NetFlow vs sFlow: Hvilken er bedre for trafikkanalyse?

Ciscos NetFlow og inMons sFlow er to lignende, men likevel forskjellige overvåkningsteknologier som kan gi deg en kvalitativ oversikt over nettverkets trafikk. Mens overvåkningsverktøy for båndbredde bare forteller deg hvor mye trafikk som passerer et bestemt punkt, kan du analysere verktøy for flyt vil fortelle deg hva disse dataene er, hvor de kommer fra og går til, og noen få andre nyttige biter av informasjon. I dag skal vi sammenligne de to teknologiene, og vi skal se på noen av de beste verktøyene som er tilgjengelige for hver. Vi vil gjennomgå noen av de beste NetFlow- og sFlow-analysatorene og samlerne vi kunne finne.

Vi starter med å beskrive NetFlow. Vi vil gjøre vårt beste for å forklare hva det er og hvordan det fungerer, mens diskusjonen vår blir så ikke-teknisk som mulig. Vi vil deretter gjøre den samme øvelsen med sFlow og gjøre vårt beste for å forklare teknologien. Etter det får vi se på hvordan de to teknologiene er forskjellige. Akkurat som før, holder vi oss unna de tekniske kjennetegnene. Deretter prøver vi å svare på det brennende spørsmålet: Hvilken skal jeg bruke? Som du ser er det ikke et klart og definitivt svar. Til slutt vil vi gjennomgå noen av de beste verktøyene for flytanalyse vi kunne finne.

NetFlow - Original Flow Analysis Technology

NetFlow-teknologien ble utviklet av Cisco Systems og ble introdusert på ruterne deres for å gi muligheten til å samle inn data om nettverkstrafikk når den kommer inn eller går ut fra et grensesnitt. Disse dataene kan analyseres ved hjelp av spesialiserte applikasjoner for å trekke ut kilden og destinasjonen for trafikken, dens tjenesteklasse og i forlengelse av årsakene til trafikkstopping.

Et typisk NetFlow-overvåkingsoppsett består av tre hovedkomponenter:

• De flyteksportør samler pakker i strømmer og eksporterer strømningsregistreringer til en eller flere strømningssamlere.
• De flytkollektor er ansvarlig for mottak, lagring og forbehandling av strømningsdata mottatt fra en flyteksportør.
• De flytanalysator, eller strømningsanalyseapplikasjon, brukes til å analysere mottatte strømningsdata. Analyse kan brukes til profilering av trafikk, eller til feilsøking av nettverk.

Slik fungerer NetFlow

Nettverksenheter som støtter NetFlow genererer flytoppføringer og sender dem til en NetFlow-samler. En flyt, i denne sammenhengen, er en fullstendig samtale i IP-forstand. Enheten som utarbeider strømningsregistreringer sender dem normalt til samleren når den bestemmer at strømmen er ferdig enten gjennom aldring - når det ikke har vært noen trafikk innen en bestemt tidsavbrudd - eller når den ser en TCP-økt avslutning.

Informasjon om flyten registrerer strømmen, for eksempel inngangs- og utgangsgrensesnitt, start- og sluttidstempler for strømmen, antall av byte og pakker den inneholder, lag 3-overskrifter, kilde- og destinasjons-IP-adresse og portnummer, IP-protokollen og TOS verdi. Flytoppføringer inneholder ikke de faktiske dataene som utgjorde flyten, de inneholder bare informasjon om flyten. Dette er en viktig sikkerhetsfunksjon ved denne teknologien.

Bortsett fra i et enormt miljø med flere nettsteder, er strømningsinnsamlerne der postene sendes også strømningsanalysatorene. De bruker informasjonen i strømningsregistrene for å presentere data om nettverkstrafikk på en måte som er nyttig for nettverksadministratorer. Ulike NetFlow-samlere og analysatorer vil ha forskjellige måter å presentere data på.

sFlow - En fjern slektning

“S” i sFlow står for “sampling”. Dette er avgjørende for driften, og det er der det skiller seg fra andre flytanalysesystemer. Denne teknologien fungerer bare med sFlow-aktiverte enheter, akkurat som NetFlow. Heldigvis er disse enhetene ganske vanlige blant de største produsentene av nettverksutstyr.

SFlow-standarden opprettholdes av sFlow.org-konsortiet, men det er hjernen til inMon-selskapet som fremdeles utøver nesten absolutt kontroll over dens utvikling og utvikling. Store utstyrsprodusenter som Alcatel-Lucent, Aruba, Brocade, Cisco, Dell, Hewlett Packard, IBM og mange flere — over 300 — inkluderer sFlow-støtte i mange av produktene deres.

sFlow er en statløs pakkesamplingsprotokoll. "Flow" -delen av protokollens navn kan være misvisende ettersom sFlow faktisk ikke har noen forestilling om å samle datapakker til strømmer på høyt nivå slik NetFlow gjør. Det fungerer bare når det gjelder pakker.

sFlows generelle pakkesamling spenner over lag 7. SFlow-eksportøren kjører innenfor nettverksenheten, og samler prefikser fra en undergruppe av all pakken som går gjennom det overvåkede grensesnittet. Administratorer kan velge å prøve en pakke hver N-pakke, men eksportøren plukker også tilfeldige pakker og inkluderer dem i posten. Eksportøren setter sammen de første byteene til hver pakke som ble samplet sammen med enhetsdisker og sender den ut til sFlow-samleren. Enheten buffer ikke dataene eller pakken som samples, noe som reduserer ressursbruken og gjør det enkelt å skalere opp til høyhastighetsnettverk.

NetFlow And sFlow - Hva er forskjellen?

Til tross for at de har lignende navn, formål og mål, er NetFlow og sFlow faktisk ganske forskjellige, spesielt på den måten hver utfører sin oppgave.

Avi Freedman, medgründer og administrerende direktør i Kentik, oppsummerer forskjellen mellom NetFlow og sFlow med en analogi: “... mens NetFlow kan beskrives som å observere trafikkmønstre (‘Hvor mange busser gikk herfra og dit?’), med sFlow tar du bare øyeblikksbilder av uansett hva biler eller busser skjer på akkurat det øyeblikk.”Ikke la denne forenklede analogien føre deg blindt til å tro at NetFlow gir mer informasjon enn sFlow og derfor er en bedre teknologi.

Selv om du sannsynligvis får mer informasjon fra NetFlow enn fra sFlow, gjør det ikke nødvendigvis det til en bedre protokoll. For eksempel er NetFlows ressursbruk mye høyere enn sFlow. Dette vil ha en tendens til å gjøre sFlow til et mer interessant alternativ for avanserte enheter. Og selv om NetFlow kanskje samler inn mer informasjon, trenger du det virkelig, og er analysatoren til og med i stand til å bruke den?

Hvilken skal jeg bruke?

De fleste samlere og analysatorer vil håndtere både NetFlow og sFlow informasjon, og mange nettverksenheter støtter også begge. Den viktigste avgjørende faktoren bør sannsynligvis være hva utstyret ditt støtter. Hvis noe av utstyret ditt støtter det ene, men ikke det andre, er det det du bør velge. Hvis du stort sett har Cisco-utstyr, hvorfor ikke gå med NetFlow, da det er Ciscos egen protokoll?

Du trenger ikke å velge sider. Både NetFlow og sFlow er utmerkede teknologier. Hvorfor ikke bruke begge deler med en samler og analysator som kan støtte enten? Du vil kunne få flytdata fra sFlow-aktiverte så vel som Netflow-aktiverte enheter.

Noen av de beste NetFlow-overvåkingsverktøyene

Her er noen av de beste NetFlow-samler- og analysatorverktøyene som vi kunne finne. Vi har tatt med en blanding av verktøy for å gi deg en bedre oversikt over de forskjellige verktøyene som er tilgjengelige. De støtter alle NetFlow-overvåking og alle dens varianter som J-flow eller IPFIX, bare for å nevne noen.

SolarWinds er en av de mest kjente produsentene av nettverks- og systemadministrasjonsverktøy. Flaggskipets produkt, kalt Network Performance monitor, blir av mange sett på som de beste nettverksbåndbreddeovervåkingsverktøyene. På samme måte SolarWinds NetFlow Traffic Analyzer—Som installeres på toppen av Network Performance Monitor — er en av de beste IPFIX-samlerne og analysatorene du kan finne.

• GRATIS PRØVEPERIODE: SolarWinds NetFlow Traffic Analyzer
• Last ned lenke: https://www.solarwinds.com/network-bandwidth-analyzer-pack/registration

Noen av SolarWinds NetFlow Traffic AnalyzerDe beste funksjonene inkluderer:

• Overvåking av båndbreddebruk etter applikasjon, protokoll og IP-adressegruppe.
• Overvåking av IPFIX-, Cisco NetFlow-, Juniper J-Flow-, sFlow- og Huawei NetStream-strømningsdata slik at de kan identifisere hvilke enheter, applikasjoner og protokoller som er den største båndbreddeforbrukeren.
• Samler trafikkdata, korrelerer dem til et brukbart format og presenterer dem for brukeren gjennom et nettbasert grensesnitt for overvåking av nettverkstrafikk.
• Å identifisere hvilke applikasjoner og kategorier som bruker mest båndbredde for bedre synlighet av nettverkstrafikken (inkludert Cisco NBAR2-støtte).

De SolarWinds NetFlow Traffic Analyzer er et tillegg til Nettverk båndbredde monitor. Du kan spare ved å anskaffe begge deler samtidig SolarWinds Network Bandwidth Analyzer Pack. Prisene for pakken starter på $ 4 910 for overvåking av opptil 100 elementer og varierer i henhold til antall overvåkede enheter. Selv om dette kan virke litt dyrt, må du huske at du ikke får ett, men to av de beste overvåkingsverktøyene som er tilgjengelige. Hvis du foretrekker å prøve produktet før du kjøper det, en gratis 30-dagers prøveversjon kan lastes ned fra SolarWinds.

2- PRTG Network Monitor

De PRTG Network Monitor fra Paessler AG er en alt-i-ett-løsning der det primære formålet er å overvåke båndbredden. Den brukes også til å overvåke tilgjengeligheten og helsen til forskjellige nettverksressurser. Disse funksjonene gjør det til et nyttig verktøy for nettverksadministratorer. Verktøyet kan overvåke enheter over flere nettsteder, og det kan overvåke LAN, WAN, VPN og Cloud Services.

Det er raskt og enkelt å installere dette produktet. Etter å ha kjørt installasjonsprogrammet, oppdager auto-discovery prosessen enheter og setter opp sensorer. Paessler hevder at du kan begynne å overvåke i løpet av to minutter fra start av installasjonen. Selv om dette kan være en liten overvurdering, ble vi imponert over enkelheten og hastigheten på installasjonen. Selv om serveren bare kjører på Windows, er brukergrensesnittet nettbasert og kan nås fra hvilken som helst nettleser. I tillegg er det en mobilapp som du kan installere på smarttelefonen eller nettbrettet.

De PRTG Network Monitor kan overvåke stort sett hva som helst, takket være sin sensorbaserte arkitektur. Du kan tenke på sensorer som tilleggsprogrammer som er innebygd i produktet, som hver har et bestemt formål. Det er sensorer for HTTP og SMTP / POP3 (e-post). Det finnes også maskinvarespesifikke sensorer for brytere, rutere og servere. I alt har verktøyet over 200 forskjellige forhåndsdefinerte sensorer.

De PRTG Network Monitor tilbyr et utvalg av brukergrensesnitt. Du har valget mellom et Ajax-basert nettgrensesnitt eller en Windows-konsoll i tillegg til mobilapper for Android og iOS. En fin funksjon ved mobilappene er at de kan få varsler gjennom pushvarsling. Standard varsler om SMS eller e-post er også tilgjengelig.

De PRTG Network Monitor tilbys i to versjoner. Det er en gratis versjon som er fullverdig, men som vil begrense overvåkningsevnen din til 100 sensorer med hver overvåket parameter som teller som en sensor. For å overvåke hver port på en 48-port bryter, trenger du for eksempel 48 sensorer. For mer enn 100 sensorer må du kjøpe en lisens. De starter på $ 1 600 for 500 sensorer. Du kan også få en gratis, sensor-ubegrenset og fullverdig 30-dagers prøveversjon.

3- Scrutinizer

Scrutinizer fra Plixer er en annen flott NetFlow Analyzer. Faktisk er det enda mer enn det, og mange ser på det som et fullstendig responssystem for hendelser. Med sin evne til å overvåke forskjellige strømningstyper som NetFlow, J-flow, NetStream, sFlow og IPFIX, er du ikke begrenset til kun å overvåke Cisco-enheter.

Med sin hierarkiske utforming, Scrutinizer tilbyr strømlinjeformet og effektiv datainnsamling og lar deg starte liten og enkelt skala vei opp til mange millioner strømmer per sekund. Nettverket får ofte først skylden når noe går galt. Med Scrutinizer kan du raskt finne den virkelige årsaken til de fleste nettverksproblemer. Scrutinizer fungerer i både fysiske og virtuelle miljøer og kommer med avanserte rapporteringsfunksjoner.

Scrutinizer kommer i fire lisensnivåer som går fra den grunnleggende gratisversjonen til det fullverdige SCR-nivået som kan skalere opp til over 10 millioner strømmer i sekundet. Gratisversjonen er begrenset til 10 tusen strømmer i sekundet, og den vil bare beholde råstrømsdata i 5 timer, men den skal være mer enn nok for å feilsøke nettverksproblemer. Du kan også prøve hvilken som helst lisensnivå i 30 dager, hvoretter den vil gå tilbake til gratisversjonen.

4- ManageEngine NetFlow Analyzer

De ManageEngine NetFlow Analyzer gir nettverksadministratoren en detaljert oversikt over bruken av nettverksbåndbredde samt trafikkmønstre. Produktet styres av et nettbasert grensesnitt og tilbyr et imponerende antall forskjellige synspunkter på nettverket ditt.

Du kan for eksempel se trafikk etter applikasjon, etter samtale, etter protokoll og flere flere alternativer. Du kan også stille varsler for å advare deg om potensielle problemer. Du kan for eksempel angi en trafikkgrense for et bestemt grensesnitt og bli varslet når trafikken overskrider den.

Men mesteparten av styrken til produktet kommer fra rapporter og dashbord. Verktøyet kommer med flere veldig nyttige forhåndsbygde rapporter som er spesielt skreddersydd for spesifikke formål som feilsøking, kapasitetsplanlegging eller fakturering. Men du sitter ikke fast med innebygde rapporter, da verktøyet også lar administratorer lage egendefinerte rapporter etter deres smak.

Når det gjelder verktøyets instrumentpanel vi nevnte, er det like imponerende som rapportene. Det inkluderer flere kakediagrammer med ting som toppprogrammer, toppprotokoller eller toppsamtaler. Den kan også vise et varmekart med statusen til de overvåkede grensesnittene. Og som du kanskje har gjettet, kan dashboards tilpasses slik at de bare inneholder informasjonen du finner nyttig. Dashbordet er også der varsler vises i form av popup-vinduer. Og for den på farten nettverksadministratoren, er det en smarttelefon-app som lar deg få tilgang til dashbordet og rapporter.

De ManageEngine NetFlow Analyzer støtter de fleste flyteknologier inkludert NetFlow (selvfølgelig), IPFIX, J-flow, NetStream og noen få andre. Som en bonus har også den utmerkede integrasjonen med Cisco-enheter, med støtte for å justere trafikkforming og / eller QoS-retningslinjer rett fra verktøyet.

Som mange konkurrerende produkter ManageEngine NetFlow Analyzer kommer i to versjoner. Gratisversjonen vil være identisk med den betalte de første 30 dagene, men den vil deretter gå tilbake til å overvåke bare to grensesnitt av strømmer. Selv om dette ikke er mye, kan det være alt du trenger. Hvis du vil ha den betalte versjonen, er lisenser tilgjengelige i flere størrelser fra 100 til 2500 grensesnitt eller flyter med priser som varierer mellom omtrent $ 600 til over $ 50 000 pluss årlige vedlikeholdsavgifter.

Hva med S-Flow Monitoring Tools?

Alle produktene vi nettopp har vurdert vil samle og analysere sFlow-data i tillegg til NetFlow. For hybridmiljøer ville de alle være gode valg. Men hvis du bare har sFLow-utstyr, vil du kanskje heller velge et verktøy som bare støtter den teknologien.

5- inMon sFlowTrend

sFlowTrend er et gratis overvåkingsverktøy fra inMon, selskapet bak sFlow-teknologien. Denne gratis versjonen av programvaren lar deg samle data fra opptil fem sFlow-aktiverte enheter og vil bare lagre historiedata i RAM i opptil en time. Og hvis du vil trappe opp ting, kan du selvfølgelig oppgradere til pro-versjonen - til en kostnad - som fjerner antall enhetsgrenser og lagrer ubegrenset historiedata på disk.

De sFlowTrend Dashboard gir en rask oversikt over gjeldende tilstand for overvåkede enheter og nettverk, det inkluderer terskelverdier på toppnivå og grensesnitt mot potensielle feil. Når man klikker på fanen Nettverk, avslører sflowTrend oppsummerte resultatstatistikker og detaljert trafikk på nettverks- eller enhetsnivå. Varselterskler kan defineres. Den lar deg motta varsler når høyere enn vanlig båndbreddebruk eller nettverksfeil oppstår. Det er til og med en årsak-fane hvor du kan se nærmere på årsaken til et problem som for eksempel en terskelbrudd.

Fanen Verter er der du finner mer detaljert informasjon om hver enhet. Den gir ytelsesdata på nettverk, CPU, disk osv. For sFlow-aktiverte servere - inkludert virtuelle. Under fanen Tjenester finner du ytelsesdata for applikasjoner (inkludert forskjellige webservere) som eksporterer sFlow-data. I kategorien Hendelser finner du en logg over hendelser som overskredet terskler eller oppdagede feil. Og til slutt inneholder Rapporter-fanen flere forhåndsdefinerte rapporter, men den støtter også oppretting av tilpassede rapporter. Det er her du vil kjøre rapporter og deretter se resultatene.

sFlowTrend er skrevet i Java og kommer med både et Java-basert eller nettbasert brukergrensesnitt. Det er tilgjengelig for Windows, Macintosh og Linux. Det er også online hjelp som er tilgjengelig for å hjelpe deg med å konfigurere og bruke verktøyet. Det er et flott verktøy, spesielt for mindre organisasjoner med sFlow-aktivert utstyr. Og oppgraderingsstien til pro-versjonen gjør den til et like gyldig valg for større nettverk.