6 bedste NetFlow-værktøjer til brug sammen med VMware

Ciscos NetFlow-teknologi bruges ofte til at overvåge netværkstrafik på en kvalitativ basis ved at analysere trafikdata indsamlet af switches og andre netværksenheder. Da virtualisering blev mere og mere udbredt, og med VMware som den mest almindelige virtualiseringsplatform, troede vi, at det ville være en god ide at se på at bruge NetFlow med VMware.

Selvom det giver indlysende mening, at Cisco-netværksudstyr leveres med NetFlow-teknologien indbygget lige i det, ikke alle er opmærksomme på, at de virtuelle netværkskomponenter i en Vmware-baseret virtuel infrastruktur også understøtter dette teknologi. I dag diskuterer vi brugen af ​​Ciscos NetFlow-teknologi sammen med VMware til at overvåge virtuelle netværk.

Vi antager, at hvis du læser dette, ved du allerede, hvad VMware er, og er bekendt med dets virtuelle netværkskomponenter. På den anden side antager vi også, at du ikke er så fortrolig med NetFlow, så vi begynder med at udforske denne teknologi og kort forklare, hvordan den fungerer.

Vores mål er ikke at gøre dig til eksperter, men at give dig tilstrækkelig baggrundsinformation til bedre at værdsætte resten af ​​vores diskussion. Dernæst drøfter vi NetFlow-understøttelsen, der er indbygget i VMware og ser hurtigt på, hvilke overvågningsfunktioner der er tilgængelige. Og endelig, da du har brug for det en slags NetFlow-samler og analysator for at gøre opmærksom på de oplysninger, der indsamles af dine virtuelle netværksenheder, skal vi se på nogle af de bedste NetFlow-værktøjer, som man kan bruge med VMware.

Introduktion af NetFlow

NetFlow-teknologien blev udviklet af Cisco Systems og blev introduceret på deres routere for at give mulighed for at indsamle data om netværkstrafik når det går ind eller afslutter en grænseflade. Disse data kan analyseres ved hjælp af specialiserede applikationer for at udtrække kilden og destinationen for trafikken, dens serviceklasse og, i forlængelse heraf, de sandsynlige årsager til mange netværksproblemer.

En typisk NetFlow-overvågningsopsætning består af tre hovedkomponenter:

• Floweksportøren samler pakker i strømme og eksporterer flow-poster til en eller flere flow-opsamlere. Dette er den komponent, der er indbygget i netværksenhederne.
• Strømopsamleren er ansvarlig for modtagelse, opbevaring og forbehandling af strømningsdata modtaget fra en floweksportør. Denne komponent er typisk en del af et netværksovervågningsværktøj.
• Flowanalysatoren eller applikationen til flowanalyse bruges til at analysere modtagne flowdata. Analyse kan bruges til profilering af trafik, eller til netværksfejlfinding. Denne komponent kombineres normalt med samleren, selvom store NetFlow-implementeringer kan bruge separate samlere og analysatorer.

Relateret læsning:Bedste realtidsbåndbreddeovervågningsværktøjer til sporing af netværksbrug

Sådan fungerer NetFlow

Netværksenheder, der understøtter NetFlow, genererer flow-poster og sender dem til en NetFlow-samler. En strøm i denne sammenhæng er en komplet samtale i IP-forstand. Enheden, der forbereder flow-poster, sender dem normalt til samleren, når den bestemmer, at strømningen er færdig enten gennem aldring - når der ikke har været nogen trafik inden for en bestemt timeout - eller når den ser en TCP-session afslutning.

Flowposterne indeholder forskellige informationer og målinger om strømme, såsom input- og outputgrænseflader, start- og finish-tidsstempler for flow, antallet af byte og pakker, det indeholder, lag 3-overskrifter, kilde- og destinations-IP-adresse og portnummer, IP-protokollen og TOS værdi. Flow-poster indeholder ikke de faktiske data, der udgjorde flowet, de indeholder kun oplysninger om flowet. Dette udgør en vigtig sikkerhedsfunktion ved denne teknologi.

Bortset fra i store miljøer på flere steder er flowsamlere, hvor posterne sendes, også flowanalysatorer. De bruger oplysningerne i flowposter til at præsentere data om netværkstrafik på en måde, der er nyttig for netværksadministratorer. Forskellige NetFlow samlere og analysatorer vil have forskellige måder at præsentere data på.

LÆS OGSÅ:NetFlow vs sFlow, hvilken er den rigtige for dig?

NetFlow Support i VMware

VMware vSphere 5 understøtter NetFlow v5, der for øvrig er en af ​​de mest almindelige versioner understøttet af netværksenheder. NetFlow-kapaciteten indbygget i vSphere 5-platformen giver synlighed i forskellige virtuelle infrastrukturtrafikstrømme, såsom:

• Intra-host virtuel maskintrafik (som er virtuel maskine – til – virtuel maskintrafik på den samme vært)
• Inter-host virtuel maskintrafik (som er virtuel maskine – til – virtuel maskintrafik på forskellige værter)
• Virtuel maskine til fysisk infrastrukturtrafik

Billedet herunder viser en distribueret switch, der er konfigureret til at sende NetFlow-poster til en samler, der igen er tilsluttet en ekstern fysisk netværks switch. Den blå stiplede linje med en pil viser tydeligt, at NetFlow-sessionen er etableret for at sende flow-poster til NetFlow-samleren til analyse.

NetFlow-kapaciteten på en distribueret switch sammen med en NetFlow-opsamler og -analysator som dem, der gennemgås nedenfor, hjælper med at overvåge applikationsstrømme og måler flowpræstation over tid. Det kan også hjælpe med kapacitetsplanlægning og sikre, at netværksressourcer bruges korrekt af de forskellige applikationer, baseret på deres specifikke behov.

Netværksadministratorer, der ønsker at overvåge effektiviteten af ​​applikationsstrømme, der kører i deres virtualiseret miljø nødt til at aktivere flowovervågning på en distribueret switch. Dette kan gøres enten på portgruppeniveau, på et individuelt havneniveau eller på uplink-niveau. Når du konfigurerer NetFlow på havneniveau, skal administratorer vælge fanen NetFlow-tilsidesættelse, som skal sikre, at strømme overvåges, selvom NetFlow i portgruppeniveau er deaktiveret.

NetFlow-konfigurationseksempelskærmbilledet vist nedenfor viser de forskellige parametre, der kan styres under NetFlow-opsætningen.

De bedste NetFlow-værktøjer til brug sammen med VMware

Mens enhver NetFlow-samler og analysator kan bruges som en destination i dit VMware-miljø, oprettes ikke alle dem ens. Vi har samlet denne liste over nogle af de allerbedste NetFlow-samlere og analysatorer, der kan bruges med VMware, men også med ethvert netværksudstyr, der understøtter denne teknologi.

SolarWinds er en af ​​de mest kendte producenter af netværks- og systemadministrationsværktøjer. Dets flagskibsprodukt, kaldet Network Performance Monitor af mange betragtes som de bedste netværksbåndbreddeovervågningsværktøjer. Ligeledes SolarWinds NetFlow Traffic Analyzer—Som i øvrigt installeres oven på Network Performance Monitor—En er en af ​​de bedste NetFlow-samlere og analysatorer, der er tilgængelige i dag.

• GRATIS PRØVEVERSION: SolarWinds NetFlow Traffic Analyzer
• Download link: https://www.solarwinds.com/network-bandwidth-analyzer-pack/registration

Nogle af SolarWinds NetFlow Traffic AnalyzerBedste funktioner inkluderer:

• Overvågning af båndbreddebrug efter anvendelse, efter protokol og efter IP-adressegruppe.
• Overvågning af IPFIX-, Cisco NetFlow-, Juniper J-Flow-, sFlow- og Huawei NetStream-flowdata, så det identificerer, hvilke enheder, applikationer og protokoller, der er den største båndbredde-forbruger.
• Indsamling af trafikdata, korrelering af dem i et anvendeligt format og præsentation af det til brugeren via en webbaseret interface til overvågning af netværkstrafik.
• Identificering af, hvilke applikationer og kategorier der bruger den mest båndbredde for bedre synlighed for netværkstrafik (inklusive Cisco NBAR2-support).

Det SolarWinds NetFlow Traffic Analyzer er en tilføjelse til Netværk båndbredde skærm. Du kan gemme ved at erhverve begge på samme tid som SolarWinds Network Bandwidth Analyzer Pack. Priserne for pakken starter ved $ 4 910 for overvågning af op til 100 elementer og varierer afhængigt af antallet af overvågede enheder. Selvom dette kan virke lidt dyrt, skal du huske, at du ikke får et, men to af de bedste tilgængelige overvågningsværktøjer.

Hvis du foretrækker at prøve produktet, før du køber det, en gratis 30-dages prøveperiode kan downloades fra SolarWinds.

2. ManageEngine NetFlow Analyzer

Det ManageEngine NetFlow Analyzer giver netværksadministratoren en detaljeret oversigt over brugen af ​​netværksbåndbredde samt trafikmønstre. Produktet styres af en webbaseret interface og tilbyder et imponerende antal forskellige visninger på dit netværk.

Du kan f.eks. Se trafik efter applikation, efter samtale, efter protokol og flere flere indstillinger. Du kan også indstille advarsler for at advare dig om potentielle problemer. For eksempel kan du indstille en trafiktærskel på en bestemt grænseflade og blive advaret, når trafikken overskrider den.

Men det meste af styrken til ManageEngine NetFlow Analyzer kommer fra dens rapporter og dashboard. Værktøjet leveres med flere meget nyttige forudbyggede rapporter, der er specifikt skræddersyet til specifikke formål såsom fejlfinding, kapacitetsplanlægning eller fakturering. Men du sidder ikke fast med indbyggede rapporter, da værktøjet også tillader administratorer at oprette tilpassede rapporter efter deres smag.

Hvad angår værktøjets instrumentbræt, som vi nævnte, er det lige så imponerende som dets rapporter. Det inkluderer flere cirkeldiagrammer med ting som top applikationer, top protokoller eller top samtaler. Det kan også vise et varmekort med status for de overvågede grænseflader. Og som du måske har gætt, kan dashboards tilpasses til kun at omfatte de oplysninger, du finder nyttige. Dashboardet er også hvor advarsler vises i form af pop-ups. Og for den farten netværksadministrator er der en smartphone-app, der giver dig adgang til dashboardet og rapporter.

Det ManageEngine NetFlow Analyzer understøtter de fleste flowteknologier inklusive NetFlow (selvfølgelig), IPFIX, J-flow, NetStream og et par andre. Som en bonus har også den fremragende integration med Cisco-enheder med support til justering af trafikformning og / eller QoS-politikker lige fra værktøjet.

Som mange konkurrerende produkter, ManageEngine NetFlow Analyzer findes i to versioner. Den gratis version vil være identisk med den betalte en i de første 30 dage, men den vil derefter vende tilbage til kun at overvåge to grænseflader af strømme. Selvom dette ikke er meget, kan det være alt hvad du har brug for. Hvis du vil have den betalte version, er licenser tilgængelige i flere størrelser fra 100 til 2500 grænseflader eller strømmer med priser, der varierer mellem omkring $ 600 til over $ 50K plus årlige vedligeholdelsesgebyrer.

3. PRTG Network Monitor

Det PRTG Network Monitor fra Paessler AG er en alt-i-én-løsning, hvis primære formål er at overvåge brugen af ​​båndbredde. Det bruges også til at overvåge tilgængeligheden og sundheden for forskellige netværksressourcer. Disse funktioner gør det til et nyttigt værktøj for netværksadministratorer. Værktøjet kan overvåge enheder over flere steder, og det kan overvåge LAN, WAN, VPN og Cloud Services. Ved hjælp af den passende sensor kan den også bruges som en NetFlow-opsamler og -analysator.

Det er hurtigt og nemt at installere dette produkt. Efter at have kørt installationsprogrammet, opdager auto-discovery processen enheder og opsætter sensorer. Paessler hævder, at du kunne starte overvågningen inden for to minutter, da installationen startes. Selvom dette muligvis var en lille overdrivelse, blev vi imponeret over installationens lethed og hastighed. Selvom serveren kun kører på Windows, er brugergrænsefladen webbaseret og kan fås adgang fra enhver browser. Derudover er der en mobilapp, som du kan installere på din smartphone eller tablet.

Det PRTG Network Monitor kan overvåge stort set hvad som helst takket være sin sensorbaserede arkitektur. Du kan tænke på sensorer som tilføjelser, der er indbygget lige i produktet, der hver har et specifikt formål. Der er sensorer til HTTP og SMTP / POP3 (e-mail). Som vi afslørede før, er der aven en NetFlow-sensor. Der er også hardwarespecifikke sensorer til switches, routere og servere. I alt har værktøjet over 200 forskellige foruddefinerede sensorer.

Det PRTG Network Monitor tilbyder et udvalg af brugergrænseflader. Du har valget mellem en Ajax-baseret webgrænseflade eller en Windows-firmakonsol samt mobile apps til Android og iOS. En dejlig funktion ved mobilapps er, at de kan få advarsler via push-anmeldelse. Standard SMS- eller e-mail-underretninger er også tilgængelige.

Det PRTG Network Monitor tilbydes i to versioner. Der er en gratis version, der er fuldt udstyret, men som begrænser din overvågningsevne til 100 sensorer med hver overvåget parameter, der tæller som en sensor. For at overvåge hver port på en 48-port switch skal du f.eks. Have 48 sensorer. For mere end 100 sensorer skal du købe en licens. De starter ved $ 1 600 for 500 sensorer. Du kan også få en gratis, sensor-ubegrænset og fuldt udstyret 30-dages prøveversion.

4. Scrutinizer

Scrutinizer fra Plixer er en anden stor NetFlow-analysator. Det er faktisk meget mere end det, og mange betragter det som et komplet system til overvågning og hændelse. Med sin evne til at overvåge forskellige flowtyper som NetFlow, J-flow, NetStream, sFlow og IPFIX er du ikke begrænset til kun at overvåge VMware-udstyr.

Med det hierarkiske design, Scrutinizer tilbyder strømlinet og effektiv dataindsamling og giver dig mulighed for at starte en lille og let skala måde op til mange millioner strømme pr. sekund. Netværket får ofte først skylden, når noget går galt. Med dette værktøj kan man hurtigt finde den egentlige årsag til de fleste ethvert netværksproblemer. Værktøjet fungerer i både fysiske og virtuelle miljøer og leveres med avancerede rapporteringsfunktioner.

Scrutinizer leveres i fire licensniveauer, der går fra den grundlæggende gratis version til det fulde SCR-niveau, der kan skalere op til over 10 millioner strømme i sekundet. Den gratis version er begrænset til 10 tusind strømme pr. Sekund, og den vil kun opbevare råstrømsdata i 5 timer, men det skal være mere end nok til at fejlfinde netværksproblemer. Du kan også prøve ethvert licenslag i 30 dage, hvorefter det vender tilbage til den gratis version.

5. nProbe og ntopng

nProbe og ntopng er kraftfulde og noget avancerede, men noget komplicerede open source-værktøjer. Ntopng er et webbaseret trafikanalyseværktøj til overvågning af netværk baseret på flowdata mens nProbe er en NetFlow og IPFIX eksportør og samler. Sammen skaber de en meget fleksibel analysepakke. Hvis du har administreret Linux-netværk før, er du muligvis bekendt med ntop, i hvilket tilfælde du vil være beroliget til at lære, at ntopng er den næste generations GUI-version af det ageless værktøj.

Der er en gratis communityversion af ntopng og du kan også købe virksomhedsversioner. De kan være dyre, men de er gratis for uddannelsesorganisationer og almennyttige organisationer. Som for nProbe, kan du prøve det gratis, men det er begrænset til i alt 25 000 eksporterede strømme. For at gå ud over det, skal du købe en licens.

Som de fleste moderne netværksanalyseværktøjer har ntopng en webbaseret brugergrænseflade, der kan præsentere data ved hjælp af trafik, såsom top talkers, flow, hosts, enheder og interface. Det har en blanding af diagrammer, tabeller og grafer. mest med drill-down-indstillinger, der giver dig mulighed for at udforske mere dybt. Grænsefladen er ret fleksibel og giver mulighed for en masse tilpasning.

6. FlowScan

FlowScan er en slags visualiseringsværktøj, som du kan bruge til at analysere NetFlow-data og rapportere om dem. Det kan producere visuelle grafer, der genereres i næsten realtid, og som viser dig, hvad der sker på dit netværk. Værktøjet kan implementeres på GNU / Linux- eller BSD-baseret system. Den bruger flere andre pakker for korrekt at indsamle og behandle strømme. For eksempel, Cflowd bruges som flowsamler. FlowScan er faktisk et Perl-script, der udgør størstedelen af ​​softwarepakken. Denne komponent er ansvarlig for indlæsning og eksekvering af rapporter. En sidste hovedkomponent er RRDtool, et populært værktøj til lagring af data i round-robin-databaser og kortlægning af disse data på grafer, der bruges til at gemme flowinformation og fremstille nyttige grafer.

Netværksadministratorer oplever ofte, at de enten har indsamlet for lidt eller for meget data. Flowprofilering som leveret af FlowScan tilbyder et pragmatisk kompromis mellem sådanne ekstremer i dataindsamling. Da strømninger af samlede data indsamlet, når pakker rejser over en given port eller interface, kan de bruges som en slags forkortelse for serier af pakker, der rejser mellem endepunkter af interesse. Men denne funktion alene er utilstrækkelig til pålidelig kontinuerlig brug: yderligere softwareværktøjer er nødvendige for at definere, analysere og analysere disse strømme. Disse ekstra værktøjer er inkluderet i FlowScan.