Мрежите са трудно нещо за управление и наблюдение. Разбираемо е, мрежовият трафик се случва в медни кабели или оптични влакна и не може да се види. Това прави малко сложно всеки администратор да има ясна и категорична картина за това какво се случва с мрежите, които управлява. Тук идва мрежовото наблюдение. И когато става въпрос за наблюдение на мрежата, са налични няколко нива, всяко от които предоставя повече информация за трафика. Дълбоката проверка на пакетите е най-високото ниво на наблюдение, което предоставя най-много информация за мрежовия трафик. За да извършите дълбока проверка на пакети, имате нужда от подходящи инструменти — и днес ние преглеждаме някои от най-добрите инструменти за дълбока проверка на пакети.
Преди да започнем, ще се опитаме да обясним дълбоката проверка на пакетите. Изглежда, че всеки има противоречива представа за това какво е и какво трябва да бъде. Дълбоката проверка на пакети, която ни интересува днес, е свързана с мониторинг на мрежата, друг неясен термин. За да се опитаме да хвърлим малко светлина по темата, ще обсъдим мониторинга като цяло и анализа на потока в частност, тъй като той представлява форма на дълбока проверка на пакети. И тъй като технологията NetFlow на Cisco изглежда е най-разпространената, ще я разгледаме по-задълбочено. Едва тогава ще сме готови да разкрием кои са най-добрите инструменти за дълбока проверка на пакети и да ви предложим кратък преглед на всеки.
Съдържание
Обяснена е дълбока проверка на пакетите
Дълбоката проверка на пакети се дефинира като акт, за компонент на мрежовата инфраструктура, на анализиране на съдържанието на пакети с данни отвъд простото разглеждане на заглавката на пакета за събиране на статистически данни за мрежовия трафик или за филтриране, приоритизиране или откриване на проникване. Въпреки че това определение е сравнително точно, то е малко общо. Освен това, каква е дълбоката проверка на пакетите, може да варира в зависимост от това, което се опитвате да постигнете. Дълбоката пакетна проверка, извършена за целите на събиране на статистически данни, например, е различна от дълбоката проверка на пакети, извършена за филтриране на част от трафика. В контекста на тази статия това, което ни интересува, е най-вече събирането на статистически данни. Инструментите, които ще прегледаме за момента, са по същество усъвършенствани инструменти за наблюдение.
Относно инструментите за наблюдение
Мониторингът на мрежата, точно както дълбоката проверка на пакети, не е ясно дефиниран термин. Най-основната форма на наблюдение на мрежата е наблюдението на честотната лента. Обикновено се прави с помощта на протокола за просто мрежово управление. Този тип наблюдение е много полезно, за да получите ясна картина на използването на вашата мрежа, но има ограничения. Въпреки че ще ви даде средното използване на честотната лента в конкретна точка от мрежата, тя няма да предостави подробности за това какво използва честотната лента.
За по-ясна картина на това какъв трафик се транспортира в мрежата, трябва да използвате анализ на потока. Анализът на потока отива много по-дълбоко от наблюдението на честотната лента и може да предостави подробна информация. Той разчита на самите мрежови устройства за изпращане на информация за трафика към системи за наблюдение, наречени колектори и/или анализатори, които могат да интерпретират данните за потока и да ги представят по смислен начин. Анализът на потока например ще ви позволи да видите как мрежовият трафик се разпределя между всички източници и дестинации. Ще ви разкаже какви протоколи и какви видове трафик се използват.
Анализът на потока може да се счита за дълбока проверка на пакети, тъй като надхвърля простото разглеждане на заглавката, за да се намери качествена информация за действителните данни, които се транспортират в мрежа. Най-често срещаната от всички технологии за анализ на потоци със сигурност е NetFlow на Cisco. Нека го разгледаме по-задълбочено.
Повече за NetFlow
NetFlow първоначално е разработен от Cisco Systems и въведен на техните рутери с цел предоставяне на възможност за събиране на информация за IP мрежовия трафик, когато влиза или излиза от интерфейс. Първоначалното му намерение беше да се използва за създаване на по-добри списъци за контрол на достъпа (ACL). Оттогава тя се разшири в истинска схема за наблюдение и данните за потока, събрани от устройствата, сега се експортират dia.
Технологията NetFlow се състои основно от три компонента. Първият е износител на потоци, който агрегира пакетите в потоци и експортира записи на потоци към един или повече колектори на потоци. Следващият компонент, колекторът на потока, е отговорен за приемането, съхранението и предварителната обработка на данните за потока, получени от предишния компонент. И накрая, анализаторът на потока се използва за анализ на получените данни за потока. Този анализ може да се използва за профилиране на трафик или отстраняване на неизправности в мрежата, наред с други приложения. Много съвременни настройки комбинират колектора на потока и анализатора в един интегриран компонент.
Как работи NetFlow
Всяко друго устройство, което поддържа NetFlow, може да бъде конфигурирано да извежда данни за потока под формата на записи за поток и да ги изпраща до колектор на NetFlow. Потокът е пълен разговор в смисъла на IP. И може да има много потоци, преминаващи през един интерфейс във всеки един момент. Мрежовото устройство, подготвящо записи на потоци, ги изпраща на колектора, когато определи, или чрез стареене, или виждайки прекратяване на TCP сесията, че потокът е приключил.
Типичният запис на потока съдържа доста информация. Това включва входните и изходните интерфейси, началните и крайните времеви печати на потока, броя на байтовете и пакетите, които съдържа, заглавките на слой 3, IP адреса на източника и местоназначението и номера на порта, IP протокола и TOS ( Тип услуга). Записите на потока не съдържат действителните данни, съставляващи потока. Те съдържат само информация за потока. Това е важно от гледна точка на сигурността.
В повечето среди колекторите на потоци, където се изпращат записите, често са и анализатори на поток. Само много големи мрежи с множество сайтове ще се възползват от наличието на отделни колектори, разпределени в различните сайтове. Колекторите и анализаторите използват информацията, съдържаща се в записите на потока, за да представят данни за мрежовия трафик по начин, който е полезен за мрежовите администратори. Всъщност основните отличителни фактори между различните инструменти е начинът, по който те могат да осмислят и представят данните по смислен начин.
Най-добрите инструменти за дълбока проверка на пакети
От гледна точка на мониторинг, анализът на потока е задълбочена проверка на пакетите, така че инструментите, които разглеждаме днес, наистина са NetFlow анализатори. Много от тях ще направят повече от това, но някои са част от цялостно решение за мониторинг.
1. SolarWinds NetFlow Traffic Analyzer (БЕЗПЛАТНА пробна версия)
SolarWinds, в невероятния случай, че никога не сте чували за компанията, прави едни от най-добрите софтуери за мрежово и системно администриране. Един от неговите водещи продукти, SolarWinds Network Performance Monitor, се счита от мнозина за един от най-добрите инструменти за мониторинг на мрежовата честотна лента. И SolarWinds също така прави някои отлични безплатни инструменти, всеки от които отговаря на конкретна задача на мрежовите администратори. Два примера за тези безплатни инструменти са безплатен усъвършенстван калкулатор на подмрежа и безплатен сървър за системни дневници. И когато става въпрос за анализ на трафика NetFlow, SolarWinds NetFlow Traffic Analyzer (NTA) определено е един от най-добрите NetFlow колектори и анализатори, които можете да намерите.
Сред най-добрите характеристики на продукта, SolarWinds NetFlow Traffic Analyzer може да наблюдава използването на честотната лента по приложение, протокол и IP адресна група. Той може не само да наблюдава Cisco NetFlow, но и Juniper J-Flow, sFlow, Huawei NetStream и IPFIX – няколко други технологии за анализ на потока, базирани на NetFlow – за да идентифицира кои приложения и протоколи са най-големите потребители на честотна лента. Инструментът събира данни за трафика, съпоставя ги в използваем формат и ги представя на потребителя на уеб-базирано табло. Продуктът поддържа Cisco NBAR2, за да идентифицира кои приложения и категории консумират най-много честотна лента, което ви дава още по-добра видимост на мрежовия трафик.
Анализаторът на трафик SolarWinds NetFlow е добавка към Монитора на производителността на мрежата (NPM). Ако все още не притежавате лиценз за NPM, ще трябва да го вземете предвид тази цена. Те започват от $2 955 за до 100 елемента. Що се отнася до добавката NTA, нейният лиценз трябва да съвпада с броя на възлите на вашия NPN лиценз и цените започват от $1 915. Ако предпочитате да опитате продукта, преди да се ангажирате с покупка, от SolarWinds е налична безплатна пробна версия.
2. SolarWinds Анализатор NetFlow в реално време (безплатно изтегляне)
Ако имате нужда от решение с по-малък мащаб, SolarWinds Real-Time NetFlow Analyzer може да е точно това, от което се нуждаете. Това е един от известните безплатни инструменти на SolarWind и, макар и не толкова завършен като NetFlow Traffic Analyzer, ви дава част от същата основна функционалност.
Той може да улавя и анализира данни за потока в реално време. И ще ви покаже вида трафик, транспортиран във вашата мрежа, откъде идва и къде отива. Можете също да го използвате — до известна степен — за диагностициране на скокове в трафика и отстраняване на проблеми с честотната лента.
Продуктът ще ви позволи да идентифицирате кои потребители, устройства и приложения консумират най-много честотна лента; изолирайте мрежовия трафик по разговор, приложение, домейн, крайна точка и протокол; и прегледайте мрежовия трафик по тип и определени периоди от време
Разбира се, не можете да очаквате този безплатен софтуер да прави всичко, което прави неговият по-голям брат. Той има някои сериозни ограничения и основният му фокус е текущото и съвсем скорошно състояние на вашата мрежа. Той ще събира данни само от един интерфейс на NetFlow и ще съхранява и анализира само последните 60 минути данни.
Ако имате нужда от бърз и мръсен изглед на използването на вашата честотна лента, безплатният анализатор на NetFlow в реално време на SolarWinds ще го осигури, но не много повече.
3. ManageEngine NetFlow Analyzer
ManageEngine е друго добре познато име в областта на инструментите за управление на мрежата. Неговият ManageEngine NetFlow Analyzer дава на мрежовите администратори подробен поглед върху използването на честотната лента на мрежата, както и моделите на трафика. Продуктът се управлява от уеб-базиран интерфейс и предлага впечатляващ брой различни изгледи във вашата мрежа.
Например продуктът ще ви позволи да преглеждате трафик по приложение, по разговор, по протокол и още няколко опции. Освен това имате възможност да зададете сигнали, които да ви предупреждават за потенциални проблеми. Можете например да зададете праг за трафик на конкретен интерфейс и да бъдете предупредени, когато той бъде надвишен.
Но най-големите силни страни на този инструмент са неговите отчети и табло за управление. Той идва с няколко много полезни предварително изготвени отчета, които са персонализирани за конкретни цели като отстраняване на неизправности, планиране на капацитет или фактуриране. И колкото и да са добри вградените му отчети, инструментът също така позволява на администраторите да създават персонализирани отчети по свой вкус.
Таблото на продукта е също толкова впечатляващо, колкото и неговите отчети. Той включва няколко кръгови диаграми с неща като топ приложения, топ протоколи или най-добри разговори. Той може също да показва нещо като топлинна карта със състоянието на наблюдаваните интерфейси. И точно както отчетите, таблото за управление може също да бъде персонализирано, за да включва само информацията, която намирате за полезна. Таблото за управление също е мястото, където сигналите се показват под формата на изскачащи прозорци. Мрежовият администратор в движение няма да се чувства изоставен, тъй като е налично приложение за смартфон и ще ви даде достъп както до таблото за управление, така и до отчетите.
ManageEngine NetFlow Analyzer поддържа повечето технологии за поток, включително NetFlow, IPFIX, J-flow, NetStream и няколко други. Този инструмент също може да се похвали с отлична интеграция с устройства на Cisco, с възможност за регулиране на оформянето на трафика и/или QoS политиките директно от инструмента.
ManageEngine NetFlow Analyzer се предлага в две версии. Има безплатна версия, която е ограничена до наблюдение само на два интерфейса на потоци. Въпреки че това не е много, може да е всичко, от което се нуждаете. И тази безплатна версия ще позволи неограничен брой устройства за първите 30 дни, което ви дава шанс да направите задълбочен тест. След като пробният период приключи, лицензите се предлагат в няколко размера от 100 до 2500 интерфейса или потоци с цени, започващи от около $600 плюс годишни такси за поддръжка.
4. Paessler Router Traffic Grapher (PRTG)
PRTG от Paessler е друго добре познато решение „всичко в едно“, чиято основна цел е наблюдение на използването на честотната лента. Също така се използва за наблюдение на наличността и здравето на различни мрежови ресурси. Като такъв, това е друг много полезен инструмент за мрежовите администратори. Но благодарение на NetFlow сензор, който е наличен за продукта, PRTG може да служи и като NetFlow колектор и анализатор.
Всъщност PRTG не е просто инструмент за наблюдение на честотната лента или NetFlow колектор и анализатор. Той използва няколко технологии за наблюдение на системи, устройства, трафик и приложения. Сред тях продуктът ще използва SNMP с готови за използване и персонализирани опции, WMI и Windows броячи на производителност, SSH за системи Linux/Unix и MacOS, потоци – като NetFlow или sFlow – и подслушване на пакети, HTTP заявки, REST API, връщащи XML или JSON, Ping, SQL и много други.
Инсталирането на PRTG е лесно. Просто стартирате инсталатора, след което процесът на автоматично откриване ще открие устройства и ще настрои сензори. След това можете да добавите допълнителни сензори – като колектори NetFlow – ръчно. На уебсайта на Paessler има дори подробен видеоклип, който ще ви покаже как се прави.
Сървърът работи само на Windows, но потребителският му интерфейс е уеб-базиран и може да бъде достъпен от всеки браузър. Има и мобилно клиентско приложение, което можете да инсталирате на вашия смартфон. Мобилното клиентско приложение има уникална функция под формата на QR етикети, които можете да отпечатате и залепите на вашите устройства. След това сканиране на кода от мобилното приложение бързо ще отвори сензорните данни на това устройство.
Предлагат се две версии на PRTG. Има безплатна версия, която е ограничена до 100 сензора. Имайте предвид, че сензорът на PRTG език не е устройство. Вместо това това е най-основният елемент, който може да бъде наблюдаван. Например, наблюдението на всеки порт на 48-портов комутатор изисква 48 сензора, а събирането и анализът на NetFlow изисква един сензор на износител на поток. При това темпо е очевидно, че 100 сензора може да не са толкова, колкото изглеждаше на пръв поглед. Ако имате нужда от повече от 100 сензора, ще трябва да закупите лиценз. Предлагат се в 500, 1000, 2500 или 5000 сензора и има и неограничен лиценз. Цените варират от около $1 600 до малко под $15 000. Безплатната версия ще позволи неограничен брой сензори за първите 30 дни, за да можете да се възползвате от задълбочено тест-драйв на продукта.
5. Скрутинизатор
На последно място в нашия списък е Scrutinizer от Plixer, друг отличен NetFlow Analyzer. Всъщност това е много повече от това и някои го разглеждат като пълна система за реагиране на инциденти. Продуктът има способността да наблюдава различни типове поток, като NetFlow, J-flow, NetStream и IPFIX, така че не сте ограничени до наблюдение само на устройства на Cisco.
Scrutinizer може да се похвали с йерархичен дизайн, който предлага рационализирано и ефективно събиране на данни и ви позволява да започнете от малки и след това да увеличите до много милиони потоци в секунда. Мрежата често се обвинява първо, когато нещо се обърка. С този инструмент можете бързо да намерите истинската причина за почти всеки мрежов проблем. Продуктът работи както с физическа, така и с виртуална среда и се предлага с разширени функции за отчитане.
Scrutinizer се предлага в четири лицензионни нива. Те варират от основната безплатна версия до пълноценното ниво на SCR, което може да мащабира до над 10 милиона потоци в секунда. Безплатната версия е ограничена до 10 хиляди потока в секунда и ще съхранява необработени данни за потока само за 5 часа, но би трябвало да е повече от достатъчно за отстраняване на проблеми с мрежата. Можете също да опитате всяко ниво на лиценз за 30 дни, след което той ще се върне обратно към безплатната версия.