Анализът на модела на трафика е процес, който позволява на мрежовите администратори и мениджъри да получат отлично описание не само на това колко много се използва мрежата, но и по-важното КАК се използва. Едно е да знаете, че даден сегмент на мрежата страда от претоварване, но е различно — и много по-полезно — да научите какво причинява това задръстване. И без тази информация единствената възможност за коригиране на задръстванията е да се хвърли повече честотна лента към нея. Но честотната лента е скъпа и със сигурност има по-добри начини за справяне с този тип проблеми. Анализът на модела на трафика може да съдържа отговора и днес преглеждаме най-добрите инструменти, които можете да използвате.
Ще започнем нашето пътуване към анализа на моделите на трафика с полезна теория. Първо ще разгледаме по-отблизо какво представлява анализът на модела на трафика. Това е важно, тъй като именно това ще помогне да се определи какво представлява инструмент за анализ на модели на трафик. След това ще обсъдим NetFlow и други системи и протоколи за отчитане на потока, тъй като те са в основата на повечето инструменти за анализ на модели на трафик. Първо ще разгледаме протокола NetFlow на Cisco и неговите множество варианти, преди да разгледаме S-Flow, конкурентен протокол, който е малко по-различен в начина, по който работи. Въоръжени с цялата тази информация, ние ще бъдем готови да прегледаме най-добрите инструменти за анализ на моделите на трафика, които можем да намерим.
Съдържание
Анализ на модела на трафика накратко
В най-простия си израз анализът на модела на мрежовия трафик е процесът на записване, преглед и/или анализиране на мрежовия трафик с цел производителност, сигурност и/или общи операции и управление на мрежата. По-конкретно, това е процесът на използване на ръчни и автоматизирани техники за преглед на детайлни детайли и статистически данни в рамките на мрежовия трафик.
Има основно два вида мониторинг на мрежовия трафик. Първият е мониторинг на използването на честотната лента, който може да предостави количествени данни. Този тип наблюдение ще ви позволи да видите колко трафик преминава в определена точка от мрежата, но няма да предостави никакви данни за естеството на този трафик. Вторият тип мониторинг, този, който обсъждаме днес и който се нарича анализ на модела на мрежовия трафик или просто анализ на мрежовия трафик, отива по-дълбоко и основната му цел е да предложи задълбочена представа за това какъв тип трафик, мрежа пакети или данни преминават през мрежа.
Въпреки че анализът на модела на мрежовия трафик може да се направи ръчно, най-често се прави с помощта на инструмент за наблюдение на мрежата. Ръчното правене просто би изисквало твърде много усилия. Статистическите данни за трафика, получени от анализа на мрежовия трафик, могат да помогнат за разбирането и оценката на използването на мрежата. Той ще разкрие важни данни за типа, размера, произхода и местоназначението на пакетите с данни. Може дори да включва информация за съдържанието на пакети данни.
Екипите за мрежова сигурност могат да използват анализ на модела на мрежовия трафик, за да идентифицират злонамерени или подозрителни пакети в трафика. По същия начин мрежовите администрации, които се стремят да наблюдават скоростите на изтегляне и качване, пропускателна способност, съдържание и т.н. Ще го използват, за да разберат по-добре използването на мрежата.
От друга страна, анализът на модела на мрежовия трафик може също да се използва от нападатели и/или натрапници за анализиране на модели на мрежов трафик и идентифициране на уязвимости или средства за проникване или извличане на чувствителни данни. Това е нож с две остриета.
NetFlow и други системи за отчитане на потока
NetFlow е функция, която беше въведена на рутерите на Cisco през 1996 г. – дайте или вземете година или две – която предлага възможност за събиране на IP мрежов трафик, когато влиза или излиза от интерфейс. Това е различно от наблюдението на честотната лента, при което данните се отчитат, но не се събират. Чрез анализиране на събраните данни човек може да определи неща като източник и дестинация на трафика, клас и тип услуга и в крайна сметка да използва тази информация за идентифициране на причините за задръстванията.
Типичната настройка за наблюдение на NetFlow се състои от три основни компонента:
В енисък износител агрегира пакетите в потоци и експортира записи на потоци към един или повече колектори на потоци. Това е компонентът, който се намира в мрежовото устройство.
В енисък колектор отговаря за приемането, съхранението и предварителната обработка на данните за потока, получени от износител на потоци.
В анализатор на потока анализира получените данни за потока в контекста на откриване на проникване или профилиране на трафика, например.
Потокът, на езика на NetFlow, е еднопосочна последователност от пакети, които споделят определен брой атрибути, като например техния входен интерфейс, IP адреси на източник и местоназначение, IP протокол (TCP/UDP/ICMP и др.), IP портове на източника и местоназначението и IP тип услуга. Подробни данни за всеки отделен поток се събират от износителя на потоци, преди да бъдат експортирани в колектора на потоци. В повечето случаи днес колекторът на потока и анализаторът са два компонента на една и съща система и рядко ги виждаме разделени.
Някога ексклузивен за Cisco, NetFlow вече се предлага на оборудване от много доставчици, включително Juniper, Alcatel-Lucent и Nortel, за да назовем само няколко. Някои доставчици го наричат с различно име, като например J-flow за Juniper. Има дори сравнително скорошна IETF-стандартизирана версия, наречена IPFIX, която е съкращение за електронна експортна информация за потока на интернет протокола.
sFlow е донякъде еквивалентна, но много различна технология. sFlow използва подобни методи за събиране на информация за потока, но добавя вземане на проби от данни – следователно S – за още по-подробна информация. Много малко NetFlow анализатори и колектори могат да обработват данни за sFlow, тъй като двете са твърде различни.
Най-добрите инструменти за анализ на модела на трафика
Има доста инструменти, които предлагат анализ на модела на мрежовия трафик. Повечето от тях ще събират NetFlow данни и ще ги показват по някакъв смислен графичен начин, докато някои използват различни техники за постигане на подобни цели.
1. Анализатор на трафик на SolarWinds NetFlow (БЕЗПЛАТЕН ПРОБЕН ПРОБЕН АП)
Първият в нашия списък е SolarWinds NetFlow Traffic Analyzer или NTA. Ако не познавате SolarWinds, компанията си е създала солидна репутация за създаване на едни от най-добрите инструменти за управление на мрежата. Неговият водещ продукт, Network Performance Monitor, е един от най-добрите налични инструменти за мониторинг на честотната лента. А SolarWinds е известен и със своя страхотен безплатен инструмент, адресиращ специфични нужди от мрежово администриране, като един от най-добрите калкулатори на подмрежите или TFTP сървър.
Както подсказва името му, SolarWinds NetFlow Traffic Analyzer използва протокола NetFlow, за да предостави подробна информация за това какъв е наблюдаваният трафик. Може например да докладва какъв тип трафик е по-чест или кой потребител използва най-много честотна лента. На таблото на инструмента са налични няколко различни изгледа, като например топ приложения, най-добри протоколи или водещи говорещи. Инструментът ще поддържа повечето варианти на NetFlow от различни доставчици
БЕЗПЛАТЕН ПРОБЕН ПЕРИОД: СЛЪНЧЕВИ ВЕТРОВЕ АНАЛИЗАТОР НА NETFLOW TRAFFIC
Ето някои от най-добрите характеристики на продукта.
Може да се използва за наблюдение на използването на мрежата по приложение, протокол и IP адресна група.
Той ще следи данните за потока на Cisco NetFlow, Juniper J-Flow, sFlow, Huawei NetStream и IPFIX, за да идентифицира кои приложения и протоколи са най-големите потребители на честотна лента.
Той ще събира данни за трафика, ще ги съпостави в използваем формат и ще ги представи на своя уеб-базиран потребителски интерфейс
Той може да ви помогне да определите кои приложения и категории консумират най-много честотна лента за по-добра видимост на мрежовия трафик и има поддръжка за Cisco NBAR2.
Анализаторът на трафик SolarWinds NetFlow се предлага като добавка към Монитора на производителността на мрежата (NPM). Цените започват от $1,915 за 100 възела. Броят възли, които купувате, трябва да съответства на вашия NPM лиценз. Ако все още не притежавате софтуера NPM, това ще струва $2,995 за същото ниво от 100 възли. И ако искате да го изпробвате, преди да го купите, можете да изтеглите напълно функционална 30-дневна версия за оценка на единия или двата продукта,
2. Paessler Router Traffic Grapher (PRTG)
В Paessler Router Traffic Grapherили PRTG, е решение „всичко в едно“, чиято основна цел е наблюдение на използването на честотната лента. Като такъв той интегрира мониторинг на SNMP честотната лента и събиране и анализ на NetFlow. Но това не спира дотук и PRTG ще използва много различни технологии за наблюдение на системи, устройства, трафик и приложения. Ето кратко описание на поддържаните протоколи за наблюдение:
Потоци (като NetFlow или sFlow)
SNMP с готови за използване и персонализирани опции
WMI и броячи за производителност на Windows
SSH за системи Linux/Unix и MacOS
Смъркане на пакети
Ping, SQL и много други
Инсталиране PRTG лесно е. Всъщност, Paessler твърди, че можете да приключите в рамките на няколко минути. След стартиране на инсталатора процесът на автоматично откриване ще открие устройства и ще настрои основни сензори. След това можете да добавите сензори – като колектори NetFlow – ръчно. Ако имате нужда от него, има подробно видео, което ще ви покаже как се прави.
PRTG работи само на Windows, но потребителският му интерфейс е уеб-базиран и може да бъде достъпен от всеки браузър на всяка платформа. Има и мобилни приложения за Android и iOS, които можете да инсталирате на вашия смартфон. Говорейки за мобилните приложения, този инструмент има уникална функция под формата на етикети с QR код, които можете да отпечатате и прикрепите на вашите устройства. След това е просто да сканирате кода от мобилните приложения, за да видите бързо данните от сензорите на устройството.
PRTG се предлага в две версии. Има безплатна версия, която е ограничена до 100 сензора. Всеки наблюдаван елемент се брои като един сензор. Например, за да наблюдавате всеки порт на 48-портов комутатор, ще ви трябват 48 сензора. За събиране и анализ на NetFlow ще ви е необходим един сензор за всеки износител на поток. За повече от 100 сензора се нуждаете от платен лиценз. Предлагат се за 500, 1000, 2500, 5000 и неограничени възли на цени, вариращи от около $1 600 до малко под $15 000. Имайте предвид, че безплатната версия ще позволи неограничен брой сензори за първите 30 дни, което ви позволява да тествате задълбочено продуктът.
3. Скрутинизатор
Скрутинизатор от Plixer е отличен NetFlow анализатор. Всъщност това е много повече от това и мнозина го смятат за пълноценна система за реагиране при инциденти. И със способността си да наблюдава различни типове поток, като NetFlow, J-flow, NetStream и IPFIX, вие не сте ограничени до наблюдение само на устройства на Cisco.
Скрутинизатор разполага с йерархичен дизайн и предлага рационализирано и ефективно събиране на данни, което позволява на човек да започне малко и лесно да мащабира до милиони потоци в секунда. Въпреки че мрежата често се обвинява първа, когато нещо се обърка, Скрутинизатор ще ви помогне бързо да намерите истинската основна причина за повечето проблеми с мрежата. Продуктът може да работи както във физическа, така и във виртуална среда и се предлага с разширени функции за отчитане.
Скрутинизатор се предлага в четири лицензионни нива от основната безплатна версия до най-високото ниво на SCR, което може да мащабира до над десет милиона потоци в секунда. Безплатната версия е ограничена до десет хиляди потока в секунда и ще съхранява необработени данни за потока само за 5 часа. Между нивата са нивото на MDX, което съхранява данни за 25 часа, и SSRV, което ги съхранява завинаги. Можете да опитате всяко ниво на лиценз за 30 дни, след което той ще се върне обратно към безплатната версия.
4. ManageEngine NetFlow Analyzer
ManageEngine е още едно домакинско име в арената на инструментите за мрежово администриране. Подобно на SolarWinds, компанията прави шепа отлични инструменти, както и няколко безплатни. В ManageEngine NetFlow Analyzer предоставя подробен изглед на използването на честотната лента на мрежата, както и моделите на трафика. Продуктът може да се похвали с уеб-базиран потребителски интерфейс, който предлага впечатляващ брой различни изгледи във вашата мрежа.
Този инструмент ще ви позволи например да преглеждате трафика по приложение, по разговор, по протокол и още няколко опции. Можете също да зададете сигнали, които да ви предупреждават за потенциални проблеми. Можете например да зададете праг на трафик на конкретен интерфейс и да бъдете предупредени, когато трафикът го надвиши.
Повечето от ManageEngine NetFlow AnalyzerСилата на ‘s идва от отчетите и таблото за управление. Продуктът има няколко полезни предварително изградени отчета, които са пригодени за конкретни цели като отстраняване на неизправности, планиране на капацитет или фактуриране. Но ако предпочитате да създавате персонализирани отчети, инструментът позволява на администраторите да ги създават по свой вкус.
В ManageEngine NetFlow AnalyzerТаблото за управление е също толкова впечатляващо, колкото и неговите отчети. Той включва няколко кръгови диаграми, изобразяващи например топ приложения, топ протоколи или най-добри разговори. Може също да показва топлинна карта, показваща състоянието на наблюдаваните интерфейси. Таблата за управление могат да бъдат персонализирани, за да включват само информацията, от която се нуждаете. За мрежовите администратори в движение има приложение за смартфон, което ще ви позволи да получите достъп до таблото и отчетите.
В ManageEngine NetFlow Analyzer поддържа повечето технологии за поток, включително NetFlow, IPFIX, J-flow, NetStream и няколко други. Като бонус също има отлична интеграция с устройства на Cisco, с възможност за коригиране на правилата за оформяне на трафика и/или QoS направо от инструмента.
В ManageEngine NetFlow Analyzer се предлага в две версии. Безплатната версия ви ограничава до наблюдение само на два интерфейса или експортиращи потоци. За по-голям капацитет лицензите се предлагат в няколко размера от 100 до 2500 интерфейса или потоци на цени, вариращи между около $600 до над $50 000 плюс годишни такси за поддръжка. Налична е безплатна 30-дневна пробна версия за всички платени планове.
5. sFlowTrend
Докато всички предишни продукти са отлични, само PRTG засега поддържа протокола sFlow. Както обяснихме, двата протокола са доста различни и рядко се случва един инструмент да поддържа и двата. Така че, ако вашата мрежа е направена предимно от устройства с активиран sFlow, ето един от най-добрите инструменти, които можем да намерим.
sFlowTrend е инструмент за наблюдение на sFlow от inMon, компанията зад протокола sFlow. Това е основен и донякъде ограничен, но много способен инструмент. Има безплатна версия, която ще ви позволи да събирате данни от до пет устройства с активиран sFlow и ще съхранява само исторически данни в RAM за до един час. Въпреки че това може да е достатъчно за отстраняване на някои проблеми с мрежата, това не е това, от което се нуждаете за текущ мониторинг. За по-пълен инструмент трябва да надстроите до професионалната версия, която премахва ограничението за броя на устройствата и съхранява данни за историята на диск.
В sFlowTrend Таблото за управление предлага бърз преглед на текущото състояние на вашите наблюдавани устройства и мрежи. Той ще показва прагове от най-високо ниво и интерфейси с потенциални грешки. Щраквайки върху sFLowTrend Разделът Мрежа разкрива обобщени статистически данни за производителността и подробен трафик на ниво мрежа или устройство. Праговете за предупреждение могат да се използват за получаване на сигнали, когато се наблюдава по-високо от обичайното използване на честотната лента или възникне грешка в мрежата. Софтуерът разполага и с раздел Основна причина, където можете да разгледате причината за проблем, като например нарушение на прага.
В sFlowTrend Разделът Hosts е мястото, където ще намерите по-подробна информация за всяко устройство. Той може да показва данни за производителността на процесора, диска и други за сървъри с активиран sFlow. Както ще разберете, sFlow не е само за наблюдение на мрежово оборудване. Разделът „Услуги“ е мястото, където ще намерите данни за производителността за приложения, които експортират данни за sFlow. А в раздела Събития ще намерите дневник със събития като превишени прагове или открити грешки. И накрая, разделът Отчети предлага няколко предварително дефинирани отчета и също така поддържа създаването на персонализирани отчети.
sFlowTrend е написан на Java и се предлага както с Java-базиран, така и с уеб-базиран потребителски интерфейс. Предлага се за Windows, Mac и Linux. Софтуерът разполага с отлична онлайн помощна система, която да ви помогне при конфигурирането и използването на инструмента.
В заключение
Независимо кой инструмент изберете, анализът на модела на мрежовия трафик ще ви даде безценна представа за това какво се случва във вашата мрежа. Всеки от инструментите, които прегледахме, осигурява отлична стойност и изборът на един най-вероятно ще бъде въпрос на лични предпочитания. Може да има специфична функция в един от инструментите, която особено ви харесва. С всички платени инструменти, предлагащи или безплатна пробна версия, или безплатна версия, няма причина да не изпробвате няколко, преди да вземете решение.