5 лучших сборщиков NetFlow для Linux в 2021 году

Управление сетями требует использования специализированных инструментов, которые обеспечивают необходимую прозрачность и гарантируют бесперебойную работу всех устройств в любое время. В отличие от дорожного движения, где можно легко определить замедление движения и препятствия, сетевой трафик не так легко увидеть. Вот почему могут помочь такие инструменты, как NetFlow. Технология NetFlow может дать вам некоторое представление о том, какой трафик проходит через вашу сеть, а не только о его объеме. Читайте дальше, когда мы рассмотрим некоторые из лучших сборщиков и анализаторов NetFlow для Linux.

Мы начнем наше путешествие с обсуждения различных методов, которые сетевые администраторы могут использовать для мониторинга своей сети и выявления и устранения проблем до того, как они станут настоящими проблемами. Затем мы объясним, что такое NetFlow. Как он работает и что необходимо для его использования. И пока мы там, мы также обсудим некоторые альтернативы NetFlow, которые могут быть интересны. Затем мы углубимся в суть вопроса и рассмотрим некоторые из лучших сборщиков и анализаторов NetFlow, доступных для платформы Linux. В соответствии с философией Linux с открытым исходным кодом, некоторые из них доступны бесплатно, а другие требуют покупки или подписки.

Сети мониторинга

Как сетевой администратор, одна из ваших обязанностей - убедиться, что все работает без сбоев, что нет замедлений и что весь сетевой трафик доходит до места назначения в приемлемое время. К сожалению, то, что происходит в сети, происходит внутри кабелей, маршрутизаторов, коммутаторов и другого оборудования, где обычно очень трудно увидеть, что происходит. Отсюда и возникла концепция сетевого мониторинга. Используя различные инструменты, администраторы могут получить некоторую информацию о том, что происходит внутри сети.

Утилиты командной строки

Администраторы могут использовать несколько инструментов для мониторинга своей сети. Самыми основными инструментами являются инструменты диагностики командной строки. Вы наверняка знаете их и постоянно пользуетесь ими. Ping, например, позволяет вам проверить доступность данного IP-адреса и предоставить некоторую статистику по задержкам приема-передачи и потере пакетов. Tracert - или traceroute, в зависимости от вашей ОС - будет отслеживать полный сетевой путь между двумя устройствами. Nmap выведет список всех устройств, присутствующих в определенной подсети.

Инструменты захвата и анализа пакетов

Затем идут инструменты сетевого мониторинга, которые позволят вам захватывать трафик, проходящий через определенное место, и которые позволят вам декодировать пакеты и анализировать их. Они могут быть очень полезны при попытке решить проблемы на уровне приложений, но часто не дают много информации о фактической производительности вашей сети. Один из таких инструментов, который стал очень распространенным, называется Wireshark. Tcpdump - еще один аналогичный инструмент, который использует интерфейс командной строки, а не графический интерфейс.

Программное обеспечение для анализа потока

Чтобы получить наиболее точное представление о том, что происходит, используйте анализ потока, который вам нужен. Он полагается на сетевые устройства для отправки информации о трафике, так называемые системы, называемые сборщиками и / или анализаторами, которые, в свою очередь, могут интерпретировать данные потока и представлять их значимым образом. Протокол, который позволяет это, называется NetFlow. Он был создан Cisco Systems несколько лет назад, но сейчас широко используется в той или иной форме в сетевом оборудовании большинства крупных производителей.

Что такое NetFlow?

NetFlow был разработан Cisco Systems и был представлен на их маршрутизаторах для обеспечения возможности сбора сетевого IP-трафика при его входе в интерфейс или выходе из него. Собранные данные затем анализируются администраторами сети, чтобы помочь определить источник и место назначения трафика, класс обслуживания и причины перегрузки.

В экспортер поток агрегатов в пакеты потоков и экспорта записей текут в сторону одного или нескольких коллекторов течь. Это компонент, который работает на отслеживаемых устройствах.

Коллектора потока несет ответственность за прием, хранение и предварительной обработку данных потока , полученных от экспортера потока.

Наконец, поток Analy зер представляет собой приложение , которое используется для анализа полученных данных потока. Анализ можно использовать для профилирования трафика или для устранения неполадок в сети.

Как работает NetFlow

Маршрутизаторы, коммутаторы и любое другое устройство, поддерживающее NetFlow, можно настроить для вывода данных потока в форме записей потока и отправки их сборщику NetFlow. Поток - это законченный диалог в смысле IP. Устройство, подготавливающее записи потока, обычно отправляет их сборщику, когда оно определяет, что поток завершен либо из-за устаревания - в течение определенного тайм-аута не было никакого трафика, - либо когда оно видит завершение сеанса TCP.

Запись потока содержит много информации о потоке. Он включает в себя интерфейсы ввода и вывода, отметки времени начала и окончания потока, количество байтов и пакетов, которые он содержит, заголовки уровня 3, IP-адрес источника и назначения и номер порта, IP-протокол и значение TOS. . Записи потока не содержат фактических данных, составляющих поток. Только содержат информацию о потоке. Это важно с точки зрения безопасности.

За исключением огромных сред с несколькими площадками, сборщики потоков, в которые отправляются записи, часто также являются анализаторами потоков. Они используют информацию, содержащуюся в записях потоков, для представления данных о сетевом трафике таким образом, чтобы это было полезно для сетевых администраторов. Различные сборщики и анализаторы NetFlow будут иметь разные способы представления данных. Здесь вам пригодится наш список лучших сборщиков и анализаторов NetFlow.

Некоторые альтернативы NetFlow

Как мы уже говорили, NetFlow существует под несколькими разными именами. Но есть и альтернативы NetFlow, две самые известные из них - sFlow и IPFIX. Последний в значительной степени основан на последней версии NetFlow, за исключением того, что это стандарт IETF. Мы вправе думать, что Cisco может даже в конечном итоге заменить NetFlow на IPFIX.

Что касается sFlow, это другая, конкурирующая система. Его цель и общие принципы работы похожи, но отличаются. Некоторые анализаторы NetFlow также будут работать с sFlow, но, вообще говоря, пользователи одного не используют другой.

Лучшие коллекторы NetFlow для Linux

Мы провели поиск на рынке лучших сборщиков и анализаторов NetFlow для Linux. У нас есть для вас пять лучших продуктов, которые мы могли найти, в порядке предпочтения, в котором наш фаворит находится в верхней части списка. Давайте рассмотрим каждый из них и исследуем их основные функции, чтобы помочь вам выбрать пакет, который наилучшим образом соответствует вашим потребностям.

1. ManageEngine NetFlow Analyzer

Анализатор ManageEngine NetFlow дает сетевому администратору подробное представление об использовании полосы пропускания сети, а также о моделях трафика. Продукт управляется через веб-интерфейс и предлагает впечатляющее количество различных представлений в вашей сети.

Вы можете, например, просматривать трафик по приложениям, по разговорам, по протоколу и еще нескольким параметрам. Вы также можете установить предупреждения, чтобы предупредить вас о потенциальных проблемах. Например, вы можете установить порог трафика для определенного интерфейса и получать предупреждения, когда трафик превышает его.

Но большая часть преимуществ продукта заключается в его отчетах и ​​информационной панели. Инструмент поставляется с несколькими очень полезными готовыми отчетами, специально созданными для конкретных целей, таких как устранение неполадок, планирование емкости или выставление счетов. Но вы не зацикливаетесь на встроенных отчетах, поскольку этот инструмент также позволяет администраторам создавать настраиваемые отчеты по своему вкусу.

Что касается панели инструментов, о которой мы упоминали, она так же впечатляет, как и ее отчеты. Он включает в себя несколько круговых диаграмм с такими вещами, как основные приложения, основные протоколы или основные разговоры. Он также может отображать тепловую карту со статусом контролируемых интерфейсов. И, как вы уже догадались, информационные панели можно настроить так, чтобы они включали только ту информацию, которую вы считаете полезной. На панели управления также отображаются предупреждения в виде всплывающих окон. А для активного сетевого администратора есть приложение для смартфона, которое позволит вам получить доступ к панели управления и отчетам.

ManageEngine NetFlow Analyzer поддерживает большинство потоковых технологий, включая NetFlow (конечно), IPFIX, J-flow, NetStream и некоторые другие. В качестве бонуса он также имеет отличную интеграцию с устройствами Cisco с поддержкой настройки формирования трафика и / или политик QoS прямо из инструмента.

Как и многие конкурирующие продукты, ManageEngine NetFlow Analyzer поставляется в двух версиях. Бесплатная версия будет идентична платной в течение первых 30 дней, но затем вернется к мониторингу только двух интерфейсов потоков. Хотя это немного, это может быть все, что вам нужно.

Если вам нужна платная версия, доступны лицензии нескольких размеров от 100 до 2500 интерфейсов или потоков с ценой от 600 до 50 тысяч долларов плюс годовая плата за обслуживание.

2. Тщательный анализатор

Scrutinizer от Plixer - еще один отличный анализатор NetFlow. Фактически, это даже больше, и многие рассматривают это как полноценную систему реагирования на инциденты. Благодаря его способности контролировать различные типы потоков, такие как NetFlow, J-flow, NetStream и IPFIX, вы не ограничены мониторингом только устройств Cisco.

Благодаря своей иерархической структуре Scrutinizer предлагает оптимизированный и эффективный сбор данных и позволяет начать с малого и легко масштабировать до многих миллионов потоков в секунду. Когда что-то идет не так, часто сначала обвиняют сеть. С помощью Scrutinizer вы можете быстро найти настоящую причину большинства проблем с сетью. Scrutinizer работает как в физических, так и в виртуальных средах и имеет расширенные функции отчетности.

Scrutinizer поставляется с четырьмя уровнями лицензий: от базовой бесплатной версии до полноценного уровня SCR, который может масштабироваться до более чем 10 миллионов потоков в секунду. Бесплатная версия ограничена 10 тысячами потоков в секунду, и в ней будут храниться только необработанные данные потоков в течение 5 часов, но этого должно быть более чем достаточно для устранения проблем с сетью. Вы также можете попробовать любой уровень лицензии в течение 30 дней, после чего он вернется к бесплатной версии. Инструмент доступен как аппаратное устройство или как виртуальное устройство, которое может работать на хосте Linux через KVM.

3. nProbe и ntopng

nProbe и ntopng - несколько более продвинутые и более сложные инструменты с открытым исходным кодом. Ntopng - это веб-инструмент анализа трафика для мониторинга сетей на основе данных о потоках, а nProbe - экспортер и сборщик NetFlow и IPFIX. Вместе они составляют очень гибкий пакет анализа. Если вы раньше администрировали сети Linux, возможно, вы знакомы с ntop. ntopng - это версия этого нестареющего инструмента с графическим интерфейсом пользователя следующего поколения.

Существует бесплатная версия ntopng для сообщества, и вы также можете приобрести корпоративные версии. Они могут быть дорогими, но бесплатны для образовательных и некоммерческих организаций. Что касается nProbe, вы можете попробовать его бесплатно, но он ограничен до 25 000 экспортируемых потоков. Чтобы выйти за рамки этого, вам необходимо приобрести лицензию.

Как и большинство современных инструментов сетевого анализа, ntopng имеет пользовательский веб-интерфейс, который может представлять данные по трафику, например, основные участники, потоки, хосты, устройства и интерфейсы. В нем есть диаграммы, таблицы и графики. большинство из них имеют варианты детализации, которые позволяют вам исследовать более глубоко. Интерфейс довольно гибкий и допускает множество настроек.

4. FlowScan

FlowScan - это своего рода инструмент визуализации, который вы можете использовать для анализа данных Netflow и составления отчетов по ним. Он может создавать визуальные графики в режиме, близком к реальному времени, которые показывают вам, что происходит в вашей сети. FlowScan можно развернуть в системе GNU / Linux или BSD. Он использует несколько других пакетов для правильного сбора и обработки потоков. Например, Cflowd используется как сборщик потока. FlowScan - это фактически сценарий Perl, составляющий основную часть программного пакета. Этот компонент отвечает за загрузку и выполнение отчетов. Последним важным компонентом является RRDtool, популярный инструмент для хранения данных в базах данных с циклическим перебором и отображения этих данных на графиках, который используется для хранения информации о потоках и создания полезных графиков.

Сетевые администраторы часто обнаруживают, что они собрали слишком мало или слишком много данных. Профилирование потока, предоставляемое FlowScan, предлагает прагматический компромисс между такими крайностями при сборе данных. Поскольку потоки объединяют данные, собранные по мере прохождения пакетов через данный порт или интерфейс, их можно использовать как своего рода аббревиатуру для серии пакетов, перемещающихся между интересующими конечными точками. Но одной этой функции недостаточно для надежного непрерывного использования: необходимы дополнительные программные инструменты для определения, синтаксического анализа и анализа этих потоков. Эти дополнительные инструменты включены в FlowScan.

5. inMon sFlowTrend (особое упоминание)

Хотя это не сборщик и анализатор NetFlow, а скорее тот, который обрабатывает sFlow, мы чувствовали, что sFlowTrend заслуживает быть в этом списке. Он может работать в Linux, и если компоненты вашей сети используют sFlow, а не NetFlow, это один из лучших доступных инструментов. Инструмент разработан inMon, компанией, стоящей за sFlow. Это базовый и несколько ограниченный, но очень эффективный инструмент. Бесплатная версия программного обеспечения позволяет собирать данные с пяти коммутаторов, маршрутизаторов или хостов с поддержкой sFlow и сохраняет данные истории в ОЗУ не более часа. Этого должно быть достаточно для устранения большинства сетевых проблем. И если вы хотите сделать шаг вперед, вы можете перейти на профессиональную версию - за определенную плату, - которая снимает ограничение на количество устройств и сохраняет данные истории на диск.

Вкладка sFlowTrend Dashboard обеспечивает быстрый просмотр текущего состояния отслеживаемых устройств и сетей, включает пороговые значения верхнего уровня и интерфейсы с потенциальными ошибками. При переходе на вкладку «Сеть» sflowTrend отображает сводную статистику производительности и подробный трафик на уровне сети или устройства. Можно определить пороги оповещения. Он позволяет получать предупреждения, когда происходит использование полосы пропускания выше обычного или возникает ошибка сети. Есть даже вкладка первопричины, где вы можете детализировать причину проблемы, например, нарушение порогового значения.

На вкладке «Хосты» вы найдете более подробную информацию о каждом устройстве. Он предоставляет данные о производительности в сети, ЦП, диске и т. Д. Для серверов с поддержкой sFlow, включая виртуальные. На вкладке «Службы» вы найдете данные о производительности приложений (включая различные веб-серверы), которые экспортируют данные sFlow. На вкладке «События» вы найдете журнал событий, таких как превышение пороговых значений или обнаруженные ошибки. И, наконец, вкладка «Отчеты» предоставляет несколько предустановленных отчетов, но также поддерживает создание настраиваемых отчетов. Здесь вы будете запускать отчеты, а затем просматривать их результаты.

sFlowTrend написан на Java и имеет как Java-интерфейс, так и веб-интерфейс. Он доступен для Linux, Windows и Mac. Также доступна онлайн-справка, которая поможет вам в настройке и использовании инструмента. Это отличный инструмент, особенно для небольших организаций с оборудованием с поддержкой sFlow. А путь обновления до версии pro делает его одинаково подходящим выбором для более крупных сетей.

Заключение

Хотя некоторые из самых лучших сборщиков и анализаторов NetFlow, такие как SolarWinds NetFlow Traffic Analyzer, будут работать только на компьютерах с Windows, есть еще множество вариантов, если вы предпочитаете платформу инструментов мониторинга Linux. Между коммерческими продуктами, такими как ManageEngine NetFlow Analyzer или Plixer's Scrutinizer, и инструментами с открытым исходным кодом должен быть тот, который полностью соответствует вашим потребностям.

Все продукты, которые мы только что рассмотрели, являются отличными вариантами. Некоторые из них могут быть не такими полнофункциональными, или для их настройки может потребоваться немного больше работы, но любой из них будет делать свою работу и делать это хорошо. И поскольку все они предлагают ту или иную форму бесплатного пробного периода или являются полностью бесплатными, нет причин не попробовать несколько из них и убедиться, что из них вам подойдет.