NetFlow vs sFlow: Który jest lepszy do analizy ruchu?

NetFlow firmy Cisco i sFlow firmy InMon to dwie podobne, ale różne technologie monitorowania, które zapewniają jakościowy obraz ruchu w sieci. Podczas gdy narzędzia do monitorowania przepustowości mówią tylko, ile ruchu przechodzi przez określony punkt, narzędzia do analizy przepływu powie Ci, jakie są te dane, skąd pochodzą i dokąd, oraz kilka innych przydatnych fragmentów Informacja. Dziś porównamy obie technologie i przyjrzymy się niektórym z najlepszych dostępnych narzędzi dla każdego z nich. Omówimy jedne z najlepszych analizatorów i kolektorów NetFlow i sFlow, jakie udało nam się znaleźć.

Zaczniemy od opisu NetFlow. Dołożymy wszelkich starań, aby wyjaśnić, co to jest i jak to działa, jednocześnie utrzymując naszą dyskusję możliwie nietechniczną. Następnie wykonamy to samo ćwiczenie z sFlow i postaramy się wyjaśnić technologię. Następnie przyjrzymy się różnicom między tymi dwiema technologiami. Tak jak poprzednio, będziemy trzymać się z dala od najtrudniejszych szczegółów technicznych. Następnie postaramy się odpowiedzieć na palące pytanie: Którego należy użyć? Jak zobaczysz, nie ma jasnej i ostatecznej odpowiedzi. Na koniec przejrzymy niektóre z najlepszych narzędzi do analizy przepływu, jakie mogliśmy znaleźć.

NetFlow - Oryginalna technologia analizy przepływu

Opracowana przez Cisco Systems technologia NetFlow została wprowadzona na ich routerach, aby zapewnić możliwość gromadzenia danych o ruchu w sieci, gdy ten wchodzi lub wychodzi z interfejsu. Dane te mogą być analizowane przez wyspecjalizowane aplikacje w celu wyodrębnienia źródła i celu ruchu, jego klasy usług, a co za tym idzie - przyczyn zatorów.

Typowa konfiguracja monitorowania NetFlow składa się z trzech głównych komponentów:

• The eksporter przepływu agreguje pakiety w przepływy i eksportuje rekordy przepływu do jednego lub kilku kolektorów przepływu.
• The kolektor przepływowy odpowiada za odbiór, przechowywanie i wstępne przetwarzanie danych przepływu otrzymanych od eksportera przepływu.
• The analizator przepływulub aplikacja do analizy przepływu służy do analizy odebranych danych przepływu. Analizy można użyć do profilowania ruchu lub rozwiązywania problemów z siecią.

Jak działa NetFlow

Urządzenia sieciowe obsługujące NetFlow generują rekordy przepływu i wysyłają je do kolektora NetFlow. Przepływ w tym kontekście jest kompletną rozmową w sensie IP. Urządzenie przygotowujące rekordy przepływu zwykle wysyła je do kolektora, gdy ustali, że przepływ jest zakończony albo przez starzenie się - gdy nie było żadnego ruchu w określonym czasie - lub gdy widzi sesję TCP zakończenie.

Informacje o rekordzie przepływu o przepływie, takie jak interfejsy wejściowy i wyjściowy, znaczniki czasu rozpoczęcia i zakończenia przepływu, liczba zawartych w nim bajtów i pakietów, nagłówków warstwy 3, źródłowego i docelowego adresu IP i numeru portu, protokołu IP oraz warunków usługi wartość. Rekordy przepływu nie zawierają rzeczywistych danych składających się na przepływ, zawierają jedynie informacje o przepływie. Jest to ważna funkcja bezpieczeństwa tej technologii.

Z wyjątkiem ogromnego środowiska z wieloma lokalizacjami, kolektory przepływu, do których wysyłane są rekordy, są również analizatorami przepływu. Wykorzystują informacje zawarte w rekordach przepływu do prezentacji danych o ruchu w sieci w sposób przydatny dla administratorów sieci. Różne kolektory i analizatory NetFlow będą miały różne sposoby prezentacji danych.

sFlow - Odległy krewny

„S” w sFlow oznacza „próbkowanie”. Ma to kluczowe znaczenie dla jego działania i tam różni się od innych systemów analizy przepływu. Ta technologia działa tylko z urządzeniami obsługującymi sFlow, podobnie jak NetFlow. Na szczęście urządzenia te są dość powszechne wśród głównych producentów sprzętu sieciowego.

Standard sFlow jest utrzymywany przez konsorcjum sFlow.org, ale jest pomysłem korporacji inMon, która nadal sprawuje niemal absolutną kontrolę nad jego ewolucją i rozwojem. Główni producenci sprzętu, tacy jak Alcatel-Lucent, Aruba, Brocade, Cisco, Dell, Hewlett Packard, IBM i wielu innych - ponad 300 - oferują obsługę sFlow w wielu swoich produktach.

sFlow to bezstanowy protokół próbkowania pakietów. Część „Flow” nazwy protokołu może wprowadzać w błąd, ponieważ sFlow nie ma pojęcia o agregowaniu pakietów danych w przepływy wysokiego poziomu, jak robi to NetFlow. Działa tylko w zakresie pakietów.

Ogólne próbkowanie pakietów sFlow obejmuje warstwy od 7 do 7. Działający w urządzeniu sieciowym eksporter sFlow zbiera prefiksy z podzbioru całego pakietu przechodzącego przez monitorowany interfejs. Administratorzy mogą próbkować jeden pakiet na każdy pakiet N, ale eksporter wybiera również losowe pakiety i umieszcza je w swoim rejestrze. Eksporter następnie składa początkowe bajty każdego próbkowanego pakietu wraz z licznikami urządzeń i wysyła je do kolektora sFlow. Urządzenie nie buforuje żadnych danych ani próbkowanego pakietu, co zmniejsza zużycie zasobów i ułatwia skalowanie do szybkich sieci.

NetFlow And sFlow - Jaka jest różnica?

Pomimo podobnych nazw, celów i celów, NetFlow i sFlow są w rzeczywistości całkiem różne, szczególnie w sposobie, w jaki każdy wykonuje swoje zadanie.

Avi Freedman, współzałożyciel i dyrektor generalny Kentik, podsumowuje różnicę między NetFlow a sFlow z analogią:… Podczas gdy NetFlow można opisać jako obserwowanie wzorców ruchu („Ile autobusów jeździło tutaj?”), Dzięki sFlow robisz zdjęcia migawek wszystkich samochodów lub autobusów, które właśnie przejeżdżają za chwilę.”Nie pozwól, by ta uproszczona analogia ślepo doprowadziła cię do przekonania, że ​​NetFlow zapewnia więcej informacji niż sFlow, a zatem jest lepszą technologią.

Chociaż prawdopodobnie otrzymujesz więcej informacji z NetFlow niż z sFlow, niekoniecznie jest to lepszy protokół. Na przykład zużycie zasobów przez NetFlow jest znacznie wyższe niż w przypadku sFlow. To sprawia, że ​​sFlow jest ciekawszą opcją dla urządzeń niższej klasy. I chociaż NetFlow może gromadzić więcej informacji, czy naprawdę ich potrzebujesz i czy Twój analizator jest w stanie z nich skorzystać?

Którego powinienem użyć?

Większość kolektorów i analizatorów będzie obsługiwać zarówno informacje NetFlow, jak i sFlow, a wiele urządzeń sieciowych obsługuje również oba te typy. Głównym czynnikiem decydującym powinno być prawdopodobnie to, co obsługuje Twój sprzęt. Jeśli niektóre urządzenia obsługują jedno, ale nie drugie, należy wybrać ten. Jeśli przeważnie masz sprzęt Cisco, dlaczego nie skorzystać z NetFlow, ponieważ jest to własny protokół Cisco?

Nie musisz jednak wybierać stron. Zarówno NetFlow, jak i sFlow to doskonałe technologie. Dlaczego nie zastosować zarówno z kolektorem, jak i analizatorem, który może obsługiwać oba? Będziesz mógł uzyskiwać dane o przepływie z urządzeń obsługujących sFlow, jak i Netflow.

Niektóre z najlepszych narzędzi monitorowania NetFlow

Oto niektóre z najlepszych narzędzi do gromadzenia i analizowania NetFlow, jakie mogliśmy znaleźć. Zamieściliśmy zestaw narzędzi, aby lepiej zrozumieć różnorodność dostępnych narzędzi. Wszystkie obsługują monitorowanie NetFlow i wszystkie jego warianty, takie jak J-flow lub IPFIX, żeby wymienić tylko kilka.

SolarWinds jest jednym z najbardziej znanych producentów narzędzi do zarządzania siecią i systemem. Jego sztandarowy produkt o nazwie Monitor wydajności sieci jest przez wielu postrzegany jako najlepsze narzędzie do monitorowania przepustowości sieci. Podobnie, SolarWinds NetFlow Traffic Analyzer— Który instaluje się na Monitora wydajności sieci — jest jednym z najlepszych kolektorów i analizatorów IPFIX, jaki można znaleźć.

• BEZPŁATNA WERSJA PRÓBNA: SolarWinds NetFlow Traffic Analyzer
• Link do pobrania: https://www.solarwinds.com/network-bandwidth-analyzer-pack/registration

Niektórzy SolarWinds NetFlow Traffic AnalyzerNajlepsze funkcje obejmują:

• Monitorowanie wykorzystania przepustowości przez aplikację, protokół i grupę adresów IP.
• Monitorowanie danych przepływu IPFIX, Cisco NetFlow, Juniper J-Flow, sFlow i Huawei NetStream pozwala zidentyfikować urządzenia, aplikacje i protokoły, które są odbiorcami największej przepustowości.
• Zbieranie danych o ruchu, korelowanie ich do użytecznego formatu i prezentowanie użytkownikowi za pośrednictwem interfejsu internetowego do monitorowania ruchu sieciowego.
• Określenie, które aplikacje i kategorie zużywają najwięcej pasma dla lepszej widoczności ruchu sieciowego (w tym obsługa Cisco NBAR2).

The SolarWinds NetFlow Traffic Analyzer jest dodatkiem do Monitor przepustowości sieci. Możesz zaoszczędzić, zdobywając oba w tym samym czasie co Pakiet analizatora przepustowości sieci SolarWinds. Ceny pakietu zaczynają się od 4 910 USD za monitorowanie do 100 elementów i różnią się w zależności od liczby monitorowanych urządzeń. Choć może się to wydawać nieco kosztowne, pamiętaj, że dostajesz nie jedno, ale dwa najlepsze dostępne narzędzia do monitorowania. Jeśli wolisz wypróbować produkt przed jego zakupem, bezpłatną 30-dniową wersję próbną można pobrać z SolarWinds.

2- Monitor sieci PRTG

The Monitor sieci PRTG od Paessler AG to kompleksowe rozwiązanie, którego głównym celem jest monitorowanie wykorzystania przepustowości. Służy również do monitorowania dostępności i kondycji różnych zasobów sieciowych. Dzięki tym funkcjom jest to przydatne narzędzie dla administratorów sieci. Narzędzie może monitorować urządzenia w wielu witrynach i może monitorować usługi LAN, WAN, VPN i Cloud Services.

Instalacja tego produktu jest szybka i łatwa. Po uruchomieniu instalatora proces automatycznego wykrywania wykrywa urządzenia i konfiguruje czujniki. Paessler twierdzi, że możesz rozpocząć monitorowanie w ciągu dwóch minut od rozpoczęcia instalacji. Choć może to być nieco zawyżone, byliśmy pod wrażeniem łatwości i szybkości instalacji. Chociaż serwer działa tylko w systemie Windows, interfejs użytkownika jest oparty na sieci Web i można uzyskać do niego dostęp z dowolnej przeglądarki. Ponadto istnieje aplikacja mobilna, którą można zainstalować na smartfonie lub tablecie.

The Monitor sieci PRTG może monitorować praktycznie wszystko dzięki architekturze opartej na czujnikach. Możesz myśleć o czujnikach jako o dodatkach wbudowanych bezpośrednio w produkt, z których każdy ma określony cel. Istnieją czujniki HTTP i SMTP / POP3 (e-mail). Istnieją również czujniki specyficzne dla sprzętu dla przełączników, routerów i serwerów. W sumie narzędzie ma ponad 200 różnych predefiniowanych czujników.

The Monitor sieci PRTG oferuje wybór interfejsów użytkownika. Masz do wyboru interfejs internetowy oparty na Ajax lub konsolę korporacyjną Windows, a także aplikacje mobilne na Androida i iOS. Fajną funkcją aplikacji mobilnych jest to, że mogą otrzymywać powiadomienia za pomocą powiadomień push. Dostępne są również standardowe powiadomienia SMS lub e-mail.

The Monitor sieci PRTG jest oferowany w dwóch wersjach. Istnieje darmowa wersja, która jest w pełni funkcjonalna, ale ograniczy Twoją zdolność monitorowania do 100 czujników, przy czym każdy monitorowany parametr liczy się jako jeden czujnik. Na przykład, aby monitorować każdy port przełącznika 48-portowego, potrzebujesz 48 czujników. W przypadku ponad 100 czujników musisz wykupić licencję. Zaczynają od 1 600 USD za 500 czujników. Możesz również uzyskać bezpłatną, nieograniczoną czujnikami i w pełni funkcjonalną 30-dniową wersję próbną.

3- Skrutator

Skrutator od Plixer to kolejny świetny NetFlow Analyzer. W rzeczywistości jest to jeszcze więcej i wielu uważa to za system pełnego reagowania na incydenty. Dzięki możliwości monitorowania różnych rodzajów przepływu, takich jak NetFlow, J-flow, NetStream, sFlow i IPFIX, nie jesteś ograniczony do monitorowania tylko urządzeń Cisco.

Dzięki hierarchicznemu projektowi Skrutator oferuje usprawnione i wydajne zbieranie danych oraz pozwala na rozpoczęcie małej i łatwej skalowania do wielu milionów przepływów na sekundę. Sieć jest często obwiniana za pierwszym razem, gdy coś pójdzie nie tak. Dzięki Scrutinizer możesz szybko znaleźć prawdziwą przyczynę większości problemów z siecią. Skrutator działa zarówno w środowisku fizycznym, jak i wirtualnym i jest wyposażony w zaawansowane funkcje raportowania.

Skrutator występuje w czterech poziomach licencji, od podstawowej bezpłatnej wersji do pełnoprawnego poziomu SCR, który może skalować do ponad 10 milionów przepływów na sekundę. Darmowa wersja jest ograniczona do 10 tysięcy przepływów na sekundę i będzie przechowywać nieprzetworzone dane przepływu przez 5 godzin, ale powinno wystarczyć do rozwiązania problemów z siecią. Możesz także wypróbować dowolny poziom licencji przez 30 dni, po czym nastąpi powrót do wersji bezpłatnej.

4- ManageEngine NetFlow Analyzer

The ManageEngine NetFlow Analyzer daje administratorowi sieci szczegółowy widok wykorzystania przepustowości sieci oraz wzorców ruchu. Produkt jest kontrolowany przez interfejs internetowy i oferuje imponującą liczbę różnych widoków w sieci.

Możesz na przykład wyświetlić ruch według aplikacji, konwersacji, protokołu i kilku innych opcji. Możesz także ustawić alerty ostrzegające o potencjalnych problemach. Na przykład możesz ustawić próg ruchu dla określonego interfejsu i otrzymywać powiadomienia, gdy ruch przekroczy ten próg.

Ale większość siły produktu wynika z raportów i pulpitu nawigacyjnego. Narzędzie zawiera kilka bardzo przydatnych gotowych raportów, które są specjalnie dostosowane do określonych celów, takich jak rozwiązywanie problemów, planowanie wydajności lub fakturowanie. Ale nie tkwisz we wbudowanych raportach, ponieważ narzędzie pozwala również administratorom tworzyć niestandardowe raporty według ich upodobań.

Jeśli chodzi o pulpit nawigacyjny narzędzia, o którym wspominaliśmy, jest tak samo imponujący, jak jego raporty. Zawiera kilka wykresów kołowych z takimi rzeczami, jak najlepsze aplikacje, najlepsze protokoły lub najlepsze rozmowy. Może także wyświetlać mapę cieplną ze statusem monitorowanych interfejsów. Jak można się domyślić, pulpity nawigacyjne można dostosować tak, aby zawierały tylko te informacje, które okażą się przydatne. Pulpit nawigacyjny służy również do wyświetlania alertów w postaci okien podręcznych. A dla administratora sieci, gdziekolwiek jesteś, jest aplikacja na smartfony, która pozwoli ci uzyskać dostęp do deski rozdzielczej i raportów.

The ManageEngine NetFlow Analyzer obsługuje większość technologii przepływu, w tym NetFlow (oczywiście), IPFIX, J-flow, NetStream i kilka innych. Jako bonus, również ma doskonałą integrację z urządzeniami Cisco, z obsługą dostosowywania kształtowania ruchu i / lub zasad QoS bezpośrednio z narzędzia.

Podobnie jak wiele konkurencyjnych produktów, ManageEngine NetFlow Analyzer występuje w dwóch wersjach. Darmowa wersja będzie identyczna z wersją płatną przez pierwsze 30 dni, ale następnie powróci do monitorowania tylko dwóch interfejsów przepływów. Choć to niewiele, może być wszystkim, czego potrzebujesz. Jeśli chcesz wersji płatnej, licencje są dostępne w kilku rozmiarach od 100 do 2500 interfejsów lub przepływów, a ceny wahają się od około 600 USD do ponad 50 000 USD plus roczne opłaty konserwacyjne.

Co powiesz na narzędzia do monitorowania S-Flow?

Wszystkie produkty, które właśnie sprawdziliśmy, oprócz NetFlow będą gromadzić i analizować dane sFlow. W środowiskach hybrydowych wszystkie byłyby świetnymi typami. Ale jeśli masz tylko sprzęt sFLow, być może wolisz narzędzie, które obsługuje tylko tę technologię.

5- inMon sFlowTrend

sFlowTrend to bezpłatne narzędzie do monitorowania od inMon, firmy stojącej za technologią sFlow. Ta darmowa wersja oprogramowania pozwala gromadzić dane z maksymalnie pięciu urządzeń obsługujących sFlow i przechowuje dane historyczne w pamięci RAM przez maksymalnie godzinę. A jeśli chcesz przyspieszyć, możesz uaktualnić do wersji pro - oczywiście za opłatą - która usuwa limit urządzeń i przechowuje nieograniczone dane historyczne na dysku.

The sFlowTrend Pulpit nawigacyjny zapewnia szybki podgląd bieżącego stanu monitorowanych urządzeń i sieci, zawiera progi najwyższego poziomu i interfejsy z potencjalnymi błędami. Po kliknięciu karty Sieć sflowTrend wyświetla podsumowane statystyki wydajności i szczegółowy ruch na poziomie sieci lub urządzenia. Można zdefiniować progi alarmowe. Umożliwia otrzymywanie alertów, gdy wystąpi większe niż zwykle wykorzystanie przepustowości lub błąd sieci. Jest nawet karta przyczyn źródłowych, w której można dokładnie przeanalizować przyczynę problemu, takiego jak przekroczenie progu.

Karta Hosty zawiera bardziej szczegółowe informacje o każdym urządzeniu. Dostarcza dane o wydajności w sieci, procesorze, dysku itp. Dla serwerów obsługujących sFlow - w tym wirtualnych. Na karcie Usługi znajdziesz dane dotyczące wydajności aplikacji (w tym różnych serwerów internetowych), które eksportują dane sFlow. Na karcie Zdarzenia znajdziesz dziennik zdarzeń, takich jak przekroczenie progów lub wykryte błędy. I wreszcie, karta Raporty zawiera kilka predefiniowanych raportów, ale obsługuje także tworzenie raportów niestandardowych. Tutaj przejdziesz do generowania raportów, a następnie przeglądania ich wyników.

sFlowTrend jest napisany w Javie i zawiera zarówno interfejs użytkownika oparty na Javie, jak i WWW. Jest dostępny dla systemów Windows, Macintosh i Linux. Dostępna jest także pomoc online, która pomaga w konfigurowaniu i korzystaniu z narzędzia. Jest to świetne narzędzie, szczególnie dla mniejszych organizacji z wyposażeniem obsługującym sFlow. A ścieżka aktualizacji do wersji pro sprawia, że ​​jest to równie ważny wybór dla większych sieci.