Главная

Friday, 30 August 2019

Лучшие анализаторы Netflow.

Всем привет.

Системным инженерам и администраторам сетей, постоянно приходится сталкиваться с проблемами, причины которых не всегда очевидны. В этих случаях очень полезным будет провести беглый анализ сетевого трафика. Вашему вниманию представляется обзор лучших анализаторов и коллекторов Netflow, которые помогут значительно упростить нам жизнь.

Анализаторы и коллекторы NetFlow - это очень полезный инструментарий для мониторинга и анализа данных сетевого трафика, который поможет вам обнаружить возможные проблемы еще до того, как они станут реальной угрозой. Анализаторы NetFlow позволят вам определить те машины и устройства, которые негативно влияют на пропускную способность вашей сети, найти узкие места в вашей системе, а также, в конечном счете, повысить общую эффективность функционирования вашей сети.

Само понятие «NetFlow» относится к сетевому протоколу, разработанному компанией Cisco для сбора информации о трафике, проходящем через различные устройства в сети. Существует несколько версий протокола NetFlow (от 1 до 9), часть из которых уже устарели. На данный момент наиболее распространенными являются NetFlow версии 5, 7 и 9. Сейчас NetFlow представляет собой, фактически, промышленный стандарт и поддерживается не только оборудованием Cisco, но и многими другими устройствами от других производителей.

В то же время часть вендоров используют собственные версии NetFlow: к примеру, компания Juniper Networks называет свой протокол J-Flow, у компании Huawei — это NetStream. Несмотря на то, что эти «Flow» имеют разные имена, все они работают аналогичным NetFlow образом, предоставляя, в основном, одну и ту же информацию. Кроме того, на основе NetFlow версии 9 также был разработан открытый универсальный стандарт IPFIX (Internet Protocol Flow Information eXport) для передачи информации об IP-потоках.

Информация, которую собирает из IP-трафика NetFlow, включает в себя:

  • IP-адрес источника;
  • IP-адрес назначения;
  • порт источника для UDP и TCP;
  • порт назначения для UDP и TCP;
  • тип и код сообщения для ICMP;
  • номер интернет-протокола транспортного уровня, инкапсулированного в протокол IP;
  • тип обслуживания (Type of Service, ToS);
  • сетевой интерфейс.

Собирая и анализируя эту информацию, вы можете много узнать о функционировании вашей сети, а также использовать ее для разных целей, включая мониторинг пропускной способности, устранение неполадок в работе сети и обнаружение аномалий.

Когда в сети реализована поддержка протокола NetFlow, активируется работа двух основных компонентов: Flow Exporter и Flow Collector. Flow Exporter захватывает статистическую информацию о потоке и отправляет ее в коллектор. Он обычно настраивается на устройстве, таком, как маршрутизатор или коммутатор, а в некоторых случаях на одном устройстве используется несколько Flow Exporter для мониторинга разных потоков. Flow Collector получает данные о потоках и сохраняет их. Во многих современных решениях для анализа сетевого трафика функциональность коллектора и анализатора совмещена в одном решении — статистическая информация о потоках не только собирается и сохраняется, но также обрабатывается и анализируется, чтобы представить ее пользователям в удобном для понимания виде. В ряде случае Flow Collector может использоваться просто для получения данных, при этом их анализ осуществляется другим приложением с функциональностью анализатора.

Существует множество программных решений на основе протокола NetFlow, и в рамках этой статьи мы представим вам 5 лучших коммерческих и бесплатных анализаторов и коллекторов NetFlow. Большинство поставщиков программного обеспечения NetFlow, перечисленных ниже, имеют инструкции по включению NetFlow на устройства различных производителей. Кроме того, эта информация также должна содержаться в документации производителя вашего устройства.


Solarwinds NetFlow Traffic Analyzer


NetFlow Traffic Analyzer (NTA) производства компании Solarwinds — это программный инструмент для анализа сетевого трафика и мониторинга пропускной способности, который поддерживает работу с различными протоколами, включая: NetFlow, J-Flow, sFlow, IPFIX и NetStream.

Решение Solarwinds NTA позволит понять, как используется пропускная способность сети. К примеру, вы можете узнать, какой IP-адрес или приложение имеет максимальные объемы потребления ресурсов пропускной способности в определенный момент времени. Также вы сможете использовать шаблоны для анализа трафика, тем самым значительно расширив свои возможности для проведения детализированного сетевого анализа.

NetFlow Traffic Analyzer собирает данные трафика, согласовывает их с используемым форматам и демонстрирует полученную информацию пользователю через веб-интерфейс для мониторинга сетевого трафика. Вы можете анализировать сетевой трафик за конкретный период: за минуту, час, день или месяц.

Solarwinds NTA позволит понять, работают ли политики QoS так, как это было запланировано. Т.е., если ваш бизнес зависит от VoIP, электронной коммерции или других облачных приложений, мониторинг NetFlow поможет подтвердить, что приоритетный трафик проходит беспрепятственно через вашу сеть.

Вы можете планировать и проводить подробный анализ сетевого трафика, а также получать различные временные отчеты об использовании ресурсов пропускной способности, с помощью всего нескольких кликов мышки. Накопление данных позволит определять пиковые периоды пропускной способности и корректировать политики для большей управляемости процессов в вашей сети. В ряде случаев это позволит сэкономить на неоправданном повышении пропускной способности.

Solarwinds NTA — это коммерческий продукт, цена которого зависит от количества элементов для мониторинга, однако, для ознакомления вам доступна 30-дневная бесплатная пробная версия. Также не маловажно то, что Solarwinds NTA полностью интегрируется с Solarwinds Network Performance Monitor (NPM) — решением для сокращения сбоев в работе сети и повышения производительности.

Существует также сильно упрощенная бесплатная версия NetFlow Traffic Analyzer от компании SolarWinds — Real-Time NetFlow Analyzer. Этот инструмент позволит вам сортировать данные, представлять их в виде графиков, а также отображать информацию другими различными способами, которые позволяют визуализировать и анализировать сетевой трафик. Продукт отлично подойдет для таких задач, как просмотр сетевого трафика в зависимости от типа или конкретного времени, а также запуска различных тестов для проверки того, сколько ресурсов сети используется различными приложениями. Таким образом, с помощью бесплатного решения Real-Time NetFlow Analyzer вы можете упростить поиск устройств ограничивающих пропускную способностью (в ом числе оконечных точек), изучать и устранять неполадки и спады в функционировании сети, а также определять пользователей, приложения и устройства, которые используют больше всего ресурсов сети. Ограничением бесплатной версии программы является доступность только одного интерфейса NetFlow для мониторинга и хранение только 60 минут данных.

Коммерческое решение, с возможностью загрузки 30-дневной бесплатной пробной версии: https://www.solarwinds.com/netflow-traffic-analyzer

Скачать бесплатную версию программы Solarwinds NetFlow Traffic Analyzer: https://www.solarwinds.com/free-tools/real-time-netflow-analyzer

PRTG Network Monitor


PRTG Network Monitor — это универсальное программное решение для мониторинга сети, которое включает в себя мониторинг производительности, отслеживание ограничений пропускной способности, наблюдение за работой серверов, центральных процессоров, приложений, веб-сайтов, облачных служб и многого другого. Стандартная установка изначально предоставляет вам все необходимые инструменты для мониторинга всего трафика в вашей сети. PRTG Network Monitor может использовать для анализа различные версии стандарта NetFlow (v5 и v9), открытый универсальный стандарт IPFIX, а также другие технологии для учета сетевого трафика, такие как sFlow и J-Flow.

Одной из возможностей применения мониторинга NetFlow, доступной в PRTG Network Monitor, является продвинутый анализ пропускной способности. Отчеты визуализируются в виде рейтинговых списков, позволяющих отслеживать данные по разным настраиваемым категориям, что значительно упростит вам задачу. К примеру, вы можете отслеживать и тут же сравнивать полученные результаты отдельно для различных IP-адресов, для подключений, для протоколов, для приложений и т. д. Это очень полезно при устранении неполадок в работе сети.

Существует также небольшая бесплатная программа Paessler NetFlow Testers, которая просто собирает все пакеты (поддерживаются версии 5, 9, а также IPFIX от привязанных к NetFlow маршрутизаторов. Для этого сначала протокол NetFlow необходимо включить и настроить на каждом маршрутизаторе, с которого вы хотите получать статистику, а также ему необходимо задать IP-адрес компьютера, на котором запущен NetFlow Testers, чтобы сюда отправлялись UDP-пакеты с данными NetFlow. Это типичный Flow Collector в классическом понимании, который не имеет ничего общего с программным обеспечением для анализа.

Как мы уже отмечали выше, программное обеспечение PRTG Network Monitor, включает в состав NetFlow Collector, который работает автоматически на любом локальном или удаленном компьютере с установленным PRTG зондом. PRTG Network Monitor использует зонды как платформу для осуществления мониторинга всей вашей сетевой инфраструктуры. Все объекты, сконфигурированные под конкретным зондом, будут контролироваться через этот зонд.

Обратите внимание на то, что для ценовой политики компании Paessler важное значение в иерархии объектов программного обеспечения PRTG имеет понятие сенсора. На каждом устройстве (практически любом физическом или виртуальном устройстве в вашей сети, у которого есть собственный IP-адрес) можно создать несколько сенсоров. Каждый сенсор контролирует один аспект работы устройства.

Например, это может быть:
  • одно устройство NetFlow;
  • один сетевой сервис, такой как SMTP, FTP, HTTP и т. д.;
  • трафик одного порта сетевого коммутатора;
  • загрузка центрального процессора устройства;
  • загрузка памяти устройства;
  • трафик на одной сетевой карте;
  • общее состояние системы на устройстве;
  • различный контент (например, использование базы данных, электронной почты, HTTP, XML, файлов и т. д.).

Программное обеспечение PRTG Network Monitor доступно в двух версиях: коммерческой и бесплатной. Бесплатная редакция — это полностью функциональное решение PRTG Network Monitor, которое позволяет контролировать до 100 сенсоров. Если вам необходимо осуществлять мониторинг более 100 сенсоров, вам понадобиться уже коммерческая лицензия. Кроме того, изначально вам доступна бесплатная пробная версия, которая в первые 30 дней не имеет никаких ограничений.

Скачать бесплатную и коммерческую версию PRTG Network Monitor  (30-дней Trial): https://www.paessler.com/prtg

Scrutinizer


Программное решение Scrutinizer — это намного больше, чем просто анализатор NetFlow. Программа представляет собой полноценную систему реагирования на инциденты, которая может использоваться как для анализа сетевого трафика, так и получения отчетов об инцидентах безопасности. Scrutinizer может собирать и анализировать данные из различных типов потоков, используя NetFlow, J-Flow, NetStream и IPFIX. Другими словами, данное решение будет полноценно работать с различными устройствами от различных поставщиков.

Scrutinizer обеспечивает видимость как в физической среде, так и виртуальной. Он также имеет быструю и продвинутую функциональность по формированию отчетности, поддерживает возможности коллективной работы и чрезвычайно масштабируем, так как построен на принципах распределенной архитектуры.

Для Scrutinizer существует три варианта развертывания: на базе аппаратного обеспечения, как виртуальная машина, а также как SaaS (Software as a Service, программное обеспечение как услуга). Вы можете попробовать Scrutinizer бесплатно в течение 30 дней, после чего функциональность продукта будет понижена до бесплатной версии, которая имеет ряд ограничений. В частности, ограничен коллективный доступ, а также отсутствует возможность как-либо сохранять или экспортировать данные. Кроме того, вы можете собирать данные с любого количества потоков, но эта информация будет доступна только в течение пяти часов. Другими словами, у вас не будет доступа к ранее собранным данным и каждый раз вам придется начинать заново.

Скачать бесплатную и коммерческую версию Scrutinizer (30-дней Trial): https://www.plixer.com/products/scrutinizer/free-edition/

ManageEngine NetFlow Analyzer


Сервис ManageEngine предлагает коллектор и анализатор NetFlow, который по своей функциональности очень схож с решениями, которые мы описали выше. Это мощный программный продукт с полным спектром возможностей для сбора данных о потоках в вашей сети и анализа этой информации. ManageEngine NetFlow Analyzer поддерживает различные технологии для сбора информации о потоках, такие как NetFlow, J-Flow и NetStream, и предназначен для анализа сетевого трафика, а также мониторинга пропускной способности в реальном времени.

Кроме этого, ManageEngine NetFlow Analyzer имеет несколько интересных возможностей, таких как:

  • настраиваемая панель мониторинга для вывода сводных данных по приложениям, протоколам и используемым ресурсам;
  • встроенная система оповещений при достижении пороговых значений;
  • приложение для iPhone, позволяющее вам проводить мониторинг в любое время и из любого места;
  • поддержка отчетов Cisco Medianet и Cisco WAAS.

ManageEngine предлагает онлайн-демонстрацию своего анализатора NetFlow, что позволит вам оценить его возможности, прежде чем принять решение о полнофункциональном использовании. ManageEngine NetFlow Analyzer доступен в двух версиях: Essential (для малых, средних и больших компаний) и Distributed (для корпораций). Обе версии могут быть опробованы бесплатно в течение 30 дней. Цена версии Essential зависит от выбранной функциональности и количества интерфейсов, для которых проводится мониторинг. Существует также возможность использовать бесплатную версию решения без необходимости в какой-либо лицензии, которая может быть применена для мониторинга не более двух интерфейсов.

Скачать бесплатную и платную версию ManageEngine NetFlow Analyzer (30-дней Trial): https://www.manageengine.com/products/netflow/netflow-analyzer-editions.html

nProbe and ntopng


Решение ntopng — это веб-инструмент с открытым исходным кодом для мониторинга и анализа сетевого трафика. Программа была написана для использования на мобильных устройствах под управлением любой из популярных платформ: Unix, MacOS и Windows. Через зашифрованный интерфейс поступают данные о переданных пакетах. Программа анализирует их и предоставляет различную полезную информацию о функционировании вашей сети. К примеру, с помощью ПО ntopng вы можете:

  • сортировать информацию о сетевом трафике по многим параметрам, включая IP-адреса, порты, протоколы, пропускная способность и т. д.;
  • в режиме реального времени отслеживать наиболее активные хосты и приложения, требующие больше всего пропускной способности;
  • отслеживать информацию о переданных байтах, а также количество отправленных, полученных и потерянных пакетов;
  • сохранять на диск историю сетевого трафика для последующего анализа;
  • определять географическое местоположение и строить схемы соединения хостов на карте местности,
  • а также многое другое.

Программа ntopng может подключаться к nProbe, который является коллектором NetFlow / IPFIX. В этом тандеме роли распределены следующим образом: nProbe собирает данные о потоках и отправляет эту информацию в ntopng, который, в свою очередь, анализирует ее и представляет в удобном для восприятия виде.

Хотя ntopng и доступен в бесплатной версии (существуют также более расширенные платные версии продукта), вам понадобится лицензия для использования nProbe (за исключением некоммерческих организаций или учебных заведений). ПО nProbe поставляется в двух версиях: Standard и Pro с плагинами.

Скачать бесплатную / платную версию ntopng: https://www.ntop.org/products/traffic-analysis/ntop/

Скачать коммерческое решение nProbe: https://www.ntop.org/products/netflow/nprobe/

Заключение.

Мы обсудили использование протокола NetFlow и других схожих по своей функциональности технологий для получения статистической информации о работе сети. Эти данные могут оказаться очень полезны вам в ряде случаев, включая задачи анализа сетевого трафика, устранения проблем с производительностью и мониторинга пропускной способности.

Также мы представили список лучших на наш взгляд инструментов, которые могут быть использованы для сбора и анализа данных NetFlow — это Solarwinds NetFlow Traffic Analyzer, PRTG Network Monitor, Scrutinizer, ManageEngine NetFlow Analyzer и ntopng / nProbe. Существуют и другие программные решение, которые мы не упомянули, такие как, к примеру, NFDUMP и EHNT, являющиеся бесплатными и с открытым исходным кодом. Основная причина, по которой мы не обсуждали эти и другие подобные решения состоит в том, что они ограничены только одной или несколькими версиями NetFlow, в отличие от рассмотренных в данной статье инструментов, которые поддерживают как NetFlow и IPFIX, так и J-Flow, NetStream и т. д. Кроме того, у бесплатных решений практически отсутствует какой-либо аналитический функционал.

Если вы ищете решение, которое не только собирает, но и анализирует NetFlow, а также предлагает расширенные возможности масштабирования для различных платформ и протоколов, мы рекомендуем обратить внимание на Solarwinds NetFlow Traffic Analyzer (возможно, с Network Performance Monitor).

Если вас больше интересует анализ NetFlow в качестве дополнения к решению сетевого мониторинга, тогда присмотритесь к PRTG Network Monitor или ManageEngine NetFlow Analyzer, если нужна безопасность — Scrutinizer может стать для вас еще одним вариантом. И, наконец, если вам нужно недорогое решение с открытым исходным кодом, взгляните на пару ntopng / nProbe.

No comments:

Post a Comment

А что вы думаете по этому поводу?