Rețelele sunt un lucru greu de gestionat și monitorizat. Este de înțeles, traficul de rețea are loc în interiorul cablurilor de cupru sau a fibrelor optice și nu poate fi văzut. Acest lucru face să fie puțin complicat pentru orice administrator să aibă o imagine clară și clară a ceea ce se întâmplă cu rețelele pe care le administrează. Aici intervine monitorizarea rețelei. Și când vine vorba de monitorizarea rețelei, sunt disponibile mai multe niveluri, fiecare oferind mai multe informații despre trafic. Inspecția profundă a pachetelor este nivelul superior de monitorizare care oferă cele mai multe informații despre traficul de rețea. Pentru a efectua inspecția profundă a pachetelor, aveți nevoie de instrumente adecvate – iar astăzi, revizuim unele dintre cele mai bune instrumente pentru inspecția profundă a pachetelor.
Înainte de a începe, vom încerca să explicăm inspecția profundă a pachetelor. Se pare că toată lumea are o idee contradictorie despre ce este și ce ar trebui să fie. Inspecția profundă a pachetelor care ne interesează astăzi are de-a face cu monitorizarea rețelei, un alt termen vag. Pentru a încerca să aruncăm puțină lumină asupra subiectului, vom discuta despre monitorizare în general și despre analiza fluxului în special, deoarece constituie o formă de inspecție profundă a pachetelor. Și din moment ce tehnologia Cisco NetFlow pare să fie cea mai răspândită, vom avea o privire mai profundă asupra ei. Abia atunci vom fi gata să dezvăluim care sunt cele mai bune instrumente pentru inspecția profundă a pachetelor și să vă oferim o scurtă trecere în revistă a fiecăruia.
Cuprins
Inspecția profundă a pachetelor explicată
Inspecția profundă a pachetelor este definită ca acțiunea, pentru o componentă a infrastructurii de rețea, de a analiza conținutul pachetelor de date dincolo de simpla analiză a antetului pachetului pentru a aduna statistici despre traficul de rețea sau în scopuri de filtrare, prioritizare sau detecție a intruziunilor. Deși această definiție este relativ precisă, este puțin generică. În plus, ceea ce este inspecția profundă a pachetelor poate varia în funcție de ceea ce încercați să realizați. Inspecția profundă a pachetelor efectuată în scopul colectării de statistici, de exemplu, este diferită de inspecția profundă a pachetelor efectuată pentru filtrarea unui anumit trafic. În contextul acestui articol, ceea ce ne interesează este în mare parte colectarea de statistici. Instrumentele pe care le vom revizui momentan sunt, în esență, instrumente avansate de monitorizare.
Despre instrumentele de monitorizare
Monitorizarea rețelei, la fel ca inspecția profundă a pachetelor, nu este un termen clar definit. Cea mai de bază formă de monitorizare a rețelei este monitorizarea lățimii de bandă. De obicei, se face folosind protocolul simplu de gestionare a rețelei. Acest tip de monitorizare este foarte util pentru a obține o imagine clară a utilizării rețelei dvs., dar are limitări. Deși vă va oferi utilizarea medie a lățimii de bandă într-un anumit punct al rețelei, nu vă va oferi detalii despre ceea ce utilizează lățimea de bandă.
Pentru o imagine mai clară a traficului transportat într-o rețea, trebuie să utilizați analiza fluxului. Analiza fluxului merge mult mai profund decât monitorizarea lățimii de bandă și poate oferi informații detaliate. Se bazează pe dispozitivele de rețea în sine pentru a trimite informații de trafic către sistemele de monitorizare numite colectori și/sau analizoare care pot interpreta datele fluxului și le pot prezenta în moduri semnificative. Analiza fluxului vă va permite, de exemplu, să vedeți cum este distribuit traficul de rețea între toate sursele și destinația. Vă va spune despre ce protocoale și ce tipuri de trafic sunt utilizate.
Analiza fluxului poate fi considerată o inspecție profundă a pachetelor, deoarece depășește doar privirea la antet pentru a găsi informații calitative despre datele reale care sunt transportate într-o rețea. Cea mai comună dintre toate tehnologiile de analiză a fluxului este cu siguranță NetFlow de la Cisco. Să aruncăm o privire mai profundă.
Mai multe despre NetFlow
NetFlow a fost dezvoltat inițial de Cisco Systems și introdus pe routerele lor cu scopul de a oferi capacitatea de a colecta informații despre traficul rețelei IP pe măsură ce intră sau iese dintr-o interfață. Intenția sa inițială a fost să fie folosită pentru a construi liste de control al accesului (ACL) mai bune. De atunci, sa extins într-o schemă de monitorizare adevărată, iar datele de flux colectate de dispozitive sunt acum exportate dia.
Tehnologia NetFlow este compusă în principal din trei componente. Primul este exportatorul de flux care agregează pachetele în fluxuri și exportă înregistrări de flux către unul sau mai mulți colectori de flux. Următoarea componentă, colectorul de flux, este responsabilă de recepția, stocarea și preprocesarea datelor de flux primite de la componenta anterioară. În cele din urmă, analizorul de debit este utilizat pentru a analiza datele de debit primite. Această analiză poate fi utilizată pentru profilarea traficului sau depanarea rețelei, printre alte utilizări. Multe configurații moderne combină colectorul de debit și analizorul într-o singură componentă integrată.
Cum funcționează NetFlow
Orice alt dispozitiv care acceptă NetFlow poate fi configurat să scoată date de flux sub formă de înregistrări de flux și să le trimită la un colector NetFlow. Un flux este o conversație completă în sensul IP. Și ar putea exista multe fluxuri care trec printr-o interfață la un moment dat. Dispozitivul de rețea care pregătește înregistrările fluxului le trimite colectorului atunci când stabilește, fie prin îmbătrânire, fie prin încheierea unei sesiuni TCP, că fluxul s-a încheiat.
O înregistrare tipică a fluxului conține destul de multe informații. Aceasta include interfețele de intrare și de ieșire, marcajele de timp de început și de sfârșit ale fluxului, numărul de octeți și pachete pe care le conține, anteturile de nivel 3, adresa IP și numărul de port sursă și destinație, protocolul IP și TOS ( Valoarea tipului de serviciu). Înregistrările fluxului nu conțin datele reale care au alcătuit fluxul. Acestea conțin doar informații despre flux. Acest lucru este important din punct de vedere al securității.
În majoritatea mediilor, colectorii de flux unde sunt trimise înregistrările sunt adesea și analizoarele de flux. Doar rețelele foarte mari, cu mai multe site-uri, vor beneficia de a avea colectori separati distribuiți în diferitele site-uri. Colectatorii și analizatorii folosesc informațiile conținute în înregistrările de flux pentru a prezenta date despre traficul de rețea într-un mod care este util administratorilor de rețea. De fapt, principalii factori de distincție între diferitele instrumente este modul în care acestea pot da sens și pot prezenta datele într-un mod semnificativ.
Cele mai bune instrumente pentru inspecția profundă a pachetelor
Din punct de vedere al monitorizării, analiza fluxului este o inspecție profundă a pachetelor, astfel încât instrumentele pe care le examinăm astăzi sunt într-adevăr analizoare NetFlow. Multe dintre ele vor face mai mult decât atât, iar unele fac parte dintr-o soluție completă de monitorizare.
1. Analizor de trafic SolarWinds NetFlow (probă GRATUITĂ)
SolarWinds, în cazul improbabil în care nu ați auzit niciodată de companie, face unele dintre cele mai bune software pentru administrarea rețelelor și a sistemului. Unul dintre produsele sale emblematice, SolarWinds Network Performance Monitor, este considerat de mulți drept unul dintre cele mai bune instrumente de monitorizare a lățimii de bandă a rețelei. Și SolarWinds face, de asemenea, câteva instrumente gratuite excelente, fiecare adresându-se unei sarcini specifice a administratorilor de rețea. Două exemple de aceste instrumente gratuite sunt un calculator de subrețea avansat gratuit și un server syslog gratuit. Și când vine vorba de analiza traficului NetFlow, SolarWinds NetFlow Traffic Analyzer (NTA) este cu siguranță unul dintre cele mai bune colectoare și analizoare NetFlow pe care le puteți găsi.
Printre cele mai bune caracteristici ale produsului, SolarWinds NetFlow Traffic Analyzer poate monitoriza utilizarea lățimii de bandă în funcție de aplicație, protocol și grup de adrese IP. Acesta poate monitoriza nu numai Cisco NetFlow, ci și Juniper J-Flow, sFlow, Huawei NetStream și IPFIX — alte câteva tehnologii de analiză a fluxului bazate pe NetFlow — pentru a identifica aplicațiile și protocoalele care sunt cei mai buni consumatori de lățime de bandă. Instrumentul colectează date de trafic, le corelează într-un format utilizabil și le prezintă utilizatorului pe un tablou de bord bazat pe web. Produsul acceptă Cisco NBAR2 pentru a identifica aplicațiile și categoriile care consumă cea mai mare lățime de bandă, oferindu-vă o vizibilitate și mai bună a traficului de rețea.
Analizorul de trafic SolarWinds NetFlow este un supliment pentru Monitorul de performanță a rețelei (NPM). Dacă nu dețineți deja o licență NPM, va trebui să luați în considerare costul respectiv. Încep de la 2 955 USD pentru până la 100 de elemente. În ceea ce privește suplimentul NTA, licența sa trebuie să se potrivească cu numărul de noduri ale licenței dvs. NPN și prețurile încep de la 1 915 USD. Dacă preferați să încercați produsul înainte de a vă angaja la o achiziție, o versiune de încercare gratuită este disponibilă de la SolarWinds.
2. Analizor NetFlow în timp real SolarWinds (descărcare gratuită)
Dacă aveți nevoie de o soluție la scară mai mică, analizatorul NetFlow în timp real SolarWinds ar putea fi exact ceea ce aveți nevoie. Acesta este unul dintre celebrele instrumente gratuite ale SolarWind și, deși nu este la fel de complet ca și Analizorul de trafic NetFlow, vă oferă unele dintre aceleași funcționalități de bază.
Poate captura și analiza datele de flux în timp real. Și vă va arăta tipul de trafic transportat în rețeaua dvs., de unde vine și unde se duce. De asemenea, îl puteți folosi, într-o anumită măsură, pentru a diagnostica vârfurile de trafic și pentru a depana problemele legate de lățimea de bandă.
Produsul vă va permite să identificați utilizatorii, dispozitivele și aplicațiile care consumă cea mai mare lățime de bandă; izolați traficul de rețea prin conversație, aplicație, domeniu, punct final și protocol; și vizualizați traficul de rețea după tip și perioade de timp specificate
Desigur, nu vă puteți aștepta ca acest software gratuit să facă tot ce face fratele său mai mare. Are unele limitări severe și principalul său obiectiv este starea actuală și foarte recentă a rețelei dvs. Acesta va colecta date doar de la o singură interfață NetFlow și va păstra și analiza doar ultimele 60 de minute de date.
Dacă aveți nevoie de o vizualizare rapidă și murdară a utilizării lățimii de bandă, analizatorul NetFlow în timp real gratuit SolarWinds vă va oferi, dar nu mult mai mult.
3. ManageEngine NetFlow Analyzer
ManageEngine este un alt nume binecunoscut în domeniul instrumentelor de management al rețelei. Analizatorul său ManageEngine NetFlow oferă administratorilor de rețea o vedere detaliată a utilizării lățimii de bandă a rețelei, precum și a modelelor de trafic. Produsul este controlat de o interfață web și oferă un număr impresionant de vizualizări diferite în rețeaua dvs.
De exemplu, produsul vă va permite să vizualizați traficul după aplicație, conversație, protocol și alte câteva opțiuni. De asemenea, aveți posibilitatea de a seta alerte pentru a vă avertiza despre potențiale probleme. Puteți, de exemplu, să setați un prag de trafic pe o anumită interfață și să fiți alertat ori de câte ori este depășit.
Dar cele mai mari puncte forte ale acestui instrument sunt rapoartele și tabloul de bord. Vine cu mai multe rapoarte prefabricate foarte utile, care sunt personalizate pentru scopuri specifice, cum ar fi depanarea, planificarea capacității sau facturarea. Și oricât de bune sunt rapoartele sale încorporate, instrumentul permite și administratorilor să creeze rapoarte personalizate după bunul plac.
Tabloul de bord al produsului este la fel de impresionant ca și rapoartele sale. Include mai multe diagrame circulare cu lucruri precum aplicații de top, protocoale de top sau conversații de top. De asemenea, poate afișa un fel de hartă termică cu starea interfețelor monitorizate. Și la fel ca și rapoartele, tabloul de bord poate fi, de asemenea, personalizat pentru a include doar informațiile pe care le găsiți utile. Tabloul de bord este și locul în care alertele sunt afișate sub formă de ferestre pop-up. Administratorul de rețea aflat în mișcare nu se va simți lăsat deoparte deoarece este disponibilă o aplicație pentru smartphone și vă va oferi acces atât la tabloul de bord, cât și la rapoarte.
Analizorul ManageEngine NetFlow acceptă majoritatea tehnologiilor de flux, inclusiv NetFlow, IPFIX, J-flow, NetStream și câteva altele. Acest instrument se mândrește, de asemenea, cu o integrare excelentă cu dispozitivele Cisco, cu posibilitatea de a ajusta politicile de modelare a traficului și/sau QoS chiar din interiorul instrumentului.
Analizorul ManageEngine NetFlow este disponibil în două versiuni. Există o versiune gratuită care se limitează la monitorizarea doar a două interfețe de fluxuri. Deși acest lucru nu este mult, ar putea fi tot ceea ce aveți nevoie. Și acea versiune gratuită va permite dispozitive nelimitate în primele 30 de zile, oferindu-vă șansa de a efectua un test amănunțit. Odată ce proba s-a încheiat, licențele sunt disponibile în mai multe dimensiuni, de la 100 la 2500 de interfețe sau fluxuri, cu prețuri care încep de la aproximativ 600 USD plus taxe anuale de întreținere.
4. Paessler Router Traffic Grapher (PRTG)
PRTG de la Paessler este o altă soluție binecunoscută, all-in-one, al cărei scop principal este monitorizarea utilizării lățimii de bandă. Este, de asemenea, utilizat pentru a monitoriza disponibilitatea și sănătatea diferitelor resurse de rețea. Ca atare, este un alt instrument foarte util pentru administratorii de rețea. Dar datorită unui senzor NetFlow care este disponibil pentru produs, PRTG poate servi și ca colector și analizor NetFlow.
De fapt, PRTG nu este doar un instrument de monitorizare a lățimii de bandă sau un colector și analizor NetFlow. Utilizează mai multe tehnologii pentru a monitoriza sistemele, dispozitivele, traficul și aplicațiile. Printre acestea, produsul va folosi SNMP cu opțiuni gata de utilizare și personalizate, contoare de performanță WMI și Windows, SSH pentru sisteme Linux/Unix și MacOS, fluxuri – cum ar fi NetFlow sau sFlow – și sniffing de pachete, solicitări HTTP, API-uri REST care returnează XML sau JSON, Ping, SQL și multe altele.
Instalarea PRTG este ușoară. Pur și simplu rulați programul de instalare, apoi procesul de auto-descoperire va descoperi dispozitivele și va configura senzorii. Apoi sunteți liber să adăugați manual senzori suplimentari, cum ar fi colectorii NetFlow. Există chiar și un videoclip detaliat pe site-ul lui Paessler care vă va arăta cum se face.
Serverul rulează numai pe Windows, dar interfața sa de utilizator este bazată pe web și poate fi accesată din orice browser. Există, de asemenea, o aplicație client mobil pe care o puteți instala pe smartphone. Aplicația client mobil are o caracteristică unică sub formă de etichete QR pe care le puteți imprima și aplica pe dispozitivele dvs. Apoi, o scanare a codului din aplicația mobilă va deschide rapid datele senzorului dispozitivului respectiv.
Sunt disponibile două versiuni de PRTG. Există o versiune gratuită care este limitată la 100 de senzori. Rețineți că un senzor în limbajul PRTG nu este un dispozitiv. Este, în schimb, cel mai elementar element care poate fi monitorizat. De exemplu, monitorizarea fiecărui port al unui switch cu 48 de porturi necesită 48 de senzori, iar colectarea și analiza NetFlow necesită un senzor pentru fiecare exportator de flux. În acest ritm, este evident că 100 de senzori s-ar putea să nu fie atât de mult pe cât părea la început. Dacă aveți nevoie de mai mult de 100 de senzori, va trebui să achiziționați o licență. Sunt disponibile în 500, 1000, 2500 sau 5000 de senzori și există, de asemenea, o licență nelimitată. Prețurile variază de la aproximativ 1 600 USD la puțin sub 15 000 USD. Versiunea gratuită va permite senzori nelimitați în primele 30 de zile, astfel încât să puteți beneficia de o testare amănunțită a produsului.
5. Analizor
Ultimul pe lista noastră este Scrutinizer de la Plixer, un alt analizor NetFlow excelent. De fapt, este mult mai mult decât atât și unii îl consideră un sistem complet de răspuns la incident. Produsul are capacitatea de a monitoriza diferite tipuri de flux, cum ar fi NetFlow, J-flow, NetStream și IPFIX, astfel încât să nu vă limitați la monitorizarea numai a dispozitivelor Cisco.
Scrutinizer se mândrește cu un design ierarhic care oferă o colectare eficientă și eficientă a datelor și vă permite să începeți mic și apoi să scalați până la multe milioane de fluxuri pe secundă. Rețeaua este adesea acuzată mai întâi de fiecare dată când ceva nu merge bine. Cu acest instrument, puteți găsi rapid cauza reală a aproape tuturor problemelor de rețea. Produsul funcționează atât cu medii fizice, cât și cu medii virtuale și vine cu funcții avansate de raportare.
Scrutinizer este disponibil în patru niveluri de licență. Acestea variază de la versiunea gratuită de bază până la nivelul SCR cu drepturi depline, care poate scala până la peste 10 milioane de fluxuri pe secundă. Versiunea gratuită este limitată la 10 mii de fluxuri pe secundă și va păstra datele brute de flux doar 5 ore, dar ar trebui să fie mai mult decât suficientă pentru a depana problemele de rețea. De asemenea, puteți încerca orice nivel de licență timp de 30 de zile, după care va reveni la versiunea gratuită.