NetFlow vs sFlow: Koji je bolji za analizu prometa?

Ciscove NetFlow i InMon's sFlow dvije su slične, ali različite tehnologije praćenja koje vam mogu pružiti kvalitetan pregled prometa na vašoj mreži. Dok alati za praćenje propusnosti govore samo koliko prometa prolazi određena točka, alati za analizu protoka reći će vam što su ti podaci, odakle dolaze i dolaze i nekoliko drugih korisnih bita informacija. Danas ćemo usporediti dvije tehnologije i pregledat ćemo neke od najboljih alata koji su dostupni za svaku od njih. Pregledat ćemo neke od najboljih NetFlow i sFlow analizatora i sakupljača koje možemo pronaći.

Počet ćemo opisom NetFlowa. Potrudit ćemo se objasniti što je to i kako funkcionira, održavajući našu raspravu što je moguće više netehnički. Tada ćemo napraviti istu vježbu sa sFlowom i dati sve od sebe da objasnimo tehnologiju. Nakon toga ćemo pogledati kako se dvije tehnologije razlikuju. Kao i do sada, držat ćemo se podalje od strogih tehničkih detalja. Zatim ćemo pokušati odgovoriti na goruće pitanje: Koju trebam koristiti? Kao što ćete vidjeti, nema jasnog i konačnog odgovora. Na kraju ćemo pregledati neke od najboljih alata za analizu protoka koje možemo pronaći.

NetFlow - Izvorna tehnologija analize protoka

Razvijena od strane Cisco Systems, tehnologija NetFlow predstavljena je na njihovim usmjerivačima kako bi pružila mogućnost prikupljanja podataka o mrežnom prometu dok ulazi ili izlazi iz sučelja. Ovi podaci mogu se analizirati specijaliziranim aplikacijama za izvlačenje izvora i odredišta prometa, njegove klase usluge i, produženo, uzroka zagušenja.

Uobičajena postavka za nadzor NetFlow sastoji se od tri glavne komponente:

• izvoznik protoka agregira pakete u tokove i izvozi evidencije protoka prema jednom ili više sakupljača protoka.
• sakupljač protoka odgovoran je za prijem, pohranjivanje i predobradu podataka protoka dobivenih od izvoznika protoka.
• analizator protokaili aplikacija za analizu protoka koristi se za analizu primljenih podataka protoka. Analiza se može koristiti za profiliranje prometa ili za rješavanje problema s mrežom.

Kako djeluje NetFlow

Mrežni uređaji koji podržavaju NetFlow generiraju zapise protoka i šalju ih u NetFlow sakupljač. Tok je, u ovom kontekstu, potpuni razgovor u IP smislu. Uređaj koji priprema zapise o protoku obično ih šalje u sabirnik kada utvrdi da je protok završen bilo putem starenja - kada nije bilo prometa u određenom vremenskom roku - ili kada vidi TCP sesiju prestanak.

Podaci o protoku podataka o toku kao što su sučelje ulaza i izlaza, oznake vremena početka i završetka protoka, broj bajtova i paketa koje sadrži, zaglavlja 3 razine 3, izvorna i odredišna IP adresa i broj priključka, IP protokol i TOS vrijednost. Zapisi o protoku ne sadrže stvarne podatke koji su činili tok, već sadrže samo podatke o protoku. Ovo je važno sigurnosno obilježje ove tehnologije.

Osim u ogromnom okruženju na više mjesta, sakupljači protoka u koje se šalju zapisi su i analizatori protoka. Oni koriste informacije sadržane u zapisima protoka za predstavljanje podataka o mrežnom prometu na način koristan mrežnim administratorima. Različiti NetFlow sakupljači i analizatori imat će različite načine prezentacije podataka.

sFlow - Udaljeni srodnik

"S" u sFlowu znači "uzorkovanje". Ovo je ključno za njegov rad i razlikuje se od ostalih sustava za analizu protoka. Ova tehnologija funkcionira samo s uređajima koji omogućuju sFlow, baš kao i NetFlow. Srećom, tamo su ti uređaji prilično uobičajeni među glavnim proizvođačima mrežne opreme.

Standard sFlow održava konzorcij sFlow.org, ali upravo je osnova korporacije InMon koja još uvijek ima gotovo apsolutnu kontrolu nad svojim razvojem i razvojem. Glavni proizvođači opreme kao što su Alcatel-Lucent, Aruba, Brocade, Cisco, Dell, Hewlett Packard, IBM i mnogi drugi - više od 300 - uključuju sFlow podršku u mnogim svojim proizvodima.

sFlow je protokol uzorkovanja paketa bez stanja stanja. Dio protoka naziva protokola mogao bi biti pogrešan jer sFlow zapravo nema pojma o objedinjavanju paketa podataka u tokove visoke razine kao što to čini NetFlow. Djeluje samo u smislu paketa.

sFlow opće uzorkovanje paketa obuhvaća slojeve do 7. Radeći unutar mrežnog uređaja, sFlow izvoznik prikuplja prefikse iz podskupine svih paketa koji prolaze kroz nadzirano sučelje. Administratori mogu odabrati uzorkovati po jedan paket svaki N paket, ali izvoznik također bira nasumične pakete i uključuje ih u svoj zapis. Izvoznik tada sakuplja početne bajte svakog uzorkovanog paketa zajedno s brojačima uređaja i šalje ga u sFlow sakupljač. Uređaj ne kešira nijedan od podataka ili uzorkovanih paketa, smanjujući potrošnju resursa i olakšavajući skaliranje do brzih mreža.

NetFlow i sFlow - u čemu je razlika?

Iako imaju slična imena, svrhe i ciljeve, NetFlow i sFlow su zapravo sasvim različiti, posebno u načinu na koji svaki ispunjava svoju zadaću.

Avi Freedman, suosnivač i izvršni direktor Kentika, rezimira razliku između NetFlow-a i sFlow-a analogijom: "… Dok se NetFlow može opisati kao promatranje obrazaca prometa („Koliko autobusa je otišlo odatle do tamo?“), sa slowlowom upravo snimate sve automobile ili autobuse u tom trenutku trenutak."Ne dopustite da vas ova jednostavna analogija slijepo vodi do vjerovanja da NetFlow pruža više informacija nego sFlow i, samim tim, bolja tehnologija.

Iako vjerojatno dobivate više informacija od NetFlowa nego sFlow-a, to ga ne mora učiniti i boljim protokolom. Na primjer, korištenje resursa NetFlow puno je veće od sFlow-ove. To bi učinilo sFlow zanimljivijom opcijom za niže uređaje. I dok NetFlow može prikupiti više informacija, da li vam stvarno treba i je li vaš analizator uopće sposoban koristiti?

Koji trebam koristiti?

Većina sakupljača i analizatora će upravljati informacijama o NetFlow i sFlow, a mnogi mrežni uređaji također podržavaju oba. Glavni bi odlučujući faktor trebao biti ono što vaša oprema podržava. Ako neka od vaše opreme podržava jedno, ali ne i drugo, to biste trebali odabrati. Ako uglavnom imate opremu Cisco, zašto ne biste otišli s NetFlowom jer je to Ciscov vlastiti protokol?

Ipak ne morate birati strane I NetFlow i sFlow izvrsne su tehnologije. Zašto ne biste koristili i sa sakupljačem i analizatorom koji mogu podržavati bilo koji? Podatke o protoku moći ćete dobiti sa svojih sFlow omogućenih kao i s uređaja koji omogućuju Netflow.

Neki od najboljih alata za praćenje NetFlowa

Evo nekoliko najboljih alata za prikupljanje i analizator NetFlowa koji možemo pronaći. Uključili smo kombinaciju alata kako bismo vam pomogli da bolje upoznate raznolikost dostupnih alata. Svi podržavaju NetFlow nadzor i sve njegove inačice kao što su J-flow ili IPFIX, samo da nabrojimo nekoliko.

SolarWinds je jedan od najpoznatijih proizvođača mrežnih i sistemskih alata za administraciju. Njegov vodeći proizvod, nazvan Monitor performansi mreže, mnogi smatraju najboljim alatima za praćenje propusnosti mreže. Isto tako SolarWinds NetFlow analizator prometa—To se instalira na vrh mrežnog monitora performansi - jedan je od najboljih IPFIX sakupljača i analizatora koje možete pronaći.

• BESPLATNO ISPITIVANJE: SolarWinds NetFlow analizator prometa
• Poveznica za skidanje: https://www.solarwinds.com/network-bandwidth-analyzer-pack/registration

Neki od SolarWinds NetFlow analizator prometaNajbolje značajke uključuju:

• Nadgledanje korištenja propusnosti putem aplikacije, protokola i grupe IP adresa.
• Nadgledanje podataka protoka IPFIX, Cisco NetFlow, Juniper J-Flow, sFlow i Huawei NetStream omogućujući mu da prepozna koji su uređaji, aplikacije i protokoli najveći potrošači propusnosti.
• Prikupljanje podataka o prometu, njihovo povezivanje u upotrebljiv format i prezentacija korisniku putem web sučelja za praćenje mrežnog prometa.
• Identificiranje koji programi i kategorije troše najviše propusne širine za bolju vidljivost mrežnog prometa (uključujući podršku za Cisco NBAR2).

SolarWinds NetFlow analizator prometa je dodatak za Mrežni monitor širine pojasa. Možete uštedjeti kupnjom oba istovremeno Paket mrežnih propusnih širina propusnosti SolarWinds. Cijene paketa počinju od 4 910 USD za nadzor do 100 elemenata i razlikuju se prema broju nadziranih uređaja. Iako se ovo može činiti prilično skupim, imajte na umu da dobijate ne jedan već dva najbolja dostupna nadzorna alata. Ako želite probati proizvod prije kupnje, besplatni probni rok od 30 dana može se preuzeti s SolarWinds-a.

2- PRTG mrežni monitor

PRTG mrežni monitor od Paessler AG rješenje je sve u jednom čija je glavna svrha nadgledanje iskorištavanja propusne širine. Također se koristi za nadgledanje dostupnosti i zdravlja različitih mrežnih resursa. Ove značajke čine ga korisnim alatom za mrežne administratore. Alat može nadzirati uređaje na više mjesta, a može nadzirati LAN, WAN, VPN i Cloud usluge.

Instalacija ovog proizvoda je brza i jednostavna. Nakon pokretanja instalacijskog postupka, postupak automatskog otkrivanja otkriva uređaje i postavlja senzore. Paessler tvrdi da biste mogli započeti nadzor u roku od dvije minute nakon početka instalacije. Iako je ovo možda malo pretjerivanje, bili smo impresionirani lakoćom i brzinom instalacije. Iako se poslužitelj pokreće samo u sustavu Windows, korisničko sučelje je temeljeno na webu i može mu se pristupiti s bilo kojeg preglednika. Pored toga, postoji mobilna aplikacija koju možete instalirati na svoj pametni telefon ili tablet.

PRTG mrežni monitor može nadgledati gotovo sve, zahvaljujući arhitekturi koja se temelji na senzorima. Senzore možete smatrati dodacima ugrađenim u proizvod, svaki s određenom svrhom. Postoje senzori za HTTP i SMTP / POP3 (e-pošta). Postoje i senzori za hardver koji se odnose na sklopke, usmjerivače i poslužitelje. Sve u svemu, alat ima preko 200 različitih unaprijed definiranih senzora.

PRTG mrežni monitor nudi izbor korisničkih sučelja. Na raspolaganju vam je web sučelje sa sustavom Ajax ili poslovna konzola za Windows, kao i mobilne aplikacije za Android i iOS. Lijepa značajka mobilnih aplikacija je da oni mogu primati upozorenja putem push obavijesti. Dostupne su i standardne obavijesti putem SMS-a ili e-pošte.

PRTG mrežni monitor nudi se u dvije verzije. Postoji besplatna inačica s punim značajkama, ali će vašu sposobnost praćenja ograničiti na 100 senzora, a svaki nadzirani parametar se računa kao jedan senzor. Na primjer, za praćenje svakog priključka 48-portnog prekidača trebat će vam 48 senzora. Za više od 100 senzora trebate kupiti licencu. Počinju od 1 600 dolara za 500 senzora. Također možete dobiti besplatnu probnu verziju 30-dnevne probne verzije s neograničenim senzorima.

3- Scrutinizer

Scrutinizer od Plixera je još jedan sjajan analizator NetFlowa. U stvari, čak je i više od toga i mnogi ga vide kao cjelovit sustav za reagiranje na incident. S njegovom sposobnošću nadziranja različitih vrsta protoka kao što su NetFlow, J-flow, NetStream, sFlow i IPFIX, niste ograničeni na nadgledanje samo Ciscovih uređaja.

Svojim hijerarhijskim dizajnom, Scrutinizer nudi pojednostavljeno i učinkovito prikupljanje podataka i omogućava vam započinjanje malog i jednostavnog razmjera puta do više milijuna tokova u sekundi. Mreža se često prvo optužuje kad nešto pođe po zlu, Pomoću Scrutinizer-a brzo možete pronaći pravi uzrok većine problema s mrežom. Scrutinizer funkcionira u fizičkom i virtualnom okruženju i dolazi s naprednim značajkama izvještavanja.

Scrutinizer dolazi u četiri razine licenci koje idu od osnovne besplatne verzije do potpuno razvijene razine SCR koja može dosegnuti više od 10 milijuna tokova u sekundi. Besplatna verzija ograničena je na 10 tisuća protoka u sekundi i čuvat će samo neobrađene podatke 5 sati, ali to bi trebalo biti više nego dovoljno za rješavanje problema s mrežom. Možete i isprobati bilo koji nivo licence 30 dana nakon čega će se vratiti u besplatnu verziju.

4- ManageEngine NetFlow analizator

ManageEngine NetFlow analizator pruža mrežnom administratoru detaljan pregled korištenja propusne mreže kao i obrazaca prometa. Proizvodom upravlja internetsko sučelje i nudi impresivan broj različitih prikaza na vašoj mreži.

Promet možete, primjerice, pregledati putem aplikacije, razgovora, protokola i još nekoliko opcija. Možete postaviti i upozorenja kako bi vas upozorili na moguće probleme. Na primjer, možete postaviti prag prometa na određenom sučelju i biti upozoreni kad god ga promet premaši.

Ali najveći dio proizvoda dolazi od izvještaja i nadzorne ploče. Alat dolazi s nekoliko vrlo korisnih unaprijed izgrađenih izvještaja koja su posebno prilagođena za posebne svrhe, kao što su rješavanje problema, planiranje kapaciteta ili naplata računa. No niste zaglavljeni s ugrađenim izvješćima jer alat također omogućava administratorima da izrade prilagođena izvješća po njihovoj želji.

Što se tiče nadzorne ploče alata koju smo spomenuli, ona je jednako impresivna kao i njena izvješća. Sadrži nekoliko kolača sa stvarima poput vrhunskih aplikacija, vrhunskih protokola ili vrhunskih razgovora. Također može prikazati toplinsku kartu sa statusom nadziranih sučelja. I kao što ste mogli pretpostaviti, nadzorne ploče mogu se prilagoditi tako da uključuju samo one informacije koje smatrate korisnim. Na nadzornoj ploči nalaze se i upozorenja u obliku skočnih prozora. A što se tiče administratora u pokretu, postoji aplikacija za pametne telefone koja će vam omogućiti pristup nadzornoj ploči i izvješćima.

ManageEngine NetFlow analizator podržava većinu protočnih tehnologija, uključujući NetFlow (naravno), IPFIX, J-flow, NetStream i nekoliko drugih. Kao bonus, preslika je i izvrsna integracija s Cisco uređajima, s podrškom za podešavanje oblikovanja prometa i / ili QoS politika izravno iz alata.

Kao i mnogi konkurentski proizvodi ManageEngine NetFlow analizator dolazi u dvije verzije. Besplatna verzija bit će identična plaćenoj prvih 30 dana, ali će se ona vratiti na praćenje samo dva sučelja tokova. Iako ovo nije puno, moglo bi biti sve što trebate. Ako želite plaćenu verziju, licence su dostupne u nekoliko veličina od 100 do 2500 sučelja ili protoci s cijenama koje variraju od oko 600 do preko 50 000 dolara plus godišnje naknade za održavanje.

Kako o alatima za praćenje S-Flowa?

Svi proizvodi koje smo upravo pregledali prikupljat će i analizirati sFlow podatke uz NetFlow. U hibridnim okruženjima svi bi bili sjajni. Ali ako imate samo opremu sFLow, možda biste se radije odlučili za alat koji samo podržava tu tehnologiju.

5- inMon sFlowTrend

sFlowTrend je besplatni alat za nadzor tvrtke InMon, tvrtke koja stoji iza sFlow tehnologije. Ova besplatna verzija softvera omogućuje vam prikupljanje podataka s do pet uređaja s omogućenom sFlow-om i čuvat će podatke povijesti u RAM-u samo sat vremena. Ako želite pojačati stvari, možete nadograditi na profesionalnu verziju - naravno, po cijeni - što uklanja ograničenje broja uređaja i pohranjuje na disk neograničene podatke iz povijesti.

sFlowTrend Nadzorna ploča omogućuje brzi pregled trenutnog stanja nadziranih uređaja i mreža, uključuje pragove najviše razine i sučelja s potencijalnim pogreškama. Kad jednom kliknete karticu Mreža, sflowTrend otkriva sažeto statistiku performansi i detaljni promet na razini mreže ili uređaja. Pragovi uzbune mogu se definirati. Omogućuje vam primanje upozorenja kada se dogodi upotreba propusne mreže veće od uobičajene ili mrežne pogreške. Postoji čak i kartica s osnovnim uzrokom na koju možete precizno utvrditi uzrok problema kao što je kršenje praga.

Na kartici Domaćini pronaći ćete detaljnije informacije o svakom uređaju. Pruža podatke o performansama na mreži, CPU-u, disku itd. Za poslužitelje s omogućenom sFlow-om, uključujući virtualne. Na kartici Usluge naći ćete podatke o izvedbi aplikacija (uključujući razne web poslužitelje) koji izvoze sFlow podatke. Na kartici Događaji pronaći ćete zapis događaja poput prekoračenih pragova ili otkrivenih pogrešaka. I na kraju, kartica Izvješća pruža nekoliko unaprijed definiranih izvještaja, ali također podržava stvaranje prilagođenih izvješća. Ovdje ćete pokrenuti izvješća i pregledati njihove rezultate.

sFlowTrend je napisan na Javi i dolazi s Java ili internetskim korisničkim sučeljem. Dostupna je za Windows, Macintosh i Linux. Na raspolaganju vam je i internetska pomoć koja vam pomaže u konfiguriranju i korištenju alata. Odličan je alat, posebno za manje organizacije sa opremom omogućenom sFlow. A put nadogradnje do pro verzije čini ga jednako podesnim izborom za veće mreže.