Тъй като мрежите стават все по-големи и корпорациите все повече и повече разчитат на тях за ежедневните си операции, следователно наблюдението на мрежата е по-важно от всякога. Прекъсванията и забавянето на мрежата могат да окажат сериозно въздействие върху организациите. Следователно мрежовите администратори трябва да използват подходящите инструменти за наблюдение на мрежите и отстраняване на проблеми, които открият. Сред всички налични инструменти, няколко са пуснати в модела с отворен код и обикновено могат да бъдат получени безплатно. Днес ще разгледаме някои от най-добрите инструменти за наблюдение на мрежата с отворен код.
Ще започнем нашата дискусия, като говорим за необходимостта от инструменти за наблюдение на мрежата и различните видове инструменти, които са налични. Ще видим как работят мониторите за използване на честотната лента, системите за мрежов анализ и сниферите на пакети и как могат да бъдат използвани в наша полза. След това ще прегледаме най-добрите инструменти с отворен код във всяка от трите категории.
Съдържание
Относно инструментите за наблюдение на мрежата
Мрежовият трафик е много подобен на пътния трафик. Точно както мрежовите вериги могат да се разглеждат като магистрали, данните, пренасяни по мрежите, са като превозни средства, пътуващи по тази магистрала. Но за разлика от автомобилния трафик, където просто трябва да погледнете дали и какво не е наред, да видите какво се случва в мрежата може да бъде трудно. Като за начало всичко се случва много бързо и данните, транспортирани в мрежа, са невидими с просто око.
Инструментите за наблюдение на мрежата ви позволяват да „видите“ какво точно се случва във вашата мрежа. С тях ще можете да измервате усвояването на всяка верига, да анализирате кой и какво консумира честотна лента и да пробвате дълбоко в мрежовите „разговори“, за да проверите дали всичко работи нормално.
Различни видове инструменти за наблюдение
Има основно три основни типа инструменти за наблюдение на мрежата. Всеки от тях отива малко по-дълбоко от предишния и предоставя повече подробности за трафика. Първо, има монитори за използване на честотната лента. Тези инструменти ще ви кажат колко данни се транспортират във вашата мрежа, но това е всичко.
За повече информация се нуждаете от друг тип инструмент, мрежови анализатори. Това са инструменти, които могат да ви дадат известна информация за това какво точно се случва. Те няма да ви кажат само колко трафик минава. Те също могат да ви кажат какъв тип трафик и между какви хостове се движи.
И за най-подробно, имате снифери за пакети. Те правят задълбочен анализ, като улавят и декодират трафика. Информацията, която предоставят, ще ви позволи да видите какво точно се случва и да определите проблемите с най-голяма точност.
Инструменти за наблюдение на използването на честотната лента
Повечето монитори за използване на честотната лента разчитат на Simple Network Management Protocol или SNMP, за да анкетират устройства и да получат количеството трафик на всички – или някои – от техните интерфейси. Използвайки тези данни, те често ще изграждат графики, които изобразяват използването на честотната лента с течение на времето. Обикновено те ще позволят на човек да увеличи мащаба в по-тесен период от време, където разделителната способност на графиката е висока и показва, например, 1-минутен среден трафик или да намали до по-дълъг период от време – често до месец или дори година – където показва средни дневни или седмични стойности.
SNMP накратко
Протоколът за мрежово управление – или SNMP – може да се използва за дистанционно наблюдение и конфигуриране на мрежово оборудване. Въпреки името си, това не е съвсем просто и прилагането му може да се окаже трудна задача. Устройствата, поддържащи SNMP, правят достъпни определен брой параметри, наречени OID. Някои са параметри на конфигурация, които могат да се променят, което позволява на човек да ги променя, докато други са броячи само за четене.
Когато става въпрос за наблюдение на честотната лента, ние се интересуваме специално от два OID. Те се наричат входящи и изходящи байтове. Чрез четене на тези стойности на точно определени интервали от време може да се изчисли броят на байтовете за единица време – което е точно каква е честотната лента. Повечето мрежови устройства, като суичове и рутери, имат един такъв набор от OID за всеки от техните интерфейси.
Обикновено системата за наблюдение на използването на мрежовата честотна лента ще анкетира всяко устройство на интервали от 5 минути. След това ще извади предишната стойност на брояча от текущата, за да получи броя на байтовете, прехвърлени за пет минути. Той ще умножи това число по 8, за да получи броя на битовете. И накрая, той ще го раздели на 300, за да получи честотната лента в битове в секунда.
В допълнение към броячите на битове и битове, някои системи за наблюдение на честотната лента ще позволят да се наблюдават други параметри. Например, има грешки при въвеждане на интерфейс и грешки на изхода на интерфейса OID, които могат да бъдат анкетирани, за да се изчисли процентът на грешки.
Инструменти за анализ на мрежовия трафик
Ако трябва да знаете повече от количеството минаващ трафик, имате нужда от по-усъвършенствана система за наблюдение. Това, от което се нуждаете, е това, което наричаме система за мрежов анализ. Тези системи разчитат на софтуер, който е вграден в мрежово оборудване, за да им изпраща подробни данни за употреба. Тези системи обикновено могат да показват водещи говорещи и слушатели, използване по адрес на източник или местоназначение, използване по протокол или по приложение и няколко друга полезна информация за случващото се.
Докато някои системи използват софтуерни агенти, които трябва да инсталирате на целевите системи, повечето от тях разчитат вместо това на стандартни протоколи като NetFlow, IPFIX или sFlow. Те обикновено са вградени в оборудването и са готови за използване веднага след като бъдат конфигурирани.
Относно анализа на потока
Първоначално създаден като начин за опростяване на създаването на списъци за контрол на достъпа, NetFlow е разработен от Cisco Systems. Инженерите бързо разбраха, че събраните данни могат да бъдат използвани за различно използване, като ги експортират в устройство, което може да анализира тази информация.
NetFlow използва трикомпонентна архитектура. Експортерът, който работи на наблюдаваното устройство, агрегира пакетите в потоци и експортира записи на потоци към колектор на потоци. Колекторът на потока обработва приемането, съхранението и предварителната обработка на данните за потока. И накрая, анализаторът на потока се използва за анализиране на получените данни за потока. Много системи комбинират колектора и анализатора в едно устройство.
Някога ексклузивен за устройствата на Cisco NetFlow вече често се среща на оборудване от други производители. Може да има други имена като Jflow на оборудването Juniper. Последната версия дори беше направена като IETF стандарт, наречен IPFIX. Съществува и конкурентна система, наречена sFlow от inMon, която също присъства на няколко марки мрежово оборудване. И въпреки че NetFlow и sFlow са значително различни по начина, по който работят, много системи за наблюдение могат да се справят и с двата протокола.
За повече информация относно системите за мрежов анализ, прочетете нашата скорошна статия: Най-добри NetFlow колектори и анализатори за Windows: Прегледани през 2018 г.
Какво ще кажете за нюхането на пакети?
Ако имате нужда от още повече информация за трафика във вашата мрежа, сниферите на пакети предлагат толкова подробности, колкото е възможно да се съберат. Те работят, като улавят всеки един пакет и го декодират. Те ще ви позволят да видите всеки детайл от конкретен разговор. Те могат да бъдат много полезни за определяне на точния източник на проблем с мрежата.
Например, да кажем, че потребителите се оплакват, че това приложение е много по-бавно от обикновено. Тъй като мрежите често са измъчвани от задръствания, първият рефлекс на потребителя ще бъде да обвини мрежата. Използвате монитори за честотна лента или мрежови анализатори и никъде не намирате следа от задръствания. Това е, когато получавате вашия пакетен анализатор и като изследвате трафика, виждате, че за всяка заявка, която клиентът изпраща до сървъра, отговорът се връща само 10 секунди по-късно. Сега, за да изключите всеки проблем с мрежата, повтаряте теста, като улавяте трафика в мрежовия интерфейс на сървъра и виждате същото поведение. Това потвърждава, че сървърът е този, който реагира бавно и че няма нищо лошо в мрежата.
Най-добрите инструменти за наблюдение на честотната лента с отворен код
Тъй като те са най-основните инструменти за наблюдение на мрежата и те трябва да бъдат първите, които внедрявате, нека започнем с бърз преглед на най-добрите инструменти за мониторинг на честотната лента с отворен код. Всички те използват SNMP за периодично анкетиране на вашите мрежови устройства и създаване на графики за използване на честотната лента, което ви дава известна видимост за използването на вашата мрежа.
1. MRTG
Multi Router Traffic Grapher, или MRTG, е вид дядо на всички системи за наблюдение на честотната лента на мрежата. Това е проект с отворен код, който съществува от 1995 г. Той все още е широко разпространен, въпреки факта, че последната версия вече е на около пет години. Предлага се за Linux и Windows. Първоначалната настройка и конфигурация са малко по-сложни от това, което бихте изпитали с други системи за наблюдение, но отличната документация е лесно достъпна.
Инсталирането на MRTG е процес от няколко стъпки и трябва внимателно да следвате инструкциите за настройка. Веднъж инсталиран, вие конфигурирате софтуера, като редактирате неговия конфигурационен файл. MRTG може да бъде изтеглен директно от уебсайта на разработчика. Предлага се като .zip файл за Windows или tarball за Linux. Към момента на писане на това издание най-новата стабилна версия е 2.17.4.
Това, което липсва на MRTG в лекотата на потребителя, печели в гъвкавостта. Основно написан на Perl, той може лесно да бъде модифициран и адаптиран към точните нужди. А фактът, че това е първата система за наблюдение и че все още съществува, е доказателство за нейната стойност.
2. Кактуси
Може да мислите за Cacti като MRTG на стероиди. Гъвкав и гъвкав като своя далечен братовчед, той е по-полиран продукт и може да се похвали с уеб-базиран потребителски интерфейс, който прави конфигурирането му много лесно и интуитивно. Cacti разполага с бърз полер, усъвършенствани шаблони на графики, няколко метода за придобиване и управление на потребителите. Може да се мащабира до мрежи с практически всякакъв размер, включително множество сайтове.
Cacti всъщност е интерфейс на RRDTool, система с отворен код, високопроизводителна система за регистриране на данни и графична система за данни от времеви серии. RRDTool е пряк потомък на MRTG. Инструментът съхранява данните за създаване и попълване на графики в MySQL база данни и е изцяло написан на PHP.
Конфигурирането на Cati е лесно. Например, добавянето на устройство изисква да въведете неговия IP адрес или име на хост и SNMP общност. След това софтуерът ще открие интерфейса на устройството и ще ви позволи да изберете за кой(ите) искате да направите графики за използване.
Посетете уебсайта на Cacti за повече информация относно този продукт или за да го изтеглите. Той е напълно безплатен за всяка употреба.
3. Zabbix
Zabbix е безплатен продукт с отворен код, който може да се използва за наблюдение на всичко. Инструментите могат да работят на шепа дистрибуции на Linux – включително Rapsbian, версията Raspberry Pi за Linux – и ще наблюдават мрежи, сървъри, приложения и услуги, както и облачни среди. Той се отличава с изключително професионален външен вид и усещане, подобно на това, което бихте очаквали от търговски продукт. Добрият външен вид обаче не е достатъчен, за да бъде в нашия списък. За щастие, този продукт може да се похвали и с широк набор от функции, неограничена мащабируемост, разпределено наблюдение, силна сигурност и висока наличност. Това е истински продукт от корпоративен клас.
Zabbix използва комбинация от технологии за наблюдение. Той поддържа SNMP мониторинг, както и интерфейса за наблюдение на интелигентната платформа (IMPI). Може също така да извършва мониторинг, базиран на агенти, с налични агенти за повечето платформи. За лесна настройка има автоматично откриване, както и готови шаблони за много устройства. Уеб-базираният потребителски интерфейс на инструмента има няколко разширени функции като табла за управление, базирани на джаджи, графики, мрежови карти, слайдшоута и отчети за разбивка.
Продуктът също така разполага с много адаптивна система за известяване, която не само ще изпраща уведомителни съобщения, които съдържат информация за времето на изпълнение и инвентара, но също така може да бъде персонализирана въз основа на ролята на получателя. Освен това може да ескалира проблемите според гъвкавите, дефинирани от потребителя нива на обслужване. Можете дори да оставите Zabbix да коригира някои проблеми автоматично.
4. Zenoss Core
Zenoss Core вероятно не е толкова популярен, колкото някои от другите инструменти за наблюдение в този списък, но наистина заслужава мястото си главно поради набора от функции и професионалния си вид. Инструментът може да наблюдава много неща като използване на честотната лента, потоци на трафик или услуги като HTTP и FTP. Той има изчистен и прост потребителски интерфейс и неговата система за предупреждение е отлична. Едно нещо, което особено харесахме в него, е доста уникалната система за множество сигнали. Той позволява на второ лице да бъде предупредено, ако първият не отговори в рамките на предварително определено закъснение.
Не всичко обаче е перфектно. Zenoss Core е една от най-сложните системи за наблюдение за инсталиране и настройка. Инсталацията е изцяло управляван от командния ред процес. Днешните мрежови администратори са свикнали с инсталатори на GUI, съветници за конфигуриране и машини за автоматично откриване. Това може да направи инсталацията на продукта малко архаична. Въпреки това, има достатъчно налична документация и крайният резултат си струва усилията за инсталиране.
Най-добрият инструмент за анализ на потока с отворен код
Докато системите за наблюдение на честотната лента ще ви покажат колко се използва вашата мрежа, тя все още ви оставя на тъмно как се използва. За такъв вид видимост трябва да разгърнете следващото ниво на системи за наблюдение, инструменти за анализ на потока. Тези инструменти използват NetFlow и неговите варианти или sFlow за събиране на подробна информация за това какъв трафик се транспортира във вашата мрежа. Нека да разгледаме един от най-добрите инструменти за анализ на потока с отворен код, който можете да намерите.
nProbe и ntopng
nProbe и ntopng са два инструмента с отворен код. Ntopng е уеб-базиран инструмент за анализ на трафика за наблюдение на мрежи въз основа на данни за потока, докато nProbe е експортер и колектор на NetFlow и IPFIX. Заедно те създават много гъвкав пакет за анализи. Ако сте запознати с Unix командата ntop, ntopng е следващото поколение GUI версия на този неостаряващ инструмент.
Има безплатна общностна версия на ntopng, но можете да закупите и корпоративната версия. И въпреки че може да бъде скъпо, то е безплатно за образователни и нестопански организации. Що се отнася до nProbe, можете да го изпробвате безплатно, но е ограничен до общо 25 000 експортирани потока. След като достигнете това – което може да бъде по-рано, отколкото си мислите – ще трябва да закупите лиценз.
ntopng може да се похвали с уеб-базиран потребителски интерфейс, който може да представя данни по различни начини, като например водещи говорители, потоци, хостове, устройства и интерфейси. Има диаграми, таблици и графики. много от тях, включващи опции за разбивка. Интерфейсът е много гъвкав и позволява много персонализиране.
Най-добрите снифери на пакети с отворен код
За най-подробна информация за случващото се във вашата мрежа, пакетните снифери са това, от което се нуждаете. Те работят, като улавят всички данни в определена точка от вашата мрежа и ще ви позволят да декодирате всеки пакет и да следвате подробностите за всеки „разговор“. Поставянето на снифер за пакети само по себе си е сложен въпрос, тъй като ще има пряко влияние върху това, което можете да видите. За това са написани цели книги. Обикновено ще бъде настроен снифер за пакети, за да улавя трафика на сървъра чрез дублиране на комутационния порт на този сървър към свободен порт на същото устройство, където ще бъде свързан сниферът. Съществуват и кранове, които могат да се вмъкват между две устройства и да улавят целия трафик, който преминава. Нека обсъдим накратко кои са най-добрите пет пакетни снифера.
1. Wireshark
Wireshark съществува от векове. Започна през миналия век. И днес той все още е „най-известният и широко използван анализатор на мрежови протоколи в света“. Това е де факто стандарт за много предприятия, държавни агенции и образователни институции.
Сред основните характеристики на продукта ще намерите възможността да правите заснемане на живо и офлайн анализ. Wireshark също така поддържа задълбочена проверка на стотици протоколи, като през цялото време се добавят още. Той също така разполага с най-мощните филтри за дисплей в индустрията. Продуктът ще работи на Windows, Linux, macOS, Solaris, FreeBSD, NetBSD и много други.
2. EtherApe
EtherApe е друг проект с отворен код, като Wireshark и tcpdump. Въпреки това, той използва по-графично представяне на трафика и може най-ефективно да се използва за определяне на източника на тежък трафик, причиняващ претоварване на мрежата. Всъщност EtherApe всъщност не е пакетен анализатор, тъй като няма да декодира пакети или дори да ви позволи да ги заснемете в таблица.
Вместо това EtherApe има по-графичен подход. Той ще изобрази вашата мрежа като кръг с всеки хост на границата му. В рамките на кръга има линия между всеки два комуникиращи хоста. Линиите са цветно кодирани по тип трафик и дебелината им показва количеството трафик. Това е много различен инструмент за научаване и използване, но все пак той предоставя различен начин за разглеждане на трафика, който се е оказал полезен повече от веднъж.