NetFlow vs sFlow: Ktorý z nich je pre analýzu prevádzky lepší?

NetFlow a sFlow spoločnosti Cisco sú dve podobné, ale rozdielne monitorovacie technológie, ktoré vám môžu poskytnúť kvalitatívny prehľad o prevádzke vašej siete. Zatiaľ čo nástroje na monitorovanie šírky pásma vám iba povedia, koľko prenosu prechádza určitý bod, nástroje na analýzu toku vám povie, o aké údaje ide, odkiaľ prichádzajú a kam smerujú, a niekoľko ďalších užitočných bitov informácie. Dnes porovnávame dve technológie a pozrieme sa na niektoré z najlepších dostupných nástrojov pre každú z nich. Preskúmame niektoré z najlepších analyzátorov a zberačov NetFlow a sFlow, ktoré sme našli.

Začneme popisovaním systému NetFlow. Urobíme, čo bude v našich silách, aby sme vysvetlili, čo to je a ako to funguje, a zároveň udržiavala našu diskusiu čo netechnickú. Potom urobíme rovnaké cvičenie s sFlow a urobíme maximum, aby sme vysvetlili technológiu. Potom sa pozrieme na to, ako sa tieto dve technológie líšia. Tak ako predtým, aj tu sa nebudeme držať podrobných technických detailov. Ďalej sa pokúsime odpovedať na horúcu otázku: Ktorú by som mal použiť? Ako uvidíte, neexistuje jasná a definitívna odpoveď. Nakoniec preskúmame niektoré z najlepších nástrojov na analýzu toku, ktoré sme našli.

NetFlow - pôvodná technológia analýzy toku

Vyvinutá spoločnosťou Cisco Systems bola na ich smerovačoch zavedená technológia NetFlow, ktorá poskytuje možnosť zhromažďovať údaje o sieťovej prevádzke pri vstupe alebo výstupe z rozhrania. Tieto údaje môžu byť analyzované špecializovanými aplikáciami na extrahovanie zdroja a cieľa premávky, jej triedy služieb av konečnom dôsledku príčin preťaženia.

Typické nastavenie monitorovania NetFlow pozostáva z troch hlavných komponentov:

• vývozca toku agreguje pakety do tokov a exportuje záznamy tokov smerom k jednému alebo viacerým kolektorom tokov.
• kolektor prietoku je zodpovedný za príjem, uchovávanie a predbežné spracovanie údajov o tokoch prijatých od vývozcu tokov.
• prietokový analyzátoralebo aplikácia na analýzu toku sa používa na analýzu prijatých údajov o toku. Analýzu je možné použiť na profilovanie premávky alebo na riešenie problémov so sieťou.

Ako funguje NetFlow

Sieťové zariadenia, ktoré podporujú NetFlow, generujú záznamy toku a odosielajú ich do kolektora NetFlow. Tok je v tomto kontexte úplná konverzácia v zmysle IP. Zariadenie, ktoré pripravuje záznamy toku, ich zvyčajne odosiela do kolektora, keď zistí, že tok je ukončený buď starnutím - ak v určitom časovom limite nedošlo k žiadnej premávke - alebo keď vidí reláciu TCP zánik.

Informácie o zázname toku o toku, ako sú vstupné a výstupné rozhrania, počiatočné a počiatočné časové značky toku, číslo bajtov a paketov, ktoré obsahuje, hlavičky vrstvy 3, zdrojová a cieľová adresa IP a číslo portu, protokol IP a TOS hodnota. Záznamy toku neobsahujú skutočné údaje, ktoré tvoria tok, obsahujú iba informácie o toku. Toto je dôležitý bezpečnostný znak tejto technológie.

Okrem obrovského prostredia viacerých pracovísk sú kolektory toku, do ktorých sa zasielajú záznamy, tiež analyzátory toku. Informácie obsiahnuté v záznamoch toku používajú na prezentáciu údajov o sieťovej prevádzke spôsobom, ktorý je užitočný pre správcov sietí. Rôzni zberače a analyzátory NetFlow budú mať rôzne spôsoby prezentácie údajov.

sFlow - vzdialená relatívna

„S“ v sFlow znamená „vzorkovanie“. To je rozhodujúce pre jeho fungovanie a je to miesto, kde sa líši od iných systémov na analýzu toku. Táto technológia funguje iba so zariadeniami podporujúcimi sFlow, rovnako ako NetFlow. Našťastie sú tieto zariadenia medzi bežnými výrobcami sieťových zariadení celkom bežné.

Štandard sFlow je udržiavaný konzorciom sFlow.org, ale je to inteligencia spoločnosti inMon, ktorá stále vykonáva takmer absolútnu kontrolu nad jej vývojom a vývojom. Medzi hlavných výrobcov zariadení, ako sú Alcatel-Lucent, Aruba, Brocade, Cisco, Dell, Hewlett Packard, IBM a mnoho ďalších - viac ako 300 - patrí podpora sFlow v mnohých ich produktoch.

sFlow je protokol na vzorkovanie paketov bez štátnej príslušnosti. Časť názvu protokolu „Flow“ by mohla byť zavádzajúca, pretože sFlow v skutočnosti nemá predstavu o agregácii dátových paketov do tokov vysokej úrovne, ako to robí NetFlow. Funguje to iba z hľadiska paketov.

Všeobecné vzorkovanie paketov sFlow presahuje vrstvy cez 7. Exportér sFlow, ktorý beží v sieťovom zariadení, zbiera predpony z podmnožiny všetkých paketov prechádzajúcich cez monitorované rozhranie. Správcovia si môžu zvoliť vzorkovanie jedného paketu každý N paket, ale vývozca vyberie aj náhodné pakety a zahrnie ich do svojho záznamu. Vývozca potom zostaví počiatočné bajty každého vzorkovaného paketu spolu s počítadlami zariadení a pošle ho do kolektora sFlow. Prístroj neukladá do vyrovnávacej pamäte žiadne údaje ani vzorkované pakety, čo znižuje využitie zdrojov a uľahčuje škálovanie na vysokorýchlostné siete.

NetFlow a sFlow - Aký je rozdiel?

Napriek tomu, že majú podobné názvy, účely a ciele, sú NetFlow a sFlow v skutočnosti úplne odlišné, najmä pokiaľ ide o spôsob, akým si každý plní svoju úlohu.

Avi Freedman, spoluzakladateľ a generálny riaditeľ spoločnosti Kentik, sumarizuje rozdiel medzi NetFlow a sFlow analogicky: „… Zatiaľ čo NetFlow možno opísať ako pozorujúci dopravné vzorce („Koľko autobusov išlo odtiaľto?“), s sFlow len snímate snímky toho, čoho sa v tom konkrétnom aute alebo autobuse týka moment.„Nedovoľte, aby vás táto zjednodušená analógia slepo viedla k presvedčeniu, že NetFlow poskytuje viac informácií ako sFlow, a je preto lepšou technológiou.

Aj keď pravdepodobne dostanete viac informácií od NetFlow ako od sFlow, nemusí to nutne znamenať lepší protokol. Napríklad využívanie zdrojov NetFlow je omnoho vyššie ako v prípade sFlow. To by malo tendenciu robiť sFlow zaujímavejšou možnosťou pre zariadenia nižšej kategórie. Aj keď NetFlow môže zhromažďovať viac informácií, skutočne ich potrebujete a je váš analyzátor schopný ich dokonca používať?

Ktorý z nich by som mal použiť?

Väčšina zberateľov a analyzátorov bude spracovávať informácie NetFlow aj sFlow a veľa sieťových zariadení tiež podporuje obe. Hlavným rozhodujúcim faktorom by pravdepodobne malo byť to, čo vaše zariadenie podporuje. Ak niektoré vaše zariadenie podporuje jedno, ale nie druhé, toto by ste si mali zvoliť. Ak máte väčšinou vybavenie spoločnosti Cisco, prečo by ste nemali ísť s NetFlow, pretože je to jeho vlastný protokol?

Nemusíte si však vyberať strany. NetFlow aj sFlow sú vynikajúce technológie. Prečo nepoužívať oboje s kolektorom a analyzátorom, ktorý ich podporuje? Budete mať možnosť získať údaje o tokoch zo zariadení s povoleným sFlow aj zo zariadení s povoleným technológiou Netflow.

Niektoré z najlepších monitorovacích nástrojov NetFlow

Tu je niekoľko najlepších nástrojov na zberanie a analýzu NetFlow, ktoré sme našli. Zahrnuli sme kombináciu nástrojov, aby sme vám poskytli lepšiu predstavu o rôznych dostupných nástrojoch. Všetci podporujú sledovanie NetFlow a všetky jeho varianty, ako napríklad J-flow alebo IPFIX.

SolarWinds je jedným z najznámejších výrobcov nástrojov na správu siete a systému. Jeho vlajkový produkt s názvom Monitor výkonu siete je mnohými považovaný za najlepší nástroj na monitorovanie šírky pásma siete. Rovnako tak SolarWinds NetFlow Traffic Analyzer- ktoré sa inštalujú na vrchol programu Network Performance Monitor - je jedným z najlepších zberačov a analyzátorov IPFIX, ktorý môžete nájsť.

• SKÚŠKA ZADARMO: SolarWinds NetFlow Traffic Analyzer
• Odkaz na stiahnutie: https://www.solarwinds.com/network-bandwidth-analyzer-pack/registration

Niektoré z SolarWinds NetFlow Traffic AnalyzerMedzi najlepšie funkcie patrí:

• Monitorovanie využitia šírky pásma podľa aplikácie, protokolu a skupiny IP adries.
• Monitorovanie tokových dát IPFIX, Cisco NetFlow, Juniper J-Flow, sFlow a Huawei NetStream, čo mu umožňuje zistiť, ktoré zariadenia, aplikácie a protokoly sú najväčšími používateľmi šírky pásma.
• Zhromažďovanie prevádzkových údajov, ich korelácia do použiteľného formátu a ich prezentácia používateľovi prostredníctvom webového rozhrania na monitorovanie sieťovej prevádzky.
• Identifikácia aplikácií a kategórií, ktoré využívajú najväčšiu šírku pásma pre lepšiu viditeľnosť sieťového prenosu (vrátane podpory Cisco NBAR2).

SolarWinds NetFlow Traffic Analyzer je doplnok k Monitor šírky pásma siete. Môžete ušetriť získaním oboch súčasne Balík analyzátora šírky pásma siete SolarWinds. Ceny za balík začínajú na 4 910 $ za monitorovanie až 100 prvkov a líšia sa podľa počtu monitorovaných zariadení. Aj keď sa to môže zdať trochu drahé, majte na pamäti, že nemáte k dispozícii iba jeden z najlepších dostupných monitorovacích nástrojov. Ak chcete produkt vyskúšať pred jeho zakúpením, bezplatnú 30-dňovú skúšobnú verziu si môžete stiahnuť z SolarWinds.

2- Monitor siete PRTG

Monitor siete PRTG od Paessler AG je all-in-one riešenie, ktorého primárnym účelom je sledovanie využitia šírky pásma. Používa sa tiež na monitorovanie dostupnosti a stavu rôznych sieťových zdrojov. Vďaka týmto funkciám je pre správcov siete užitočným nástrojom. Tento nástroj môže monitorovať zariadenia na viacerých weboch a môže monitorovať LAN, WAN, VPN a cloudové služby.

Inštalácia tohto produktu je rýchla a ľahká. Po spustení inštalátora proces automatického zisťovania objaví zariadenia a nastaví senzory. Paessler tvrdí, že by ste mohli začať monitorovať do dvoch minút po spustení inštalácie. Aj keď by to mohlo byť mierne nadhodnotenie, boli sme ohromení ľahkosťou a rýchlosťou inštalácie. Aj keď je server spustený iba v systéme Windows, používateľské rozhranie je založené na webe a je k nemu prístup z ľubovoľného prehliadača. Okrem toho existuje mobilná aplikácia, ktorú môžete nainštalovať do svojho smartfónu alebo tabletu.

Monitor siete PRTG vďaka svojej senzorovej architektúre dokáže monitorovať takmer čokoľvek. Senzory môžete považovať za doplnky, ktoré sú zabudované priamo do produktu a každý z nich má špecifický účel. Existujú senzory pre HTTP a SMTP / POP3 (e-mail). K dispozícii sú tiež hardvérovo špecifické senzory pre prepínače, smerovače a servery. Celkovo má nástroj viac ako 200 rôznych preddefinovaných snímačov.

Monitor siete PRTG ponúka výber užívateľských rozhraní. Máte na výber webové rozhranie založené na Ajaxe alebo podnikovú konzolu Windows, ako aj mobilné aplikácie pre Android a iOS. Príjemnou vlastnosťou mobilných aplikácií je, že môžu dostávať upozornenia prostredníctvom oznámenia push. K dispozícii sú aj štandardné SMS alebo e-mailové upozornenia.

Monitor siete PRTG sa ponúka v dvoch verziách. K dispozícii je bezplatná verzia, ktorá je plne vybavená, ale obmedzí vašu monitorovaciu schopnosť na 100 senzorov, pričom každý sledovaný parameter sa počíta ako jeden senzor. Napríklad na sledovanie každého portu prepínača s 48 portami potrebujete 48 senzorov. Pre viac ako 100 senzorov musíte zakúpiť licenciu. Začínajú na 1 600 dolárov pre 500 senzorov. Môžete tiež získať bezplatnú 30-dňovú skúšobnú verziu bez senzorov a plnú funkčnosť.

3- Scrutinizer

Scrutinizer od Plixer je ďalší skvelý analyzátor NetFlow. V skutočnosti je to ešte viac a mnohí to považujú za úplný systém reakcie na incidenty. Vďaka svojej schopnosti monitorovať rôzne typy tokov, ako sú NetFlow, J-flow, NetStream, sFlow a IPFIX, sa neobmedzujete len na monitorovanie iba zariadení Cisco.

Vďaka svojmu hierarchickému dizajnu Scrutinizer ponúka efektívny a efektívny zber údajov a umožňuje vám spustiť malý a ľahko škálovateľný tok až do mnohých miliónov tokov za sekundu. Sieť je často obviňovaná vždy, keď sa niečo pokazí. Pomocou Scrutinizer môžete rýchlo nájsť skutočnú príčinu väčšiny problémov so sieťou. Scrutinizer funguje vo fyzickom aj virtuálnom prostredí a je vybavený pokročilými funkciami reportovania.

Scrutinizer prichádza v štyroch úrovniach licencií, ktoré sa pohybujú od základnej bezplatnej verzie po plnohodnotnú úroveň SCR, ktorá môže dosiahnuť až 10 miliónov tokov za sekundu. Bezplatná verzia je obmedzená na 10 000 tokov za sekundu a nespracované údaje o tokoch sa budú uchovávať iba 5 hodín, ale na riešenie problémov so sieťou by malo byť viac ako dosť. Môžete tiež vyskúšať akúkoľvek úroveň licencie po dobu 30 dní, po ktorej sa vráti späť na bezplatnú verziu.

4- SpravovaťEngine NetFlow Analyzer

SpravovaťEngine NetFlow Analyzer poskytuje správcovi siete podrobný pohľad na využitie šírky pásma siete a prenosové vzorce. Produkt je riadený webovým rozhraním a ponúka pôsobivé množstvo rôznych pohľadov na vašu sieť.

Môžete napríklad zobraziť prenos podľa aplikácie, konverzácie, protokolu a niekoľkých ďalších možností. Môžete tiež nastaviť upozornenia, ktoré vás upozornia na možné problémy. Môžete napríklad nastaviť prahovú hodnotu prenosu na konkrétnom rozhraní a upozorniť na ňu vždy, keď prevádzka prekročí túto hranicu.

Väčšina sily produktu však vychádza z jeho správ a informačného panela. Tento nástroj je dodávaný s niekoľkými veľmi užitočnými predpripravenými správami, ktoré sú špeciálne upravené na konkrétne účely, ako je riešenie problémov, plánovanie kapacity alebo fakturácia. Neprichádzajú vám však zabudované prehľady, pretože tento nástroj tiež umožňuje správcom vytvárať vlastné prehľady podľa svojich predstáv.

Pokiaľ ide o informačný panel nástroja, ktorý sme spomenuli, je rovnako pôsobivý ako jeho prehľady. Obsahuje niekoľko koláčových grafov s vecami, ako sú najlepšie aplikácie, najlepšie protokoly alebo najlepšie konverzácie. Môže tiež zobraziť tepelnú mapu so stavom monitorovaných rozhraní. A ako ste asi uhádli, dashboardy je možné prispôsobiť tak, aby obsahovali iba informácie, ktoré považujete za užitočné. Na informačnom paneli sa tiež zobrazujú výstrahy vo forme kontextových okien. A pre správcu siete na cestách je k dispozícii aplikácia pre smartfóny, ktorá vám umožní prístup k dashboardu a prehľadom.

SpravovaťEngine NetFlow Analyzer podporuje väčšinu tokových technológií vrátane NetFlow (samozrejme), IPFIX, J-flow, NetStream a niekoľkých ďalších. Bonusom je aj vynikajúca integrácia so zariadeniami Cisco s podporou úpravy politiky formovania prenosu a / alebo QoS priamo z nástroja.

Rovnako ako mnoho konkurenčných výrobkov, SpravovaťEngine NetFlow Analyzer prichádza v dvoch verziách. Bezplatná verzia bude rovnaká ako platená počas prvých 30 dní, potom sa však vráti k monitorovaniu iba dvoch rozhraní tokov. Aj keď to nie je veľa, mohlo by to byť všetko, čo potrebujete. Ak chcete platenú verziu, licencie sú k dispozícii v niekoľkých veľkostiach od 100 do 2500 rozhraní alebo tokov, pričom ceny sa pohybujú od približne 600 dolárov do viac ako 50 000 dolárov plus ročné poplatky za údržbu.

A čo nástroje na sledovanie toku S?

Všetky produkty, ktoré sme práve preskúmali, budú zhromažďovať a analyzovať údaje sFlow okrem NetFlow. Pre hybridné prostredie by boli všetci skvelými tipmi. Ak však máte iba zariadenie sFLow, pravdepodobne by ste radšej vybrali nástroj, ktorý podporuje iba túto technológiu.

5- inMon sFlowTrend

sFlowTrend je bezplatný monitorovací nástroj od spoločnosti inMon, ktorá stojí za technológiou sFlow. Táto bezplatná verzia softvéru vám umožňuje zhromažďovať údaje až z piatich zariadení s povolením sFlow a uchováva historické údaje v pamäti RAM až hodinu. A ak chcete veci vylepšiť, môžete upgradovať na profesionálnu verziu - samozrejme, za cenu, ktorá odstráni limit počtu zariadení a uloží na disk neobmedzené historické údaje.

sFlowTrend Dashboard poskytuje rýchly prehľad o aktuálnom stave monitorovaných zariadení a sietí, obsahuje najvyššie prahy a rozhrania s možnými chybami. Keď niekto klikne na kartu Sieť, sflowTrend odhalí súhrnnú štatistiku výkonnosti a podrobnú komunikáciu na úrovni siete alebo zariadenia. Môžu byť definované výstražné prahy. Umožňuje vám dostávať upozornenia, keď dôjde k použitiu vyššej než obvyklej šírky pásma alebo k chybe siete. K dispozícii je dokonca aj karta s hlavnými príčinami, kde môžete podrobnejšie rozobrať príčinu problému, napríklad porušenie prahu.

Na karte Hostitelia nájdete podrobnejšie informácie o každom zariadení. Poskytuje údaje o výkone na sieti, CPU, disku atď. Pre servery s povolením sFlow - vrátane virtuálnych. Na karte Služby nájdete údaje o výkonnosti aplikácií (vrátane rôznych webových serverov), ktoré exportujú údaje sFlow. Na karte Udalosti nájdete zoznam udalostí, ako sú prekročené limity alebo zistené chyby. A nakoniec karta Prehľady obsahuje niekoľko preddefinovaných prehľadov, ale tiež podporuje vytváranie vlastných prehľadov. Tu pôjdete spustiť prehľady a potom zobraziť ich výsledky.

sFlowTrend je napísaný v jazyku Java a dodáva sa s používateľským rozhraním založeným na jazyku Java alebo webovým. Je k dispozícii pre Windows, Macintosh a Linux. K dispozícii je tiež online pomoc, ktorá vám pomôže pri konfigurácii a používaní nástroja. Je to vynikajúci nástroj, najmä pre menšie organizácie s vybavením umožňujúcim sFlow. A cesta k aktualizácii na profesionálnu verziu z nej robí rovnako platnú voľbu pre väčšie siete.