NetFlow vs sFlow: Hvilken af ​​dem er bedre til trafikanalyse?

Ciscos NetFlow og inMons sFlow er to lignende, men alligevel forskellige overvågningsteknologier, der kan give dig en kvalitativ oversigt over dit netværks trafik. Mens overvågningsværktøjer til båndbredde kun fortæller dig, hvor meget trafik der passerer et bestemt punkt, flowanalyseværktøjer vil fortælle dig, hvad disse data er, hvor de kommer fra og går til, og et par andre nyttige stykker af Information. I dag sammenligner vi de to teknologier, og vi skal se på nogle af de bedste tilgængelige værktøjer til hver. Vi gennemgår nogle af de bedste NetFlow- og sFlow-analysatorer og samlere, vi kunne finde.

Vi starter med at beskrive NetFlow. Vi vil gøre vores bedste for at forklare, hvad det er, og hvordan det fungerer, mens vi holder vores diskussion så ikke-teknisk som muligt. Vi vil derefter gøre den samme øvelse med sFlow og gøre vores bedste for at forklare teknologien. Derefter skal vi se på, hvordan de to teknologier adskiller sig. Ligesom før, holder vi os væk fra de tekniske detaljer i hård teknologi. Dernæst prøver vi at besvare det brændende spørgsmål: Hvilken skal jeg bruge? Som du ser er der ikke et klart og definitivt svar. Endelig gennemgår vi nogle af de bedste flowanalyseværktøjer, vi kunne finde.

NetFlow - den originale flowanalyseteknologi

NetFlow-teknologien blev udviklet af Cisco Systems og blev introduceret på deres routere for at give muligheden for at indsamle data om netværkstrafik, når den kommer ind eller afslutter en grænseflade. Disse data kan analyseres ved hjælp af specialiserede applikationer for at udtrække kilden og destinationen for trafikken, dens serviceklasse og i forlængelse heraf årsagerne til overbelastning.

En typisk NetFlow-overvågningsopsætning består af tre hovedkomponenter:

• Det flow eksportør aggregerer pakker i strømme og eksporterer strømposter mod en eller flere flowsamlere.
• Det flow opsamler er ansvarlig for modtagelse, opbevaring og forbehandling af flowdata modtaget fra en floweksportør.
• Det flowanalysator, eller flowanalyseansøgning bruges til at analysere modtagne flowdata. Analyse kan bruges til trafikprofilering eller til fejlfinding i netværket.

Sådan fungerer NetFlow

Netværksenheder, der understøtter NetFlow, genererer flow-poster og sender dem til en NetFlow-samler. En strøm i denne sammenhæng er en komplet samtale i IP-forstand. Enheden, der forbereder flow-poster, sender dem normalt til samleren, når den bestemmer, at strømningen er færdig enten gennem aldring - når der ikke har været nogen trafik inden for en bestemt timeout - eller når den ser en TCP-session afslutning.

Flowoptegningsinformation om flowet såsom input- og outputgrænseflader, start- og sluttidstempler for flowet, antallet af bytes og pakker, den indeholder, lag 3-overskrifter, kilde- og destinations-IP-adresse og portnummer, IP-protokollen og TOS værdi. Flow-poster indeholder ikke de faktiske data, der udgjorde flowet, de indeholder kun oplysninger om flowet. Dette er en vigtig sikkerhedsfunktion ved denne teknologi.

Bortset fra i et enormt multi-site miljø er flowsamlere, hvor posterne sendes, også flowanalysatorer. De bruger oplysningerne i flowposter til at præsentere data om netværkstrafik på en måde, der er nyttig for netværksadministratorer. Forskellige NetFlow-samlere og analysatorer vil have forskellige måder at præsentere data på.

sFlow - En fjern relativ

“S” i sFlow står for “sampling”. Dette er afgørende for dens drift, og det er her, det adskiller sig fra andre flowanalysesystemer. Denne teknologi fungerer kun med sFlow-aktiverede enheder, ligesom NetFlow. Heldigvis er der disse enheder ret almindelige blandt de største producenter af netværksudstyr.

SFlow-standarden opretholdes af sFlow.org-konsortiet, men det er hjernen til inMon-selskabet, der stadig udøver næsten absolut kontrol over dens udvikling og udvikling. Store udstyrsproducenter som Alcatel-Lucent, Aruba, Brocade, Cisco, Dell, Hewlett Packard, IBM og mange flere — over 300 — inkluderer sFlow support i mange af deres produkter.

sFlow er en statsløs pakkeudtagningsprotokol. "Flow" -delen af ​​protokollens navn kan være vildledende, da sFlow faktisk ikke har nogen opfattelse af at samle datapakker til strømme på højt niveau, som NetFlow gør. Det fungerer kun med hensyn til pakker.

sFlow's generelle pakkeudtagning spænder over lag gennem 7. Kører inden for netværksenheden, samler sFlow-eksportøren præfikser fra en undergruppe af al pakken, der passerer gennem den overvågede grænseflade. Administratorer kan vælge at prøve en pakke hver N-pakke, men eksportøren vælger også tilfældige pakker og inkluderer dem i dens post. Eksportøren samler end de oprindelige bytes af hver samplet pakke sammen med enhedstællere og sender den ud til sFlow-samleren. Enheden cacheer ikke nogen af ​​dataene eller den samplede pakke, hvilket reducerer ressourceforbruget og gør det let at skalere op til højhastighedsnetværk.

NetFlow Og sFlow - Hvad er forskellen?

På trods af at de har lignende navne, formål og mål, er NetFlow og sFlow faktisk meget forskellige, især på den måde, hver enkelt udfører sin opgave.

Avi Freedman, medstifter og CEO af Kentik, opsummerer forskellen mellem NetFlow og sFlow med en analogi: “... mens NetFlow kan beskrives som at observere trafikmønstre ('Hvor mange busser kørte herfra og derfra?'), med sFlow tager du bare snapshots af uanset hvilke biler eller busser der sker forbi på det bestemt øjeblik.”Lad ikke denne forenklede analogi føre dig blindt til at tro, at NetFlow leverer mere information end sFlow og derfor er en bedre teknologi.

Selvom du sandsynligvis får mere information fra NetFlow end fra sFlow, gør det ikke nødvendigvis det til en bedre protokol. For eksempel er NetFlows ressourceforbrug meget højere end sFlow's. Dette vil have en tendens til at gøre sFlow til en mere interessant mulighed for enheder med lavere ender. Og selvom NetFlow muligvis indsamler flere oplysninger, har du virkelig brug for dem, og er din analysator endda i stand til at bruge den?

Hvilken skal jeg bruge?

De fleste samlere og analysatorer vil håndtere både NetFlow og sFlow information, og mange netværksenheder understøtter også begge. Den vigtigste afgørende faktor skal sandsynligvis være, hvad dit udstyr understøtter. Hvis noget af dit udstyr understøtter det ene, men ikke det andet, er det det du skal vælge. Hvis du for det meste har Cisco-udstyr, hvorfor ikke så gå med NetFlow, da det er Ciscos egen protokol?

Du behøver dog ikke vælge sider. Både NetFlow og sFlow er fremragende teknologier. Hvorfor ikke bruge begge dele med en samler og analysator, der kan understøtte enten? Du kan få flowdata fra dine sFlow-aktiverede såvel som dine Netflow-aktiverede enheder.

Nogle af de bedste NetFlow-overvågningsværktøjer

Her er nogle af de bedste NetFlow samler- og analyserværktøjer, som vi kunne finde. Vi har inkluderet en blanding af værktøjer for at give dig en bedre idé om de forskellige tilgængelige værktøjer. De understøtter alle NetFlow-overvågning og alle dens varianter, såsom J-flow eller IPFIX, bare for at nævne nogle få.

SolarWinds er en af ​​de mest kendte producenter af netværks- og systemadministrationsværktøjer. Dets flagskibsprodukt, kaldet Network Performance monitor, betragtes af mange som de bedste netværksbåndbreddeovervågningsværktøjer. Ligeledes SolarWinds NetFlow Traffic Analyzer—Som installeres oven på Network Performance Monitor — er en af ​​de bedste IPFIX-samlere og analysatorer, du kan finde.

• GRATIS PRØVEVERSION: SolarWinds NetFlow Traffic Analyzer
• Download link: https://www.solarwinds.com/network-bandwidth-analyzer-pack/registration

Nogle af SolarWinds NetFlow Traffic AnalyzerBedste funktioner inkluderer:

• Overvågning af båndbreddebrug efter anvendelse, efter protokol og efter IP-adressegruppe.
• Overvågning af IPFIX-, Cisco NetFlow-, Juniper J-Flow-, sFlow- og Huawei NetStream-flowdata, så det identificerer, hvilke enheder, applikationer og protokoller, der er den største båndbredde-forbruger.
• Indsamling af trafikdata, korrelering af dem i et anvendeligt format og præsentation af det til brugeren via en webbaseret interface til overvågning af netværkstrafik.
• Identificering af, hvilke applikationer og kategorier der bruger den mest båndbredde for bedre synlighed for netværkstrafik (inklusive Cisco NBAR2-support).

Det SolarWinds NetFlow Traffic Analyzer er en tilføjelse til Netværk båndbredde skærm. Du kan gemme ved at erhverve begge på samme tid som SolarWinds Network Bandwidth Analyzer Pack. Priserne for pakken starter ved $ 4 910 for overvågning af op til 100 elementer og varierer afhængigt af antallet af overvågede enheder. Selvom dette kan virke lidt dyrt, skal du huske, at du ikke får et, men to af de bedste tilgængelige overvågningsværktøjer. Hvis du foretrækker at prøve produktet, før du køber det, en gratis 30-dages prøveperiode kan downloades fra SolarWinds.

2- PRTG Network Monitor

Det PRTG Network Monitor fra Paessler AG er en alt-i-en-løsning, hvis primære formål er at overvåge båndbreddeudnyttelse. Det bruges også til at overvåge tilgængeligheden og sundheden for forskellige netværksressourcer. Disse funktioner gør det til et nyttigt værktøj for netværksadministratorer. Værktøjet kan overvåge enheder over flere steder, og det kan overvåge LAN, WAN, VPN og Cloud Services.

Det er hurtigt og nemt at installere dette produkt. Efter at have kørt installationsprogrammet, opdager auto-discovery processen enheder og opsætter sensorer. Paessler hævder, at du kunne begynde at overvåge inden for to minutter efter start af installationen. Selvom dette muligvis var en lille overdrivelse, blev vi imponeret over installationens lethed og hastighed. Selvom serveren kun kører på Windows, er brugergrænsefladen webbaseret og kan fås adgang fra enhver browser. Derudover er der en mobilapp, som du kan installere på din smartphone eller tablet.

Det PRTG Network Monitor kan overvåge stort set hvad som helst takket være sin sensorbaserede arkitektur. Du kan tænke på sensorer som tilføjelser, der er indbygget lige i produktet, der hver har et specifikt formål. Der er sensorer til HTTP og SMTP / POP3 (e-mail). Der er også hardwarespecifikke sensorer til switches, routere og servere. I alt har værktøjet over 200 forskellige foruddefinerede sensorer.

Det PRTG Network Monitor tilbyder et udvalg af brugergrænseflader. Du har valget mellem en Ajax-baseret webgrænseflade eller en Windows-firmakonsol samt mobile apps til Android og iOS. En dejlig funktion ved mobilapps er, at de kan få advarsler via push-anmeldelse. Standard SMS- eller e-mail-underretninger er også tilgængelige.

Det PRTG Network Monitor tilbydes i to versioner. Der er en gratis version, der er fuldt udstyret, men som begrænser din overvågningsevne til 100 sensorer med hver overvåget parameter, der tæller som en sensor. For at overvåge hver port på en 48-port switch skal du f.eks. Have 48 sensorer. For mere end 100 sensorer skal du købe en licens. De starter ved $ 1 600 for 500 sensorer. Du kan også få en gratis, sensor-ubegrænset og fuldt udstyret 30-dages prøveversion.

3- Scrutinizer

Scrutinizer fra Plixer er en anden stor NetFlow Analyzer. Faktisk er det endnu mere end det, og mange betragter det som et komplet responssystem på hændelser. Med sin evne til at overvåge forskellige flowtyper som NetFlow, J-flow, NetStream, sFlow og IPFIX er du ikke begrænset til kun at overvåge Cisco-enheder.

Med det hierarkiske design, Scrutinizer tilbyder strømlinet og effektiv dataindsamling og giver dig mulighed for at starte en lille og let skala måde op til mange millioner strømme pr. sekund. Netværket får ofte først skylden, når noget går galt. Med Scrutinizer kan du hurtigt finde den reelle årsag til de fleste ethvert netværksproblemer. Scrutinizer fungerer i både fysiske og virtuelle miljøer og leveres med avancerede rapporteringsfunktioner.

Scrutinizer leveres i fire licensniveauer, der går fra den grundlæggende gratis version til det fulde SCR-niveau, der kan skalere op til over 10 millioner strømme i sekundet. Den gratis version er begrænset til 10 tusind strømme pr. Sekund, og den vil kun opbevare råstrømsdata i 5 timer, men det skal være mere end nok til at løse netværksproblemer. Du kan også prøve ethvert licenslag i 30 dage, hvorefter det vender tilbage til den gratis version.

4- ManageEngine NetFlow Analyzer

Det ManageEngine NetFlow Analyzer giver netværksadministratoren en detaljeret oversigt over brugen af ​​netværksbåndbredde samt trafikmønstre. Produktet styres af en webbaseret interface og tilbyder et imponerende antal forskellige visninger på dit netværk.

Du kan f.eks. Se trafik efter applikation, efter samtale, efter protokol og flere flere indstillinger. Du kan også indstille advarsler for at advare dig om potentielle problemer. For eksempel kan du indstille en trafiktærskel på en bestemt grænseflade og blive advaret, når trafikken overskrider den.

Men det meste af produktets styrke kommer fra dets rapporter og instrumentbræt. Værktøjet leveres med flere meget nyttige forudbyggede rapporter, der er specifikt skræddersyet til specifikke formål såsom fejlfinding, kapacitetsplanlægning eller fakturering. Men du sidder ikke fast med indbyggede rapporter, da værktøjet også tillader administratorer at oprette tilpassede rapporter efter deres smag.

Hvad angår værktøjets instrumentbræt, som vi nævnte, er det lige så imponerende som dets rapporter. Det inkluderer flere cirkeldiagrammer med ting som top applikationer, top protokoller eller top samtaler. Det kan også vise et varmekort med status for de overvågede grænseflader. Og som du måske har gætt, kan dashboards tilpasses til kun at omfatte de oplysninger, du finder nyttige. Dashboardet er også hvor advarsler vises i form af pop-ups. Og for den farten netværksadministrator er der en smartphone-app, der giver dig adgang til dashboardet og rapporter.

Det ManageEngine NetFlow Analyzer understøtter de fleste flowteknologier inklusive NetFlow (selvfølgelig), IPFIX, J-flow, NetStream og et par andre. Som en bonus har også den fremragende integration med Cisco-enheder med support til justering af trafikformning og / eller QoS-politikker lige fra værktøjet.

Som mange konkurrerende produkter, ManageEngine NetFlow Analyzer findes i to versioner. Den gratis version vil være identisk med den betalte en i de første 30 dage, men den vil derefter vende tilbage til kun at overvåge to grænseflader af strømme. Selvom dette ikke er meget, kan det være alt hvad du har brug for. Hvis du vil have den betalte version, er licenser tilgængelige i flere størrelser fra 100 til 2500 grænseflader eller strømmer med priser, der varierer mellem omkring $ 600 til over $ 50K plus årlige vedligeholdelsesgebyrer.

Hvad med S-Flow-overvågningsværktøjer?

Alle de produkter, vi netop har gennemgået, vil indsamle og analysere sFlow-data ud over NetFlow. I hybridmiljøer ville de alle være gode valg. Men hvis du kun har sFLow-udstyr, vil du måske hellere vælge et værktøj, der kun understøtter denne teknologi.

5- inMon sFlowTrend

sFlowTrend er et gratis overvågningsværktøj fra inMon, virksomheden bag sFlow-teknologien. Denne gratis version af softwaren giver dig mulighed for at samle data fra op til fem sFlow-aktiverede enheder og vil kun opbevare historiedata i RAM i op til en time. Og hvis du vil intensivere tingene, kan du opgradere til pro-versionen - selvfølgelig til en pris - som fjerner antallet af enhedsgrænser og gemmer ubegrænset historiedata på disken.

Det sFlowTrend Dashboard giver et hurtigt overblik over den aktuelle tilstand for de overvågede enheder og netværk, det inkluderer tærskler på øverste niveau og grænseflader med potentielle fejl. Når man klikker på fanen Netværk, afslører sflowTrend opsummerede effektivitetsstatistikker og detaljeret trafik på netværks- eller enhedsniveau. Alert-tærskler kan defineres. Det giver dig mulighed for at modtage advarsler, når der bruges højere end sædvanlig båndbredde eller netværksfejl. Der er endda en rodårsagsfane, hvor du kan uddybe årsagen til et problem, såsom en tærskelovertrædelse.

Fanen Værter er der, hvor du finder mere detaljerede oplysninger om hver enhed. Det leverer ydelsesdata på netværk, CPU, disk osv. Til sFlow-aktiverede servere - inklusive virtuelle. Under fanen Tjenester finder du ydelsesdata til applikationer (inklusive forskellige webservere), der eksporterer sFlow-data. På fanen Begivenheder finder du en log over begivenheder som overskredet tærskler eller opdagede fejl. Og til sidst indeholder fanen Rapporter flere foruddefinerede rapporter, men det understøtter også oprettelse af tilpassede rapporter. Det er her du skal køre rapporter og derefter se deres resultater.

sFlowTrend er skrevet i Java og leveres med både en Java-baseret eller webbaseret brugergrænseflade. Det er tilgængeligt til Windows, Macintosh og Linux. Der er også online hjælp, der er tilgængelig til at hjælpe dig med at konfigurere og bruge værktøjet. Det er et godt værktøj, især for mindre organisationer med sFlow-aktiveret udstyr. Og opgraderingsstien til pro-versionen gør det til et lige så gyldigt valg for større netværk.