configurazione e nell'utilizzo dello strumento. È un ottimo strumento, soprattutto per le organizzazioni più piccole con apparecchiature abilitate per sFlow. E il percorso di aggiornamento alla versione pro lo rende una scelta altrettanto valida per reti più grandi.
Avvolgendo
Sebbene alcuni dei migliori collettori e analizzatori NetFlow come il SolarWinds NetFlow Traffic Analyzer funzioneranno solo su macchine Windows, ci sono ancora molte opzioni disponibili se la tua piattaforma di strumento di monitoraggio preferita è Linux. Tra prodotti commerciali come ManageEngine NetFlow Analyzer o Plixer's Scrutinizer e strumenti open source, ce ne deve essere uno che si adatta perfettamente alle tue esigenze.
Tutti i prodotti che abbiamo appena recensito sono ottime opzioni. Alcuni potrebbero non essere così completi o potrebbero richiedere un po' più di lavoro per configurarli, ma ognuno di loro farà il suo lavoro e lo farà bene. E poiché offrono tutti una qualche forma di prova gratuita, o sono completamente gratuiti, non c'è motivo per non provarne alcuni e vedere di persona quale è per te.