Често сравняваме мрежите с магистралите, където пакетите с данни са като автомобили, които пътуват от точка А до точка Б. Макар че това е добра аналогия, има важна разлика между двете. Въпреки че е лесно да видите как преминават автомобили по магистрала, е много по-трудно да видите трафика, който преминава по мрежата. По същия начин, задръстване или дори просто по-плътен трафик може лесно да се наблюдава на магистрала, докато остава невидим в мрежата. Наблюдават се само нейните ефекти. Това е мястото, където мрежовите анализатори могат да помогнат, като ви дадат известна видимост върху това, което се случва в мрежата. IPFIX е индустриален стандартен протокол за мрежов анализ, който осигурява този тип видимост. Поради тази причина ви представяме нашите най-добри IPFIX колектори и анализатори.
Ще започнем с обсъждане на наблюдението на мрежата като цяло. Ще представим двата основни типа инструменти за наблюдение, които обикновено се използват от мрежовите администратори за наблюдение на тяхната мрежа и идентифициране на проблеми, преди те да имат твърде голямо влияние. Ще обясним какво е IPFIX и уау, че работи, като се опитваме да го запазим възможно най-нетехнически. След това ще бъдем готови да се потопим в ядрото на темата и да прегледаме най-добрите IPFIX колектори и анализатори, които можем да намерим.
Съдържание
Инструменти за наблюдение на мрежата
Една от най-важните отговорности на мрежовите администратори е да гарантират, че всичко върви гладко, че няма забавяне и че целият мрежов трафик достига до местоназначението си в рамките на приемливо време. За съжаление, това, което се случва в мрежата, се случва вътре в кабели, рутери, суичове и друго оборудване, където обикновено е невъзможно да се види какво се случва. Инструментите за наблюдение на мрежата са измислени, за да дадат на администраторите видимостта, от която се нуждаят, за да гарантират, че всичко работи добре по всяко време. Въпреки че има няколко различни типа инструменти за наблюдение на мрежата, най-често се срещат два специфични типа: инструменти за наблюдение на честотната лента и инструменти за анализ на потока.
Инструменти за наблюдение на честотната лента
Най-елементарният тип инструмент за наблюдение на мрежовия трафик е мониторът на честотната лента. Това е система, която анкетира мрежовите устройства на редовни интервали (обикновено пет минути) и чете броячите на техните интерфейсни байтове. Той използва тази информация, за да изчисли средното използване на честотната лента и начертава нейното развитие на графика. Тези инструменти обикновено използват Simple Network Management Protocol, за да се свързват с устройства и да четат броячите им, без да изискват инсталиране на допълнителен софтуер на тях. Това, което получавате, е количествен изглед на мрежовия трафик. Инструментът ще ви покаже колко трафик преминава на точно място в мрежата, но няма да ви каже какъв е този трафик.
Инструменти за анализ на потока
За по-подробен поглед върху това, което се случва, анализирайте потока какво ви трябва. Той разчита на самите мрежови устройства да изпращат подробна информация за трафика до колектори и/или анализатори на потоци, които от своя страна могат да интерпретират данните и да ги представят по смислен начин. Съществуват няколко различни протокола за анализ на потока, но повечето, включително IPFIX, са базирани на технологията NetFlow на Cisco. NetFlow е създаден от Cisco Systems преди много години, но сега често се използва в една или друга форма на мрежово оборудване от повечето големи производители.
Относно IPFIX
IPFIX—който е акроним на IP Flow Information eXport—накратко е стандартизираната от IETF версия на най-новата версия на NetFlow. Първоначално разработен от Cisco Systems, той беше въведен на техните рутери, за да осигури възможност за събиране на IP мрежов трафик, когато влиза или излиза от интерфейс. След това събраните данни се обработват от системите за анализ на потока и се използват от мрежовите администратори, за да се определи източникът и дестинацията на трафика, класът на услугата и причините за задръстванията.
Типичната настройка за наблюдение на потока се състои от три основни компонента:
Износителят на потоци обединява пакетите в потоци и експортира записи на потоци към един или повече колектори на потоци. Това е компонентът, който е вграден в съвместими устройства.
Колекторът на потока е отговорен за приемането, съхранението и предварителната обработка на данните за потока, получени от един или много износители на потоци.
И накрая, анализаторът на потока се използва за анализиране на данните за потока, събрани от колектора на потока. Анализът може да се използва за профилиране на трафика или за отстраняване на неизправности в мрежата. В повечето инструменти за наблюдение на потока функциите на колектора и анализатора са комбинирани в една система.
Как работи IPFIX
Маршрутизаторите, комутаторите и всяко друго устройство, което поддържа IPFIX или всеки друг протокол за анализ на потока, са конфигурирани да извеждат данни за потока под формата на записи за поток и да ги изпращат до колектор на потоци. Потокът е пълен разговор в смисъла на IP, от първоначалното установяване на сесията до нейното окончателно прекратяване. Записите на потока обикновено се изпращат до колектора, когато устройствата определят, че потокът е приключил или поради стареене – няма трафик в рамките на определено изчакване – или когато види прекратяване на TCP сесия.
Записът на потока съдържа подходяща информация за потока. Това включва входните и изходните интерфейси, началните и крайните времеви печати на потока, броя на байтовете и пакетите, които съдържа, заглавките на слой 3, IP адреса на източника и местоназначението и номера на порта, IP протокола и стойността на TOS . Записите на потока не съдържат действителните данни, съставляващи потока, те съдържат само информация за потока. Това е важна характеристика за сигурност на протокола.
Анализаторите на поток използват информацията, съдържаща се в записите на потока, за да представят данни за мрежовия трафик по начин, който е полезен за мрежовите администратори. Различните IPFIX колектори и анализатори ще имат различни начини за представяне на данни. Типичните дисплеи включват най-добрите говорещи и слушатели, най-добрите протоколи или топ приложения и топ потребители, функция, която е налична в усъвършенстваните инструменти, които се свързват към AD или LDAP сървърите и могат да определят кой потребител използва кой IP адрес.
Най-добрите IPFIX колектори и анализатори
Има много налични опции, когато търсите инструмент за колектор и анализатор на IPFIX. Претърсихме пазара и намерихме най-добрите. Имаме комбинация от търговски софтуер и безплатни и/или предложения с отворен код. Както ще видите, не е задължително да отделяте огромни суми пари, за да започнете с анализа на потока.
1. Анализатор на трафик на SolarWinds NetFlow (БЕЗПЛАТЕН ПРОБЕН ПРОБЕН АП)
SolarWinds е един от най-известните производители на инструменти за мрежово и системно администриране. Неговият водещ продукт, наречен монитор за мрежова производителност, се разглежда от мнозина като най-добрите инструменти за наблюдение на мрежовата честотна лента. По същия начин, SolarWinds NetFlow Traffic Analyzer—който се инсталира върху монитора на мрежовата производителност—е един от най-добрите IPFIX колектори и анализатори, които можете да намерите.
Някои от най-добрите характеристики на SolarWinds NetFlow Traffic Analyzer включват:
Мониторинг на използването на честотната лента по приложение, по протокол и по IP адресна група.
Мониторинг на данните за потока на IPFIX, Cisco NetFlow, Juniper J-Flow, sFlow и Huawei NetStream, което му позволява да идентифицира кои устройства, приложения и протоколи са най-високите потребители на честотна лента.
Събиране на данни за трафика, съпоставянето им в използваем формат и представянето им на потребителя чрез уеб-базиран интерфейс за наблюдение на мрежовия трафик.
Идентифициране кои приложения и категории консумират най-много честотна лента за по-добра видимост на мрежовия трафик (включително поддръжка на Cisco NBAR2).
Анализаторът на трафик SolarWinds NetFlow е добавка към монитора на мрежовата честотна лента. Можете да спестите, като закупите и двете едновременно с пакета SolarWinds Network Bandwidth Analyzer Pack. Цените започват от $4 910 за наблюдение на до 100 елемента и варират в зависимост от броя на наблюдаваните устройства. Въпреки че това може да изглежда малко скъпо, имайте предвид, че получавате не един, а два от най-добрите налични инструменти за наблюдение. Ако предпочитате да изпробвате продукта, преди да го закупите, можете да изтеглите безплатна 30-дневна пробна версия от SolarWinds.
2. Анализаторът на AppFlow в реално време SolarWinds (БЕЗПЛАТНО ИЗТЕГЛЯНЕ)
В допълнение към създаването на някои от най-добрите инструменти за мрежово администриране. SolarWinds също е известен със своите безплатни инструменти. Те са по-малки инструменти, отговарящи на специфични нужди на мрежовите администратори. Един от тези безплатни инструменти е анализаторът на AppFlow в реално време и ако имате нужда от решение с по-малък мащаб, то може да е точно това, от което се нуждаете. Разбира се, този продукт далеч не е толкова богат на функции, колкото NetFlow Traffic Analyzer, но все пак ви предоставя същата основна функционалност.
Този инструмент може да улавя и анализира IPFIX, NetFlow, JFlow и sFlow данни в реално време. Той ще ви покаже точно видовете трафик във вашата мрежа, откъде идва и къде отива. Можете също да го използвате за диагностициране на скокове в трафика и отстраняване на проблеми с честотната лента.
Някои от основните характеристики на продукта включват:
Идентифициране кои потребители, устройства и приложения консумират най-много честотна лента
Изолиране на мрежовия трафик по разговор, приложение, домейн, крайна точка и протокол
Преглед на мрежовия трафик по вид и определени периоди от време
Този безплатен инструмент не може да се сравни с по-големия си брат. Той е силно ограничен, но може да е всичко, от което се нуждаете, за да видите дали анализът на потока е това, от което се нуждаете. Основният фокус на инструмента е текущото и последното състояние на вашата мрежа. Той ще събира данни само от един износител на поток и ще съхранява и анализира само последните 60 минути данни.
Инсталирането на SolarWinds Real-Time AppFlow Analyzer е лесно и бързо, благодарение на неговия съветник за настройка. Веднъж инсталиран, е включен модул NetFlow Configurator, за да ви помогне да конфигурирате устройства, които поддържат различни варианти на NetFlow, включително IPFIX.
Ако вашето мрежово оборудване поддържа IPFIX и имате нужда от бърз и мръсен преглед на използването на вашата честотна лента, безплатният SolarWinds Real-Time AppFlow Analyzer може да е за вас.
3. PRTG Network Monitor
PRTG Network Monitor от Paessler AG е решение „всичко в едно“, чиято основна цел е да наблюдава използването на честотната лента. Също така се използва за наблюдение на наличността и здравето на различни мрежови ресурси. Като такъв, това е друг много полезен инструмент за мрежовите администратори. PRTG може да наблюдава множество сайтове и може да наблюдава LAN, WAN, VPN и облачни услуги.
Силата на PRTG идва главно от неговите сензори. Можете да ги мислите като добавки, освен че са включени в продукта. Една такава добавка е сензорът IPFIX, който получава данни за трафика от съвместимо с IPFIX устройство и показва трафик по тип. Налични са няколко опции за филтриране за разделяне на трафика на различни канали.
Инсталирането на PRTG е бързо и лесно. Всъщност, Paessler твърди, че можете да започнете да наблюдавате в рамките на няколко минути. Скоростта на настройка отчасти се дължи на процеса на автоматично откриване, който ще открива устройства и настройва сензори.
PRTG работи само на Windows, но потребителският му интерфейс е уеб-базиран и може да бъде достъпен от всеки браузър. Има и мобилно приложение, което можете да инсталирате на вашия смартфон. Мобилното приложение PRTG се възползва напълно от основната платформа. Той има, например, уникална функция под формата на QR етикети, които можете да отпечатате и залепите на вашите устройства. След това е лесно да сканирате кода от мобилното приложение, за да видите бързо данните от сензора на устройството.
Предлагат се две версии на PRTG. Има безплатна версия, която е ограничена до 100 сензора. Въпреки че тази граница може да изглежда доста висока, имайте предвид, че сензорът, на език на PRTG, е най-основният елемент, който може да бъде наблюдаван. Например, наблюдението на всеки порт на 48-портов комутатор използва до 48 сензора. За IPFIX ще трябва да разпределите един сензор за източник на поток.
Ако имате нужда от повече от 100 сензора, ще трябва да закупите лиценз. Цените варират в зависимост от броя на необходимите сензори и започват от $1 600 за 500 сензора. Безплатната версия ще позволи неограничен брой сензори за първите 30 дни, така че можете да тествате напълно продукта.
4. Скрутинизатор
Scrutinizer от Plixer е друг страхотен IPFIX анализатор. Всъщност това е доста повече от това и мнозина го разглеждат като пълна система за реагиране на инциденти. Когато става въпрос за анализ на потока, той може да анализира различни типове потоци като IPFIX, NetFlow, J-flow и NetStream.
Scrutinizer е изграден върху йерархичен дизайн, който предлага опростено и ефективно събиране на данни и ви позволява да започнете с малки и лесно да мащабирате до няколко милиона потоци в секунда. Въпреки че често първо се обвинява мрежата, когато нещо се обърка, този инструмент може да ви помогне бързо да намерите истинската причина за повечето проблеми с мрежата. Scrutinizer работи както във физическа, така и във виртуална среда и може да се похвали с някои разширени функции за отчитане и предупреждение.
Scrutinizer се предлага в четири лицензионни нива, които преминават от основната безплатна версия до пълноценното ниво на SCR, което може да мащабира до над 10 милиона потоци в секунда. Безплатната версия е ограничена до 10 хиляди потока в секунда и ще съхранява необработени данни за потока само за 5 часа, но би трябвало да е повече от достатъчно за отстраняване на проблеми с мрежата. Информацията за цените не е лесно достъпна и може да бъде получена чрез официална оферта от Plixer. Можете също да опитате всяко ниво на лиценз за 30 дни, след което той ще се върне обратно към безплатната версия.
5. ManageEngine NetFlow Analyzer
ManageEngine NetFlow Analyzer дава на мрежовия администратор подробен поглед върху използването на честотната лента на мрежата, както и моделите на трафика. Продуктът се управлява от уеб-базиран потребителски интерфейс и предлага впечатляващ брой различни изгледи във вашата мрежа. Инструментът ще ви позволи например да преглеждате трафика по приложение, по разговор, по протокол и няколко други опции. Можете да зададете сигнали, които да ви предупреждават за всеки потенциален проблем. Можете например да зададете праг на трафик на конкретен интерфейс и да бъдете предупредени, когато трафикът го надвиши.
Въпреки това, по-голямата част от силата на продукта идва от неговите отчети и табло за управление. Инструментът идва с няколко много полезни предварително изготвени отчета, които са персонализирани за конкретни цели като отстраняване на неизправности, планиране на капацитет или таксуване. Но не сте останали с вградени отчети. Инструментът също така позволява на администраторите да създават персонализирани отчети по свой вкус.
Нека се върнем към таблото за управление на инструмента, споменато по-рано, тъй като е също толкова впечатляващо, колкото и отчетите му и заслужава по-внимателен поглед. Той включва няколко кръгови диаграми с неща като топ приложения, топ протоколи или най-добри разговори. Може също да показва топлинна карта със състоянието на наблюдаваните интерфейси. За още по-добро изживяване при наблюдение, таблата могат да бъдат напълно персонализирани, за да включват цялата информация, която намирате за полезна, и нищо от това, което не ви е необходимо. Таблото за управление също е мястото, където сигналите се показват под формата на изскачащи прозорци. За мрежовия администратор в движение има дори приложение за смартфон, което ще ви позволи да имате достъп до таблото за управление и отчетите от където и да сте.
ManageEngine NetFlow Analyzer поддържа повечето технологии за поток, включително NetFlow (разбира се), IPFIX (или не би бил в този списък), J-flow, NetStream и няколко други. Като бонус инструментът има отлична интеграция с устройства на Cisco, с поддръжка за коригиране на правилата за оформяне на трафика и/или QoS направо от таблото за управление.
Подобно на много подобни продукти, ManageEngine NetFlow Analyzer се предлага в две версии. Безплатната версия е идентична с платената за първите 30 дни, но след това се връща към наблюдение само на два интерфейса на потоци. За повече капацитет ще ви е необходима платената версия. Лицензите се предлагат в няколко размера от 100 до 2500 интерфейса или потоци с вариращи цени, започващи от около $600 плюс годишни такси за поддръжка.
6. nProbe и ntopng
nProbe и ntopng са малко по-усъвършенствани и по-сложни инструменти с отворен код. Ntopng е уеб-базиран инструмент за анализ на трафика за наблюдение на мрежи въз основа на данни за потока, докато nProbe е експортер и колектор на IPFIX и NetFlow. Използвани заедно, те създават много гъвкав пакет за анализ на мрежата. Ако сте запознати с администрирането на Linux, може би вече сте запознати с ntop. ntopng е „следващото поколение“ GUI версия на този неостаряващ инструмент.
Подобно на повечето съвременни инструменти за мрежов анализ, ntopng разполага с уеб-базиран потребителски интерфейс, който може да представя данни според различни критерии като водещи говорители, потоци, хостове, устройства и интерфейси. Инструментът предлага комбинация от диаграми, таблици и графики, повечето включващи опции за разбивка, които ви позволяват да изследвате по-задълбочено. Интерфейсът е много гъвкав и позволява много персонализиране.
Има безплатна общностна версия на ntopng и можете също да закупите професионални и корпоративни версии. Цените им в момента са съответно 149,95 евро и 499,95 евро. Предлагат се безплатни лицензи за образователни и нестопански организации. Що се отнася до nProbe, можете да го изпробвате безплатно, но е ограничен до общо 25 000 експортирани потока. За да надхвърлите това, ще трябва да закупите лиценз, който се предлага в стандартни и професионални версии за 149,95 евро и 299,95 евро.