NetFlow vs sFlow: Qual é o melhor para análise de tráfego?

O NetFlow da Cisco e o sFlow da inMon são duas tecnologias de monitoramento semelhantes, porém diferentes, que podem fornecer uma visão qualitativa do tráfego da sua rede. Embora as ferramentas de monitoramento de largura de banda digam apenas quanto tráfego passa por um ponto específico, as ferramentas de análise de fluxo lhe dirá quais são esses dados, de onde eles vêm e para onde vão e alguns outros bits úteis de em formação. Hoje, compararemos as duas tecnologias e veremos algumas das melhores ferramentas disponíveis para cada uma. Analisaremos alguns dos melhores analisadores e coletores NetFlow e sFlow que pudemos encontrar.

Começaremos descrevendo o NetFlow. Faremos o possível para explicar o que é e como funciona, mantendo nossa discussão o mais não técnica possível. Em seguida, faremos o mesmo exercício com o sFlow e faremos o possível para explicar a tecnologia. Depois disso, veremos como as duas tecnologias diferem. Assim como antes, ficaremos longe dos detalhes técnicos essenciais. Em seguida, tentaremos responder à pergunta mais importante: qual devo usar? Como você verá, não há uma resposta clara e definitiva. Por fim, revisaremos algumas das melhores ferramentas de análise de fluxo que pudemos encontrar.

NetFlow - A tecnologia original de análise de fluxo

Desenvolvida pela Cisco Systems, a tecnologia NetFlow foi introduzida em seus roteadores para fornecer a capacidade de coletar dados sobre o tráfego de rede quando ele entra ou sai de uma interface. Esses dados podem ser analisados ​​por aplicativos especializados para extrair a origem e o destino do tráfego, sua classe de serviço e, por extensão, as causas do congestionamento.

Uma configuração típica de monitoramento do NetFlow consiste em três componentes principais:

• o exportador de fluxo agrega pacotes em fluxos e exporta registros de fluxo para um ou mais coletores de fluxo.
• o coletor de fluxo é responsável pela recepção, armazenamento e pré-processamento dos dados de fluxo recebidos de um exportador de fluxo.
• o analisador de fluxo, ou aplicativo de análise de fluxo, é usado para analisar dados de fluxo recebidos. A análise pode ser usada para criação de perfil de tráfego ou para solução de problemas de rede.

Como o NetFlow funciona

Os dispositivos de rede que suportam o NetFlow geram registros de fluxo e os enviam para um coletor do NetFlow. Um fluxo, nesse contexto, é uma conversa completa no sentido de IP. O dispositivo que prepara os registros de fluxo normalmente os envia ao coletor quando determina que o fluxo está concluído pelo envelhecimento - quando não há tráfego dentro de um tempo limite específico - ou quando ele vê uma sessão TCP terminação.

As informações de registro de fluxo sobre o fluxo, como as interfaces de entrada e saída, os carimbos de data e hora de início e término do fluxo, o número de bytes e pacotes que ele contém, os cabeçalhos da camada 3, o endereço IP de origem e destino e o número da porta, o protocolo IP e os TOS valor. Os registros de fluxo não contêm os dados reais que compunham o fluxo, eles contêm apenas informações sobre o fluxo. Esse é um importante recurso de segurança dessa tecnologia.

Exceto no enorme ambiente de vários locais, os coletores de fluxo para onde os registros são enviados também são os analisadores de fluxo. Eles usam as informações contidas nos registros de fluxo para apresentar dados sobre o tráfego de rede de uma maneira útil para os administradores de rede. Diferentes coletores e analisadores do NetFlow terão diferentes maneiras de apresentar dados.

sFlow - um parente distante

O "s" no sFlow significa "amostragem". Isso é crucial para sua operação e é onde difere de outros sistemas de análise de fluxo. Essa tecnologia funciona apenas com dispositivos habilitados para sFlow, assim como o NetFlow. Felizmente, esses dispositivos são bastante comuns entre os principais fabricantes de equipamentos de rede.

O padrão sFlow é mantido pelo consórcio sFlow.org, mas é a ideia da corporação inMon que ainda exerce controle quase absoluto sobre sua evolução e desenvolvimento. Os principais fabricantes de equipamentos como Alcatel-Lucent, Aruba, Brocade, Cisco, Dell, Hewlett Packard, IBM e muitos mais - mais de 300 - incluem o suporte sFlow em muitos de seus produtos.

O sFlow é um protocolo de amostragem de pacotes sem estado. A parte "Fluxo" do nome do protocolo pode ser enganosa, pois o sFlow na verdade não tem noção de agregar pacotes de dados em fluxos de alto nível, como o NetFlow. Funciona apenas em termos de pacotes.

A amostragem geral de pacotes do sFlow se estende por 7. Executando no dispositivo de rede, o exportador sFlow coleta prefixos de um subconjunto de todos os pacotes que passam pela interface monitorada. Os administradores podem optar por experimentar um pacote a cada pacote N, mas o exportador também escolhe pacotes aleatórios e os inclui em seu registro. O exportador monta os bytes iniciais de cada pacote amostrado junto com os contadores de dispositivos e os envia para o coletor sFlow. O dispositivo não armazena em cache nenhum dado ou pacote de amostra, reduzindo o uso de recursos e facilitando o dimensionamento para redes de alta velocidade.

NetFlow e sFlow - Qual a diferença?

Apesar de ter nomes, propósitos e objetivos semelhantes, o NetFlow e o sFlow são realmente bastante diferentes, principalmente na maneira como cada um realiza sua tarefa.

Avi Freedman, co-fundador e CEO da Kentik, resume a diferença entre o NetFlow e o sFlow com uma analogia: “... enquanto o NetFlow pode ser descrito como observando padrões de tráfego ("Quantos ônibus foram daqui para lá?"), com o sFlow, você está apenas tirando fotos de qualquer carro ou ônibus que esteja passando naquele local momento."Não permita que essa analogia simplista faça com que você acredite que o NetFlow fornece mais informações que o sFlow e é, portanto, uma tecnologia melhor.

Embora você provavelmente obtenha mais informações do NetFlow do que do sFlow, isso não necessariamente o torna um protocolo melhor. Por exemplo, o uso de recursos do NetFlow é muito maior que o do sFlow. Isso tenderia a tornar o sFlow uma opção mais interessante para dispositivos de gama baixa. E embora o NetFlow possa coletar mais informações, você realmente precisa delas e o seu analisador é capaz de usá-las?

Qual devo usar?

A maioria dos coletores e analisadores manipula as informações do NetFlow e do sFlow e muitos dispositivos de rede também suportam os dois. O principal fator decisivo provavelmente deve ser o que o seu equipamento suporta. Se alguns de seus equipamentos suportam um, mas não outro, este é o que você deve escolher. Se você possui principalmente equipamentos da Cisco, por que não usar o NetFlow, pois é o próprio protocolo da Cisco?

Você não precisa escolher os lados. O NetFlow e o sFlow são excelentes tecnologias. Por que não usar ambos com um coletor e analisador que também pode suportar? Você poderá obter dados de fluxo de seus dispositivos habilitados para sFlow e de Netflow.

Algumas das melhores ferramentas de monitoramento do NetFlow

Aqui estão algumas das melhores ferramentas de coletor e analisador do NetFlow que pudemos encontrar. Incluímos uma mistura de ferramentas para oferecer uma idéia melhor da variedade de ferramentas disponíveis. Todos eles suportam o monitoramento NetFlow e todas as suas variantes, como J-flow ou IPFIX, apenas para citar alguns.

O SolarWinds é um dos fabricantes mais conhecidos de ferramentas de administração de redes e sistemas. Seu principal produto, chamado monitor de desempenho de rede, é visto por muitos como as melhores ferramentas de monitoramento de largura de banda da rede. Da mesma forma, o Analisador de Tráfego SolarWinds NetFlow- instalado na parte superior do Network Performance Monitor - é um dos melhores coletores e analisadores IPFIX que você pode encontrar.

• TESTE GRÁTIS: Analisador de Tráfego SolarWinds NetFlow
• Link para Download: https://www.solarwinds.com/network-bandwidth-analyzer-pack/registration

Alguns dos Analisador de Tráfego SolarWinds NetFlowOs melhores recursos incluem:

• Monitorando o uso da largura de banda por aplicativo, protocolo e grupo de endereços IP.
• Monitorando os dados de fluxo IPFIX, Cisco NetFlow, Juniper J-Flow, sFlow e Huawei NetStream, permitindo identificar quais dispositivos, aplicativos e protocolos são os maiores consumidores de largura de banda.
• Coletando dados de tráfego, correlacionando-os em um formato utilizável e apresentando-os ao usuário por meio de uma interface baseada na Web para monitorar o tráfego de rede.
• Identificando quais aplicativos e categorias consomem mais largura de banda para obter melhor visibilidade do tráfego de rede (incluindo suporte ao Cisco NBAR2).

o Analisador de Tráfego SolarWinds NetFlow é um complemento para o Monitor de largura de banda de rede. Você pode economizar adquirindo os dois ao mesmo tempo que o Pacote do analisador de largura de banda de rede da SolarWinds. Os preços do pacote começam em US $ 4.910 para monitorar até 100 elementos e variam de acordo com o número de dispositivos monitorados. Embora isso possa parecer um pouco caro, lembre-se de que você está recebendo não uma, mas duas das melhores ferramentas de monitoramento disponíveis. Se você preferir experimentar o produto antes de comprá-lo, uma versão de avaliação gratuita de 30 dias pode ser baixada do SolarWinds.

2- Monitor de rede PRTG

o Monitor de rede PRTG da Paessler AG é uma solução tudo em um cujo objetivo principal é monitorar a utilização da largura de banda. Também é usado para monitorar a disponibilidade e a integridade de diferentes recursos de rede. Esses recursos o tornam uma ferramenta útil para administradores de rede. A ferramenta pode monitorar dispositivos em vários sites e monitorar serviços de LAN, WAN, VPN e Cloud.

A instalação deste produto é rápida e fácil. Depois de executar o instalador, o processo de descoberta automática descobre dispositivos e configura sensores. Paessler afirma que você pode começar a monitorar dentro de dois minutos após iniciar a instalação. Embora isso possa ser um pouco exagerado, ficamos impressionados com a facilidade e a velocidade da instalação. Embora o servidor seja executado apenas no Windows, a interface do usuário é baseada na Web e pode ser acessada a partir de qualquer navegador. Além disso, há um aplicativo para celular que você pode instalar no seu smartphone ou tablet.

o Monitor de rede PRTG pode monitorar praticamente qualquer coisa, graças à sua arquitetura baseada em sensor. Você pode pensar em sensores como complementos criados diretamente no produto, cada um com uma finalidade específica. Existem sensores para HTTP e SMTP / POP3 (email). Também existem sensores específicos de hardware para comutadores, roteadores e servidores. Ao todo, a ferramenta possui mais de 200 diferentes sensores predefinidos.

o Monitor de rede PRTG oferece uma seleção de interfaces de usuário. Você pode escolher entre uma interface da Web baseada no Ajax ou um console corporativo do Windows, além de aplicativos móveis para Android e iOS. Um bom recurso dos aplicativos móveis é que eles podem receber alertas por meio de notificação por push. Também estão disponíveis notificações padrão por SMS ou email.

o Monitor de rede PRTG é oferecido em duas versões. Existe uma versão gratuita com todos os recursos, mas limitará sua capacidade de monitoramento a 100 sensores, com cada parâmetro monitorado contando como um sensor. Por exemplo, para monitorar cada porta de um comutador de 48 portas, você precisará de 48 sensores. Para mais de 100 sensores, você precisa comprar uma licença. Eles começam em US $ 1 600 por 500 sensores. Você também pode obter uma versão de avaliação de 30 dias gratuita, sem sensores e com todos os recursos.

3- Scrutinizer

Scrutinizer do Plixer é outro ótimo NetFlow Analyzer. De fato, é ainda mais do que isso e muitos o veem como um sistema completo de resposta a incidentes. Com a capacidade de monitorar diferentes tipos de fluxo, como NetFlow, J-flow, NetStream, sFlow e IPFIX, você não se limita a monitorar apenas dispositivos Cisco.

Com seu design hierárquico, Scrutinizer oferece coleta de dados simplificada e eficiente e permite iniciar de maneira pequena e fácil a escala de até muitos milhões de fluxos por segundo. A rede é frequentemente culpada pela primeira vez sempre que algo dá errado. Com o Scrutinizer, você pode encontrar rapidamente a causa real da maioria dos problemas de rede. Scrutinizer funciona em ambientes físicos e virtuais e vem com recursos avançados de relatório.

Scrutinizer vem em quatro camadas de licença, da versão gratuita básica ao nível completo de SCR, que pode escalar até mais de 10 milhões de fluxos por segundo. A versão gratuita é limitada a 10 mil fluxos por segundo e manterá apenas os dados brutos do fluxo por 5 horas, mas deve ser mais do que suficiente para solucionar problemas de rede. Você também pode experimentar qualquer camada de licença por 30 dias, após os quais voltará à versão gratuita.

4- Analisador ManageEngine NetFlow

o Analisador ManageEngine NetFlow fornece ao administrador da rede uma visão detalhada da utilização da largura de banda da rede, bem como dos padrões de tráfego. O produto é controlado por uma interface baseada na Web e oferece um número impressionante de visualizações diferentes na sua rede.

Você pode, por exemplo, visualizar o tráfego por aplicativo, por conversa, por protocolo e várias outras opções. Você também pode definir alertas para avisá-lo sobre possíveis problemas. Por exemplo, você pode definir um limite de tráfego em uma interface específica e ser alertado sempre que o tráfego exceder.

Mas a maior parte da força do produto vem de seus relatórios e painel. A ferramenta vem com vários relatórios pré-construídos muito úteis, criados especificamente para fins específicos, como solução de problemas, planejamento de capacidade ou cobrança. Mas você não está preso aos relatórios incorporados, pois a ferramenta também permite que os administradores criem relatórios personalizados ao seu gosto.

Quanto ao painel da ferramenta que mencionamos, é tão impressionante quanto seus relatórios. Ele inclui vários gráficos de pizza com itens como principais aplicativos, principais protocolos ou principais conversas. Também pode exibir um mapa de calor com o status das interfaces monitoradas. E como você deve ter adivinhado, os painéis podem ser personalizados para incluir apenas as informações que você achar úteis. O painel também é onde os alertas são exibidos na forma de pop-ups. E para o administrador de rede em movimento, existe um aplicativo para smartphone que permite acessar o painel e os relatórios.

o Analisador ManageEngine NetFlow suporta a maioria das tecnologias de fluxo, incluindo NetFlow (é claro), IPFIX, J-flow, NetStream e algumas outras. Como bônus, o também possui excelente integração com os dispositivos Cisco, com suporte para ajustar as políticas de modelagem de tráfego e / ou QoS diretamente da ferramenta.

Como muitos produtos concorrentes, o Analisador ManageEngine NetFlow vem em duas versões. A versão gratuita será idêntica à paga nos primeiros 30 dias, mas reverterá para monitorar apenas duas interfaces de fluxos. Embora isso não seja muito, pode ser tudo o que você precisa. Se você deseja a versão paga, as licenças estão disponíveis em vários tamanhos, de 100 a 2500 interfaces ou fluxos, com preços variando entre US $ 600 a mais de US $ 50 mil, mais taxas anuais de manutenção.

E as ferramentas de monitoramento do S-Flow?

Todos os produtos que acabamos de revisar coletarão e analisarão os dados do sFlow, além do NetFlow. Para ambientes híbridos, todos seriam ótimas escolhas. Mas se você possui apenas equipamentos sFLow, talvez prefira uma ferramenta que suporte apenas essa tecnologia.

5- inMon sFlowTrend

sFlowTrend é uma ferramenta de monitoramento gratuita da inMon, a empresa por trás da tecnologia sFlow. Esta versão gratuita do software permite coletar dados de até cinco dispositivos habilitados para sFlow e manterá apenas os dados históricos na RAM por até uma hora. E se você quiser intensificar as coisas, pode atualizar para a versão pro - a um custo, é claro - que remove o número de dispositivos limite e armazena dados históricos ilimitados no disco.

o sFlowTrend O painel fornece uma visão rápida do estado atual dos dispositivos e redes monitorados, inclui limites de nível superior e interfaces com possíveis erros. Quando alguém clica na guia Rede, o sflowTrend revela estatísticas resumidas de desempenho e tráfego detalhado no nível da rede ou do dispositivo. Limiares de alerta podem ser definidos. Permite receber alertas quando o uso da largura de banda acima do normal ou o erro de rede acontecem. Existe até uma guia de causa raiz, na qual é possível detalhar a causa de um problema, como uma violação de limite.

A guia Hosts é onde você encontra informações mais detalhadas sobre cada dispositivo. Ele fornece dados de desempenho na rede, CPU, disco, etc, para servidores habilitados para sFlow - incluindo servidores virtuais. Na guia Serviços, você encontrará dados de desempenho de aplicativos (incluindo vários servidores da Web) que exportam dados do sFlow. Na guia Eventos, você encontrará um log de eventos, como limites excedidos ou erros detectados. E, finalmente, a guia Relatórios fornece vários relatórios predefinidos, mas também oferece suporte à criação de relatórios personalizados. É aqui que você gerencia relatórios e exibe os resultados.

sFlowTrend é escrito em Java e vem com uma interface de usuário baseada em Java ou baseada na Web. Está disponível para Windows, Macintosh e Linux. Também há ajuda on-line disponível para ajudá-lo a configurar e usar a ferramenta. É uma ótima ferramenta, especialmente para organizações menores com equipamentos habilitados para sFlow. E o caminho de atualização para a versão pro a torna uma opção igualmente válida para redes maiores.