Le reti sono una cosa difficile da gestire e monitorare. È comprensibile, il traffico di rete avviene all'interno di cavi in rame o fibre ottiche e non può essere visto. Ciò rende un po' complicato per qualsiasi amministratore avere un'immagine chiara e definita di ciò che sta accadendo con le reti che gestisce. È qui che entra in gioco il monitoraggio della rete. E quando si tratta di monitoraggio della rete, sono disponibili diversi livelli, ognuno dei quali fornisce più informazioni sul traffico. L'ispezione approfondita dei pacchetti è il livello più alto di monitoraggio che fornisce la maggior parte delle informazioni sul traffico di rete. Per eseguire l'ispezione approfondita dei pacchetti, sono necessari strumenti adeguati e oggi stiamo esaminando alcuni dei migliori strumenti per l'ispezione approfondita dei pacchetti.
Prima di iniziare, cercheremo di spiegare l'ispezione approfondita dei pacchetti. Sembra che tutti abbiano un'idea contraddittoria di cosa sia e cosa dovrebbe essere. L'ispezione approfondita dei pacchetti che ci interessa oggi ha a che fare con il monitoraggio della rete, un altro termine vago. Per cercare di fare luce sull'argomento, parleremo del monitoraggio in generale e dell'analisi del flusso in particolare poiché costituisce una forma di ispezione approfondita dei pacchetti. E poiché la tecnologia NetFlow di Cisco sembra essere la più diffusa, daremo un'occhiata più approfondita. Solo allora saremo pronti a svelarti quali sono i migliori strumenti per l'ispezione approfondita dei pacchetti e ad offrirti una breve rassegna di ciascuno.
Spiegazione dell'ispezione approfondita del pacchetto
L'ispezione approfondita dei pacchetti è definita come l'atto, per un componente dell'infrastruttura di rete, di analizzare il contenuto dei pacchetti di dati oltre alla semplice osservazione dell'intestazione del pacchetto per raccogliere statistiche sul traffico di rete o per scopi di filtraggio, prioritizzazione o rilevamento delle intrusioni . Sebbene questa definizione sia relativamente accurata, è un po' generica. Inoltre, l'ispezione approfondita dei pacchetti può variare in base a ciò che stai cercando di ottenere. L'ispezione approfondita dei pacchetti eseguita per scopi di raccolta delle statistiche, ad esempio, è diversa dall'ispezione approfondita dei pacchetti eseguita per filtrare parte del traffico. Nel contesto di questo articolo, ciò che ci interessa è principalmente la raccolta di statistiche. Gli strumenti che esamineremo momentaneamente sono essenzialmente strumenti di monitoraggio avanzati.
Informazioni sugli strumenti di monitoraggio
Il monitoraggio della rete, proprio come l'ispezione approfondita dei pacchetti, non è un termine chiaramente definito. La forma più elementare di monitoraggio della rete è il monitoraggio della larghezza di banda. In genere viene eseguito utilizzando il protocollo di gestione della rete semplice. Questo tipo di monitoraggio è molto utile per avere un quadro chiaro dell'utilizzo della rete, ma presenta dei limiti. Sebbene fornisca l'utilizzo medio della larghezza di banda in un punto specifico della rete, non fornisce dettagli su cosa sta utilizzando la larghezza di banda.
Per avere un quadro più chiaro del traffico trasportato su una rete, è necessario utilizzare l'analisi del flusso. L'analisi del flusso va molto più in profondità del monitoraggio della larghezza di banda e può fornire informazioni dettagliate. Si affida agli stessi dispositivi di rete per inviare informazioni sul traffico a sistemi di monitoraggio chiamati collettori e/o analizzatori che possono interpretare i dati di flusso e presentarli in modi significativi. L'analisi del flusso, ad esempio, ti consentirà di visualizzare come il traffico di rete è distribuito tra tutte le origini e la destinazione. Ti spiegherà quali protocolli e quali tipi di traffico vengono utilizzati.
L'analisi del flusso può essere considerata un'ispezione approfondita dei pacchetti in quanto va oltre la semplice osservazione dell'intestazione per trovare informazioni qualitative sui dati effettivi che vengono trasportati su una rete. La più comune di tutte le tecnologie di analisi del flusso è sicuramente NetFlow di Cisco. Diamo uno sguardo più approfondito.
Maggiori informazioni su NetFlow
NetFlow è stato originariamente sviluppato da Cisco Systems e introdotto sui propri router con l'obiettivo di fornire la capacità di raccogliere informazioni sul traffico di rete IP quando entra o esce da un'interfaccia. Il suo intento originale doveva essere utilizzato per creare elenchi di controllo di accesso (ACL) migliori. Da allora si è espanso in un vero schema di monitoraggio e i dati di flusso raccolti dai dispositivi vengono ora esportati d ia.
La tecnologia NetFlow è composta essenzialmente da tre componenti. Il primo è l'esportatore di flusso che aggrega i pacchetti in flussi ed esporta i record di flusso verso uno o più collettori di flusso. Il componente successivo, il raccoglitore di flusso, è responsabile della ricezione, memorizzazione e pre-elaborazione dei dati di flusso ricevuti dal componente precedente. Infine, l'analizzatore di flusso viene utilizzato per analizzare i dati di flusso ricevuti. Questa analisi può essere utilizzata per la profilazione del traffico o la risoluzione dei problemi di rete, tra gli altri usi. Molte configurazioni moderne combinano il collettore di flusso e l'analizzatore in un unico componente integrato.
Come funziona NetFlow
Qualsiasi altro dispositivo che supporta NetFlow può essere configurato per emettere dati di flusso sotto forma di record di flusso e inviarli a un raccoglitore NetFlow. Un flusso è una conversazione completa nel senso IP. E potrebbero esserci molti flussi che passano attraverso un'interfaccia in un dato momento. Il dispositivo di rete che prepara i record di flusso li invia al collector quando determina, attraverso l'invecchiamento o vedendo una terminazione della sessione TCP, che il flusso è terminato.
Un tipico record di flusso racchiude un bel po' di informazioni. Ciò include le interfacce di input e output, i timestamp di inizio e fine del flusso, il numero di byte e pacchetti che contiene, le intestazioni di livello 3, l'indirizzo IP di origine e destinazione e il numero di porta, il protocollo IP e il TOS ( Tipo di servizio) valore. I record di flusso non contengono i dati effettivi che hanno costituito il flusso. Contengono solo informazioni sul flusso. Questo è importante dal punto di vista della sicurezza.
Nella maggior parte degli ambienti, i collettori di flusso a cui vengono inviati i record sono spesso anche gli analizzatori di flusso. Solo le reti molto grandi e multisito trarranno vantaggio dall'avere collettori separati distribuiti nei vari siti. I raccoglitori e gli analizzatori utilizzano le informazioni contenute nei record di flusso per presentare i dati sul traffico di rete in modo utile agli amministratori di rete. In effetti, il principale fattore di distinzione tra i diversi strumenti è il modo in cui possono dare un senso e presentare i dati in modo significativo.
I migliori strumenti per l'ispezione approfondita dei pacchetti
Dal punto di vista del monitoraggio, l'analisi del flusso è un'ispezione approfondita dei pacchetti, quindi gli strumenti che esaminiamo oggi sono effettivamente gli analizzatori NetFlow. Molti di loro faranno di più, tuttavia, e alcuni fanno parte di una soluzione di monitoraggio completa.
1. Analizzatore di traffico SolarWinds NetFlow (prova GRATUITA)
SolarWinds, nel caso improbabile che tu non abbia mai sentito parlare dell'azienda, produce alcuni dei migliori software per l'amministrazione di rete e di sistema. Uno dei suoi prodotti di punta, SolarWinds Network Performance Monitor, è considerato da molti uno dei migliori strumenti di monitoraggio della larghezza di banda della rete . E SolarWinds produce anche ottimi strumenti gratuiti, ognuno dei quali si rivolge a un compito specifico degli amministratori di rete. Due esempi di questi strumenti gratuiti sono un calcolatore di sottorete avanzato gratuito e un server syslog gratuito . E quando si tratta di analisi del traffico NetFlow, il SolarWinds NetFlow Traffic Analyzer (NTA) è sicuramente uno dei migliori collettori e analizzatori NetFlow che puoi trovare.
Tra le migliori caratteristiche del prodotto, SolarWinds NetFlow Traffic Analyzer può monitorare l'utilizzo della larghezza di banda per applicazione, protocollo e gruppo di indirizzi IP. Non solo può monitorare Cisco NetFlow, ma anche Juniper J-Flow, sFlow, Huawei NetStream e IPFIX, alcune altre tecnologie di analisi del flusso basate su NetFlow, per identificare quali applicazioni e protocolli sono i principali consumatori di larghezza di banda. Lo strumento raccoglie i dati sul traffico, li correla in un formato utilizzabile e li presenta all'utente su una dashboard basata sul web. Il prodotto supporta Cisco NBAR2 per identificare quali applicazioni e categorie consumano la maggior parte della larghezza di banda, offrendo una visibilità del traffico di rete ancora migliore.
Il SolarWinds NetFlow Traffic Analyzer è un add-on per il Network Performance Monitor (NPM). Se non possiedi già una licenza NPM, dovrai tenerne conto in quel costo. Iniziano da $ 2 955 per un massimo di 100 elementi. Per quanto riguarda il componente aggiuntivo NTA, la sua licenza deve corrispondere al numero di nodi della tua licenza NPN e i prezzi partono da $ 1 915. Se preferisci provare il prodotto prima di impegnarti in un acquisto, è disponibile una prova gratuita da SolarWinds.
2. Analizzatore NetFlow in tempo reale di SolarWinds (download gratuito)
Se hai bisogno di una soluzione su scala ridotta, l' analizzatore NetFlow in tempo reale di SolarWinds potrebbe essere proprio ciò di cui hai bisogno. Questo è uno dei famosi strumenti gratuiti di SolarWind e, sebbene non sia così completo come NetFlow Traffic Analyzer, offre alcune delle stesse funzionalità di base.
Può acquisire e analizzare i dati di flusso in tempo reale. E ti mostrerà il tipo di traffico trasportato sulla tua rete, da dove proviene e dove sta andando. Puoi anche usarlo, in una certa misura, per diagnosticare picchi di traffico e risolvere problemi di larghezza di banda.
Il prodotto ti consentirà di identificare quali utenti, dispositivi e applicazioni stanno consumando la maggior parte della larghezza di banda; isolare il traffico di rete per conversazione, app, dominio, endpoint e protocollo; e visualizzare il traffico di rete per tipo e periodi di tempo specificati
Naturalmente, non puoi aspettarti che questo software gratuito faccia tutto ciò che fa il fratello maggiore. Ha alcune gravi limitazioni e il suo obiettivo principale è lo stato attuale e molto recente della tua rete. Raccoglierà solo i dati da un'interfaccia NetFlow e conserverà e analizzerà solo gli ultimi 60 minuti di dati.
Se hai bisogno di una visione rapida e sporca dell'utilizzo della larghezza di banda, l'analizzatore NetFlow in tempo reale gratuito di SolarWinds te lo fornirà, ma non molto di più.
3. ManageEngine NetFlow Analyzer
ManageEngine è un altro nome noto nel campo degli strumenti di gestione della rete. Il suo ManageEngine NetFlow Analyzer offre agli amministratori di rete una visione dettagliata dell'utilizzo della larghezza di banda della rete e dei modelli di traffico. Il prodotto è controllato da un'interfaccia basata sul Web e offre un numero impressionante di visualizzazioni diverse sulla rete.
Ad esempio, il prodotto ti consentirà di visualizzare il traffico per applicazione, conversazione, protocollo e molte altre opzioni. Hai anche la possibilità di impostare avvisi per avvisarti di potenziali problemi. Potresti, ad esempio, impostare una soglia di traffico su un'interfaccia specifica ed essere avvisato ogni volta che viene superata.
Ma i maggiori punti di forza di questo strumento sono i report e la dashboard. Viene fornito con diversi report predefiniti molto utili che sono personalizzati per scopi specifici come risoluzione dei problemi, pianificazione della capacità o fatturazione. E per quanto siano buoni i suoi report integrati, lo strumento consente anche agli amministratori di creare report personalizzati a loro piacimento.
La dashboard del prodotto è impressionante quanto i suoi report. Include diversi grafici a torta con cose come le migliori applicazioni, i migliori protocolli o le migliori conversazioni. Può inoltre visualizzare una sorta di mappa termica con lo stato delle interfacce monitorate. E proprio come i report, anche la dashboard può essere personalizzata per includere solo le informazioni che ritieni utili. La dashboard è anche il luogo in cui vengono visualizzati gli avvisi sotto forma di pop-up. L'amministratore di rete in movimento non si sentirà escluso poiché è disponibile un'app per smartphone e ti darà accesso sia alla dashboard che ai report.
Il ManageEngine NetFlow Analyzer supporta la maggior parte delle tecnologie di flusso tra NetFlow, IPFIX, J-flow, NetStream, e pochi altri. Questo strumento vanta anche un'eccellente integrazione con i dispositivi Cisco, con la possibilità di regolare le politiche di modellazione del traffico e/o QoS direttamente dall'interno dello strumento.
L' analizzatore di NetFlow di ManageEngine è disponibile in due versioni. C'è una versione gratuita che si limita a monitorare solo due interfacce di flussi. Anche se questo non è molto, potrebbe essere tutto ciò di cui hai bisogno. E quella versione gratuita consentirà dispositivi illimitati per i primi 30 giorni, dandoti la possibilità di eseguire un test completo. Una volta terminata la prova, le licenze sono disponibili in diverse dimensioni da 100 a 2500 interfacce o flussi con prezzi a partire da circa $ 600 più spese di manutenzione annuali.
4. Grafico del traffico del router di Paessler (PRTG)
PRTG di Paessler è un'altra nota soluzione all-in-one il cui scopo principale è il monitoraggio dell'utilizzo della larghezza di banda. Viene anche utilizzato per monitorare la disponibilità e l'integrità di diverse risorse di rete. In quanto tale, è un altro strumento molto utile per gli amministratori di rete. Ma grazie a un sensore NetFlow disponibile per il prodotto, PRTG può anche fungere da collettore e analizzatore NetFlow.
In effetti, PRTG non è solo uno strumento di monitoraggio della larghezza di banda o un raccoglitore e analizzatore NetFlow. Utilizza diverse tecnologie per monitorare sistemi, dispositivi, traffico e applicazioni. Tra questi, il prodotto utilizzerà SNMP con opzioni pronte all'uso e personalizzate, contatori delle prestazioni WMI e Windows, SSH per sistemi Linux/Unix e MacOS, flussi, come NetFlow o sFlow, e sniffing di pacchetti, richieste HTTP, API REST che restituiscono XML o JSON, Ping, SQL e molti altri.
Installare PRTG è facile. Esegui semplicemente il programma di installazione, quindi il processo di rilevamento automatico rileverà i dispositivi e imposterà i sensori. Sei quindi libero di aggiungere sensori aggiuntivi, come i collettori NetFlow, manualmente. C'è anche un video dettagliato sul sito Web di Paessler che ti mostrerà come è fatto.
Il server funziona solo su Windows, ma la sua interfaccia utente è basata sul web ed è accessibile da qualsiasi browser. C'è anche un'app client mobile che puoi installare sul tuo smartphone. L'app client mobile ha una caratteristica unica sotto forma di etichette QR che puoi stampare e apporre sui tuoi dispositivi. Quindi, una scansione del codice dall'app mobile aprirà rapidamente i dati del sensore di quel dispositivo.
Sono disponibili due versioni di PRTG . Esiste una versione gratuita limitata a 100 sensori. Tieni presente che un sensore nel gergo PRTG non è un dispositivo. È, invece, l'elemento più basilare che può essere monitorato. Ad esempio, il monitoraggio di ciascuna porta di uno switch a 48 porte richiede 48 sensori e la raccolta e l'analisi NetFlow richiedono un sensore per esportatore di flusso. A quel ritmo, è ovvio che 100 sensori potrebbero non essere così tanti come sembravano. Se hai bisogno di più di 100 sensori, dovrai acquistare una licenza. Sono disponibili in 500, 1000, 2500 o 5000 sensori e c'è anche una licenza illimitata. I prezzi variano da circa $ 1 600 a poco meno di $ 15 000. La versione gratuita consentirà sensori illimitati per i primi 30 giorni in modo da poter beneficiare di un approfondito test drive del prodotto.
5. Scrutatore
L'ultimo della nostra lista è Scrutinizer di Plixer, un altro eccellente NetFlow Analyzer. In realtà è molto di più e alcuni lo vedono come un sistema completo di risposta agli incidenti. Il prodotto è in grado di monitorare diversi tipi di flusso come NetFlow, J-flow, NetStream e IPFIX, quindi non sei limitato al monitoraggio solo dei dispositivi Cisco.
Scrutinizer vanta un design gerarchico che offre una raccolta dati snella ed efficiente e ti consente di iniziare in piccolo e poi scalare fino a molti milioni di flussi al secondo. La rete viene spesso incolpata per la prima volta ogni volta che qualcosa va storto. Con questo strumento, puoi trovare rapidamente la vera causa di quasi tutti i problemi di rete. Il prodotto funziona con ambienti fisici e virtuali ed è dotato di funzionalità di reporting avanzate.
Scrutinizer è disponibile in quattro livelli di licenza. Si va dalla versione gratuita di base al livello SCR completo che può scalare fino a oltre 10 milioni di flussi al secondo. La versione gratuita è limitata a 10 mila flussi al secondo e manterrà solo i dati di flusso non elaborati per 5 ore, ma dovrebbe essere più che sufficiente per risolvere i problemi di rete. Puoi anche provare qualsiasi livello di licenza per 30 giorni, dopodiché tornerà alla versione gratuita.