Examinarea modului în care traficul circulă printr-o rețea reprezintă un proces esențial pentru administratorii și managerii de rețea. Această analiză nu doar că dezvăluie cât de mult este utilizată o rețea, dar, și mai important, scoate la iveală *modul* în care aceasta este folosită. A ști că un anumit segment al rețelei este congestionat este un lucru, dar a identifica cauzele acestei congestii este mult mai util. Fără aceste informații, singura soluție pentru a remedia problema congestiei ar fi adăugarea de mai multă lățime de bandă, o soluție costisitoare și nu întotdeauna eficientă. Analiza tiparelor de trafic, în schimb, poate oferi soluția optimă. În acest articol, vom analiza cele mai importante instrumente pe care le puteți folosi în acest scop.
Vom începe incursiunea noastră în analiza tiparelor de trafic printr-o discuție teoretică. Mai întâi, vom examina cu atenție conceptul de analiză a tiparelor de trafic, un pas esențial pentru a înțelege ce caracteristici ar trebui să aibă un instrument de analiză a acestora. Apoi, ne vom concentra pe NetFlow și pe alte sisteme de raportare a fluxului, deoarece acestea reprezintă fundamentul majorității instrumentelor de analiză a tiparelor de trafic. Vom începe cu protocolul Cisco NetFlow și variantele sale, înainte de a explora sFlow, un protocol concurent care funcționează într-un mod diferit. Odată înarmați cu aceste cunoștințe, vom fi gata să trecem în revistă cele mai performante instrumente de analiză a tiparelor de trafic disponibile.
Analiza tiparelor de trafic: o scurtă prezentare
În esență, analiza tiparelor de trafic de rețea constă în înregistrarea, examinarea și interpretarea traficului de rețea în vederea optimizării performanței, securității, operațiunilor și gestionării generale a rețelei. Mai precis, implică utilizarea tehnicilor manuale și automate pentru a analiza detaliile și statisticile la nivel granular ale traficului de rețea.
Există două abordări principale ale monitorizării traficului de rețea. Prima este monitorizarea utilizării lățimii de bandă, care furnizează date cantitative. Aceasta vă permite să vedeți volumul de trafic care trece printr-un anumit punct al rețelei, dar nu oferă informații despre natura acestui trafic. Cea de-a doua abordare, analiza tiparelor de trafic (sau analiza traficului de rețea), explorează în profunzime tipul de trafic, pachetele sau datele care circulă în rețea. Scopul principal este de a oferi o perspectivă detaliată asupra caracteristicilor traficului.
Deși analiza tiparelor de trafic de rețea poate fi realizată manual, în practică se utilizează cel mai adesea instrumente de monitorizare a rețelei, datorită complexității și volumului de date implicate. Statisticile obținute prin această analiză sunt esențiale pentru înțelegerea și evaluarea utilizării rețelei, dezvăluind detalii importante despre tipul, dimensiunea, originea și destinația pachetelor de date, și uneori chiar informații despre conținutul acestora.
Echipele de securitate a rețelei pot folosi analiza tiparelor de trafic pentru a identifica pachetele malițioase sau suspecte, în timp ce administratorii de rețea o pot utiliza pentru a monitoriza vitezele de încărcare și descărcare, debitul și alte metrici importante pentru a înțelege mai bine utilizarea rețelei. Din păcate, această analiză poate fi folosită și de atacatori pentru a identifica vulnerabilități sau metode de a pătrunde în rețea și a accesa date sensibile, fiind un instrument cu dublu tăiș.
NetFlow și alte sisteme de raportare a fluxului
NetFlow, o caracteristică introdusă în routerele Cisco încă din 1996, permite colectarea datelor despre traficul de rețea IP în timp ce acesta intră sau iese dintr-o interfață. Spre deosebire de monitorizarea lățimii de bandă, care doar numără datele, NetFlow colectează informații detaliate despre trafic. Prin analizarea acestor date, se pot determina sursa și destinația traficului, clasa și tipul de serviciu, și, în cele din urmă, se pot identifica cauzele congestiei.
O configurație tipică de monitorizare NetFlow este formată din trei componente principale:
| Exportatorul de flux: | Agregă pachetele în fluxuri și exportă înregistrările de flux către unul sau mai mulți colectori de flux. Această componentă se află în dispozitivul de rețea. |
| Colectorul de flux: | Este responsabil pentru recepția, stocarea și preprocesarea datelor de flux primite de la exportatorul de flux. |
| Analizorul de flux: | Analizează datele de flux primite în contextul detectării intruziunilor sau al profilării traficului, de exemplu. |
Un flux, în terminologia NetFlow, reprezintă o secvență unidirecțională de pachete care au în comun anumite atribute, cum ar fi interfața de intrare, adresele IP sursă și destinație, protocolul IP (TCP/UDP/ICMP etc.), porturile IP sursă și destinație, și tipul de serviciu IP. Datele detaliate despre fiecare flux sunt colectate de exportatorul de flux înainte de a fi trimise către colectorul de flux. În majoritatea cazurilor, colectorul și analizorul de debit sunt componente ale aceluiași sistem.
Deși inițial exclusiv Cisco, NetFlow este acum disponibil pe echipamente de la diverși furnizori, cum ar fi Juniper, Alcatel-Lucent și Nortel. Unii furnizori îi atribuie denumiri diferite, cum ar fi J-flow pentru Juniper. Există și o versiune standardizată IETF, numită IPFIX (Internet Protocol Flow Information eXport).
sFlow este o tehnologie echivalentă, dar diferită. Utilizează metode similare pentru colectarea informațiilor despre flux, dar adaugă eșantionarea datelor, pentru a obține informații mai detaliate. Puține instrumente de analiză și colectare NetFlow sunt compatibile cu datele sFlow, datorită diferențelor dintre cele două tehnologii.
Cele mai bune instrumente pentru analiza tiparelor de trafic
Există numeroase instrumente pentru analiza tiparelor de trafic în rețea. Majoritatea colectează date NetFlow și le prezintă sub formă grafică, în timp ce altele folosesc tehnici diferite pentru a atinge obiective similare.
1. SolarWinds NetFlow Traffic Analyzer (TRIAL GRATUIT)
SolarWinds NetFlow Traffic Analyzer (NTA) este primul instrument pe lista noastră. SolarWinds este o companie cunoscută pentru crearea unor instrumente de gestionare a rețelei de înaltă calitate. Produsul său emblematic, Network Performance Monitor, este unul dintre cele mai performante instrumente de monitorizare a lățimii de bandă disponibile. SolarWinds oferă, de asemenea, instrumente specializate pentru diverse nevoi de administrare a rețelei, cum ar fi calculatoare de subrețele sau servere TFTP.
După cum sugerează și numele, SolarWinds NetFlow Traffic Analyzer utilizează protocolul NetFlow pentru a furniza informații detaliate despre traficul observat, raportând, de exemplu, tipurile de trafic cel mai frecvente sau utilizatorii care consumă cea mai mare lățime de bandă. Instrumentul oferă diverse vizualizări pe tabloul de bord, cum ar fi top aplicații, protocoale de top sau cei mai mari consumatori de bandă. Produsul este compatibil cu majoritatea variantelor NetFlow de la diferiți furnizori.
TRIAL GRATUIT: SOLARWINDS NETFLOW TRAFFIC ANALYZER
Iată câteva dintre cele mai notabile caracteristici ale produsului:
- Monitorizează utilizarea rețelei în funcție de aplicație, protocol și grup de adrese IP.
- Monitorizează datele fluxurilor Cisco NetFlow, Juniper J-Flow, sFlow, Huawei NetStream și IPFIX pentru a identifica aplicațiile și protocoalele care consumă cea mai mare lățime de bandă.
- Colectează date de trafic, le corelează într-un format ușor de utilizat și le prezintă pe interfața sa web.
- Ajută la identificarea aplicațiilor și categoriilor care consumă cea mai mare lățime de bandă, oferind o vizibilitate mai bună a traficului de rețea, și are suport pentru Cisco NBAR2.
SolarWinds NetFlow Traffic Analyzer este disponibil ca supliment pentru Network Performance Monitor (NPM). Prețurile încep de la 1.915 USD pentru 100 de noduri, iar numărul de noduri trebuie să corespundă licenței NPM. Dacă nu dețineți deja NPM, acesta costă 2.995 USD pentru același nivel de 100 de noduri. Pentru a-l testa înainte de a-l achiziționa, puteți descărca o versiune de evaluare de 30 de zile.
2. Paessler Router Traffic Grapher (PRTG)
Paessler Router Traffic Grapher sau PRTG este o soluție all-in-one, special concepută pentru monitorizarea utilizării lățimii de bandă. Integrarea monitorizării SNMP a lățimii de bandă cu colectarea și analiza NetFlow, este una dintre multiplele funcții ale produsului. PRTG folosește diverse tehnologii pentru a monitoriza sisteme, dispozitive, trafic și aplicații. Iată o descriere a protocoalelor de monitorizare acceptate:
- Fluxuri (NetFlow sau sFlow)
- SNMP, cu opțiuni predefinite și personalizate
- Contoare de performanță WMI și Windows
- SSH pentru sistemele Linux/Unix și MacOS
- Captura de pachete
- Ping, SQL și multe altele
Instalarea PRTG este un proces simplu. Paessler susține că instalarea poate fi finalizată în câteva minute. După rularea programului de instalare, procesul de auto-descoperire va identifica dispozitivele și va configura senzorii de bază. Apoi puteți adăuga manual senzori, cum ar fi colectorii NetFlow. Există un videoclip detaliat care vă arată cum se face.
PRTG rulează doar pe Windows, dar interfața sa de utilizator este bazată pe web și poate fi accesată din orice browser, de pe orice platformă. Există și aplicații mobile pentru Android și iOS. Instrumentul oferă o caracteristică unică sub forma etichetelor cu coduri QR, pe care le puteți imprima și aplica pe dispozitive. Apoi, este suficient să scanați codul cu aplicația mobilă pentru a vizualiza rapid datele senzorilor.
PRTG este disponibil în două versiuni. Versiunea gratuită este limitată la 100 de senzori, iar fiecare element monitorizat este considerat un senzor. Pentru a monitoriza fiecare port al unui comutator cu 48 de porturi, veți avea nevoie de 48 de senzori. Pentru colectarea și analiza NetFlow, este necesar un senzor pentru fiecare exportator de flux. Pentru mai mult de 100 de senzori, este necesară o licență plătită. Licențele sunt disponibile pentru 500, 1000, 2500, 5000 și noduri nelimitate, cu prețuri cuprinse între 1.600 și 15.000 USD. Versiunea gratuită permite un număr nelimitat de senzori pentru primele 30 de zile, oferindu-vă posibilitatea de a testa temeinic produsul.
3. Scrutinizer
Scrutinizer de la Plixer este un analizor NetFlow excelent, considerat de mulți un sistem complet de răspuns la incidente. Cu capacitatea sa de a monitoriza diverse tipuri de fluxuri, cum ar fi NetFlow, J-flow, NetStream și IPFIX, nu este limitat doar la monitorizarea dispozitivelor Cisco.
Scrutinizer are un design ierarhic, oferind o colectare de date eficientă și raționalizată, permițând o scalare ușoară de la o dimensiune mică până la milioane de fluxuri pe secundă. Deși rețeaua este adesea învinovățită prima dată atunci când ceva nu merge bine, Scrutinizer vă ajută să identificați rapid cauza principală a majorității problemelor de rețea. Produsul funcționează atât în medii fizice, cât și virtuale și oferă funcții avansate de raportare.
Scrutinizer este disponibil în patru niveluri de licență, de la versiunea gratuită de bază până la nivelul superior SCR, care poate gestiona peste zece milioane de fluxuri pe secundă. Versiunea gratuită este limitată la zece mii de fluxuri pe secundă și păstrează datele brute doar 5 ore. Nivelurile intermediare sunt MDX, care păstrează datele timp de 25 de ore, și SSRV, care le păstrează nelimitat. Puteți testa orice nivel de licență timp de 30 de zile, după care se va reveni la versiunea gratuită.
4. ManageEngine NetFlow Analyzer
ManageEngine este un alt nume binecunoscut în domeniul instrumentelor de administrare a rețelei. Similar cu SolarWinds, compania produce numeroase instrumente excelente, precum și câteva gratuite. ManageEngine NetFlow Analyzer oferă o vizualizare detaliată a utilizării lățimii de bandă a rețelei, precum și a tiparelor de trafic. Produsul are o interfață web care oferă un număr impresionant de vizualizări diferite ale rețelei.
Instrumentul vă permite să vizualizați traficul după aplicație, conversație, protocol și alte câteva criterii. Puteți seta, de asemenea, alerte pentru a fi avertizat despre potențiale probleme, cum ar fi depășirea unui anumit prag de trafic pe o interfață.
Puterea ManageEngine NetFlow Analyzer rezidă în rapoartele și tabloul său de bord. Produsul oferă numeroase rapoarte prefabricate utile, adaptate pentru scopuri specifice, cum ar fi depanarea, planificarea capacității sau facturarea. În plus, administratorii pot crea rapoarte personalizate. Tabloul de bord include diverse diagrame circulare, care prezintă top aplicații, protocoale sau conversații, și poate afișa o hartă termică a stării interfețelor monitorizate. Tablourile de bord pot fi personalizate pentru a include doar informațiile relevante. Pentru administratorii aflați în mișcare, există o aplicație pentru smartphone care oferă acces la tabloul de bord și rapoarte.
ManageEngine NetFlow Analyzer este compatibil cu majoritatea tehnologiilor de flux, inclusiv NetFlow, IPFIX, J-flow, NetStream și altele. Produsul se integrează excelent cu dispozitivele Cisco, oferind posibilitatea de a ajusta politicile de modelare a traficului și/sau QoS direct din instrument.
ManageEngine NetFlow Analyzer vine în două versiuni. Versiunea gratuită este limitată la monitorizarea a doar două interfețe sau exportatori de flux. Pentru o capacitate mai mare, licențele sunt disponibile în diverse dimensiuni, de la 100 la 2500 de interfețe sau fluxuri, la prețuri cuprinse între 600 și peste 50.000 USD, plus taxe anuale de întreținere. O versiune de evaluare gratuită de 30 de zile este disponibilă pentru toate planurile plătite.
5. sFlowTrend
În timp ce majoritatea produselor prezentate anterior sunt excelente, doar PRTG suportă și protocolul sFlow. S-a menționat deja că cele două protocoale sunt destul de diferite și este rar ca un instrument să le suporte pe ambele. Dacă rețeaua dvs. este formată în principal din dispozitive compatibile cu sFlow, acesta este unul dintre cele mai bune instrumente disponibile.
sFlowTrend este un instrument de monitorizare sFlow de la inMon, compania care a creat protocolul sFlow. Este un instrument de bază, dar foarte capabil. Există o versiune gratuită care permite colectarea datelor de pe până la cinci dispozitive compatibile sFlow și stocarea datelor istorice în RAM timp de o oră. Pentru monitorizarea continuă, este necesară versiunea Pro, care elimină limita de dispozitive și stochează datele istorice pe disc.
Tabloul de bord al sFlowTrend oferă o vizualizare rapidă a stării curente a dispozitivelor și rețelelor monitorizate, afișând pragurile de nivel superior și interfețele cu potențiale erori. Fila Rețea dezvăluie statistici de performanță rezumate și trafic detaliat la nivel de rețea sau dispozitiv. Pragurile de alertă pot fi utilizate pentru a primi notificări în cazul unei utilizări neobișnuite a lățimii de bandă sau a unei erori. Software-ul include, de asemenea, fila Cauză rădăcină, unde puteți detalia cauza unei probleme, cum ar fi o depășire a pragului.
Fila Gazde din sFlowTrend oferă informații detaliate despre fiecare dispozitiv, afișând date despre performanța CPU, a discului și altele pentru serverele compatibile sFlow. Fila Servicii prezintă date de performanță pentru aplicațiile care exportă date sFlow. În fila Evenimente veți găsi un jurnal al evenimentelor, cum ar fi depășirile de prag sau erorile detectate. Fila Rapoarte oferă diverse rapoarte predefinite și suportă crearea de rapoarte personalizate.
sFlowTrend este scris în Java și oferă o interfață de utilizator bazată atât pe Java, cât și pe web. Este disponibil pentru Windows, Mac și Linux. Software-ul dispune de un sistem de ajutor online pentru a vă ajuta în configurarea și utilizarea instrumentului.
Concluzii
Indiferent de instrumentul ales, analiza tiparelor de trafic de rețea oferă o perspectivă neprețuită asupra evenimentelor din rețea. Toate instrumentele prezentate oferă o valoare semnificativă, iar alegerea unuia va fi o chestiune de preferință personală. Poate exista o funcție specifică care vă atrage în mod special. Având în vedere că majoritatea instrumentelor oferă versiuni de evaluare gratuite sau o versiune gratuită, merită să testați câteva înainte de a lua o decizie finală.