5 найкращих інструментів для аналізу моделі трафіку та як це допомагає вашому бізнесу

Аналіз шаблону трафіку – це процес, який дозволяє адміністраторам і менеджерам мережі отримати чудове уявлення не тільки про те, наскільки використовується мережа, але, що більш важливо, про те, ЯК вона використовується. Одна справа знати, що певний сегмент мережі страждає від перевантажень, але інша — і набагато корисніша — дізнатися, що спричиняє цю перевантаженість. І без цієї інформації єдиний варіант виправити перевантаження — це збільшити пропускну здатність. Але пропускна здатність є дорогою, і, безумовно, є кращі способи вирішення цієї проблеми. Аналіз шаблонів трафіку може дати відповідь, і сьогодні ми розглянемо найкращі інструменти, які ви можете використовувати.

Ми почнемо нашу подорож до аналізу моделі трафіку з корисної теорії. Спочатку ми детальніше розглянемо, що таке аналіз моделі трафіку. Це важливо, оскільки саме це допоможе визначити, що є інструментом аналізу моделі трафіку. Потім ми обговоримо NetFlow та інші системи та протоколи звітів про потоки, оскільки вони є ядром більшості інструментів аналізу шаблонів трафіку. Спочатку ми подивимося на протокол NetFlow від Cisco та його численні варіанти, а потім на S-Flow, конкуруючий протокол, який дещо відрізняється за принципом роботи. Маючи всю цю інформацію, ми будемо готові переглянути найпопулярніші інструменти аналізу трафіку, які ми могли знайти.

Аналіз моделі трафіку в двох словах

У своєму найпростішому вираженні аналіз шаблону мережевого трафіку — це процес запису, перегляду та/або аналізу мережевого трафіку з метою продуктивності, безпеки та/або загальних мережевих операцій та керування. Точніше, це процес використання ручних та автоматизованих методів для перегляду детальних деталей і статистики в межах мережевого трафіку.

Насамперед існує два типи моніторингу мережевого трафіку. По-перше, це моніторинг використання пропускної здатності, який може надавати кількісні дані. Цей тип моніторингу дозволить вам побачити, скільки трафіку проходить в певній точці мережі, але він не надасть жодних даних про характер цього трафіку. Другий тип моніторингу, той, який ми сьогодні обговорюємо і який називається аналізом шаблонів мережевого трафіку або просто аналізом мережевого трафіку, йде глибше, і його головна мета полягає в тому, щоб надати глибоке уявлення про тип трафіку, мережу. пакети або дані протікають через мережу.

Хоча аналіз шаблону мережевого трафіку можна виконати вручну, найчастіше він виконується за допомогою інструмента моніторингу мережі. Зробити це вручну просто зажадає занадто багато зусиль. Статистика трафіку, отримана в результаті аналізу мережевого трафіку, може допомогти зрозуміти й оцінити використання мережі. Він покаже важливі дані про тип, розмір, походження та призначення пакетів даних. Він навіть може містити деяку інформацію про вміст пакетів даних.

Групи з безпеки мережі можуть використовувати аналіз шаблонів мережевого трафіку для виявлення шкідливих або підозрілих пакетів у трафікі. Аналогічно, адміністратори мережі, які прагнуть контролювати швидкість завантаження та завантаження, пропускну здатність, вміст тощо. Використовуватимуть це для кращого розуміння використання мережі.

З іншого боку, аналіз шаблонів мережевого трафіку також може використовуватися зловмисниками та/або зловмисниками для аналізу шаблонів мережевого трафіку та виявлення вразливостей або засобів проникнення чи отримання конфіденційних даних. Це двосічний меч.

NetFlow та інші системи звітування про потоки

NetFlow — це функція, яка була представлена ​​на маршрутизаторах Cisco ще в 1996 році — на рік чи два — яка пропонує можливість збирати мережевий IP-трафік під час входу або виходу з інтерфейсу. Це відрізняється від моніторингу пропускної здатності, коли дані підраховуються, але не збираються. Аналізуючи зібрані дані, можна визначити такі речі, як джерело та призначення трафіку, клас і тип послуги, і, в кінцевому рахунку, використовувати цю інформацію для визначення причин перевантажень.

Типове налаштування моніторингу NetFlow складається з трьох основних компонентів:

The fнизький експортер об’єднує пакети в потоки та експортує записи потоків до одного або кількох збирачів потоків. Це компонент, який знаходиться в мережевому пристрої.
The fнизький колектор відповідає за прийом, зберігання та попередню обробку даних про потік, отриманих від експортера потоку.
The аналізатор потоку аналізує отримані дані потоку в контексті виявлення вторгнення або профілювання трафіку, наприклад.

Говорячи мовою NetFlow, потік — це односпрямована послідовність пакетів, які мають загальну кількість атрибутів, таких як їхній вхідний інтерфейс, IP-адреси джерела та призначення, IP-протокол (TCP/UDP/ICMP тощо), IP-порти джерела та призначення. , і тип послуги IP. Детальні дані про кожен окремий потік збираються експортером потоку перед експортом до колектора потоку. Сьогодні, в більшості випадків, колектор і аналізатор потоку є двома компонентами однієї системи, і ми рідко бачимо їх розділені.

Колись був ексклюзивним для Cisco, NetFlow тепер доступний на обладнанні від багатьох постачальників, включаючи Juniper, Alcatel-Lucent і Nortel, і це лише деякі з них. Деякі постачальники називають його іншою назвою, наприклад, J-flow for Juniper. Існує навіть відносно недавня стандартизована IETF версія під назвою IPFIX, яка розшифровується як Інтернет-протокол Flow Information eXport.

sFlow є дещо еквівалентною, але дуже різною технологією. sFlow використовує подібні методи для збору інформації про потік, але додає вибірку даних — отже, S — для ще більш детальної інформації. Дуже мало NetFlow Analyzers і Collectors можуть обробляти дані sFlow, оскільки вони занадто різні.

Найкращі інструменти для аналізу трафіку

Існує досить багато інструментів, які пропонують аналіз структури мережевого трафіку. Більшість із них збиратимуть дані NetFlow та відображатимуть їх у якийсь значущий графічний спосіб, а деякі використовують різні методи для досягнення схожих цілей.

1. Аналізатор трафіку SolarWinds NetFlow (БЕЗКОШТОВНА ПРОБНА ОПЕРАЦІЯ)

Першим у нашому списку є аналізатор трафіку SolarWinds NetFlow або NTA. Якщо ви не знаєте SolarWinds, компанія заробила собі солідну репутацію в створенні одні з найкращих інструментів керування мережею. Його флагманський продукт, Network Performance Monitor, є одним із найкращих доступних інструментів моніторингу пропускної здатності. А SolarWinds також відомий своїм чудовим безкоштовним інструментом для вирішення конкретних потреб мережевого адміністрування, як-от один із найкращих калькуляторів підмережі або TFTP-сервер.

Як випливає з назви, SolarWinds NetFlow Traffic Analyzer використовує протокол NetFlow для надання детальної інформації про спостережуваний трафік. Він може, наприклад, повідомляти про те, який тип трафіку є більш частим або який користувач використовує найбільшу пропускну здатність. На інформаційній панелі інструмента доступні кілька різних режимів перегляду, наприклад, найпопулярніші програми, найпопулярніші протоколи або найкращі розмовники. Інструмент підтримуватиме більшість варіантів NetFlow від різних виробників

БЕЗКОШТОВНЕ ВИПРОБУВАННЯ: СОНЯЧНІ ВІТРИ АНАЛІЗАТОР NETFLOW TRAFFIC ANALYZER

Ось деякі з найкращих характеристик продукту.

Його можна використовувати для моніторингу використання мережі за програмою, протоколом та групою IP-адрес.
Він буде відстежувати дані потоку Cisco NetFlow, Juniper J-Flow, sFlow, Huawei NetStream і IPFIX, щоб визначити, які програми та протоколи є найбільшими споживачами пропускної здатності.
Він буде збирати дані про трафік, співвідносити їх у зручний для використання формат і представляти їх у своєму веб-інтерфейсі користувача
Він може допомогти вам визначити, які програми та категорії споживають найбільшу пропускну здатність для кращої видимості мережевого трафіку, а також підтримує Cisco NBAR2.

Аналізатор трафіку SolarWinds NetFlow доступний як доповнення до моніторингу продуктивності мережі (NPM). Ціни починаються від 1915 доларів за 100 вузлів. Кількість вузлів, які ви купуєте, має відповідати вашій ліцензії NPM. Якщо ви ще не володієте програмним забезпеченням NPM, це коштуватиме 2995 доларів США за той самий рівень із 100 вузлами. І якщо ви хочете спробувати його перед покупкою, ви можете завантажити повнофункціональну 30-денну тестову версію одного або обох продуктів,

2. Paessler Router Traffic Grapher (PRTG)

The Paessler Router Traffic Grapherабо PRTG, є рішенням «все в одному», основною метою якого є моніторинг використання пропускної здатності. Таким чином, він інтегрує моніторинг пропускної здатності SNMP, збір і аналіз NetFlow. Але на цьому не зупиняється і PRTG буде використовувати багато різних технологій для моніторингу систем, пристроїв, трафіку та програм. Ось короткий опис підтримуваних протоколів моніторингу:

Потоки (наприклад, NetFlow або sFlow)
SNMP з готовими до використання та спеціальними параметрами
WMI і лічильники продуктивності Windows
SSH для систем Linux/Unix і MacOS
Обнюхування пакетів
Ping, SQL та багато іншого

Встановлення PRTG це легко. Насправді, Песслер стверджує, що ви можете зробити це за пару хвилин. Після запуску інсталятора процес автоматичного виявлення виявить пристрої та налаштує основні датчики. Потім ви можете додати датчики, наприклад колектори NetFlow, вручну. Якщо вам це потрібно, є детальне відео, яке покаже вам, як це робиться.

PRTG працює лише на Windows, але його інтерфейс користувача є веб-інтерфейсом і доступний з будь-якого браузера на будь-якій платформі. Є також мобільні додатки для Android та iOS, які можна встановити на свій смартфон. Якщо говорити про мобільні додатки, то цей інструмент має унікальну функцію у вигляді етикеток з QR-кодами, які ви можете роздрукувати та прикріпити на своїх пристроях. Тоді досить просто відсканувати код із мобільних додатків, щоб швидко переглянути дані датчика пристрою.

PRTG доступний у двох версіях. Є безкоштовна версія, яка обмежена 100 датчиками. Кожен контрольований елемент вважається одним датчиком. Наприклад, щоб контролювати кожен порт 48-портового комутатора, вам знадобиться 48 датчиків. Для збору та аналізу NetFlow вам знадобиться один датчик на один експортер потоку. Для понад 100 датчиків потрібна платна ліцензія. Вони доступні для 500, 1000, 2500, 5000 і необмежену кількість вузлів за ціною від $1 600 до трохи менше $15 000. Зверніть увагу, що безкоштовна версія дозволить необмежену кількість датчиків протягом перших 30 днів, що дозволить вам ретельно випробувати заїзд. продукт.

3. Дослідник

Дослідник від Plixer — чудовий аналізатор NetFlow. Насправді це набагато більше, ніж просто, і багато хто вважає, що це повноцінна система реагування на інциденти. А завдяки його можливості відстежувати різні типи потоків, такі як NetFlow, J-flow, NetStream та IPFIX, ви не обмежуєтесь моніторингом лише пристроїв Cisco.

Дослідник має ієрархічний дизайн і пропонує впорядкований та ефективний збір даних, що дозволяє почати з малого та легко масштабувати до мільйонів потоків в секунду. Хоча мережу часто звинувачують першою, коли щось йде не так, Дослідник допоможе швидко знайти справжню причину більшості проблем з мережею. Продукт може працювати як у фізичному, так і у віртуальному середовищах і має розширені функції звітності.

Дослідник доступний у чотирьох рівнях ліцензії від базової безкоштовної версії до рівня SCR вищого рівня, який може масштабувати понад десять мільйонів потоків за секунду. Безкоштовна версія обмежена десятьма тисячами потоків в секунду, і вона зберігатиме вихідні дані лише протягом 5 годин. Проміжними рівнями є рівень MDX, який зберігає дані протягом 25 годин, і SSRV, який зберігає їх вічно. Ви можете спробувати будь-який рівень ліцензії протягом 30 днів, після чого він повернеться до безкоштовної версії.

4. ManageEngine NetFlow Analyzer

ManageEngine — це ще одне ім’я на арені інструментів мережевого адміністрування. Подібно до SolarWinds, компанія виробляє кілька чудових інструментів, а також кілька безкоштовних. The ManageEngine NetFlow Analyzer надає детальне уявлення про використання пропускної здатності мережі, а також моделі трафіку. Продукт може похвалитися веб-інтерфейсом користувача, який пропонує вражаючу кількість різних переглядів вашої мережі.

Цей інструмент дозволить вам, наприклад, переглядати трафік за програмою, розмовою, протоколом та ще кількома параметрами. Ви також можете налаштувати сповіщення, щоб попередити вас про потенційні проблеми. Ви можете, наприклад, встановити поріг трафіку для певного інтерфейсу та отримувати сповіщення, коли трафік перевищує його.

Більшість з ManageEngine NetFlow AnalyzerСила ‘s полягає в його звітах і інформаційній панелі. Продукт має кілька корисних попередньо створених звітів, призначених для конкретних цілей, таких як усунення несправностей, планування потужності або виставлення рахунків. Але якщо ви бажаєте створювати спеціальні звіти, інструмент дозволяє адміністраторам створювати їх на свій смак.

The ManageEngine NetFlow AnalyzerПанель приладів настільки ж вражаюча, як і її звіти. Він включає, наприклад, кілька кругових діаграм, що зображують найпопулярніші програми, найпопулярніші протоколи чи розмови. Він також може відображати теплову карту, що показує стан контрольованих інтерфейсів. Інформаційні панелі можна налаштувати, щоб включати лише ту інформацію, яка вам потрібна. Для мережевих адміністраторів, які працюють у дорозі, є додаток для смартфона, який надасть вам доступ до інформаційної панелі та звітів.

The ManageEngine NetFlow Analyzer підтримує більшість технологій потоку, включаючи NetFlow, IPFIX, J-flow, NetStream та деякі інші. Як бонус, він також має чудову інтеграцію з пристроями Cisco, з можливістю коригування формування трафіку та/або політики QoS прямо з інструменту.

The ManageEngine NetFlow Analyzer поставляється в двох версіях. Безкоштовна версія обмежує вас моніторингом лише двох інтерфейсів або експортерів потоків. Для більшої ємності ліцензії доступні в кількох розмірах від 100 до 2500 інтерфейсів або потоків за ціною від 600 до понад 50 тис. доларів США плюс річна плата за обслуговування. Для всіх платних планів доступна безкоштовна 30-денна пробна версія.

5. sFlowTrend

Хоча всі попередні продукти відмінні, тільки PRTG поки що підтримує протокол sFlow. Як ми пояснили, ці два протоколи дуже різні, і рідко один інструмент підтримує обидва. Отже, якщо ваша мережа в основному складається з пристроїв з підтримкою sFlow, ось один із найкращих інструментів, які ми могли знайти.

sFlowTrend є інструментом моніторингу sFlow від inMon, компанії, що стоїть за протоколом sFlow. Це базовий і дещо обмежений, але дуже дієвий інструмент. Є безкоштовна версія, яка дозволить вам збирати дані з п’яти пристроїв з підтримкою sFlow і зберігатиме дані історії в ОЗП до години. Хоча цього може бути достатньо, щоб усунути деякі проблеми з мережею, це не те, що вам потрібно для постійного моніторингу. Щоб отримати більш повний інструмент, вам потрібно оновитися до професійної версії, яка знімає обмеження на кількість пристроїв і зберігає дані історії на диску.

The sFlowTrend Панель інструментів пропонує швидкий перегляд поточного стану пристроїв і мереж, які відстежуються. Він відображатиме пороги верхнього рівня та інтерфейси з потенційними помилками. Натиснувши на sFLowTrend Вкладка «Мережа» відображає підсумовану статистику продуктивності та детальний трафік на рівні мережі або пристрою. Пороги попередження можна використовувати для отримання сповіщень, коли спостерігається використання пропускної спроможності вище, ніж зазвичай, або виникає помилка мережі. У програмному забезпеченні також є вкладка Основна причина, де ви можете детально розглянути причину проблеми, наприклад порушення порогового значення.

The sFlowTrend На вкладці «Хости» ви знайдете більш детальну інформацію про кожен пристрій. Він може відображати дані про продуктивність процесора, диска тощо для серверів із підтримкою sFlow. Як ви зрозуміли, sFlow призначений не тільки для моніторингу мережевого обладнання. На вкладці «Служби» ви знайдете дані про продуктивність програм, які експортують дані sFlow. А на вкладці «Події» ви знайдете журнал подій, наприклад перевищення порогових значень або виявлені помилки. Нарешті, вкладка Звіти пропонує декілька попередньо визначених звітів, а також підтримує створення спеціальних звітів.

sFlowTrend написаний на Java і постачається як із користувальницьким інтерфейсом на основі Java, так і з веб-інтерфейсом. Він доступний для Windows, Mac і Linux. Програмне забезпечення має чудову онлайн-довідкову систему, яка допоможе вам налаштувати та використовувати інструмент.

У висновку

Незалежно від того, який інструмент ви виберете, аналіз моделі мережевого трафіку дасть вам безцінну інформацію про те, що відбувається у вашій мережі. Кожен з інструментів, які ми розглянули, забезпечує чудову цінність, і вибір одного, швидше за все, буде питанням особистих переваг. Можливо, в одному з інструментів є конкретна функція, яка вам особливо подобається. Оскільки всі платні інструменти пропонують безкоштовну пробну або безкоштовну версію, немає причин, чому б ви не могли спробувати кілька, перш ніж прийняти рішення.