Analiza tiparelor de trafic este un proces care permite administratorilor și managerilor de rețea să obțină o descriere excelentă nu numai a cât de mult este utilizată o rețea, ci, mai important, a CUM este utilizată. Un lucru este să știi că un anumit segment de rețea suferă de congestie, dar este unul diferit – și mult mai util – pentru a afla ce cauzează acea congestie. Și fără aceste informații, singura opțiune pentru a remedia congestia este să aruncați mai multă lățime de bandă. Dar lățimea de bandă este scumpă și cu siguranță există modalități mai bune de a rezolva acest tip de problemă. Analiza tiparelor de trafic poate avea răspunsul și astăzi, analizăm cele mai importante instrumente pe care le puteți folosi.
Vom începe călătoria noastră în analiza modelului de trafic cu o teorie utilă. Mai întâi vom arunca o privire mai atentă la ce este analiza modelului de trafic. Acest lucru este important deoarece este ceea ce va ajuta la definirea a ceea ce constituie un instrument de analiză a modelului de trafic. Apoi vom discuta despre NetFlow și despre alte sisteme și protocoale de raportare a fluxului, deoarece acestea sunt la baza majorității instrumentelor de analiză a modelelor de trafic. Mai întâi vom arunca o privire asupra protocolului Cisco NetFlow și a multiplelor sale variante înainte de a arunca o privire la S-Flow, un protocol concurent care este oarecum diferit în modul în care funcționează. Înarmați cu toate aceste informații, vom fi gata să revizuim cele mai importante instrumente de analiză a modelelor de trafic pe care le-am putea găsi.
Cuprins
Analiza modelului de trafic pe scurt
În expresia sa cea mai simplă, analiza modelului de trafic de rețea este procesul de înregistrare, revizuire și/sau analiza traficului de rețea în scopul performanței, securității și/sau operațiunilor și gestionării rețelei generale. Mai precis, este procesul de utilizare a tehnicilor manuale și automate pentru a revizui detaliile și statisticile la nivel granular din traficul de rețea.
Există în principal două tipuri de monitorizare a traficului de rețea. Prima este monitorizarea utilizării lățimii de bandă, care poate furniza date cantitative. Acest tip de monitorizare vă va permite să vedeți cât de mult trafic trece într-un anumit punct al unei rețele, dar nu va furniza date despre natura acestui trafic. Al doilea tip de monitorizare, cel despre care discutăm astăzi și care se numește analiză a modelului de trafic de rețea sau doar analiză a traficului de rețea, merge mai profund și obiectivul său principal este de a oferi o perspectivă aprofundată asupra tipului de trafic, rețea. pachetele sau datele circulă printr-o rețea.
Deși analiza modelului de trafic în rețea se poate face manual, cel mai adesea se face cu ajutorul unui instrument de monitorizare a rețelei. A face acest lucru manual ar necesita pur și simplu prea multe eforturi. Statisticile de trafic obținute din analiza traficului în rețea pot ajuta la înțelegerea și evaluarea utilizării rețelei. Acesta va dezvălui date importante despre tipul, dimensiunea, originea și destinația pachetelor de date. Poate include chiar și unele informații despre conținutul pachetelor de date.
Echipele de securitate ale rețelei pot utiliza analiza modelului de trafic de rețea pentru a identifica pachetele rău intenționate sau suspecte din trafic. De asemenea, administrațiile de rețea care doresc să monitorizeze vitezele de descărcare și încărcare, debitul, conținutul etc. Îl vor folosi pentru a înțelege mai bine utilizarea rețelei.
În dezavantaj, analiza modelelor de trafic în rețea poate fi folosită și de atacatori și/sau intruși pentru a analiza tiparele de trafic în rețea și pentru a identifica vulnerabilități sau mijloace de a pătrunde sau de a prelua date sensibile. Aceasta este o sabie cu două tăișuri.
NetFlow și alte sisteme de raportare a fluxului
NetFlow este o caracteristică care a fost introdusă pe routerele Cisco încă din 1996 — dați sau luați un an sau doi — care oferă posibilitatea de a colecta trafic de rețea IP pe măsură ce intră sau iese dintr-o interfață. Aceasta este diferită de monitorizarea lățimii de bandă în care datele sunt numărate, dar nu sunt colectate. Analizând datele colectate, se pot determina lucruri precum sursa și destinația traficului, clasa și tipul de serviciu și, în cele din urmă, se pot utiliza aceste informații pentru a identifica cauzele congestiei.
O configurație tipică de monitorizare NetFlow este alcătuită din trei componente principale:
The fexportator scăzut agregează pachetele în fluxuri și exportă înregistrările de flux către unul sau mai mulți colectori de flux. Aceasta este componenta care se află în dispozitivul de rețea.
The fcolector scăzut este responsabil pentru recepția, stocarea și preprocesarea datelor de flux primite de la un exportator de flux.
The analizor de flux analizează datele de flux primite în contextul detectării intruziunilor sau al profilării traficului, de exemplu.
Un flux, în limbajul NetFlow, este o secvență unidirecțională de pachete care partajează un anumit număr de atribute, cum ar fi interfața lor de intrare, adresele IP sursă și destinație, protocolul IP (TCP/UDP/ICMP etc.), porturile IP sursă și destinație. , și tipul de serviciu IP. Datele detaliate despre fiecare flux individual sunt colectate de exportatorul de flux înainte de a fi exportate la colectorul de flux. În cele mai multe cazuri astăzi, colectorul de debit și analizorul sunt două componente ale aceluiași sistem și rareori le vedem separate.
Odată exclusiv Cisco, NetFlow este acum disponibil pentru echipamente de la mulți furnizori, inclusiv Juniper, Alcatel-Lucent și Nortel, pentru a numi doar câteva. Unii vânzători îi numesc un alt nume, cum ar fi J-flow pentru Juniper. Există chiar și o versiune relativ recentă standardizată IETF numită IPFIX, care înseamnă Internet Protocol Flow Information eXport.
sFlow este o tehnologie oarecum echivalentă, dar foarte diferită. sFlow folosește metode similare pentru colectarea informațiilor despre flux, dar adaugă eșantionarea datelor – de unde S – pentru informații și mai detaliate. Foarte puțini analizori și colectori NetFlow pot gestiona datele sFlow, deoarece cele două sunt prea diferite.
Cele mai bune instrumente pentru analiza modelelor de trafic
Există destul de multe instrumente care oferă analiza modelului de trafic în rețea. Majoritatea dintre ei vor colecta date NetFlow și le vor afișa într-un mod grafic semnificativ, în timp ce unii folosesc tehnici diferite pentru a atinge obiective similare.
1. Analizor de trafic SolarWinds NetFlow (ÎNCERCARE GRATUITĂ)
Primul pe lista noastră este SolarWinds NetFlow Traffic Analyzer sau NTA. Dacă nu cunoașteți SolarWinds, compania și-a creat o reputație solidă pentru realizarea unora dintre cele mai bune instrumente de gestionare a rețelei. Produsul său emblematic, Network Performance Monitor este unul dintre cele mai bune instrumente de monitorizare a lățimii de bandă disponibile. Iar SolarWinds este, de asemenea, cunoscut pentru instrumentul său excelent care se adresează nevoilor specifice de administrare a rețelei, cum ar fi unul dintre cele mai bune calculatoare de subrețea sau server TFTP.
După cum sugerează și numele, Analizorul de trafic SolarWinds NetFlow utilizează protocolul NetFlow pentru a furniza informații detaliate despre traficul observat. Poate, de exemplu, să raporteze ce tip de trafic este mai frecvent sau ce utilizator folosește cea mai mare lățime de bandă. Pe tabloul de bord al instrumentului sunt disponibile mai multe vizualizări diferite, cum ar fi cele mai bune aplicații, protocoale de top sau cei mai buni vorbitori, de exemplu. Instrumentul va suporta majoritatea variantelor NetFlow de la diferiți furnizori
ÎNCERCARE GRATUITĂ: VÂNTURI SOLARE ANALIZOR DE TRAFIC NETFLOW
Iată câteva dintre cele mai bune caracteristici ale produsului.
Poate fi folosit pentru a monitoriza utilizarea rețelei în funcție de aplicație, protocol și grup de adrese IP.
Acesta va monitoriza datele fluxului Cisco NetFlow, Juniper J-Flow, sFlow, Huawei NetStream și IPFIX pentru a identifica aplicațiile și protocoalele care sunt cei mai buni consumatori de lățime de bandă.
Acesta va colecta date de trafic, le va corela într-un format utilizabil și le va prezenta pe interfața sa de utilizator bazată pe web
Vă poate ajuta să identificați aplicațiile și categoriile care consumă cea mai mare lățime de bandă pentru o mai bună vizibilitate a traficului de rețea și are suport pentru Cisco NBAR2.
Analizorul de trafic SolarWinds NetFlow este disponibil ca supliment pentru Monitorul de performanță a rețelei (NPM). Prețurile încep de la 1.915 USD pentru 100 de noduri. Numărul de noduri pe care le achiziționați trebuie să corespundă licenței dvs. NPM. Dacă nu dețineți deja software-ul NPM, acesta va costa 2.995 USD pentru același nivel de 100 de noduri. Și dacă doriți să o încercați înainte de a o cumpăra, puteți descărca o versiune de evaluare complet funcțională de 30 de zile a unuia sau ambelor produse,
2. Paessler Router Traffic Grapher (PRTG)
The Paessler Router Traffic Graphersau PRTG, este o soluție all-in-one al cărei scop principal este monitorizarea utilizării lățimii de bandă. Ca atare, integrează monitorizarea lățimii de bandă SNMP și colectarea și analiza NetFlow. Dar nu se oprește aici și PRTG va folosi multe tehnologii diferite pentru a monitoriza sistemele, dispozitivele, traficul și aplicațiile. Iată o descriere a protocoalelor de monitorizare acceptate:
Fluxuri (cum ar fi NetFlow sau sFlow)
SNMP cu opțiuni gata de utilizare și personalizate
Contoare de performanță WMI și Windows
SSH pentru sistemele Linux/Unix și MacOS
Mirosirea pachetelor
Ping, SQL și multe altele
Instalare PRTG este usor. De fapt, Paessler susține că ai putea termina în câteva minute. După rularea programului de instalare, procesul de auto-descoperire va descoperi dispozitivele și va configura senzorii de bază. Apoi puteți adăuga manual senzori, cum ar fi colectorii NetFlow. Dacă aveți nevoie, există un videoclip detaliat care vă va arăta cum se face.
PRTG rulează numai pe Windows, dar interfața sa de utilizator este bazată pe web și poate fi accesată din orice browser pe orice platformă. Există, de asemenea, aplicații mobile pentru Android și iOS pe care le puteți instala pe smartphone. Vorbind despre aplicațiile mobile, acest instrument are o caracteristică unică sub formă de etichete cu coduri QR pe care le puteți imprima și aplica pe dispozitivele dvs. Apoi, este o simplă chestiune de scanare a codului din aplicațiile mobile pentru a vizualiza rapid datele senzorului dispozitivului.
PRTG este disponibil în două versiuni. Există o versiune gratuită care este limitată la 100 de senzori. Fiecare element monitorizat contează ca un senzor. De exemplu, pentru a monitoriza fiecare port al unui comutator cu 48 de porturi, veți avea nevoie de 48 de senzori. Pentru colectarea și analiza NetFlow, veți avea nevoie de un senzor pentru fiecare exportator de flux. Pentru mai mult de 100 de senzori, aveți nevoie de o licență plătită. Sunt disponibile pentru 500, 1000, 2500, 5000 și noduri nelimitate la prețuri care variază de la aproximativ 1 600 USD la puțin sub 15 000 USD. Rețineți că versiunea gratuită va permite senzori nelimitați pentru primele 30 de zile, permițându-vă să testați temeinic. produsul.
3. Analizor
Scrutător de la Plixer este un excelent analizor NetFlow. De fapt, este mult mai mult decât atât și este considerat de mulți un sistem de răspuns la incident cu drepturi depline. Și cu capacitatea sa de a monitoriza diferite tipuri de flux, cum ar fi NetFlow, J-flow, NetStream și IPFIX, nu vă limitați la monitorizarea numai a dispozitivelor Cisco.
Scrutător prezintă un design ierarhic și oferă o colectare eficientă și raționalizată de date, ceea ce vă permite să începeți cu mici dimensiuni și să scalați cu ușurință până la milioane de fluxuri pe secundă. Deși rețeaua este adesea învinuită mai întâi ori de câte ori ceva nu merge bine, Scrutător vă va ajuta să găsiți rapid cauza principală a majorității problemelor de rețea. Produsul poate funcționa atât în medii fizice, cât și în medii virtuale și vine cu funcții avansate de raportare.
Scrutător este disponibil în patru niveluri de licență, de la versiunea gratuită de bază până la nivelul superior SCR, care poate scala până la peste zece milioane de fluxuri pe secundă. Versiunea gratuită este limitată la zece mii de fluxuri pe secundă și va păstra datele brute de flux doar 5 ore. Nivelurile intermediare sunt nivelul MDX care păstrează datele timp de 25 de ore și SSRV care le păstrează pentru totdeauna. Puteți încerca orice nivel de licență timp de 30 de zile, după care va reveni la versiunea gratuită.
4. ManageEngine NetFlow Analyzer
ManageEngine este încă un alt nume cunoscut în arena instrumentelor de administrare a rețelei. La fel ca SolarWinds, compania produce o mână de instrumente excelente, precum și câteva gratuite. The ManageEngine NetFlow Analyzer oferă o vedere detaliată a utilizării lățimii de bandă a unei rețele, precum și a modelelor de trafic. Produsul are o interfață de utilizator bazată pe web, care oferă un număr impresionant de vizualizări diferite în rețeaua dvs.
Acest instrument vă va permite, de exemplu, să vizualizați traficul după aplicație, conversație, protocol și alte câteva opțiuni. De asemenea, puteți seta alerte pentru a vă avertiza despre potențiale probleme. Puteți, de exemplu, să setați un prag de trafic pe o anumită interfață și să fiți alertat ori de câte ori traficul îl depășește.
Cele mai multe dintre ManageEngine NetFlow AnalyzerPuterea lui vine din rapoartele și tabloul de bord. Produsul are mai multe rapoarte prefabricate utile, care sunt adaptate pentru scopuri specifice, cum ar fi depanarea, planificarea capacității sau facturarea. Dar dacă preferați să creați rapoarte personalizate, instrumentul le permite administratorilor să le creeze după bunul plac.
The ManageEngine NetFlow AnalyzerTabloul de bord al lui este la fel de impresionant ca și rapoartele sale. Include mai multe diagrame circulare care prezintă aplicații de top, protocoale de top sau conversații de top, de exemplu. De asemenea, poate afișa o hartă termică care arată starea interfețelor monitorizate. Tablourile de bord pot fi personalizate pentru a include doar informațiile de care aveți nevoie. Pentru administratorii de rețea aflati în mișcare, există o aplicație pentru smartphone care vă va permite să accesați tabloul de bord și rapoartele.
The ManageEngine NetFlow Analyzer acceptă majoritatea tehnologiilor de flux, inclusiv NetFlow, IPFIX, J-flow, NetStream și câteva altele. Ca bonus, și el are o integrare excelentă cu dispozitivele Cisco, cu posibilitatea de a ajusta politicile de modelare a traficului și/sau QoS chiar din instrument.
The ManageEngine NetFlow Analyzer vine in doua versiuni. Versiunea gratuită vă limitează la monitorizarea doar a două interfețe sau exportatori de flux. Pentru o capacitate mai mare, licențele sunt disponibile în mai multe dimensiuni, de la 100 la 2500 de interfețe sau fluxuri, la prețuri care variază între aproximativ 600 USD și peste 50.000 USD plus taxe anuale de întreținere. O probă gratuită de 30 de zile este disponibilă pentru toate planurile plătite.
5. sFlowTrend
În timp ce toate produsele anterioare sunt excelente, doar PRTG, până acum, acceptă protocolul sFlow. După cum am explicat, cele două protocoale sunt destul de diferite și este rar ca un instrument să le suporte pe ambele. Deci, dacă rețeaua dvs. este formată în principal din dispozitive compatibile cu sFlow, iată unul dintre cele mai bune instrumente pe care le-am putea găsi.
sFlowTrend este un instrument de monitorizare sFlow de la inMon, compania care se află în spatele protocolului sFlow. Este un instrument de bază și oarecum limitat, dar foarte capabil. Există o versiune gratuită care vă va permite să culegeți date de pe până la cinci dispozitive compatibile cu sFlow și va păstra datele istorice în RAM până la o oră. Deși acest lucru ar putea fi suficient pentru a depana unele probleme de rețea, nu este ceea ce aveți nevoie pentru monitorizarea continuă. Pentru un instrument mai complet, trebuie să faceți upgrade la versiunea pro care elimină limita numărului de dispozitive și stochează datele istorice pe disc.
The sFlowTrend Tabloul de bord oferă o vizualizare rapidă a stării curente a dispozitivelor și rețelelor monitorizate. Va afișa praguri de nivel superior și interfețe cu potențiale erori. Făcând clic pe sFLlowTrend Fila Rețea dezvăluie statistici de performanță rezumate și trafic detaliat la nivel de rețea sau dispozitiv. Pragurile de alertă pot fi utilizate pentru a primi alerte atunci când se observă o utilizare a lățimii de bandă mai mare decât de obicei sau se întâmplă o eroare în rețea. Software-ul are, de asemenea, o filă Cauză rădăcină, unde puteți detalia cauza unei probleme, cum ar fi o încălcare a pragului.
The sFlowTrend Fila Gazde este locul în care veți găsi informații mai detaliate despre fiecare dispozitiv. Poate afișa date de performanță pe CPU, disc și multe altele, pentru serverele compatibile cu sFlow. După cum v-ați imaginat, sFlow nu este doar pentru monitorizarea echipamentelor de rețea. Fila Servicii este locul unde veți găsi date de performanță pentru aplicațiile care exportă date sFlow. Și în fila Evenimente, veți găsi un jurnal al evenimentelor, cum ar fi praguri depășite sau erori detectate. În cele din urmă, fila Rapoarte oferă mai multe rapoarte predefinite și, de asemenea, acceptă crearea de rapoarte personalizate.
sFlowTrend este scris în Java și vine cu o interfață de utilizator atât bazată pe Java, cât și pe web. Este disponibil pentru Windows, Mac și Linux. Software-ul dispune de un excelent sistem de ajutor online pentru a vă ajuta în configurarea și utilizarea instrumentului.
In concluzie
Indiferent de instrumentul pe care îl alegeți, analiza modelului de trafic în rețea vă va oferi o perspectivă neprețuită asupra a ceea ce se întâmplă în rețeaua dvs. Fiecare dintre instrumentele pe care le-am analizat oferă o valoare excelentă, iar alegerea unuia va fi, cel mai probabil, o chestiune de preferință personală. Este posibil să existe o caracteristică specifică într-unul dintre instrumente care vă atrage în mod special. Cu toate instrumentele plătite care oferă fie o versiune de încercare gratuită, fie o versiune gratuită, nu există niciun motiv pentru care nu ați putea încerca câteva înainte de a lua o decizie.