Анализ сети sflow для разработки брандмауэра
Я управляю сетью с центральной исторически сложившейся системой брандмауэра, которую я хотел бы заменить. К сожалению, исторически сложившийся набор правил - это НАСТОЯЩИЙ беспорядок, поэтому я хотел бы провести анализ сети с нуля. Поэтому я планирую запустить sflow на своих коммутаторах HP Procurve. У меня уже есть ntop, но, к сожалению, в моем случае это не лучший инструмент. Что я ищу, так это сборщик потоков, который я мог бы использовать для реинжиниринга моих правил брандмауэра. Основная цель - получить графическое и / или табличное представление всех хостов в сети. Что мне нужно сделать, так это создать полный новый набор правил для каждого хоста в сети, в результате чего я сфокусируюсь на входящих соединениях с точки зрения хоста. Инструмент должен иметь различные параметры фильтра, такие как "фильтр по хосту", "фильтр по сети", "фильтр по сервису" и т. Д. Конечно, я бы предпочел использовать программное обеспечение с открытым исходным кодом, но если для моей цели нет подходящего инструмента с открытым исходным кодом, я Я определенно готов заплатить за коммерческий инструмент.
Я надеюсь, что мое объяснение не слишком запутанно.:-)
Было бы здорово получить несколько советов от вас, ребята. Список на sflow.org является хорошей отправной точкой, но, к сожалению, у меня нет времени, чтобы опробовать каждый инструмент в списке:
http://www.sflow.org/products/collectors.php
Ура,
боб
2 ответа
Я использую nfdump/nfsen и Scrutinizer от Plixer уже довольно давно (в последнее время больше nfdump, чем scrutinizer). Оба являются фантастическими инструментами, но у каждого есть своя "ниша" пользователей.
Nfdump / nfsen является opensource/free-as-cerveza, но может быть слишком "отвратительным" для некоторых пользователей. Его возможности фильтрации / запросов чрезвычайно мощны (например, синтаксис фильтрации "tcpdump", но для потоков плюс агрегация и сортировка), но, на мой взгляд, ему не хватает некоторой полировки на стороне генерации графиков / отчетности (в nfsen). Что мне нравится в nfdump, так это то, что я могу генерировать некоторые "быстрые и грязные" запросы командной строки и получать нужную мне информацию в формате, готовом для подачи некоторых моих скриптов на python.
С другой стороны, Scrutinizer (коммерческий / несвободный как cerverza) - фантастический "визуальный" инструмент. Отлично подходит для создания отчетов и просмотров, чтобы поделиться с не такими "отвратительными" клиентами, как у меня. Возможности запросов велики, но я не нашел способа извлечь из него информацию из командной строки (в основном потому, что я не исследовал, есть ли у Scrutinizer такая возможность, потому что я могу это сделать с помощью nfdump).
Одна последняя вещь. Я знаю из первых рук, что Scrutinizer может использовать данные sFlow. Я знаю (из того, что я прочитал и из вариантов конфигурации, которые я видел), что nfdump может также использовать данные sFlow, но лично я никогда не делал этого. Я использовал nfdump только с данными Netflow v5/v9. Поэтому я рекомендую, чтобы перед фиксацией nfdump вы подтвердили эту возможность.
Поскольку вы используете коммутаторы HP ProCurve, я бы порекомендовал инструмент для настройки sFlow MIB. sFlowTrend является бесплатным и имеет возможности фильтрации и отчетности, которые должны предоставить вам необходимые данные.