NetFlow vs sFlow: welke is beter voor verkeersanalyse?

Cisco's NetFlow en inMon's sFlow zijn twee vergelijkbare maar verschillende bewakingstechnologieën die u een kwalitatief beeld van uw netwerkverkeer kunnen geven. Hoewel tools voor bandbreedtebewaking u alleen vertellen hoeveel verkeer er langs een bepaald punt gaat, zijn er tools voor stroomanalyse zal u vertellen wat die gegevens zijn, waar ze vandaan komen en naar gaan, en een paar andere nuttige stukjes informatie. Vandaag vergelijken we de twee technologieën en bekijken we enkele van de beste tools die voor elk beschikbaar zijn. We zullen enkele van de beste NetFlow- en sFlow-analysers en -verzamelaars bekijken die we konden vinden.

We beginnen met het beschrijven van NetFlow. We zullen ons best doen om uit te leggen wat het is en hoe het werkt, terwijl we onze discussie zo niet-technisch mogelijk houden. Vervolgens doen we dezelfde oefening met sFlow en doen we ons best om de technologie uit te leggen. Daarna bekijken we hoe de twee technologieën van elkaar verschillen. Net als voorheen blijven we weg van de harde technische details. Vervolgens proberen we de brandende vraag te beantwoorden: welke moet ik gebruiken? Zoals je zult zien, is er geen duidelijk en definitief antwoord. Ten slotte bekijken we enkele van de beste tools voor stroomanalyse die we konden vinden.

NetFlow - De originele stroomanalysetechnologie

Ontwikkeld door Cisco Systems werd de NetFlow-technologie op hun routers geïntroduceerd om de mogelijkheid te bieden gegevens over netwerkverkeer te verzamelen wanneer deze een interface binnenkomt of verlaat. Deze gegevens kunnen worden geanalyseerd door gespecialiseerde toepassingen om de bron en bestemming van het verkeer, de serviceklasse en, bij uitbreiding, de oorzaken van congestie te achterhalen.

Een typische NetFlow-monitoringopstelling bestaat uit drie hoofdcomponenten:

• De stroom exporteur aggregeert pakketten in stromen en exporteert stroomrecords naar een of meer stroomverzamelaars.
• De stroomcollector is verantwoordelijk voor de ontvangst, opslag en voorverwerking van stroomgegevens ontvangen van een stroomexporteur.
• De stroomanalysator, of stroomanalysetoepassing, wordt gebruikt om ontvangen stroomgegevens te analyseren. Analyse kan worden gebruikt voor verkeersprofilering of voor het oplossen van netwerkproblemen.

Hoe NetFlow werkt

Netwerkapparaten die NetFlow ondersteunen, genereren stroomrecords en sturen deze naar een NetFlow-verzamelaar. Een stroom is in deze context een compleet gesprek in IP-zin. Het apparaat dat stroomrecords voorbereidt, stuurt deze normaal gesproken naar de verzamelaar wanneer wordt vastgesteld dat de stroom is voltooid ofwel door veroudering - wanneer er geen verkeer is geweest binnen een specifieke time-out - of wanneer het een TCP-sessie ziet beëindiging.

De stroomregistratie-informatie over de stroom, zoals de invoer- en uitvoerinterfaces, de start- en eindtijdstempels van de stroom, het nummer bytes en pakketten die het bevat, de headers van laag 3, het IP-adres van de bron en de bestemming en het poortnummer, het IP-protocol en de TOS waarde. Stroomrecords bevatten niet de feitelijke gegevens waaruit de stroom bestaat, ze bevatten alleen informatie over de stroom. Dit is een belangrijk beveiligingskenmerk van deze technologie.

Behalve in een enorme omgeving met meerdere locaties, zijn de stroomcollectoren waar de records naartoe worden gestuurd ook de stroomanalysatoren. Ze gebruiken de informatie in stroomrecords om gegevens over netwerkverkeer te presenteren op een manier die handig is voor netwerkbeheerders. Verschillende NetFlow-verzamelaars en -analysatoren kunnen op verschillende manieren gegevens presenteren.

sFlow - een verre verwant

De "s" in sFlow staat voor "sampling". Dit is cruciaal voor de werking en verschilt van andere stroomanalysesystemen. Deze technologie werkt alleen met sFlow-apparaten, net als NetFlow. Gelukkig zijn deze apparaten vrij gebruikelijk bij de grote fabrikanten van netwerkapparatuur.

De sFlow-standaard wordt onderhouden door het sFlow.org-consortium, maar het is het geesteskind van inMon Corporation, dat nog steeds bijna absolute controle uitoefent over de evolutie en ontwikkeling ervan. Grote fabrikanten van apparatuur zoals Alcatel-Lucent, Aruba, Brocade, Cisco, Dell, Hewlett Packard, IBM en nog veel meer - meer dan 300 - nemen sFlow-ondersteuning op in veel van hun producten.

sFlow is een stateless pakketbemonsteringsprotocol. Het 'Flow'-gedeelte van de naam van het protocol kan misleidend zijn, aangezien sFlow eigenlijk geen idee heeft om datapakketten te aggregeren in high-level flows zoals NetFlow dat doet. Het werkt alleen in termen van pakketten.

De algemene pakketbemonstering van sFlow omvat lagen tot en met 7. Binnen het netwerkapparaat verzamelt de sFlow-exporter prefixen van een subset van alle pakketten die door de bewaakte interface gaan. Beheerders kunnen ervoor kiezen om per N-pakket één pakket te nemen, maar de exporteur kiest ook willekeurige pakketten en neemt deze op in zijn record. De exporteur verzamelt vervolgens de initiële bytes van elk bemonsterd pakket samen met apparaattellers en stuurt deze naar de sFlow-verzamelaar. Het apparaat slaat geen gegevens of steekproeven in het cachegeheugen op, waardoor het gebruik van bronnen wordt verminderd en het gemakkelijk wordt op te schalen naar snelle netwerken.

NetFlow en sFlow - wat is het verschil?

Ondanks dat ze vergelijkbare namen, doelen en doelen hebben, zijn NetFlow en sFlow eigenlijk heel anders, vooral in de manier waarop elk zijn taak vervult.

Avi Freedman, mede-oprichter en CEO van Kentik, vat het verschil tussen NetFlow en sFlow samen met een analogie: “... terwijl NetFlow kan worden omschreven als het observeren van verkeerspatronen (‘Hoeveel bussen gingen van hier naar daar?’), met sFlow maak je alleen momentopnames van de auto's of bussen die op dat moment voorbijrijden moment."Laat deze simplistische analogie je niet blindelings doen geloven dat NetFlow meer informatie biedt dan sFlow en daarom een ​​betere technologie is.

Hoewel u waarschijnlijk meer informatie van NetFlow krijgt dan van sFlow, betekent dit niet noodzakelijkerwijs dat het een beter protocol is. Het bronnengebruik van NetFlow is bijvoorbeeld veel hoger dan dat van sFlow. Dit maakt sFlow meestal een interessantere optie voor lagere apparaten. En hoewel NetFlow mogelijk meer informatie verzamelt, heeft u deze echt nodig en kan uw analyser deze zelfs gebruiken?

Welke moet ik gebruiken?

De meeste verzamelaars en analysers zullen zowel NetFlow- als sFlow-informatie verwerken en veel netwerkapparaten ondersteunen beide ook. De belangrijkste doorslaggevende factor zou waarschijnlijk moeten zijn wat uw apparatuur ondersteunt. Als sommige van uw apparatuur de ene ondersteunt, maar de andere niet, dan is dit degene die u moet kiezen. Als u meestal Cisco-apparatuur heeft, waarom kiest u dan niet voor NetFlow, aangezien dit het eigen protocol van Cisco is?

U hoeft echter geen kant te kiezen. Zowel NetFlow als sFlow zijn uitstekende technologieën. Waarom niet beide gebruiken met een verzamelaar en analysator die beide kan ondersteunen? U kunt stroomgegevens ophalen van zowel uw sFlow-geactiveerde als uw Netflow-apparaten.

Enkele van de beste NetFlow-monitoringtools

Hier zijn enkele van de beste NetFlow-verzamel- en analysetools die we konden vinden. We hebben een mix van tools toegevoegd om u een beter idee te geven van de verscheidenheid aan beschikbare tools. Ze ondersteunen allemaal NetFlow-monitoring en alle varianten zoals J-flow of IPFIX, om er maar een paar te noemen.

SolarWinds is een van de bekendste makers van tools voor netwerk- en systeembeheer. Het vlaggenschipproduct, de Network Performance Monitor genaamd, wordt door velen gezien als de beste tools voor netwerkbandbreedtebewaking. Evenzo de SolarWinds NetFlow Traffic Analyzer—Die bovenop de Network Performance Monitor wordt geïnstalleerd — is een van de beste IPFIX-verzamel- en analyseapparatuur die u kunt vinden.

• GRATIS PROEF: SolarWinds NetFlow Traffic Analyzer
• Download link: https://www.solarwinds.com/network-bandwidth-analyzer-pack/registration

Sommige van de SolarWinds NetFlow Traffic Analyzer’S beste eigenschappen zijn:

• Bewaking van bandbreedtegebruik per applicatie, per protocol en per IP-adresgroep.
• IPFIX-, Cisco NetFlow-, Juniper J-Flow-, sFlow- en Huawei NetStream-stroomgegevens bewaken, zodat het kan identificeren welke apparaten, applicaties en protocollen de hoogste bandbreedte verbruikers zijn.
• Verkeersgegevens verzamelen, deze in een bruikbaar formaat correleren en aan de gebruiker presenteren via een webgebaseerde interface voor het monitoren van netwerkverkeer.
• Identificeren welke applicaties en categorieën de meeste bandbreedte verbruiken voor een betere zichtbaarheid van het netwerkverkeer (inclusief Cisco NBAR2-ondersteuning).

De SolarWinds NetFlow Traffic Analyzer is een add-on voor de Netwerkbandbreedtebewaker. U kunt besparen door beide tegelijk met de SolarWinds Network Bandwidth Analyzer Pack. Prijzen voor de bundel beginnen bij $ 4910 voor het bewaken van maximaal 100 elementen en variëren afhankelijk van het aantal bewaakte apparaten. Hoewel dit misschien een beetje duur lijkt, moet u er rekening mee houden dat u niet één maar twee van de beste beschikbare bewakingstools krijgt. Als je het product liever uitprobeert voordat je het koopt, een gratis proefperiode van 30 dagen kan worden gedownload van SolarWinds.

2- PRTG-netwerkmonitor

De PRTG-netwerkmonitor van Paessler AG is een alles-in-één oplossing met als primair doel het bewaken van het bandbreedtegebruik. Het wordt ook gebruikt om de beschikbaarheid en status van verschillende netwerkbronnen te controleren. Deze functies maken het een handig hulpmiddel voor netwerkbeheerders. De tool kan apparaten over meerdere sites monitoren en het kan LAN, WAN, VPN en Cloud Services monitoren.

Dit product installeren is snel en eenvoudig. Na het uitvoeren van het installatieprogramma, ontdekt het automatische detectieproces apparaten en stelt het sensoren in. Paessler beweert dat u binnen twee minuten na het starten van de installatie kunt beginnen met monitoren. Hoewel dit een lichte overdrijving kan zijn, waren we onder de indruk van het gemak en de snelheid van de installatie. Hoewel de server alleen op Windows draait, is de gebruikersinterface webgebaseerd en toegankelijk vanuit elke browser. Daarnaast is er een mobiele app die je op je smartphone of tablet kunt installeren.

De PRTG-netwerkmonitor kan vrijwel alles bewaken dankzij de sensorgebaseerde architectuur. U kunt sensoren zien als add-ons die rechtstreeks in het product zijn ingebouwd, elk met een specifiek doel. Er zijn sensoren voor HTTP en SMTP / POP3 (e-mail). Er zijn ook hardwarespecifieke sensoren voor switches, routers en servers. In totaal heeft de tool meer dan 200 verschillende vooraf gedefinieerde sensoren.

De PRTG-netwerkmonitor biedt een selectie van gebruikersinterfaces. Je hebt de keuze uit een op Ajax gebaseerde webinterface of een Windows enterprise-console, evenals mobiele apps voor Android en iOS. Een leuke feature van de mobiele apps is dat ze via push notificaties alerts kunnen krijgen. Standaard sms- of e-mailmeldingen zijn ook beschikbaar.

De PRTG-netwerkmonitor wordt aangeboden in twee versies. Er is een gratis versie die volledig is uitgerust, maar die uw bewakingsvermogen beperkt tot 100 sensoren, waarbij elke bewaakte parameter als één sensor telt. Als u bijvoorbeeld elke poort van een 48-poorts switch wilt bewaken, heeft u 48 sensoren nodig. Voor meer dan 100 sensoren moet u een licentie aanschaffen. Ze beginnen bij $ 1 600 voor 500 sensoren. U kunt ook een gratis, sensoronbeperkte en volledig uitgeruste proefversie van 30 dagen krijgen.

3- Onderzoeker

Onderzoeker van Plixer is een andere geweldige NetFlow Analyzer. Het is zelfs meer dan dat en velen beschouwen het als een volledig systeem voor incidentrespons. Met de mogelijkheid om verschillende stroomtypes zoals NetFlow, J-flow, NetStream, sFlow en IPFIX te monitoren, bent u niet beperkt tot het monitoren van alleen Cisco-apparaten.

Met zijn hiërarchisch ontwerp, Onderzoeker biedt een gestroomlijnde en efficiënte gegevensverzameling en stelt u in staat klein te beginnen en gemakkelijk op te schalen tot vele miljoenen stromen per seconde. Het netwerk krijgt vaak als eerste de schuld als er iets misgaat. Met Scrutinizer kunt u snel de echte oorzaak van de meeste netwerkproblemen vinden. Onderzoeker werkt in zowel fysieke als virtuele omgevingen en wordt geleverd met geavanceerde rapportagefuncties.

Onderzoeker wordt geleverd in vier licentieniveaus die gaan van de standaard gratis versie tot het volwaardige SCR-niveau dat kan oplopen tot meer dan 10 miljoen stromen per seconde. De gratis versie is beperkt tot 10.000 stromen per seconde en het zal slechts ruwe stroomgegevens gedurende 5 uur bewaren, maar het zou meer dan genoeg moeten zijn om netwerkproblemen op te lossen. U kunt ook elke licentielaag 30 dagen proberen, waarna deze terugkeert naar de gratis versie.

4- ManageEngine NetFlow Analyzer

De ManageEngine NetFlow Analyzer geeft de netwerkbeheerder een gedetailleerd overzicht van het gebruik van netwerkbandbreedte en verkeerspatronen. Het product wordt bestuurd door een webgebaseerde interface en biedt een indrukwekkend aantal verschillende weergaven op uw netwerk.

U kunt bijvoorbeeld het verkeer bekijken per applicatie, per gesprek, per protocol en nog veel meer opties. U kunt ook waarschuwingen instellen om u te waarschuwen voor mogelijke problemen. U kunt bijvoorbeeld een verkeersdrempel instellen op een specifieke interface en worden gewaarschuwd wanneer er meer verkeer is.

Maar de meeste kracht van het product komt uit de rapporten en het dashboard. De tool wordt geleverd met een aantal zeer nuttige vooraf gebouwde rapporten die specifiek zijn afgestemd op specifieke doeleinden zoals probleemoplossing, capaciteitsplanning of facturering. Maar u zit niet vast aan ingebouwde rapporten, omdat de tool beheerders ook in staat stelt om aangepaste rapporten naar wens te maken.

Het dashboard van de tool dat we noemden, is net zo indrukwekkend als de rapporten. Het bevat verschillende cirkeldiagrammen met zaken als toptoepassingen, topprotocollen of topgesprekken. Het kan ook een hittekaart weergeven met de status van de bewaakte interfaces. En zoals je misschien al geraden had, kunnen dashboards worden aangepast om alleen de informatie te bevatten die je nuttig vindt. Op het dashboard worden ook waarschuwingen weergegeven in de vorm van pop-ups. En voor de netwerkbeheerder die onderweg is, is er een smartphone-app waarmee u toegang krijgt tot het dashboard en de rapporten.

De ManageEngine NetFlow Analyzer ondersteunt de meeste stroomtechnologieën, waaronder NetFlow (natuurlijk), IPFIX, J-flow, NetStream en een paar andere. Als bonus heeft ook zij een uitstekende integratie met Cisco-apparaten, met ondersteuning voor het aanpassen van traffic shaping en / of QoS-beleid rechtstreeks vanuit de tool.

Zoals veel concurrerende producten, de ManageEngine NetFlow Analyzer komt in twee versies. De gratis versie zal gedurende de eerste 30 dagen identiek zijn aan de betaalde versie, maar zal dan terugkeren naar het bewaken van slechts twee interfaces van stromen. Hoewel dit niet veel is, is het misschien alles wat u nodig heeft. Als u de betaalde versie wilt, zijn licenties beschikbaar in verschillende groottes van 100 tot 2500 interfaces of stromen met prijzen die variëren van ongeveer $ 600 tot meer dan $ 50.000 plus jaarlijkse onderhoudskosten.

Hoe zit het met S-Flow Monitoring Tools?

Alle producten die we zojuist hebben beoordeeld, verzamelen en analyseren sFlow-gegevens naast NetFlow. Voor hybride omgevingen zouden het allemaal geweldige keuzes zijn. Maar als u alleen sFLow-apparatuur heeft, kiest u misschien liever voor een tool die alleen die technologie ondersteunt.

5- inMon sFlowTrend

sFlowTrend is een gratis monitoringtool van inMon, het bedrijf achter de sFlow-technologie. Met deze gratis versie van de software kunt u gegevens verzamelen van maximaal vijf sFlow-apparaten en bewaart u de geschiedenisgegevens slechts een uur in het RAM. En als u de zaken wilt opvoeren, kunt u upgraden naar de pro-versie - uiteraard tegen een vergoeding - waardoor het aantal apparaten wordt beperkt en onbeperkte geschiedenisgegevens op schijf worden opgeslagen.

De sFlowTrend Dashboard biedt een snel overzicht van de huidige status van de bewaakte apparaten en netwerken, het bevat drempels op het hoogste niveau en interfaces met mogelijke fouten. Wanneer u op het tabblad Netwerk klikt, geeft sflowTrend beknopte prestatiestatistieken en gedetailleerd verkeer op netwerk- of apparaatniveau weer. Waarschuwingsdrempels kunnen worden gedefinieerd. Hiermee kunt u waarschuwingen ontvangen wanneer er een bandbreedtegebruik of netwerkfout optreedt die hoger is dan normaal. Er is zelfs een tabblad met de hoofdoorzaak waar u kunt inzoomen op de oorzaak van een probleem, zoals een drempeloverschrijding.

Op het tabblad Hosts vindt u meer gedetailleerde informatie over elk apparaat. Het biedt prestatiegegevens op netwerk, CPU, schijf, enz. Voor sFlow-compatibele servers, inclusief virtuele. Op het tabblad Services vindt u prestatiegegevens voor applicaties (waaronder verschillende webservers) die sFlow-gegevens exporteren. Op het tabblad Gebeurtenissen vindt u een logboek met gebeurtenissen zoals drempelwaarden overschreden of gedetecteerde fouten. En tot slot biedt het tabblad Rapporten verschillende vooraf gedefinieerde rapporten, maar het ondersteunt ook het maken van aangepaste rapporten. Dit is waar u naartoe gaat om rapporten uit te voeren en vervolgens hun resultaten te bekijken.

sFlowTrend is geschreven in Java en wordt geleverd met een op Java gebaseerde of webgebaseerde gebruikersinterface. Het is beschikbaar voor Windows, Macintosh en Linux. Er is ook online hulp beschikbaar om u te helpen bij het configureren en gebruiken van de tool. Het is een geweldige tool, vooral voor kleinere organisaties met sFlow-compatibele apparatuur. En het upgradepad naar de pro-versie maakt het een even geldige keuze voor grotere netwerken.