5 najlepszych kolektorów NetFlow dla systemu Linux w 2021 r.

Zarządzanie sieciami wymaga użycia specjalistycznych narzędzi, które zapewniają niezbędną widoczność, aby zapewnić płynne działanie przez cały czas. W przeciwieństwie do ruchu drogowego, gdzie spowolnienia i przeszkody można łatwo zlokalizować, ruch sieciowy nie jest czymś łatwym do zauważenia. Właśnie dlatego narzędzia takie jak NetFlow mogą pomóc. Technologia NetFlow może dać ci pewien wgląd w to, jaki ruch przechodzi przez twoją sieć, a nie jak duży jest ruch. Czytaj dalej, gdy recenzujemy niektóre z najlepszych kolektorów i analizatorów NetFlow dla systemu Linux.

Rozpoczniemy naszą podróż od omówienia różnych metod, których administratorzy sieci mogą używać do monitorowania swojej sieci oraz lokalizowania i rozwiązywania problemów, zanim staną się one prawdziwymi problemami. Następnie wyjaśnimy, czym jest NetFlow, jak to działa i co jest potrzebne, aby go wykorzystać. A kiedy już tam będziemy, omówimy również niektóre alternatywy NetFlow, które mogą być interesujące. Następnie zagłębimy się w sedno sprawy i przyjrzymy się niektórym z najlepszych kolektorów i analizatorów NetFlow dostępnych na platformie Linux. Zgodnie z filozofią open source Linuksa, niektóre z nich są dostępne za darmo, podczas gdy inne wymagają zakupu lub subskrypcji.

Sieci monitorowania

Jako administrator sieci, jednym z twoich obowiązków jest upewnienie się, że wszystko działa płynnie, że nie ma spowolnień i że cały ruch sieciowy dociera do miejsca przeznaczenia w akceptowalnym czasie. Niestety to, co dzieje się w sieci, dzieje się w kablach, routerach, przełącznikach i innym sprzęcie, gdzie zazwyczaj bardzo trudno jest zobaczyć, co się dzieje. Stąd pochodzi koncepcja monitorowania sieci. przy użyciu różnych narzędzi administratorzy mogą uzyskać pewien wgląd w to, co dzieje się w sieci.

Narzędzia wiersza poleceń

Istnieje kilka narzędzi, których administratorzy mogą używać do monitorowania swojej sieci. Najbardziej podstawowe narzędzia to narzędzia diagnostyczne wiersza polecenia. Prawdopodobnie znasz je i stale ich używasz. Na przykład ping umożliwia sprawdzenie, czy dany adres IP jest dostępny, i zapewnia statystyki dotyczące opóźnień w obie strony i utraty pakietów. Tracert – lub traceroute, w zależności od systemu operacyjnego – prześledzi pełną ścieżkę sieciową między dwoma urządzeniami. Nmap wyświetli listę wszystkich urządzeń znajdujących się w określonej podsieci.

Narzędzia do przechwytywania i analizy pakietów

Następnie są narzędzia do monitorowania sieci, które pozwolą Ci przechwytywać ruch przechodzący przez określoną lokalizację, a także dekodować pakiety i analizować je. Mogą być bardzo przydatne przy próbie rozwiązania problemów z warstwą aplikacji, ale często nie dają wielu informacji na temat rzeczywistej wydajności sieci. Jednym z takich narzędzi, które stało się bardzo powszechne, jest Wireshark. Tcpdump to kolejne podobne narzędzie, które używa interfejsu wiersza poleceń, a nie GUI.

Oprogramowanie do analizy przepływu

Aby uzyskać najbardziej precyzyjny widok tego, co się dzieje, analizuj przepływ, czego potrzebujesz. Wykorzystuje urządzenia sieciowe do przesyłania informacji o ruchu, czyli systemy zwane kolektorami i/lub analizatorami, które z kolei mogą interpretować dane o przepływie i przedstawiać je w zrozumiały sposób. Protokół, który to umożliwia, nazywa się NetFlow. Został stworzony przez Cisco Systems kilka lat temu, ale obecnie jest powszechnie używany w takiej czy innej formie w sprzęcie sieciowym większości głównych producentów.

Co to jest NetFlow?

NetFlow został opracowany przez Cisco Systems i został wprowadzony na ich routerach, aby zapewnić możliwość zbierania ruchu sieciowego IP w momencie wejścia lub wyjścia z interfejsu. Zebrane dane są następnie analizowane przez administratorów sieci, aby pomóc określić źródło i miejsce docelowe ruchu, klasę usługi oraz przyczyny przeciążenia.

W eksporter przepływu pakietów agreguje w postaci przepływów i eksportu przepływ rekordy w kierunku jednego lub więcej kolektorów płynąć. Jest to komponent działający na monitorowanych urządzeniach.

Kolektor przepływu jest odpowiedzialny za przyjmowanie, przechowywanie i przetwarzanie wstępne danych przepływów otrzymanych od eksportera przepływu.

Wreszcie, przepływ analy zer jest aplikacją, która służy do analizy otrzymanych danych płynięcia. Analiza może służyć do profilowania ruchu lub rozwiązywania problemów z siecią.

Jak działa NetFlow

Routery, przełączniki i inne urządzenia obsługujące NetFlow można skonfigurować tak, aby wyprowadzały dane przepływu w postaci rekordów przepływu i przesyłały je do kolektora NetFlow. Przepływ to pełna rozmowa w sensie IP. Urządzenie przygotowujące rekordy przepływu zwykle wysyła je do kolektora, gdy ustali, że przepływ został zakończony przez starzenie się — nie było żadnego ruchu w określonym czasie — lub gdy widzi zakończenie sesji TCP.

Rekord przepływu zawiera wiele informacji o przepływie. Obejmuje interfejsy wejściowe i wyjściowe, znaczniki czasu rozpoczęcia i zakończenia przepływu, liczbę zawartych w nim bajtów i pakietów, nagłówki warstwy 3, źródłowy i docelowy adres IP oraz numer portu, protokół IP i wartość TOS . Rekordy przepływu nie zawierają rzeczywistych danych składających się na przepływ. Jedyne zawierają informacje o przepływie. Jest to ważne z punktu widzenia bezpieczeństwa.

Z wyjątkiem ogromnych środowisk wielooddziałowych, kolektory przepływu, do których przesyłane są zapisy, są często również analizatorami przepływu. Wykorzystują informacje zawarte w rekordach przepływów do prezentacji danych o ruchu sieciowym w sposób przydatny dla administratorów sieci. Różne kolektory i analizatory NetFlow będą miały różne sposoby prezentacji danych. Tutaj przyda się nasza lista najlepszych kolektorów i analizatorów NetFlow.

Niektóre alternatywy dla NetFlow

Jak już wspomnieliśmy, NetFlow istnieje pod kilkoma różnymi nazwami. Ale są też alternatywy dla NetFlow, dwie najbardziej znane to sFlow i IPFIX. Ten ostatni jest w dużej mierze oparty na najnowszej wersji NetFlow, z wyjątkiem tego, że jest to standard IETF. Możemy sądzić, że Cisco może w końcu zastąpić NetFlow IPFIX.

Jeśli chodzi o sFlow, to jest to inny, konkurencyjny system. Jego cel i ogólne zasady działania są podobne, ale różne. Niektóre analizatory NetFlow będą również współpracować z sFlow, ale ogólnie rzecz biorąc, użytkownicy jednego nie używają drugiego.

Najlepsze kolektory NetFlow dla systemu Linux

Przeszukaliśmy rynek w poszukiwaniu najlepszych kolektorów i analizatorów NetFlow dla systemu Linux. To, co mamy dla Ciebie, to pięć najlepszych produktów, jakie mogliśmy znaleźć, w kolejności preferencji z naszym ulubionym na górze listy. Przyjrzyjmy się każdemu z nich i poznaj jego główne funkcje, aby pomóc Ci wybrać pakiet, który najlepiej odpowiada Twoim potrzebom.

1. Analizator ManageEngine NetFlow

ManageEngine NetFlow Analyzer daje administratorowi sieci szczegółowy wgląd w wykorzystanie przepustowości sieci oraz wzorce ruchu. Produkt jest kontrolowany przez interfejs sieciowy i oferuje imponującą liczbę różnych widoków w Twojej sieci.

Możesz na przykład przeglądać ruch według aplikacji, konwersacji, protokołu i kilka innych opcji. Możesz także ustawić alerty ostrzegające o potencjalnych problemach. Na przykład możesz ustawić próg ruchu w określonym interfejsie i otrzymywać alerty, gdy ruch przekroczy ten próg.

Ale większość siły produktu pochodzi z jego raportów i pulpitu nawigacyjnego. Narzędzie zawiera kilka bardzo przydatnych gotowych raportów, które są specjalnie dostosowane do określonych celów, takich jak rozwiązywanie problemów, planowanie wydajności lub rozliczanie. Ale nie utkniesz we wbudowanych raportach, ponieważ narzędzie umożliwia również administratorom tworzenie niestandardowych raportów według własnych upodobań.

Wspomniany przez nas pulpit nawigacyjny narzędzia jest równie imponujący jak jego raporty. Zawiera kilka wykresów kołowych z takimi rzeczami, jak najpopularniejsze aplikacje, najpopularniejsze protokoły lub najpopularniejsze konwersacje. Może również wyświetlać mapę cieplną ze stanem monitorowanych interfejsów. Jak można się domyślić, pulpity nawigacyjne można dostosować tak, aby zawierały tylko te informacje, które uznasz za przydatne. Na desce rozdzielczej wyświetlane są również alerty w formie wyskakujących okienek. A dla administratora sieci w ruchu dostępna jest aplikacja na smartfona, która umożliwia dostęp do pulpitu nawigacyjnego i raportów.

ManageEngine NetFlow Analyzer obsługuje większość technologii przepływu, w tym NetFlow (oczywiście), IPFIX, J-flow, NetStream i kilka innych. Jako bonus, również ma doskonałą integrację z urządzeniami Cisco, z obsługą dostosowywania kształtowania ruchu i/lub polityk QoS bezpośrednio z narzędzia.

Podobnie jak wiele konkurencyjnych produktów, ManageEngine NetFlow Analyzer jest dostępny w dwóch wersjach. Darmowa wersja będzie identyczna z płatną przez pierwsze 30 dni, ale potem powróci do monitorowania tylko dwóch interfejsów przepływów. Chociaż to niewiele, może to być wszystko, czego potrzebujesz.

Jeśli chcesz wersję płatną, licencje są dostępne w kilku rozmiarach od 100 do 2500 interfejsów lub przepływów, a ceny wahają się od około 600 do ponad 50 000 USD plus roczne opłaty za utrzymanie.

2. Kontroler

Scrutinizer firmy Plixer to kolejny świetny analizator NetFlow. W rzeczywistości jest to nawet więcej i wielu postrzega go jako pełny system reagowania na incydenty. Dzięki możliwości monitorowania różnych typów przepływu, takich jak NetFlow, J-flow, NetStream i IPFIX, nie ograniczasz się do monitorowania tylko urządzeń Cisco.

Dzięki hierarchicznej konstrukcji, Scrutinizer oferuje usprawnione i wydajne zbieranie danych oraz umożliwia rozpoczęcie od małych i łatwych do skalowania do wielu milionów przepływów na sekundę. Sieć jest często najpierw obwiniana, gdy coś pójdzie nie tak. Dzięki Scrutinizer możesz szybko znaleźć prawdziwą przyczynę większości problemów z siecią. Scrutinizer działa zarówno w środowisku fizycznym, jak i wirtualnym i jest wyposażony w zaawansowane funkcje raportowania.

Scrutinizer jest dostępny w czterech warstwach licencji, które przechodzą od podstawowej wersji darmowej do pełnoprawnego poziomu SCR, który może skalować do ponad 10 milionów przepływów na sekundę. Darmowa wersja jest ograniczona do 10 tysięcy przepływów na sekundę i przechowuje nieprzetworzone dane przepływu tylko przez 5 godzin, ale powinno to wystarczyć do rozwiązywania problemów z siecią. Możesz również wypróbować dowolny poziom licencji przez 30 dni, po czym powróci do wersji bezpłatnej. Narzędzie jest dostępne jako urządzenie sprzętowe lub jako urządzenie wirtualne, które można uruchomić na hoście Linux za pośrednictwem KVM

3. nSonda i ntopg

nProbe i ntopng to nieco bardziej zaawansowane i bardziej skomplikowane narzędzia typu open source. Ntopng to internetowe narzędzie do analizy ruchu sieciowego do monitorowania sieci w oparciu o dane przepływu, podczas gdy nProbe jest eksporterem i kolektorem NetFlow i IPFIX. Razem tworzą bardzo elastyczny pakiet analityczny. Jeśli wcześniej administrowałeś sieciami linuksowymi, być może znasz ntop. ntopng to wersja GUI nowej generacji tego ponadczasowego narzędzia.

Dostępna jest bezpłatna wersja społecznościowa ntopng, a także można kupić wersje korporacyjne. Mogą być drogie, ale są bezpłatne dla organizacji edukacyjnych i non-profit. Jeśli chodzi o nProbe, możesz wypróbować go za darmo, ale jest on ograniczony do 25 000 eksportowanych przepływów. Aby wyjść poza to, musisz kupić licencję.

Podobnie jak większość nowoczesnych narzędzi do analizy sieci, ntopng oferuje interfejs użytkownika oparty na sieci Web, który może prezentować dane według ruchu, takie jak najczęstsze rozmowy, przepływy, hosty, urządzenia i interfejsy. Ma mieszankę wykresów, tabel i wykresów. większość zawiera opcje drążenia, które umożliwiają głębszą eksplorację. Interfejs jest dość elastyczny i pozwala na wiele dostosowań.

4. Skanowanie przepływu

FlowScan to rodzaj narzędzia do wizualizacji, którego można używać do analizowania danych Netflow i raportowania na ich temat. Może generować wizualne wykresy w czasie zbliżonym do rzeczywistego, które pokazują, co dzieje się w Twojej sieci. FlowScan można wdrożyć w systemie GNU/Linux lub BSD. Wykorzystuje kilka innych pakietów w celu prawidłowego gromadzenia i przetwarzania przepływów. Na przykład Cflowd jest używany jako kolektor przepływu. FlowScan to w rzeczywistości skrypt Perla, który stanowi większość pakietu oprogramowania. Ten komponent odpowiada za ładowanie i wykonywanie raportów. Ostatnim ważnym komponentem jest RRDtool, popularne narzędzie do przechowywania danych w bazach danych typu round-robin i wykreślania tych danych na wykresach, które służy do przechowywania informacji o przepływie i tworzenia użytecznych wykresów.

Administratorzy sieci często stwierdzają, że zebrali za mało lub za dużo danych. Profilowanie przepływu zapewniane przez FlowScan oferuje pragmatyczny kompromis między takimi skrajnościami w gromadzeniu danych. Ponieważ przepływy agregują dane zebrane podczas przesyłania pakietów przez dany port lub interfejs, mogą być używane jako rodzaj skrótu dla serii pakietów podróżujących między interesującymi punktami końcowymi. Jednak sama ta funkcja jest niewystarczająca do niezawodnego ciągłego użytkowania: potrzebne są dodatkowe narzędzia programowe do definiowania, analizowania i analizowania tych przepływów. Te dodatkowe narzędzia są dołączone do FlowScan.

5. inMon sFlowTrend (Wyróżnienie specjalne)

Chociaż nie jest to kolektor i analizator NetFlow, ale raczej taki, który obsługuje sFlow, uznaliśmy, że sFlowTrend zasługuje na to, by znaleźć się na tej liście. Może działać pod Linuksem i jeśli komponenty Twojej sieci używają sFlow zamiast NetFlow, jest to jedno z najlepszych dostępnych narzędzi. Narzędzie pochodzi od inMon, firmy stojącej za sFlow. Jest to podstawowe i nieco ograniczone, ale bardzo wydajne narzędzie. Bezpłatna wersja oprogramowania umożliwia zbieranie danych z maksymalnie pięciu przełączników, routerów lub hostów obsługujących sFlow i przechowuje dane historyczne w pamięci RAM tylko przez godzinę. To powinno wystarczyć do rozwiązania większości problemów z siecią. A jeśli chcesz przyspieszyć, możesz uaktualnić do wersji pro - oczywiście za opłatą - co usuwa limit liczby urządzeń i przechowuje dane historii na dysku.

Zakładka sFlowTrend Dashboard zapewnia szybki podgląd aktualnego stanu monitorowanych urządzeń i sieci, zawiera progi najwyższego poziomu oraz interfejsy z potencjalnymi błędami. Po kliknięciu karty Sieć, sflowTrend wyświetla podsumowane statystyki wydajności i szczegółowe informacje o ruchu na poziomie sieci lub urządzenia. Można zdefiniować progi alarmowania. Umożliwia otrzymywanie alertów, gdy wystąpi większe niż zwykle wykorzystanie przepustowości lub wystąpi błąd sieci. Dostępna jest nawet karta głównej przyczyny, w której można przeanalizować przyczynę problemu, na przykład naruszenie progu.

Zakładka Hosty to miejsce, w którym znajdziesz bardziej szczegółowe informacje o każdym urządzeniu. Dostarcza dane dotyczące wydajności sieci, procesora, dysku itp. dla serwerów obsługujących sFlow – w tym wirtualnych. W zakładce Usługi znajdziesz dane dotyczące wydajności aplikacji (w tym różnych serwerów WWW), które eksportują dane sFlow. Na karcie Zdarzenia znajdziesz dziennik zdarzeń, takich jak przekroczone progi lub wykryte błędy. I wreszcie, karta Raporty zawiera kilka predefiniowanych raportów, ale obsługuje również tworzenie raportów niestandardowych. Tutaj przejdziesz do generowania raportów, a następnie przeglądania ich wyników.

sFlowTrend jest napisany w Javie i jest dostarczany z interfejsem użytkownika opartym na Javie lub sieciowym. Jest dostępny dla systemów Linux, Windows i Mac. Dostępna jest również pomoc online, która pomaga w konfiguracji i korzystaniu z narzędzia. Jest to świetne narzędzie, szczególnie dla mniejszych organizacji, które posiadają sprzęt obsługujący sFlow. A ścieżka aktualizacji do wersji pro sprawia, że ​​jest to równie ważny wybór dla większych sieci.

Zawijanie

Chociaż niektóre z najlepszych kolektorów i analizatorów NetFlow, takie jak SolarWinds NetFlow Traffic Analyzer, działają tylko na komputerach z systemem Windows, nadal dostępnych jest wiele opcji, jeśli wybraną platformą narzędzi do monitorowania jest Linux. Pomiędzy produktami komercyjnymi, takimi jak ManageEngine NetFlow Analyzer czy Plixer's Scrutinizer, a narzędziami typu open source, musi znaleźć się taki, który będzie idealnie pasował do Twoich potrzeb.

Wszystkie produkty, które właśnie sprawdziliśmy, to świetne opcje. Niektóre mogą nie być tak w pełni funkcjonalne lub mogą wymagać nieco więcej pracy, aby je skonfigurować, ale każdy z nich wykona swoją pracę i zrobi to dobrze. A ponieważ wszystkie oferują jakąś formę bezpłatnego okresu próbnego — lub są całkowicie bezpłatne, nie ma powodu, aby nie wypróbować kilku z nich i przekonać się, który z nich jest dla Ciebie.