5 geriausi „NetFlow“ kolekcionieriai, skirti „Linux“ 2020 m

Tinklų valdymui reikia naudoti specializuotus įrankius, kurie suteikia reikiamą matomumą, kad būtų užtikrinta, jog viskas visada vyktų sklandžiai. Skirtingai nuo kelių eismo, kur galima lengvai nustatyti lėtėjimą ir kliūtis, tinklo srautą nėra lengva pamatyti. Štai kodėl tokie įrankiai kaip „NetFlow“ gali padėti. „NetFlow“ technologija gali suteikti jums informacijos apie tai, koks srautas eina per tinklą, o ne apie tai, kiek srauto yra. Skaitykite toliau, kai peržiūrime kai kuriuos geriausius „Linux“ skirtus „NetFlow“ kolektorius ir analizatorius.

Kelionę pradėsime aptardami įvairius metodus, kuriuos tinklo administratoriai gali naudoti norėdami stebėti savo tinklą ir surasti bei išspręsti problemas, kol jos netaps tikromis problemomis. Tada paaiškinsime, kas yra „NetFlow“, kaip jis veikia ir ko reikia norint jį išnaudoti. O kol būsime ten, taip pat aptarsime kai kurias NetFlow alternatyvas, kurios gali būti įdomios. Tada pasinersime į reikalo esmę ir apžvelgsime kai kuriuos geriausius Linux platformai skirtus NetFlow rinktuvus ir analizatorius. Remiantis „Linux“ atvirojo kodo filosofija, kai kurie iš jų yra prieinami nemokamai, o kitus reikia įsigyti arba užsiprenumeruoti.

Stebėjimo tinklai

Kaip tinklo administratoriui, viena iš jūsų pareigų yra užtikrinti, kad viskas veiktų sklandžiai, kad nebūtų sulėtėjimų ir kad visas tinklo srautas pasiektų paskirties vietą priimtinas laikas. Deja, tai, kas vyksta tinkle, vyksta kabeliuose, maršrutizatoriuose, jungikliuose ir kitoje įrangoje, kur paprastai labai sunku suprasti, kas vyksta. Iš čia kyla tinklo stebėjimo sąvoka. Naudodami skirtingus įrankius administratoriai gali šiek tiek sužinoti, kas vyksta tinkle.

Komandinės eilutės paslaugos

Yra keletas įrankių, kuriuos administratoriai gali naudoti savo tinklui stebėti. Paprasčiausi įrankiai yra komandinės eilutės diagnostikos įrankiai. Tikriausiai jūs juos žinote ir nuolat naudojate. Ping, pavyzdžiui, leidžia patvirtinti, kad tam tikras IP adresas pasiekiamas, ir pateikti tam tikrą statistiką apie vėlavimus į abi puses ir paketų praradimą. „Tracert“ arba „traceroute“, priklausomai nuo jūsų OS, suseks visą tinklo kelią tarp dviejų įrenginių. Nmap išvardins visus įrenginius, esančius konkrečiame potinklyje.

Paketų fiksavimo ir analizės įrankiai

Be to, yra tinklo stebėjimo įrankiai, kurie leis užfiksuoti srautą, einantį per konkrečią vietą, ir leis jums iššifruoti paketus bei juos analizuoti. Jie gali būti labai naudingi bandant išspręsti programos lygmens problemas, tačiau dažnai jie nesuteikia daug informacijos apie tikrąjį tinklo našumą. Vienas iš tokių labai paplitusių įrankių vadinamas Wireshark. Tcpdump yra dar vienas panašus įrankis, kuris naudoja komandinės eilutės sąsają, o ne GUI.

Srauto analizės programinė įranga

Norėdami gauti tiksliausią vaizdą apie tai, kas vyksta, atlikite srauto analizę, ko jums reikia. Ji remiasi tinklo įrenginiais, kad siųstų eismo informaciją, ty sistemas, vadinamas rinkėjais ir (arba) analizatoriais, kurios savo ruožtu gali interpretuoti srauto duomenis ir pateikti juos prasmingais būdais. Tai leidžiantis protokolas vadinamas NetFlow. Jį prieš keletą metų sukūrė „Cisco Systems“, tačiau dabar jis vienu ar kitu būdu dažniausiai naudojamas daugelio pagrindinių gamintojų tinklo įrangoje.

Kas yra NetFlow?

„NetFlow“ sukūrė „Cisco Systems“ ir buvo įdiegtas jų maršrutizatoriuose, kad būtų galima rinkti IP tinklo srautą, kai jis patenka į sąsają arba išeina iš jos. Tada surinktus duomenis analizuoja tinklo administratoriai, kad padėtų nustatyti srauto šaltinį ir paskirties vietą, paslaugų klasę ir spūsčių priežastis.

The srauto eksportuotojas sujungia paketus į srautus ir eksportuoja srautų įrašus į vieną ar daugiau srautų rinktuvų. Tai komponentas, kuris veikia stebimuose įrenginiuose.

The srauto kolektorius yra atsakinga už srauto duomenų, gautų iš srauto eksportuotojo, priėmimą, saugojimą ir išankstinį apdorojimą.

Galiausiai, srautas analizuotizer yra programa, kuri naudojama analizuoti gautus srauto duomenis. Analizė gali būti naudojama srauto profiliavimui arba tinklo trikčių šalinimui.

Kaip veikia „NetFlow“.

Maršrutizatorius, jungiklius ir bet kurį kitą įrenginį, palaikantį NetFlow, galima sukonfigūruoti, kad srauto duomenys būtų išvesti srauto įrašų pavidalu ir išsiųsti juos į NetFlow rinktuvą. Srautas yra pilnas pokalbis IP prasme. Įrenginys, ruošiantis srauto įrašus, paprastai siunčia juos į kolektorių, kai nustato, kad srautas baigtas arba dėl senėjimo – per tam tikrą skirtąjį laiką nebuvo jokio srauto – arba kai mato TCP seansą nutraukimas.

Srauto įraše yra daug informacijos apie srautą. Tai apima įvesties ir išvesties sąsajas, srauto pradžios ir pabaigos laiko žymas, baitų ir paketų skaičių. jame yra 3 sluoksnio antraštės, šaltinio ir paskirties IP adresas ir prievado numeris, IP protokolas ir TOS vertė. Srauto įrašuose nėra faktinių duomenų, sudarančių srautą. Vienintelė informacija apie srautą. Tai svarbu saugumo požiūriu.

Išskyrus didžiules kelių svetainių aplinkas, srauto rinktuvai, į kuriuos siunčiami įrašai, dažnai yra ir srauto analizatoriai. Jie naudoja srauto įrašuose esančią informaciją, kad pateiktų duomenis apie tinklo srautą tokiu būdu, kuris būtų naudingas tinklo administratoriams. Skirtingi NetFlow rinktuvai ir analizatoriai turės skirtingus duomenų pateikimo būdus. Čia bus naudingas mūsų geriausių „NetFlow“ kolektorių ir analizatorių sąrašas.

Kai kurios „NetFlow“ alternatyvos

Kaip jau užsiminėme, NetFlow egzistuoja keliais skirtingais pavadinimais. Tačiau yra ir „NetFlow“ alternatyvų, dvi geriausiai žinomos yra „sFlow“ ir „IPFIX“. Pastarasis yra labai pagrįstas naujausia NetFlow versija, išskyrus tai, kad tai yra IETF standartas. Galime laisvai manyti, kad „Cisco“ netgi gali pakeisti NetFlow į IPFIX.

Kalbant apie „sFlow“, tai yra kitokia, konkuruojanti sistema. Jos tikslas ir bendrieji veikimo principai panašūs, bet skirtingi. Kai kurie „NetFlow“ analizatoriai taip pat veiks su „sFlow“, tačiau paprastai vieno naudotojai nenaudoja kito.

Geriausi „NetFlow“ kolekcionieriai, skirti „Linux“.

Rinkoje ieškojome geriausių „Linux“ skirtų „NetFlow“ kolektorių ir analizatorių. Mes jums siūlome penkis geriausius produktus, kuriuos galėjome rasti, pirmenybės tvarka su mūsų mėgstamiausiais sąrašo viršuje. Peržiūrėkime kiekvieną iš jų ir išnagrinėkime pagrindines jų savybes, kad padėtų jums pasirinkti paketą, kuris geriausiai atitinka jūsų poreikius.

1. „ManageEngine NetFlow Analyzer“.

„ManageEngine NetFlow Analyzer“ suteikia tinklo administratoriui išsamų vaizdą apie tinklo pralaidumo naudojimą ir srauto modelius. Produktas valdomas žiniatinklio sąsaja ir siūlo įspūdingą skaičių skirtingų vaizdų jūsų tinkle.

Pavyzdžiui, galite peržiūrėti srautą pagal programą, pokalbį, protokolą ir dar keletą parinkčių. Taip pat galite nustatyti įspėjimus, kad įspėtų apie galimas problemas. Pavyzdžiui, galite nustatyti srauto slenkstį konkrečioje sąsajoje ir gauti įspėjimą, kai srautas jį viršija.

Tačiau daugiausia gaminio pranašumų suteikia jo ataskaitos ir prietaisų skydelis. Įrankyje yra keletas labai naudingų iš anksto sukurtų ataskaitų, kurios yra specialiai pritaikytos konkretiems tikslams, pvz., trikčių šalinimui, pajėgumų planavimui ar atsiskaitymui. Tačiau jūs nesate įstrigę naudodami integruotas ataskaitas, nes įrankis taip pat leidžia administratoriams kurti pasirinktines ataskaitas pagal savo skonį.

Kalbant apie įrankio prietaisų skydelį, kurį paminėjome, jis yra toks pat įspūdingas, kaip ir jo ataskaitos. Jame yra kelios skritulinės diagramos su tokiais dalykais kaip populiariausios programos, geriausi protokolai ar populiariausi pokalbiai. Jis taip pat gali rodyti šilumos žemėlapį su stebimų sąsajų būsena. Ir, kaip jau galėjote atspėti, prietaisų skydelius galima tinkinti, kad būtų įtraukta tik jums naudinga informacija. Prietaisų skydelyje taip pat rodomi įspėjimai iššokančiųjų langų pavidalu. Be to, tinklo administratorius, esantis kelyje, turi išmaniojo telefono programą, kuri leis pasiekti prietaisų skydelį ir ataskaitas.

ManageEngine NetFlow Analyzer palaiko daugumą srauto technologijų, įskaitant NetFlow (žinoma), IPFIX, J-flow, NetStream ir keletą kitų. Be to, jis taip pat puikiai integruotas su „Cisco“ įrenginiais, palaikydamas srauto formavimo ir (arba) QoS politikos koregavimą tiesiai iš įrankio.

Kaip ir daugelis konkuruojančių produktų, „ManageEngine NetFlow Analyzer“ yra dviejų versijų. Nemokama versija pirmąsias 30 dienų bus identiška mokamai versijai, tačiau vėliau bus galima stebėti tik dvi srautų sąsajas. Nors tai nėra daug, tai gali būti viskas, ko jums reikia.

Jei norite mokėtinos versijos, licencijos yra kelių dydžių nuo 100 iki 2500 sąsajų arba srautų, kurių kainos svyruoja nuo maždaug 600 USD iki daugiau nei 50 000 USD ir metiniai priežiūros mokesčiai.

2. Kruopštus tikrintojas

„Scrutinizer“ iš „Plixer“ yra dar vienas puikus „NetFlow Analyzer“. Tiesą sakant, tai dar daugiau ir daugelis mano, kad tai yra visapusiška reagavimo į incidentus sistema. Dėl galimybės stebėti skirtingus srauto tipus, pvz., NetFlow, J-flow, NetStream ir IPFIX, galite stebėti ne tik Cisco įrenginius.

Dėl savo hierarchinės konstrukcijos „Scrutinizer“ siūlo supaprastintą ir efektyvų duomenų rinkimą ir leidžia pradėti mažą ir lengvai padidinti iki daugelio milijonų srautų per sekundę. Tinklas dažnai pirmiausia kaltinamas, kai kas nors nepavyksta. Naudodami „Scrutinizer“ galite greitai rasti tikrąją daugelio tinklo problemų priežastį. „Scrutinizer“ veikia tiek fizinėje, tiek virtualioje aplinkoje ir yra su išplėstinėmis ataskaitų teikimo funkcijomis.

„Scrutinizer“ yra keturių licencijų lygių, pradedant nuo pagrindinės nemokamos versijos ir baigiant visaverčiu SCR lygiu, kuris gali padidinti iki daugiau nei 10 milijonų srautų per sekundę. Nemokama versija apribota iki 10 tūkstančių srautų per sekundę ir neapdorotus srauto duomenis saugos tik 5 valandas, tačiau to turėtų pakakti tinklo problemoms pašalinti. Taip pat galite išbandyti bet kurią licencijos pakopą 30 dienų, po kurių ji grįš į nemokamą versiją. Įrankį galima įsigyti kaip aparatinę įrangą arba kaip virtualų įrenginį, kuris gali veikti Linux pagrindiniame kompiuteryje per KVM

3. nProbe ir ntopng

„nProbe“ ir „ntopng“ yra šiek tiek pažangesni ir sudėtingesni atvirojo kodo įrankiai. „Ntopng“ yra žiniatinklio srauto analizės įrankis, skirtas stebėti tinklus remiantis srauto duomenimis, o „nProbe“ yra „NetFlow“ ir IPFIX eksportuotojas ir rinkėjas. Kartu jie sudaro labai lankstų analizės paketą. Jei anksčiau administravote „Linux“ tinklus, galbūt esate susipažinę su „ntop“. ntopng yra naujos kartos šio nesenstančio įrankio GUI versija.

Yra nemokama ntopng bendruomenės versija, taip pat galite įsigyti įmonės versijų. Jie gali būti brangūs, tačiau švietimo ir ne pelno organizacijoms jie gali būti nemokami. Kalbant apie „nProbe“, galite jį išbandyti nemokamai, tačiau jis apribotas iki 25 000 eksportuojamų srautų. Norėdami tai padaryti, turėsite įsigyti licenciją.

Kaip ir dauguma šiuolaikinių tinklo analizės įrankių, ntopng turi žiniatinklio vartotojo sąsają, kuri gali pateikti duomenis pagal srautą, pvz., populiariausius pašnekovus, srautus, pagrindinius kompiuterius, įrenginius ir sąsajas. Jame yra diagramų, lentelių ir grafikų derinys. dauguma jų yra gręžimo parinkčių, leidžiančių tyrinėti nuodugniau. Sąsaja yra gana lanksti ir leidžia daug pritaikyti.

4. FlowScan

„FlowScan“ yra tam tikras vizualizacijos įrankis, kurį galite naudoti „Netflow“ duomenims analizuoti ir apie juos pranešti. Jis gali sudaryti vaizdines diagramas, kurios yra beveik realiu laiku ir parodo, kas vyksta jūsų tinkle. „FlowScan“ gali būti įdiegtas GNU/Linux arba BSD sistemoje. Tam, kad būtų tinkamai surinkti ir apdoroti srautai, naudojami keli kiti paketai. Pavyzdžiui, Cflowd naudojamas kaip srauto kolektorius. „FlowScan“ iš tikrųjų yra „Perl“ scenarijus, kuris sudaro didžiąją dalį programinės įrangos paketo. Šis komponentas yra atsakingas už ataskaitų įkėlimą ir vykdymą. Paskutinis svarbus komponentas yra RRDtool, populiarus įrankis duomenims saugoti apvaliose duomenų bazėse ir duomenims braižyti diagramose, naudojamas srauto informacijai saugoti ir naudingiems grafikams kurti.

Tinklo administratoriai dažnai pastebi, kad surinko per mažai arba per daug duomenų. Srauto profiliavimas, kurį teikia „FlowScan“, yra pragmatiškas kompromisas tarp tokių kraštutinumų renkant duomenis. Kadangi srautai apibendrina duomenis, surinktus paketams keliaujant per tam tikrą prievadą arba sąsają, jie gali būti naudojami kaip paketų serijų, keliaujančių tarp dominančių galinių taškų, santrumpa. Tačiau vien šios funkcijos nepakanka patikimam nuolatiniam naudojimui: šiems srautams apibrėžti, analizuoti ir analizuoti reikia papildomų programinės įrangos įrankių. Šie papildomi įrankiai yra įtraukti į „FlowScan“.

5. inMon sFlowTrend (Specialus paminėjimas)

Nors tai nėra „NetFlow“ rinktuvas ir analizatorius, o veikiau tvarkantis „sFlow“, manėme, kad „sFlowTrend“ nusipelnė būti šiame sąraše. Jis gali veikti „Linux“ ir jei jūsų tinklo komponentai naudoja „sFlow“, o ne „NetFlow“, tai yra vienas geriausių turimų įrankių. Įrankis yra iš „inMon“, „sFlow“ įmonės. Tai pagrindinis ir šiek tiek ribotas, bet labai galingas įrankis. Nemokama programinės įrangos versija leidžia rinkti duomenis iš iki penkių sFlow įgalintų jungiklių, maršruto parinktuvų ar pagrindinių kompiuterių, o istorijos duomenys RAM atmintyje bus saugomi tik iki valandos. To turėtų pakakti daugeliui tinklo problemų išspręsti. Ir jei norite pagerinti situaciją, galite atnaujinti į profesionalią versiją (žinoma, už tam tikrą mokestį), kuri pašalina įrenginių skaičiaus apribojimą ir išsaugo istorijos duomenis diske.

Skirtuke „sFlowTrend Dashboard“ galima greitai peržiūrėti dabartinę stebimų įrenginių ir tinklų būseną, jame yra aukščiausio lygio slenksčiai ir sąsajos su galimomis klaidomis. Spustelėjus skirtuką Tinklas, sflowTrend atskleidžia apibendrintą našumo statistiką ir išsamų srautą tinklo arba įrenginio lygiu. Galima nustatyti įspėjimo slenksčius. Tai leidžia gauti įspėjimus, kai naudojamas didesnis nei įprasta pralaidumas arba įvyksta tinklo klaida. Yra net pagrindinės priežasties skirtukas, kuriame galite išsiaiškinti problemos, pvz., slenksčio pažeidimo, priežastį.

Skirtuke „Hosts“ rasite išsamesnės informacijos apie kiekvieną įrenginį. Tai teikia tinklo, procesoriaus, disko ir tt našumo duomenis serveriams, kuriuose įgalinta „sFlow“, įskaitant virtualius. Skirtuke Paslaugos rasite programų (įskaitant įvairius žiniatinklio serverius), kurios eksportuoja sFlow duomenis, našumo duomenis. Skirtuke Įvykiai rasite įvykių, pvz., viršytų slenksčių ar aptiktų klaidų, žurnalą. Galiausiai, skirtuke Ataskaitos pateikiamos kelios iš anksto nustatytos ataskaitos, tačiau jame taip pat galima kurti pasirinktines ataskaitas. Čia galėsite paleisti ataskaitas ir peržiūrėti jų rezultatus.

„sFlowTrend“ parašyta „Java“ kalba ir pateikiama su „Java“ arba žiniatinklio vartotojo sąsaja. Jį galima naudoti „Linux“, „Windows“ ir „Mac“. Taip pat yra internetinė pagalba, kuri padės konfigūruoti ir naudoti įrankį. Tai puiki priemonė, ypač mažesnėms organizacijoms, turinčioms sFlow įrangą. Atnaujinimo kelias į profesionalią versiją daro jį vienodai tinkamu didesniems tinklams.

Apvyniojimas

Nors kai kurie geriausi „NetFlow“ kolektoriai ir analizatoriai, tokie kaip „SolarWinds NetFlow Traffic Analyzer“, veikia tik „Windows“ įrenginiuose, vis dar yra daug parinkčių, jei pasirinkote stebėjimo įrankio platformą Linux. Tarp komercinių produktų, tokių kaip „ManageEngine NetFlow Analyzer“ arba „Plixer's Scrutinizer“, ir atvirojo kodo įrankių, turi būti vienas, kuris puikiai atitiks jūsų poreikius.

Visi produktai, kuriuos ką tik apžvelgėme, yra puikios galimybės. Kai kurie gali būti ne tokie visapusiški arba gali prireikti šiek tiek daugiau darbo, kad juos būtų galima nustatyti, bet bet kuris iš jų atliks savo darbą ir atliks tai gerai. Ir kadangi jie visi siūlo tam tikrą nemokamą bandomąją versiją arba yra visiškai nemokamos, nėra jokios priežasties neišbandyti kelių ir patys įsitikinti, kuris iš jų jums tinka.