NetFlow مقابل sFlow: أيهما أفضل لتحليل حركة المرور؟

إن NetFlow من Cisco و sFlow من InMon هما تقنيتان متشابهتان مختلفتان للمراقبة يمكن أن توفر لك رؤية نوعية لحركة مرور شبكتك. في حين أن أدوات مراقبة النطاق الترددي تخبرك فقط بكمية المرور التي تمر بها نقطة معينة ، فإن أدوات تحليل التدفق سوف يخبرك ما هي تلك البيانات ، ومن أين تأتي وتذهب ، وبعض الأجزاء المفيدة الأخرى من معلومات. سنقارن اليوم بين التقنيتين وسنلقي نظرة على بعض من أفضل الأدوات المتاحة لكل منهما. سنراجع بعضًا من أفضل أدوات تحليل ومجمعي NetFlow و sFlow التي يمكن أن نجدها.

سنبدأ بوصف NetFlow. سنبذل قصارى جهدنا لشرح ماهيتها وكيف تعمل مع الحفاظ على مناقشتنا غير التقنية قدر الإمكان. سنقوم بعد ذلك بنفس التمرين مع sFlow ونبذل قصارى جهدنا لشرح التكنولوجيا. بعد ذلك ، سنلقي نظرة على كيفية اختلاف التقنيتين. تمامًا كما كان الحال من قبل ، سنبتعد عن التفاصيل الفنية الأساسية. بعد ذلك ، سنحاول الإجابة على السؤال الملح: أيهما يجب أن أستخدمه؟ كما ترى ، لا توجد إجابة واضحة ونهائية. أخيرًا ، سنراجع بعضًا من أفضل أدوات تحليل التدفق التي يمكن أن نجدها.

NetFlow - تقنية تحليل التدفق الأصلي

تم تطوير تقنية NetFlow التي طورتها شركة Cisco Systems على أجهزة التوجيه الخاصة بها لتوفير القدرة على جمع البيانات حول حركة مرور الشبكة عند دخولها أو خروجها من الواجهة. يمكن تحليل هذه البيانات من خلال تطبيقات متخصصة لاستخراج مصدر ووجهة حركة المرور ، وفئة الخدمة الخاصة بها ، وبالتالي ، أسباب الازدحام.

يتكون إعداد مراقبة NetFlow النموذجي من ثلاثة مكونات رئيسية:

• ال مصدر التدفق تجميع الحزم في التدفقات وسجلات تدفق الصادرات نحو واحد أو أكثر من مجمعي التدفق.
• ال جامع التدفق مسؤول عن استقبال وتخزين ومعالجة مسبقة لبيانات التدفق الواردة من مصدر التدفق.
• ال محلل التدفق، أو تطبيق تحليل التدفق ، لتحليل بيانات التدفق المستلمة. يمكن استخدام التحليل لتحديد ملامح حركة المرور أو لاستكشاف أخطاء الشبكة وإصلاحها.

كيف يعمل NetFlow

تقوم أجهزة الشبكات التي تدعم NetFlow بإنشاء سجلات تدفق وإرسالها إلى جامع NetFlow. التدفق ، في هذا السياق ، هو محادثة كاملة بمعنى IP. يرسل الجهاز الذي يقوم بإعداد سجلات التدفق عادةً إلى المجمع عندما يقرر انتهاء التدفق إما من خلال الشيخوخة - عندما لا يكون هناك أي حركة مرور خلال مهلة محددة - أو عندما ترى جلسة TCP نهاية.

معلومات سجل التدفق حول التدفق مثل واجهات الإدخال والإخراج وطوابع وقت البدء والانتهاء للتدفق والعدد من وحدات البايت والحزم التي تحتوي عليها ، ورؤوس الطبقة 3 ، وعنوان IP المصدر والوجهة ورقم المنفذ ، وبروتوكول IP ، و TOS القيمة. لا تحتوي سجلات التدفق على البيانات الفعلية التي تكون التدفق ، فهي تحتوي فقط على معلومات حول التدفق. هذه ميزة أمان مهمة لهذه التقنية.

باستثناء البيئة الضخمة متعددة المواقع ، فإن جامعي التدفق حيث يتم إرسال السجلات هم أيضًا محللو التدفق. يستخدمون المعلومات الواردة في سجلات التدفق لتقديم بيانات حول حركة مرور الشبكة بطريقة مفيدة لمسؤولي الشبكات. ستحصل جامعات ومحللو NetFlow المختلفة على طرق مختلفة لتقديم البيانات.

sFlow - قريب بعيد

يشير حرف "s" في sFlow إلى "أخذ العينات". هذا أمر بالغ الأهمية لتشغيلها وهو حيث يختلف عن أنظمة تحليل التدفق الأخرى. تعمل هذه التقنية فقط مع الأجهزة التي تدعم sFlow ، تمامًا مثل NetFlow. لحسن الحظ ، هناك هذه الأجهزة شائعة جدًا بين الشركات المصنعة لمعدات الشبكات الرئيسية.

يتم الحفاظ على معيار sFlow بواسطة اتحاد sFlow.org ولكن من بنات أفكار شركة InMon الذين ما زالوا يمارسون التحكم المطلق تقريبًا في تطورها وتطورها. تشمل الشركات المصنعة للمعدات الرئيسية مثل Alcatel-Lucent و Aruba و Brocade و Cisco و Dell و Hewlett Packard و IBM وغيرها الكثير - أكثر من 300 - دعم sFlow في العديد من منتجاتها.

sFlow هو بروتوكول لأخذ عينات حزم بدون حالة. قد يكون جزء "التدفق" من اسم البروتوكول مضللاً لأن sFlow في الواقع ليس لديه فكرة عن تجميع حزم البيانات في تدفقات عالية المستوى كما يفعل NetFlow. يعمل فقط من حيث الحزم.

يمتد أخذ عينات الحزم العامة في sFlow الطبقات حتى 7. يعمل مصدر sFlow الذي يعمل داخل جهاز الشبكة ، ويجمع البادئات من مجموعة فرعية من جميع الحزم التي تمر عبر الواجهة المراقبة. يمكن للمسؤولين اختيار عينة حزمة واحدة لكل حزمة N ولكن المصدر يختار أيضًا حزمًا عشوائية ويدرجها في سجله. يقوم المصدر من تجميع البايتات الأولية لكل حزمة عينات مع عدادات الجهاز وإرسالها إلى جامع sFlow. لا يقوم الجهاز بتخزين أي من البيانات أو الحزمة المأخوذة مؤقتًا ، مما يقلل من استخدام الموارد ويجعل من السهل توسيع نطاق الشبكات عالية السرعة.

NetFlow و sFlow - ما الفرق؟

على الرغم من وجود أسماء وأغراض وأهداف متشابهة ، فإن NetFlow و sFlow مختلفان تمامًا في الواقع ، لا سيما في الطريقة التي ينجز بها كل منهما مهمته.

يلخص آفي فريدمان ، المؤسس المشارك والرئيس التنفيذي لشركة Kentik ، الاختلاف بين NetFlow و sFlow بقياس:... بينما يمكن وصف NetFlow بمراقبة أنماط حركة المرور ("كم عدد الحافلات التي ذهبت من هنا إلى هناك؟") ، باستخدام sFlow ، فأنت تلتقط فقط لقطات عن أي سيارات أو حافلات تصادف أن تمر في هذا الأمر بالذات لحظة."لا تدع هذا التشبيه التبسيطي يقودك بشكل أعمى إلى الاعتقاد بأن NetFlow يوفر معلومات أكثر من sFlow ومن ثم فهو تقنية أفضل.

على الرغم من أنك ربما تحصل على المزيد من المعلومات من NetFlow أكثر من sFlow ، إلا أنها لا تجعله بروتوكولًا أفضل. على سبيل المثال ، استخدام موارد NetFlow أعلى بكثير من استخدام sFlow. سيؤدي هذا إلى جعل sFlow خيارًا أكثر إثارة للاهتمام للأجهزة المنخفضة. وعلى الرغم من أن NetFlow قد يجمع مزيدًا من المعلومات ، فهل تحتاجها حقًا وهل يمكن للمحلل الخاص بك استخدامها؟

أي واحد يجب أن أستخدم؟

سيتعامل معظم جامعي التحليلات مع معلومات NetFlow و sFlow والعديد من أجهزة الشبكات تدعم كلاهما. ربما يجب أن يكون العامل الحاسم الرئيسي هو ما تدعمه معداتك. إذا كان بعض المعدات الخاصة بك يدعم واحدًا وليس الآخر ، فهذا هو ما يجب عليك اختياره. إذا كان لديك في الغالب معدات Cisco ، فلماذا لا تذهب مع NetFlow لأنه بروتوكول خاص بشركة Cisco؟

ليس عليك أن تختار جانبًا. يعد كل من NetFlow و sFlow تقنيات ممتازة. لماذا لا تستخدم كلاهما مع جامع ومحلل يمكنه دعم أي منهما؟ ستتمكن من الحصول على بيانات التدفق من أجهزة sFlow التي تم تمكينها بالإضافة إلى أجهزتك التي تمكّن Netflow.

بعض من أفضل أدوات مراقبة NetFlow

فيما يلي بعض من أفضل أدوات جامع ومحلل NetFlow التي يمكن أن نجدها. لقد قمنا بتضمين مجموعة من الأدوات لتمنحك فكرة أفضل عن مجموعة متنوعة من الأدوات المتاحة. جميعها تدعم مراقبة NetFlow وجميع متغيراته مثل J-flow أو IPFIX ، على سبيل المثال لا الحصر.

تعتبر SolarWinds واحدة من أشهر صانعي أدوات إدارة الشبكة والنظام. ينظر الكثيرون إلى منتجها الرئيسي ، المسمى مراقبة أداء الشبكة ، باعتباره أفضل أدوات مراقبة عرض النطاق الترددي للشبكة. وبالمثل ، فإن سولارويندز نيتفلو المرور محلل- والذي يتم تثبيته أعلى مراقب أداء الشبكة - هو واحد من أفضل جامعي ومحلل IPFIX الذي يمكنك العثور عليه.

• تجربة مجانية: سولارويندز نيتفلو المرور محلل
• رابط التحميل: https://www.solarwinds.com/network-bandwidth-analyzer-pack/registration

قليلا من ال سولارويندز نيتفلو المرور محللتشمل أفضل ميزات:

• مراقبة استخدام النطاق الترددي عن طريق التطبيق والبروتوكول ومجموعة عناوين IP.
• مراقبة بيانات تدفق IPFIX ، و Cisco NetFlow ، و Juniper J-Flow ، و sFlow ، و Huawei NetStream مما يسمح لها بتحديد الأجهزة والتطبيقات والبروتوكولات التي تمثل أعلى معدل نقل بيانات للعملاء.
• جمع بيانات حركة المرور وربطها بتنسيق قابل للاستخدام وعرضها على المستخدم من خلال واجهة على الويب لمراقبة حركة مرور الشبكة.
• تحديد التطبيقات والفئات التي تستهلك أكبر معدل نقل بيانات لتحسين رؤية حركة مرور الشبكة (بما في ذلك دعم Cisco NBAR2).

ال سولارويندز نيتفلو المرور محلل هو إضافة إلى مراقبة عرض النطاق الترددي للشبكة. يمكنك حفظ عن طريق الحصول على كليهما في نفس الوقت حزمة SolarWinds شبكة محلل النطاق الترددي. تبدأ أسعار الحزمة من 4910 دولارًا لمراقبة ما يصل إلى 100 عنصر وتختلف وفقًا لعدد الأجهزة المراقبة. في حين أن هذا قد يبدو مكلفًا بعض الشيء ، ضع في اعتبارك أنك لا تحصل على واحدة من أفضل أدوات المراقبة المتاحة بل اثنتين. إذا كنت تفضل تجربة المنتج قبل شرائه ، يمكن تنزيل نسخة تجريبية مجانية لمدة 30 يومًا من SolarWinds.

2- مراقب شبكة PRTG

ال مراقب شبكة PRTG من Paessler AG هو حل شامل هدفه الأساسي مراقبة استخدام عرض النطاق الترددي. كما أنها تستخدم لرصد مدى توافر موارد الشبكة المختلفة وصحتها. هذه الميزات تجعله أداة مفيدة لمسؤولي الشبكات. يمكن للأداة مراقبة الأجهزة عبر مواقع متعددة ويمكنها مراقبة شبكات LAN و WAN و VPN والخدمات السحابية.

تثبيت هذا المنتج سريع وسهل. بعد تشغيل المثبت ، تكتشف عملية الاكتشاف التلقائي الأجهزة وتقوم بإعداد أجهزة الاستشعار. يدعي Paessler أنه يمكنك بدء المراقبة في غضون دقيقتين من بدء التثبيت. في حين أن هذا قد يكون مبالغة طفيفة ، إلا أننا تأثرنا بسهولة وسرعة التثبيت. على الرغم من أن الخادم يعمل على Windows فقط ، إلا أن واجهة المستخدم تعتمد على الويب ويمكن الوصول إليها من أي متصفح. بالإضافة إلى ذلك ، هناك تطبيق جوال يمكنك تثبيته على هاتفك الذكي أو جهازك اللوحي.

ال مراقب شبكة PRTG يمكنه مراقبة أي شيء تقريبًا ، بفضل بنيته المستندة إلى المستشعر. يمكنك التفكير في المستشعرات كإضافات مدمجة مباشرة في المنتج ، لكل منها غرض محدد. هناك أجهزة استشعار لبروتوكول HTTP و SMTP / POP3 (البريد الإلكتروني). هناك أيضًا مستشعرات خاصة بالأجهزة من أجل المحولات وأجهزة التوجيه والخوادم. إجمالاً ، تحتوي الأداة على أكثر من 200 مستشعرات محددة مسبقًا.

ال مراقب شبكة PRTG يقدم مجموعة مختارة من واجهات المستخدم. يمكنك اختيار واجهة ويب تستند إلى Ajax أو وحدة تحكم مؤسسية Windows بالإضافة إلى تطبيقات الجوال لنظامي التشغيل Android و iOS. ميزة لطيفة لتطبيقات الهاتف المحمول هي أنها يمكن أن تحصل على تنبيهات من خلال إشعار الدفع. تتوفر إشعارات الرسائل القصيرة أو البريد الإلكتروني القياسية أيضًا.

ال مراقب شبكة PRTG تقدم في نسختين. هناك نسخة مجانية كاملة المواصفات ولكنها ستحد من قدرتك على المراقبة على 100 مستشعر مع احتساب كل معلمة مراقب كمستشعر واحد. على سبيل المثال ، لمراقبة كل منفذ لمحول 48 منفذًا ، ستحتاج إلى 48 مستشعرًا. لأكثر من 100 مستشعر ، تحتاج إلى شراء ترخيص. وتبدأ بسعر 1600 دولار مقابل 500 جهاز استشعار. يمكنك أيضًا الحصول على إصدار تجريبي مجاني غير محدود ومستشعر كامل الميزات لمدة 30 يومًا.

3- المدقق

المدقق من Plixer هو محلل NetFlow رائع آخر. في الواقع ، إنه أكثر من ذلك ويرى الكثيرون أنه نظام استجابة كامل للحوادث. من خلال قدرته على مراقبة أنواع التدفق المختلفة مثل NetFlow و J-flow و NetStream و sFlow و IPFIX ، فإنك لا تقتصر على مراقبة أجهزة Cisco فقط.

بتصميمها الهرمي ، المدقق يوفر تجميعًا انسيابيًا وفعالًا للبيانات ويسمح لك ببدء طريق صغير وسهل النطاق يصل إلى ملايين التدفقات في الثانية. غالبًا ما يتم إلقاء اللوم على الشبكة أولاً عندما يحدث خطأ ما ، باستخدام Scrutinizer ، يمكنك العثور بسرعة على السبب الحقيقي لمعظم مشاكل الشبكة. المدقق يعمل في كل من البيئات المادية والافتراضية ويأتي مزودًا بميزات إعداد تقارير متقدمة.

المدقق يأتي في أربعة مستويات للترخيص تنتقل من الإصدار المجاني الأساسي إلى مستوى SCR الكامل الذي يمكن أن يصل إلى أكثر من 10 مليون تدفق في الثانية. يقتصر الإصدار المجاني على 10 آلاف تدفق في الثانية وسيحتفظ فقط ببيانات التدفق الخام لمدة 5 ساعات ولكن يجب أن يكون أكثر من كافٍ لتحرّي مشكلات الشبكة وإصلاحها. يمكنك أيضًا تجربة أي مستوى ترخيص لمدة 30 يومًا ، وبعد ذلك سيعود إلى الإصدار المجاني.

4- ManageEngine NetFlow Analyzer

ال ManageEngine NetFlow Analyzer يعطي مسؤول الشبكة عرضًا تفصيليًا لاستخدام النطاق الترددي للشبكة وكذلك أنماط حركة المرور. يتم التحكم في المنتج من خلال واجهة مستندة إلى الويب ويقدم عددًا رائعًا من المشاهدات المختلفة على شبكتك.

يمكنك ، على سبيل المثال ، عرض حركة المرور عن طريق التطبيق ، عن طريق المحادثة ، عن طريق البروتوكول ، والعديد من الخيارات الأخرى. يمكنك أيضًا تعيين تنبيهات لتحذيرك من المشكلات المحتملة. على سبيل المثال ، يمكنك تعيين حد حركة المرور على واجهة معينة ويتم تنبيهك كلما تجاوزت حركة المرور ذلك.

لكن معظم قوة المنتج تأتي من تقاريره ولوحة القيادة. تأتي الأداة مع العديد من التقارير المفيدة جدًا والمصممة مسبقًا والمصممة خصيصًا لأغراض محددة مثل استكشاف الأخطاء وإصلاحها أو تخطيط السعة أو الفواتير. ولكنك لست عالقًا في التقارير المضمنة لأن الأداة تسمح أيضًا للمشرفين بإنشاء تقارير مخصصة ترضيهم.

بالنسبة إلى لوحة تحكم الأداة التي ذكرناها ، فهي مثيرة للإعجاب تمامًا مثل تقاريرها. يتضمن العديد من المخططات الدائرية مع أشياء مثل أفضل التطبيقات ، أعلى البروتوكولات أو أفضل المحادثات. يمكنه أيضًا عرض خريطة حرارية مع حالة الواجهات المراقبة. وكما قد تكون خمنت ، يمكن تخصيص لوحات المعلومات لتتضمن فقط المعلومات التي تجدها مفيدة. لوحة العدادات هي أيضا حيث يتم عرض التنبيهات في شكل نوافذ منبثقة. وبالنسبة إلى مسؤول الشبكة أثناء التنقل ، هناك تطبيق هاتف ذكي يتيح لك الوصول إلى لوحة التحكم والتقارير.

ال ManageEngine NetFlow Analyzer يدعم معظم تقنيات التدفق بما في ذلك NetFlow (بالطبع) و IPFIX و J-flow و NetStream وعدد قليل من التقنيات الأخرى. كمكافأة ، لديها أيضًا تكامل ممتاز مع أجهزة Cisco ، مع دعم ضبط تشكيل حركة المرور و / أو سياسات QoS مباشرة من الأداة.

مثل العديد من المنتجات المنافسة ManageEngine NetFlow Analyzer يأتي في نسختين. سيكون الإصدار المجاني مطابقًا للنسخة المدفوعة لأول 30 يومًا ، ولكنه سيعود بعد ذلك إلى مراقبة واجهتين فقط للتدفقات. في حين أن هذا ليس كثيرًا ، فقد يكون كل ما تحتاجه. إذا كنت تريد الإصدار المدفوع ، تتوفر التراخيص بعدة أحجام من 100 إلى 2500 واجهات أو تدفقات بأسعار تتراوح بين حوالي 600 دولار إلى أكثر من 50 ألف دولار بالإضافة إلى رسوم الصيانة السنوية.

ماذا عن أدوات مراقبة تدفق S؟

ستقوم جميع المنتجات التي استعرضناها للتو بجمع وتحليل بيانات sFlow بالإضافة إلى NetFlow. بالنسبة للبيئات المختلطة ، ستكون جميعها اختيارات رائعة. ولكن إذا كان لديك معدات sFLow فقط ، فربما تفضل اختيار أداة تدعم هذه التكنولوجيا فقط.

5- inMon sFlowTrend

sFlowTrend هي أداة مراقبة مجانية من inMon ، الشركة التي تقف وراء تقنية sFlow. يتيح لك هذا الإصدار المجاني من البرنامج جمع البيانات من ما يصل إلى خمسة أجهزة تدعم sFlow وسيحتفظ فقط ببيانات السجل في ذاكرة الوصول العشوائي لمدة تصل إلى ساعة. وإذا كنت ترغب في تصعيد الأمور ، يمكنك الترقية إلى الإصدار المحترف - بتكلفة بالطبع - مما يزيل عدد الأجهزة التي تحد من بيانات المحفوظات غير المحدودة وتخزنها على القرص.

ال sFlowTrend توفر لوحة المعلومات عرضًا سريعًا للحالة الحالية للأجهزة والشبكات الخاضعة للمراقبة ، وتتضمن عتبات المستوى الأعلى وواجهات تحتوي على أخطاء محتملة. عندما ينقر المرء على علامة التبويب "الشبكة" ، يكشف sflowTrend عن إحصاءات الأداء الملخصة وحركة المرور المفصلة على مستوى الشبكة أو الجهاز. يمكن تحديد عتبات التنبيه. يتيح لك تلقي تنبيهات عند حدوث استخدام أكبر من المعتاد للنطاق الترددي أو خطأ في الشبكة. هناك أيضًا علامة تبويب الأسباب الجذرية حيث يمكنك التعمق في سبب مشكلة مثل انتهاك الحد الأدنى.

علامة التبويب Hosts هي المكان الذي ستجد فيه معلومات أكثر تفصيلاً حول كل جهاز. يوفر بيانات الأداء على الشبكة ، وحدة المعالجة المركزية ، القرص ، إلخ ، للخوادم الممكّنة لـ sFlow - بما في ذلك الخوادم الافتراضية. ضمن علامة التبويب "الخدمات" ، ستجد بيانات الأداء للتطبيقات (بما في ذلك خوادم الويب المختلفة) التي تقوم بتصدير بيانات sFlow. في علامة التبويب الأحداث ، ستجد سجلًا للأحداث مثل العتبات التي تم تجاوزها أو الأخطاء المكتشفة. وأخيرًا ، توفر علامة التبويب التقارير عدة تقارير محددة مسبقًا ولكنها تدعم أيضًا إنشاء تقارير مخصصة. هذا هو المكان الذي ستذهب إليه لتشغيل التقارير ثم عرض نتائجها.

sFlowTrend مكتوب بلغة جافا ويأتي مع واجهة مستخدم تعتمد على جافا أو على الويب. وهي متاحة لنظام التشغيل Windows و Macintosh و Linux. هناك أيضًا مساعدة عبر الإنترنت متاحة لمساعدتك في تهيئة الأداة واستخدامها. إنها أداة رائعة ، خاصة للمؤسسات الأصغر حجماً ذات المعدات التي تدعم sFlow. ومسار الترقية إلى الإصدار المحترف يجعله خيارًا صالحًا بنفس القدر للشبكات الأكبر.