Gestionarea rețelelor necesită utilizarea unor instrumente specializate care vă oferă vizibilitatea necesară pentru a vă asigura că totul funcționează fără probleme în orice moment. Spre deosebire de traficul rutier, unde încetinirile și obstacolele pot fi identificate cu ușurință, traficul în rețea nu este ceva ușor de văzut. Acesta este motivul pentru care instrumente precum NetFlow pot ajuta. Tehnologia NetFlow vă poate oferi câteva informații despre traficul care traversează rețeaua dvs. în loc de cât de mult trafic există. Citiți mai departe în timp ce trecem în revistă unii dintre cei mai buni colectori și analizoare NetFlow pentru Linux.
Vom începe călătoria prin a discuta despre diferitele metode pe care administratorii de rețea le pot folosi pentru a-și monitoriza rețeaua și pentru a localiza și remedia problemele înainte ca acestea să devină probleme reale. Apoi, vom explica ce este NetFlow Cum funcționează și ce este necesar pentru a-l exploata. Și cât timp suntem acolo, vom discuta și câteva alternative NetFlow care ar putea fi de interes. Ne vom arunca apoi în miezul problemei și vom analiza unii dintre cei mai buni colectori și analizoare NetFlow disponibile pentru platforma Linux. În conformitate cu filozofia open-source a Linux, unele dintre ele sunt disponibile gratuit, în timp ce altele necesită o achiziție sau un abonament.
Rețele de monitorizare
Ca administrator de rețea, una dintre responsabilitățile tale este să te asiguri că totul funcționează fără probleme, că nu există încetiniri și că tot traficul de rețea ajunge la destinație într-un timp acceptabil. Din păcate, ceea ce se întâmplă într-o rețea se întâmplă în interiorul cablurilor, routerelor, comutatoarelor și altor echipamente unde este de obicei foarte greu să vezi ce se întâmplă. De aici vine conceptul de monitorizare a rețelei. folosind diferite instrumente, administratorii pot obține o anumită vizibilitate asupra a ceea ce se întâmplă în interiorul rețelei.
Utilitare din linia de comandă
Există mai multe instrumente pe care administratorii le pot folosi pentru a-și monitoriza rețeaua. Cele mai de bază instrumente sunt instrumentele de diagnosticare din linia de comandă. Probabil le cunoașteți și le folosiți în mod constant. Ping, de exemplu, vă permite să validați că o anumită adresă IP poate fi atinsă și să furnizați câteva statistici privind întârzierile dus-întors și pierderile de pachete. Tracert – sau traceroute, în funcție de sistemul de operare – va urmări calea completă a rețelei între două dispozitive. Nmap va lista toate dispozitivele care sunt prezente pe o anumită subrețea.
Instrumente de captare și analiză a pachetelor
În continuare, sunt instrumentele de monitorizare a rețelei care vă vor permite să captați traficul care trece printr-o anumită locație și care vă vor permite să decodați pachetele și să le analizați. Ele pot fi foarte utile atunci când încercați să rezolvați probleme de nivel de aplicație, dar adesea nu vă vor oferi prea multe informații despre performanța reală a rețelei dvs. Un astfel de instrument care a devenit foarte comun se numește Wireshark. Tcpdump este un alt instrument similar care utilizează o interfață de linie de comandă mai degrabă decât o interfață grafică.
Software de analiză a fluxului
Pentru cea mai precisă vedere a ceea ce se întâmplă, analiza fluxului de ceea ce aveți nevoie. Se bazează pe dispozitive de rețea pentru a trimite informații despre trafic, astfel încât sisteme numite colectoare și/sau analizoare care pot, la rândul lor, să interpreteze datele fluxului și să le prezinte în moduri semnificative. Protocolul care permite acest lucru se numește NetFlow. A fost creat de Cisco Systems în urmă cu câțiva ani, dar acum este utilizat în mod obișnuit într-o formă sau alta pe echipamentele de rețea de la majoritatea producătorilor importanți.
Ce este NetFlow?
NetFlow a fost dezvoltat de Cisco Systems și a fost introdus pe routerele lor pentru a oferi capacitatea de a colecta trafic de rețea IP pe măsură ce intră sau iese dintr-o interfață. Datele colectate sunt apoi analizate de administratorii de rețea pentru a ajuta la determinarea sursei și destinației traficului, a clasei de serviciu și a cauzelor congestiei.
De exportator de curgere a agregatelor pachetelor în fluxurile și exportul fluxului de înregistrări către unul sau mai multe colectoare de flux. Aceasta este componenta care rulează pe dispozitivele monitorizate.
Colectorul de debit este responsabil pentru recepție, depozitare și pre-procesare a datelor de debit primite de la un exportator de debit.
În cele din urmă, analiza fluxului zer este o aplicație care este utilizată pentru a analiza datele de flux primite. Analiza poate fi utilizată pentru profilarea traficului sau pentru depanarea rețelei.
Cum funcționează NetFlow
Routerele, comutatoarele și orice alt dispozitiv care acceptă NetFlow pot fi configurate să scoată date de flux sub formă de înregistrări de flux și să le trimită la un colector NetFlow. Un flux este o conversație completă în sensul IP. Dispozitivul care pregătește înregistrările fluxului le trimite în mod normal colectorului atunci când stabilește că fluxul s-a încheiat fie prin îmbătrânire – nu a existat niciun trafic într-un anumit timeout – sau când vede o terminare a sesiunii TCP.
Înregistrarea fluxului conține o mulțime de informații despre flux. Include interfețele de intrare și de ieșire, marcajele de timp de început și de sfârșit ale fluxului, numărul de octeți și pachete pe care le conține, anteturile de layer 3, adresa IP și numărul de port sursă și destinație, protocolul IP și valoarea TOS. . Înregistrările fluxului nu conțin datele reale care au alcătuit fluxul. Singurele conțin informații despre flux. Acest lucru este important din punct de vedere al securității.
Cu excepția mediilor uriașe cu mai multe locații, colectorii de flux unde sunt trimise înregistrările sunt adesea și analizoarele de flux. Ei folosesc informațiile conținute în înregistrările de flux pentru a prezenta date despre traficul de rețea într-un mod care este util administratorilor de rețea. Diferiții colectori și analizoare NetFlow vor avea moduri diferite de prezentare a datelor. Aici va fi utilă lista noastră cu cei mai buni colectori și analizoare NetFlow.
Câteva alternative la NetFlow
După cum am sugerat deja, NetFlow există sub mai multe nume diferite. Dar există și alternative la NetFlow, cele două cele mai cunoscute sunt sFlow și IPFIX. Acesta din urmă se bazează în mare măsură pe cea mai recentă versiune a NetFlow, cu excepția faptului că este un standard IETF. Suntem liberi să credem că Cisco ar putea chiar să înlocuiască NetFlow cu IPFIX.
În ceea ce privește sFlow, este un sistem diferit, concurent. Scopul său și principiile generale de funcționare sunt similare, dar diferite. Unele analizoare NetFlow vor funcționa și cu sFlow, dar, în general, utilizatorii unuia nu îl folosesc pe celălalt.
Cei mai buni colectori NetFlow pentru Linux
Am căutat pe piață cei mai buni colectori și analizoare NetFlow pentru Linux. Ceea ce avem pentru tine sunt cinci dintre cele mai bune produse pe care le-am putut găsi, în ordinea preferințelor, cu preferatele noastre în fruntea listei. Să le analizăm pe fiecare și să le explorăm principalele caracteristici, cu scopul de a vă ajuta să alegeți pachetul care se potrivește cel mai bine nevoilor dvs.
1. ManageEngine NetFlow Analyzer
Analizorul ManageEngine NetFlow oferă administratorului de rețea o vedere detaliată a utilizării lățimii de bandă a rețelei, precum și a modelelor de trafic. Produsul este controlat de o interfață web și oferă un număr impresionant de vizualizări diferite în rețeaua dvs.
Puteți, de exemplu, să vizualizați traficul după aplicație, conversație, protocol și alte câteva opțiuni. De asemenea, puteți seta alerte pentru a vă avertiza despre potențiale probleme. De exemplu, puteți seta un prag de trafic pe o anumită interfață și puteți fi alertat ori de câte ori traficul îl depășește.
Dar cea mai mare parte a puterii produsului provine din rapoartele și tabloul de bord. Instrumentul vine cu mai multe rapoarte prefabricate foarte utile, care sunt special adaptate pentru scopuri specifice, cum ar fi depanarea, planificarea capacității sau facturarea. Dar nu sunteți blocat cu rapoartele încorporate, deoarece instrumentul permite, de asemenea, administratorilor să creeze rapoarte personalizate după bunul plac.
În ceea ce privește tabloul de bord al instrumentului pe care l-am menționat, este la fel de impresionant ca și rapoartele sale. Include mai multe diagrame circulare cu lucruri precum aplicații de top, protocoale de top sau conversații de top. De asemenea, poate afișa o hartă termică cu starea interfețelor monitorizate. Și după cum probabil ați ghicit, tablourile de bord pot fi personalizate pentru a include doar informațiile pe care le găsiți utile. Tabloul de bord este și locul în care alertele sunt afișate sub formă de ferestre pop-up. Și pentru administratorul de rețea aflat în mișcare, există o aplicație pentru smartphone care vă va permite să accesați tabloul de bord și rapoartele.
ManageEngine NetFlow Analyzer acceptă majoritatea tehnologiilor de flux, inclusiv NetFlow (desigur), IPFIX, J-flow, NetStream și câteva altele. Ca bonus, și el are o integrare excelentă cu dispozitivele Cisco, cu suport pentru ajustarea politicilor de modelare a traficului și/sau QoS chiar din instrument.
La fel ca multe produse concurente, ManageEngine NetFlow Analyzer vine în două versiuni. Versiunea gratuită va fi identică cu cea plătită în primele 30 de zile, dar va reveni apoi la monitorizarea doar a două interfețe de fluxuri. Deși acest lucru nu este mult, ar putea fi tot ceea ce aveți nevoie.
Dacă doriți versiunea plătită, licențele sunt disponibile în mai multe dimensiuni, de la 100 la 2500 de interfețe sau fluxuri, cu prețuri care variază între aproximativ 600 USD și peste 50.000 USD plus taxe anuale de întreținere.
2. Analizator
Scrutinizer de la Plixer este un alt analizor NetFlow grozav. De fapt, este chiar mai mult decât atât și mulți îl consideră un sistem complet de răspuns la incident. Cu capacitatea sa de a monitoriza diferite tipuri de flux, cum ar fi NetFlow, J-flow, NetStream și IPFIX, nu sunteți limitat la monitorizarea numai a dispozitivelor Cisco.
Cu designul său ierarhic, Scrutinizer oferă o colectare eficientă și eficientă de date și vă permite să porniți la scară mică și cu ușurință până la multe milioane de fluxuri pe secundă. Rețeaua este adesea acuzată mai întâi de fiecare dată când ceva nu merge bine. Cu Scrutinizer, puteți găsi rapid cauza reală a majorității oricăror probleme de rețea. Scrutinizer funcționează atât în medii fizice, cât și virtuale și vine cu funcții avansate de raportare.
Scrutinizer vine în patru niveluri de licență, care merg de la versiunea gratuită de bază până la nivelul SCR cu drepturi depline, care poate scala până la peste 10 milioane de fluxuri pe secundă. Versiunea gratuită este limitată la 10 mii de fluxuri pe secundă și va păstra datele brute de flux doar 5 ore, dar ar trebui să fie mai mult decât suficientă pentru a depana problemele de rețea. De asemenea, puteți încerca orice nivel de licență timp de 30 de zile, după care va reveni la versiunea gratuită. Instrumentul este disponibil ca un dispozitiv hardware sau ca un dispozitiv virtual care poate rula pe o gazdă Linux prin KVM
3. nProbe și ntopng
nProbe și ntopng sunt instrumente open-source ceva mai avansate și mai complicate. Ntopng este un instrument de analiză a traficului bazat pe web pentru monitorizarea rețelelor pe baza datelor de flux, în timp ce nProbe este un exportator și colector NetFlow și IPFIX. Împreună, formează un pachet de analiză foarte flexibil. Dacă ați mai administrat rețele Linux, este posibil să fiți familiarizat cu ntop. ntopng este versiunea GUI de ultimă generație a acestui instrument fără vârstă.
Există o versiune comunitară gratuită a ntopng și puteți achiziționa și versiuni enterprise. Ele pot fi scumpe, dar sunt gratuite pentru organizațiile educaționale și non-profit. În ceea ce privește nProbe, îl puteți încerca gratuit, dar este limitat la un total de 25 000 de fluxuri exportate. Pentru a depăși acest lucru, va trebui să achiziționați o licență.
La fel ca majoritatea instrumentelor moderne de analiză a rețelei, ntopng are o interfață de utilizator bazată pe web, care poate prezenta date în funcție de trafic, cum ar fi cei mai buni vorbitori, fluxuri, gazde, dispozitive și interfețe. Are o combinație de diagrame, tabele și grafice. majoritatea oferă opțiuni de detaliere care vă permit să explorați mai în profunzime. Interfața este destul de flexibilă și permite multă personalizare.
4. FlowScan
FlowScan este un fel de instrument de vizualizare pe care îl puteți utiliza pentru a analiza datele Netflow și pentru a raporta asupra lor. Poate produce grafice vizuale care sunt aproape în timp real, care vă arată ce se întâmplă în rețeaua dvs. FlowScan poate fi implementat pe un sistem GNU/Linux sau BSD. Folosește alte câteva pachete pentru a colecta și procesa corect fluxurile. De exemplu, Cflowd este folosit ca colector de flux. FlowScan este de fapt un script Perl care constituie cea mai mare parte a pachetului software. Această componentă este responsabilă pentru încărcarea și executarea rapoartelor. O ultimă componentă majoră este RRDtool, un instrument popular pentru stocarea datelor în baze de date round-robin și trasarea acestor date pe grafice, care este folosit pentru a stoca informații despre flux și pentru a produce grafice utile.
Administratorii de rețea constată adesea că au colectat fie prea puține, fie prea multe date. Profilarea fluxului, așa cum este oferită de FlowScan, oferă un compromis pragmatic între astfel de extreme în colectarea datelor. Deoarece fluxurile cumulează datele colectate pe măsură ce pachetele călătoresc printr-un anumit port sau interfață, ele pot fi folosite ca un fel de abreviere pentru serii de pachete care călătoresc între punctele finale de interes. Dar această caracteristică este insuficientă pentru o utilizare continuă fiabilă: sunt necesare instrumente software suplimentare pentru a defini, analiza și analiza aceste fluxuri. Aceste instrumente suplimentare sunt incluse cu FlowScan.
5. inMon sFlowTrend (Mențiune specială)
Deși nu este un colector și analizor NetFlow, ci mai degrabă unul care se ocupă de sFlow, am simțit că sFlowTrend merită să fie pe această listă. Poate rula pe Linux și dacă componentele rețelei dvs. folosesc sFlow mai degrabă decât NetFlow, este unul dintre cele mai bune instrumente disponibile. Instrumentul este de la inMon, compania din spatele sFlow. Este un instrument de bază și oarecum limitat, dar foarte capabil. Versiunea gratuită a software-ului vă permite să culegeți date de la până la cinci switch-uri, routere sau gazde compatibile cu sFlow și va păstra datele istorice în RAM până la o oră. Ar trebui să fie suficient pentru a depana majoritatea problemelor de rețea. Și dacă doriți să treceți mai departe, puteți face upgrade la versiunea pro – cu un cost, desigur – care elimină limita de număr de dispozitive și stochează datele istorice pe disc.
Fila sFlowTrend Dashboard oferă o vizualizare rapidă a stării curente a dispozitivelor și rețelelor monitorizate, include praguri de nivel superior și interfețe cu potențiale erori. Când se face clic pe fila Rețea, sflowTrend dezvăluie statistici de performanță rezumate și trafic detaliat la nivel de rețea sau dispozitiv. Pot fi definite praguri de alertare. Vă permite să primiți alerte atunci când se produce o utilizare a lățimii de bandă mai mare decât de obicei sau o eroare în rețea. Există chiar și o filă cu cauza rădăcină în care puteți detalia cauza unei probleme, cum ar fi o încălcare a pragului.
Fila Gazde este locul unde veți găsi informații mai detaliate despre fiecare dispozitiv. Oferă date de performanță pe rețea, CPU, disc etc., pentru serverele sFlow, inclusiv cele virtuale. Sub fila Servicii, veți găsi date de performanță pentru aplicații (inclusiv diverse servere web) care exportă date sFlow. În fila Evenimente, veți găsi un jurnal al evenimentelor, cum ar fi praguri depășite sau erori detectate. Și, în sfârșit, fila Rapoarte oferă mai multe rapoarte predefinite, dar acceptă și crearea de rapoarte personalizate. Aici veți merge pentru a rula rapoarte și apoi veți vedea rezultatele acestora.
sFlowTrend este scris în Java și vine cu o interfață de utilizator atât bazată pe Java, cât și pe web. Este disponibil pentru Linux, Windows și Mac. Există, de asemenea, ajutor online care este disponibil pentru a vă ajuta în configurarea și utilizarea instrumentului. Este un instrument grozav, în special pentru organizațiile mai mici cu echipamente compatibile cu sFlow. Iar calea de upgrade la versiunea pro o face o alegere la fel de valabilă pentru rețelele mai mari.
Încheierea
Deși unii dintre cei mai buni colectori și analizoare NetFlow, cum ar fi SolarWinds NetFlow Traffic Analyzer, vor rula numai pe computere Windows, există încă o mulțime de opțiuni disponibile dacă platforma de instrumente de monitorizare aleasă este Linux. Între produse comerciale, cum ar fi ManageEngine NetFlow Analyzer sau Plixer's Scrutinizer și instrumente open source, trebuie să existe unul care să se potrivească perfect nevoilor dumneavoastră.
Toate produsele pe care tocmai le-am revizuit sunt opțiuni grozave. Unele pot să nu fie la fel de complete sau pot necesita ceva mai multă muncă pentru a le configura, dar oricare dintre ele își va face treaba și o va face bine. Și, deoarece toate oferă o formă de încercare gratuită - sau sunt complet gratuite, nu există niciun motiv să nu încercați câteva dintre ele și să vedeți singur care este pentru dvs.