NetFlow vs sFlow: qual è il migliore per l'analisi del traffico?

NetFlow di Cisco e sFlow di inMon sono due tecnologie di monitoraggio simili ma diverse che possono fornirti una visione qualitativa del traffico della tua rete. Mentre gli strumenti di monitoraggio della larghezza di banda indicano solo la quantità di traffico che passa da un punto specifico, gli strumenti di analisi del flusso ti dirà quali sono questi dati, da dove provengono e vanno e alcuni altri elementi utili di informazione. Oggi confronteremo le due tecnologie e daremo uno sguardo ad alcuni dei migliori strumenti disponibili per ognuna. Esamineremo alcuni dei migliori analizzatori e raccoglitori NetFlow e sFlow che potremmo trovare.

Inizieremo descrivendo NetFlow. Faremo del nostro meglio per spiegare di cosa si tratta e come funziona mantenendo la nostra discussione il più non tecnica possibile. Faremo lo stesso esercizio con sFlow e faremo del nostro meglio per spiegare la tecnologia. Successivamente, vedremo come differiscono le due tecnologie. Proprio come prima, staremo lontani dai dettagli tecnici fondamentali. Successivamente, proveremo a rispondere alla domanda scottante: quale dovrei usare? Come vedrai, non c'è una risposta chiara e definitiva. Infine, esamineremo alcuni dei migliori strumenti di analisi del flusso che siamo riusciti a trovare.

NetFlow - La tecnologia di analisi del flusso originale

Sviluppata da Cisco Systems, la tecnologia NetFlow è stata introdotta sui loro router per offrire la possibilità di raccogliere dati sul traffico di rete quando entra o esce da un'interfaccia. Questi dati possono essere analizzati da applicazioni specializzate per estrarre l'origine e la destinazione del traffico, la sua classe di servizio e, per estensione, le cause della congestione.

Una tipica configurazione di monitoraggio NetFlow è composta da tre componenti principali:

• Il esportatore di flusso aggrega i pacchetti in flussi ed esporta i record di flusso verso uno o più raccoglitori di flusso.
• Il collettore di flusso è responsabile della ricezione, archiviazione e pre-elaborazione dei dati di flusso ricevuti da un esportatore di flussi.
• Il analizzatore di flusso, o applicazione di analisi del flusso, viene utilizzata per analizzare i dati di flusso ricevuti. L'analisi può essere utilizzata per la profilazione del traffico o per la risoluzione dei problemi di rete.

Come funziona NetFlow

I dispositivi di rete che supportano NetFlow generano record di flusso e li inviano a un raccoglitore NetFlow. Un flusso, in questo contesto, è una conversazione completa in senso IP. Il dispositivo che prepara i record di flusso normalmente li invia al raccoglitore quando determina che il flusso è terminato o attraverso l'invecchiamento, quando non c'è stato traffico all'interno di un timeout specifico, oppure quando vede una sessione TCP terminazione.

Le informazioni di registrazione del flusso sul flusso come le interfacce di input e output, i timestamp di inizio e fine del flusso, il numero di byte e pacchetti che contiene, le intestazioni di livello 3, l'indirizzo IP di origine e destinazione e il numero di porta, il protocollo IP e il TOS valore. I record di flusso non contengono i dati effettivi che hanno costituito il flusso, contengono solo informazioni sul flusso. Questa è un'importante caratteristica di sicurezza di questa tecnologia.

Tranne che in un enorme ambiente multi-sito, i collettori di flusso in cui vengono inviati i record sono anche gli analizzatori di flusso. Usano le informazioni contenute nei record di flusso per presentare i dati sul traffico di rete in modo utile per gli amministratori di rete. Diversi collettori e analizzatori NetFlow avranno diversi modi di presentare i dati.

sFlow - Un parente distante

La "s" in sFlow sta per "campionamento". Questo è fondamentale per il suo funzionamento ed è dove differisce dagli altri sistemi di analisi del flusso. Questa tecnologia funziona solo con dispositivi abilitati per sFlow, proprio come NetFlow. Fortunatamente, questi dispositivi sono abbastanza comuni tra i principali produttori di apparecchiature di rete.

Lo standard sFlow è mantenuto dal consorzio sFlow.org, ma è il frutto della società inMon che esercita ancora un controllo quasi assoluto sulla sua evoluzione e sviluppo. I principali produttori di apparecchiature come Alcatel-Lucent, Aruba, Brocade, Cisco, Dell, Hewlett Packard, IBM e molti altri, oltre 300, includono il supporto di sFlow in molti dei loro prodotti.

sFlow è un protocollo di campionamento dei pacchetti senza stato. La parte "Flow" del nome del protocollo potrebbe essere fuorviante poiché sFlow in realtà non ha alcuna idea di aggregare pacchetti di dati in flussi di alto livello come fa NetFlow. Funziona solo in termini di pacchetti.

Il campionamento generale dei pacchetti di sFlow abbraccia i livelli da 7 a 7. In esecuzione all'interno del dispositivo di rete, l'esportatore sFlow raccoglie i prefissi da un sottoinsieme di tutto il pacchetto che passa attraverso l'interfaccia monitorata. Gli amministratori possono scegliere di campionare un pacchetto per ogni pacchetto N, ma l'esportatore sceglie anche pacchetti casuali e li include nel suo record. L'esportatore quindi assembla i byte iniziali di ciascun pacchetto campionato insieme ai contatori dei dispositivi e li invia al raccoglitore sFlow. Il dispositivo non memorizza nella cache nessuno dei dati o dei pacchetti campionati, riducendo l'utilizzo delle risorse e facilitando il ridimensionamento alle reti ad alta velocità.

NetFlow e sFlow - Qual è la differenza?

Nonostante abbiano nomi, scopi e obiettivi simili, NetFlow e sFlow sono in realtà abbastanza diversi, in particolare nel modo in cui ciascuno compie il proprio compito.

Avi Freedman, co-fondatrice e CEO di Kentik, riassume la differenza tra NetFlow e sFlow con un'analogia: “... mentre NetFlow può essere descritto come osservando i modelli di traffico ("Quanti autobus sono andati da qui a lì?"), con sFlow stai solo scattando istantanee di qualunque auto o autobus stia succedendo in quel particolare momento."Non lasciare che questa semplicistica analogia ti conduca alla cieca convinzione che NetFlow fornisca più informazioni di sFlow e sia, quindi, una tecnologia migliore.

Anche se probabilmente ottieni più informazioni da NetFlow che da sFlow, non lo rende necessariamente un protocollo migliore. Ad esempio, l'utilizzo delle risorse di NetFlow è molto più elevato di quello di sFlow. Ciò tenderebbe a rendere sFlow un'opzione più interessante per i dispositivi di fascia bassa. E mentre NetFlow potrebbe raccogliere più informazioni, ne hai davvero bisogno e il tuo analizzatore è anche in grado di usarlo?

Quale dovrei usare?

La maggior parte dei collettori e degli analizzatori gestirà sia le informazioni NetFlow che sFlow e molti dispositivi di rete supportano entrambi. Il principale fattore decisivo dovrebbe probabilmente essere ciò che la tua attrezzatura supporta. Se alcune delle tue apparecchiature supportano l'una ma non l'altra, questa è quella che dovresti scegliere. Se disponi principalmente di apparecchiature Cisco, perché non utilizzare NetFlow in quanto è il protocollo di Cisco?

Non devi scegliere i lati, però. Sia NetFlow che sFlow sono tecnologie eccellenti. Perché non utilizzare entrambi con un raccoglitore e un analizzatore in grado di supportare entrambi? Sarai in grado di ottenere i dati di flusso dai tuoi dispositivi abilitati per sFlow e Netflow.

Alcuni dei migliori strumenti di monitoraggio NetFlow

Ecco alcuni dei migliori strumenti di raccolta e analisi NetFlow che siamo riusciti a trovare. Abbiamo incluso un mix di strumenti per darti un'idea migliore della varietà di strumenti disponibili. Supportano tutti il ​​monitoraggio NetFlow e tutte le sue varianti come J-flow o IPFIX, solo per citarne alcuni.

SolarWinds è uno dei produttori più noti di strumenti di amministrazione di reti e sistemi. Il suo prodotto di punta, chiamato Network Performance Monitor, è considerato da molti come i migliori strumenti di monitoraggio della larghezza di banda della rete. Allo stesso modo, il Analizzatore del traffico NetFlow di SolarWinds—Che si installa sopra Network Performance Monitor — è uno dei migliori raccoglitori e analizzatori IPFIX che puoi trovare.

• PROVA GRATUITA: Analizzatore del traffico NetFlow di SolarWinds
• Link per scaricare: https://www.solarwinds.com/network-bandwidth-analyzer-pack/registration

Alcuni dei Analizzatore del traffico NetFlow di SolarWindsLe migliori funzioni includono:

• Monitoraggio dell'utilizzo della larghezza di banda per applicazione, protocollo e gruppo di indirizzi IP.
• Monitoraggio dei dati di flusso IPFIX, Cisco NetFlow, Juniper J-Flow, sFlow e Huawei NetStream che consentono di identificare quali dispositivi, applicazioni e protocolli sono i consumatori con la più ampia larghezza di banda.
• Raccolta di dati sul traffico, correlazione in un formato utilizzabile e presentazione all'utente tramite un'interfaccia web per il monitoraggio del traffico di rete.
• Identificazione delle applicazioni e delle categorie che consumano più larghezza di banda per una migliore visibilità del traffico di rete (incluso il supporto Cisco NBAR2).

Il Analizzatore del traffico NetFlow di SolarWinds è un componente aggiuntivo di Monitor della larghezza di banda della rete. È possibile salvare acquisendo entrambi contemporaneamente a Pacchetto analizzatore larghezza di banda di rete SolarWinds. I prezzi per il pacchetto partono da $ 4 910 per il monitoraggio fino a 100 elementi e variano in base al numero di dispositivi monitorati. Anche se questo può sembrare un po 'costoso, tieni presente che stai ricevendo non uno ma due dei migliori strumenti di monitoraggio disponibili. Se preferisci provare il prodotto prima di acquistarlo, una prova gratuita di 30 giorni può essere scaricata da SolarWinds.

2- PRTG Network Monitor

Il PRTG Network Monitor di Paessler AG è una soluzione all-in-one il cui scopo principale è il monitoraggio dell'utilizzo della larghezza di banda. Viene anche utilizzato per monitorare la disponibilità e lo stato di diverse risorse di rete. Queste funzionalità lo rendono uno strumento utile per gli amministratori di rete. Lo strumento può monitorare i dispositivi su più siti e può monitorare i servizi LAN, WAN, VPN e Cloud.

L'installazione di questo prodotto è semplice e veloce. Dopo aver eseguito il programma di installazione, il processo di rilevamento automatico rileva i dispositivi e imposta i sensori. Paessler afferma che potresti iniziare il monitoraggio entro due minuti dall'avvio dell'installazione. Anche se questa potrebbe essere una leggera sopravvalutazione, siamo rimasti colpiti dalla facilità e dalla velocità di installazione. Sebbene il server funzioni solo su Windows, l'interfaccia utente è basata sul Web e è possibile accedervi da qualsiasi browser. Inoltre, esiste un'app mobile che puoi installare sul tuo smartphone o tablet.

Il PRTG Network Monitor può monitorare praticamente qualsiasi cosa, grazie alla sua architettura basata su sensori. Puoi pensare ai sensori come componenti aggiuntivi integrati direttamente nel prodotto, ognuno con uno scopo specifico. Esistono sensori per HTTP e SMTP / POP3 (e-mail). Esistono anche sensori specifici dell'hardware per switch, router e server. In tutto, lo strumento ha oltre 200 diversi sensori predefiniti.

Il PRTG Network Monitor offre una selezione di interfacce utente. Puoi scegliere tra un'interfaccia Web basata su Ajax o una console aziendale Windows e app mobili per Android e iOS. Una bella caratteristica delle app mobili è che possono ricevere avvisi tramite notifica push. Sono disponibili anche notifiche SMS o e-mail standard.

Il PRTG Network Monitor è offerto in due versioni. Esiste una versione gratuita che è full optional ma limiterà la tua capacità di monitoraggio a 100 sensori con ogni parametro monitorato conteggiato come un sensore. Ad esempio, per monitorare ciascuna porta di uno switch a 48 porte, avrai bisogno di 48 sensori. Per più di 100 sensori, è necessario acquistare una licenza. Iniziano da $ 1 600 per 500 sensori. Puoi anche ottenere una versione di prova gratuita di 30 giorni gratuita, senza sensori e con funzionalità complete.

3- Scrutinizer

Scrutinizer di Plixer è un altro grande analizzatore NetFlow. In realtà, è anche più di questo e molti lo vedono come un sistema di risposta agli incidenti completo. Con la sua capacità di monitorare diversi tipi di flusso come NetFlow, J-flow, NetStream, sFlow e IPFIX, non sei limitato al monitoraggio solo dei dispositivi Cisco.

Con il suo design gerarchico, Scrutinizer offre una raccolta dati efficiente ed efficiente e consente di avviare piccoli e facilmente scalabili fino a molti milioni di flussi al secondo. La rete viene spesso incolpata per la prima volta ogni volta che qualcosa va storto. Con Scrutinizer, puoi trovare rapidamente la vera causa della maggior parte dei problemi di rete. Scrutinizer funziona in ambienti sia fisici che virtuali e include funzionalità di reporting avanzate.

Scrutinizer è disponibile in quattro livelli di licenza che vanno dalla versione base gratuita al livello SCR completo che può scalare fino a oltre 10 milioni di flussi al secondo. La versione gratuita è limitata a 10 mila flussi al secondo e manterrà i dati di flusso non elaborati per 5 ore, ma dovrebbe essere più che sufficiente per risolvere i problemi di rete. Puoi anche provare qualsiasi livello di licenza per 30 giorni, dopo di che tornerà alla versione gratuita.

4- ManageEngine NetFlow Analyzer

Il ManageEngine NetFlow Analyzer offre all'amministratore di rete una visione dettagliata dell'utilizzo della larghezza di banda della rete e dei modelli di traffico. Il prodotto è controllato da un'interfaccia basata sul Web e offre un numero impressionante di diverse visualizzazioni sulla rete.

Ad esempio, puoi visualizzare il traffico per applicazione, per conversazione, per protocollo e molte altre opzioni. Puoi anche impostare avvisi per avvisarti di potenziali problemi. Ad esempio, è possibile impostare una soglia di traffico su un'interfaccia specifica ed essere avvisato ogni volta che il traffico lo supera.

Ma la maggior parte della forza del prodotto deriva dai suoi report e dashboard. Lo strumento viene fornito con numerosi report predefiniti molto utili appositamente studiati per scopi specifici quali risoluzione dei problemi, pianificazione della capacità o fatturazione. Ma non sei bloccato con i report integrati poiché lo strumento consente anche agli amministratori di creare report personalizzati a loro piacimento.

Per quanto riguarda la dashboard dello strumento che abbiamo menzionato, è altrettanto impressionante dei suoi rapporti. Include diversi grafici a torta con elementi quali le migliori applicazioni, i principali protocolli o le migliori conversazioni. Può anche visualizzare una mappa di calore con lo stato delle interfacce monitorate. E come avrai intuito, i dashboard possono essere personalizzati per includere solo le informazioni che ritieni utili. Il dashboard è anche il punto in cui gli avvisi vengono visualizzati sotto forma di popup. E per l'amministratore di rete in movimento, c'è un'app per smartphone che ti permetterà di accedere alla dashboard e ai rapporti.

Il ManageEngine NetFlow Analyzer supporta la maggior parte delle tecnologie di flusso tra cui NetFlow (ovviamente), IPFIX, J-flow, NetStream e pochi altri. Come bonus, anche questo ha un'eccellente integrazione con i dispositivi Cisco, con il supporto per la regolazione del traffic shaping e / o le politiche QoS direttamente dallo strumento.

Come molti prodotti concorrenti, il ManageEngine NetFlow Analyzer è disponibile in due versioni. La versione gratuita sarà identica a quella a pagamento per i primi 30 giorni, ma tornerà a monitorare solo due interfacce di flussi. Anche se questo non è molto, potrebbe essere tutto ciò di cui hai bisogno. Se si desidera la versione a pagamento, le licenze sono disponibili in diverse dimensioni da 100 a 2500 interfacce o flussi con prezzi che variano tra circa $ 600 e oltre $ 50K più le spese di manutenzione annuali.

Che ne dici di strumenti di monitoraggio S-Flow?

Tutti i prodotti che abbiamo appena esaminato raccoglieranno e analizzeranno i dati di sFlow oltre a NetFlow. Per gli ambienti ibridi, sarebbero tutti un'ottima scelta. Ma se hai solo attrezzature sFLow, forse preferiresti optare per uno strumento che supporta solo quella tecnologia.

5- inMon sFlowTrend

sFlowTrend è uno strumento di monitoraggio gratuito di inMon, la società dietro la tecnologia sFlow. Questa versione gratuita del software consente di raccogliere dati da un massimo di cinque dispositivi abilitati per sFlow e manterrà i dati storici nella RAM per un massimo di un'ora. E se vuoi intensificare le cose, puoi eseguire l'aggiornamento alla versione pro, ovviamente a un costo, che rimuove il numero di dispositivi limitati e memorizza su disco dati cronologici illimitati.

Il sFlowTrend Dashboard offre una rapida visione dello stato attuale dei dispositivi e delle reti monitorati, include soglie di livello superiore e interfacce con potenziali errori. Quando si fa clic sulla scheda Rete, sflowTrend rivela statistiche riassuntive sulle prestazioni e traffico dettagliato a livello di rete o dispositivo. È possibile definire le soglie di avviso. Ti consente di ricevere avvisi quando si verifica un utilizzo della larghezza di banda superiore al solito o un errore di rete. Esiste anche una scheda della causa principale in cui è possibile eseguire il drill down sulla causa di un problema come una violazione della soglia.

La scheda Host è dove troverai informazioni più dettagliate su ciascun dispositivo. Fornisce dati sulle prestazioni su rete, CPU, disco, ecc. Per server abilitati per sFlow, inclusi quelli virtuali. Nella scheda Servizi, troverai i dati sul rendimento delle applicazioni (inclusi vari server Web) che esportano i dati sFlow. Nella scheda Eventi, troverai un registro di eventi come soglie superate o errori rilevati. Infine, la scheda Rapporti fornisce diversi rapporti predefiniti, ma supporta anche la creazione di rapporti personalizzati. Qui è dove andrai per eseguire i rapporti e quindi visualizzarne i risultati.

sFlowTrend è scritto in Java e viene fornito con un'interfaccia utente sia basata su Java che basata sul web. È disponibile per Windows, Macintosh e Linux. C'è anche una guida online disponibile per aiutarti nella configurazione e nell'utilizzo dello strumento. È uno strumento eccezionale, soprattutto per le organizzazioni più piccole con apparecchiature abilitate per sFlow. E il percorso di aggiornamento alla versione pro lo rende una scelta altrettanto valida per reti più grandi.