NetFlow vs sFlow: Vilken är bättre för trafikanalys?

Ciscos NetFlow och inMons sFlow är två liknande men ändå olika övervakningstekniker som kan ge dig en kvalitativ bild av ditt nätverkstrafik. Medan bandbreddövervakningsverktyg bara berättar hur mycket trafik som passerar en specifik punkt, flödesanalysverktyg kommer att berätta vad den informationen är, var den kommer ifrån och går till, och några andra användbara bitar av information. Idag kommer vi att jämföra de två teknikerna och vi ska titta på några av de bästa verktygen som finns tillgängliga för var och en. Vi granskar några av de bästa NetFlow- och sFlow-analysatorerna och samlarna vi kunde hitta.

Vi börjar med att beskriva NetFlow. Vi kommer att göra vårt bästa för att förklara vad det är och hur det fungerar och samtidigt hålla vår diskussion så oteknisk som möjligt. Vi gör då samma övning med sFlow och gör vårt bästa för att förklara tekniken. Efter det ska vi titta på hur de två teknikerna skiljer sig åt. Precis som tidigare kommer vi att hålla oss borta från de tekniska detaljerna med hård kärna. Därefter försöker vi att svara på den brinnande frågan: Vilken ska jag använda? Som ni ser finns det inget tydligt och definitivt svar. Slutligen kommer vi att granska några av de bästa flödesanalysverktygen vi kunde hitta.

NetFlow - Originalflödesanalysstekniken

Utvecklad av Cisco Systems introducerades NetFlow-tekniken på deras routrar för att ge möjlighet att samla in data om nätverkstrafik när den går in i eller gränssnitt. Dessa data kan analyseras med specialiserade applikationer för att extrahera källan och destinationen för trafiken, dess serviceklass och, i utökning, orsakerna till överbelastning.

En typisk NetFlow-övervakningsinställning består av tre huvudkomponenter:

• De flöde exportör aggregerar paket i flöden och exporterar flödesregister till en eller flera flödessamlare.
• De flödesuppsamlare ansvarar för mottagning, lagring och förbehandling av flödesdata som mottas från en flödesexportör.
• De flödesanalysator, eller flödesanalysapplikation, används för att analysera mottagna flödesdata. Analys kan användas för trafikprofilering eller för felsökning av nätverk.

Så fungerar NetFlow

Nätverksenheter som stöder NetFlow genererar flödesregister och skickar dem till en NetFlow-samlare. Ett flöde är i detta sammanhang en komplett konversation i IP-meningen. Enheten som förbereder flödesregister skickar dem normalt till samlaren när den bestämmer att flödet är slut antingen genom åldrande - när det inte har varit någon trafik inom en viss tidsgräns - eller när den ser en TCP-session uppsägning.

Flödet registrerar information om flödet som ingångs- och utgångsgränssnitten, start- och måltidstämplarna för flödet, antalet av byte och paket som den innehåller, skikt 3-rubriker, käll- och destinations-IP-adress och portnummer, IP-protokollet och TOS värde. Flödesposter innehåller inte de faktiska uppgifterna som utgör flödet, de innehåller bara information om flödet. Detta är en viktig säkerhetsfunktion i denna teknik.

Förutom i enorma miljöer med flera platser är flödessamlarna där posterna skickas också flödesanalysatorer. De använder informationen i flödesregister för att presentera data om nätverkstrafik på ett sätt som är användbart för nätverksadministratörer. Olika NetFlow-samlare och analysatorer kommer att ha olika sätt att presentera data.

sFlow - En avlägsen släkting

“S” i sFlow står för “sampling”. Detta är avgörande för dess drift och det är där det skiljer sig från andra flödesanalyssystem. Denna teknik fungerar bara med sFlow-aktiverade enheter, precis som NetFlow. Lyckligtvis är dessa enheter ganska vanliga bland de stora tillverkarna av nätverksutrustning.

SFlow-standarden upprätthålls av sFlow.org-konsortiet men det är hjärnbarnet hos inMon-företaget som fortfarande utövar nästan absolut kontroll över dess utveckling och utveckling. Stora utrustningstillverkare som Alcatel-Lucent, Aruba, Brocade, Cisco, Dell, Hewlett Packard, IBM och många fler - över 300 - inkluderar sFlow-stöd i många av sina produkter.

sFlow är ett statligt paketprovtagningsprotokoll. "Flow" -delen av protokollets namn kan vara vilseledande eftersom sFlow faktiskt inte har någon uppfattning om att aggregera datapaket till flöden på hög nivå som NetFlow gör. Det fungerar bara när det gäller paket.

sFlows allmänna paketprovtagning sträcker sig över lager genom 7. Kör i nätverksenheten samlar sFlow-exportören prefix från en delmängd av allt paket som passerar genom det övervakade gränssnittet. Administratörer kan välja att ta ett paket varje N-paket, men exportören väljer också slumpmässiga paket och inkluderar dem i sin post. Exportören sätter ihop de initiala bytena för varje paket i sampel med enhetsräknare och skickar det ut till sFlow-samlaren. Enheten cachear inte någon av data eller samplingspaket, vilket minskar resursanvändningen och gör det enkelt att skala upp till höghastighetsnätverk.

NetFlow Och sFlow - Vad är skillnaden?

Trots att de har liknande namn, syften och mål är NetFlow och sFlow faktiskt ganska olika, särskilt på det sätt som var och en utför sina uppgifter.

Avi Freedman, medgrundare och vd för Kentik, sammanfattar skillnaden mellan NetFlow och sFlow med en analogi: "... medan NetFlow kan beskrivas som att observera trafikmönster ("Hur många bussar åkte härifrån till dit?"), med sFlow tar du bara ögonblicksbilder av alla bilar eller bussar som råkar gå förbi just det ögonblick.”Låt inte denna förenklade analogi blinda leda dig till att tro att NetFlow ger mer information än sFlow och därför är en bättre teknik.

Även om du förmodligen får mer information från NetFlow än från sFlow, gör det inte nödvändigtvis det till ett bättre protokoll. Till exempel är NetFlows resursanvändning mycket högre än sFlow. Detta tenderar att göra sFlow till ett mer intressant alternativ för lägre enheter. Och medan NetFlow kanske samlar in mer information, behöver du det verkligen och kan din analysator till och med använda den?

Vilken ska jag använda?

De flesta samlare och analysatorer kommer att hantera både NetFlow- och sFlow-information och många nätverksenheter stöder också båda. Den viktigaste avgörande faktorn borde förmodligen vara vad din utrustning stöder. Om en del av din utrustning stöder en men inte den andra, är det den du bör välja. Om du mestadels har Cisco-utrustning, varför inte gå med NetFlow eftersom det är Ciscos eget protokoll?

Du behöver dock inte välja sidor. Både NetFlow och sFlow är utmärkta tekniker. Varför inte använda både med en samlare och analysator som kan stödja antingen? Du kommer att kunna hämta flödesdata från dina sFlow-aktiverade och dina Netflow-aktiverade enheter.

Några av de bästa NetFlow-övervakningsverktygen

Här är några av de bästa NetFlow-samlar- och analysverktygen som vi kunde hitta. Vi har inkluderat en blandning av verktyg för att ge dig en bättre uppfattning om de olika verktygen som finns tillgängliga. De stöder alla NetFlow-övervakning och alla dess varianter som J-flow eller IPFIX, bara för att nämna några.

SolarWinds är en av de mest kända tillverkarna av nätverks- och systemadministrationsverktyg. Dess flaggskeppsprodukt, kallad Network Performance monitor, betraktas av många som de bästa nätverksbandbreddövervakningsverktygen. Likaså SolarWinds NetFlow Traffic Analyzer—Som installeras ovanpå Network Performance Monitor — är en av de bästa IPFIX-samlarna och analysatorerna du kan hitta.

• GRATIS PRÖVNING: SolarWinds NetFlow Traffic Analyzer
• Nedladdningslänk: https://www.solarwinds.com/network-bandwidth-analyzer-pack/registration

Några av SolarWinds NetFlow Traffic AnalyzerDe bästa funktionerna inkluderar:

• Övervaka bandbreddanvändning efter applikation, protokoll och IP-adressgrupp.
• Övervaka IPFIX-, Cisco NetFlow-, Juniper J-Flow-, sFlow- och Huawei NetStream-flödesdata som gör det möjligt att identifiera vilka enheter, applikationer och protokoll som är den högsta bandbreddskonsumenten.
• Samla in trafikdata, korrelera dem till ett användbart format och presentera det för användaren via ett webbaserat gränssnitt för övervakning av nätverkstrafik.
• Identifiera vilka applikationer och kategorier som förbrukar mest bandbredd för bättre synlighet i nätverkstrafiken (inklusive Cisco NBAR2-stöd).

De SolarWinds NetFlow Traffic Analyzer är ett tillägg till Nätverksbandbreddskärm. Du kan spara genom att förvärva båda samtidigt som SolarWinds Network Bandwidth Analyzer Pack. Priserna för paketet börjar på 4 910 $ för övervakning av upp till 100 element och varierar beroende på antalet övervakade enheter. Även om detta kan verka lite dyrt, kom ihåg att du inte får ett utan två av de bästa tillgängliga övervakningsverktygen. Om du föredrar att prova produkten innan du köper den, en gratis 30-dagars provperiod kan laddas ner från SolarWinds.

2- PRTG Network Monitor

De PRTG Network Monitor från Paessler AG är en allt-i-ett-lösning vars primära syfte är att övervaka bandbreddanvändningen. Det används också för att övervaka tillgängligheten och hälsan för olika nätverksresurser. Dessa funktioner gör det till ett användbart verktyg för nätverksadministratörer. Verktyget kan övervaka enheter över flera webbplatser och det kan övervaka LAN, WAN, VPN och Cloud Services.

Det är snabbt och enkelt att installera den här produkten. Efter att ha installerat installationsprogrammet, upptäcker autoupptäckningsprocessen enheter och sätter upp sensorer. Paessler hävdar att du kan börja övervaka inom två minuter från att starta installationen. Även om detta kan vara en liten överdrivning, imponerades vi av installationens enkelhet och hastighet. Även om servern bara körs på Windows är användargränssnittet webbaserat och kan nås från vilken webbläsare som helst. Dessutom finns det en mobilapp som du kan installera på din smartphone eller surfplatta.

De PRTG Network Monitor kan övervaka ganska mycket vad som helst tack vare sin sensorbaserade arkitektur. Du kan tänka på sensorer som tillägg som är inbyggda i produkten, var och en med ett specifikt syfte. Det finns sensorer för HTTP och SMTP / POP3 (e-post). Det finns också hårdspecifika sensorer för switchar, routrar och servrar. Sammantaget har verktyget över 200 olika fördefinierade sensorer.

De PRTG Network Monitor erbjuder ett urval av användargränssnitt. Du kan välja ett Ajax-baserat webbgränssnitt eller en Windows-konsol för Windows samt mobilappar för Android och iOS. En trevlig funktion hos mobilapparna är att de kan få varningar via push-meddelande. Standardmeddelanden via SMS eller e-post är också tillgängliga.

De PRTG Network Monitor erbjuds i två versioner. Det finns en gratisversion som är fullständig men som begränsar din övervakningsförmåga till 100 sensorer med varje övervakad parameter som en sensor. Till exempel, för att övervaka varje port i en 48-port-switch, behöver du 48 sensorer. För mer än 100 sensorer måste du köpa en licens. De börjar på 1 600 $ för 500 sensorer. Du kan också få en gratis, sensor-obegränsad och fullständig 30-dagars provversion.

3- Scrutinizer

Scrutinizer från Plixer är en annan stor NetFlow Analyzer. I själva verket är det ännu mer än så och många ser det som ett fullständigt svarssystem för händelser. Med sin förmåga att övervaka olika flödestyper som NetFlow, J-flow, NetStream, sFlow och IPFIX är du inte begränsad till att endast övervaka Cisco-enheter.

Med sin hierarkiska design, Scrutinizer erbjuder strömlinjeformad och effektiv datainsamling och låter dig starta liten och lätt skalad väg upp till många miljoner flöden per sekund. Nätverket får ofta först skylden när något går fel. Med Scrutinizer kan du snabbt hitta den verkliga orsaken till de flesta nätverksproblem. Scrutinizer fungerar i både fysiska och virtuella miljöer och har avancerade rapporteringsfunktioner.

Scrutinizer finns i fyra licensnivåer som går från den grundläggande gratisversionen till den fullfjädrade SCR-nivån som kan skala upp till över 10 miljoner flöden per sekund. Den fria versionen är begränsad till 10 tusen flöden per sekund och den kommer bara att hålla råflödesdata i 5 timmar men det borde vara mer än tillräckligt för att felsöka nätverksproblem. Du kan också prova valfri licensnivå i 30 dagar varefter den kommer att återgå till gratisversionen.

4- Hantera Engine NetFlow Analyzer

De Hantera Engine NetFlow Analyzer ger nätverksadministratören en detaljerad vy över användningen av nätverksbandbredd och trafikmönster. Produkten styrs av ett webbaserat gränssnitt och erbjuder ett imponerande antal olika vyer på ditt nätverk.

Du kan till exempel visa trafik efter applikation, konversation, protokoll och flera alternativ. Du kan också ställa in varningar för att varna dig om potentiella problem. Du kan till exempel ställa in en trafiktröskel på ett specifikt gränssnitt och bli varnat när trafiken överskrider den.

Men det mesta av produktens styrka kommer från dess rapporter och instrumentpanel. Verktyget kommer med flera mycket användbara förbyggda rapporter som är specifikt skräddarsydda för specifika ändamål som felsökning, kapacitetsplanering eller fakturering. Men du sitter inte fast med inbyggda rapporter eftersom verktyget också tillåter administratörer att skapa anpassade rapporter efter deras önskemål.

När det gäller verktygets instrumentbräda som vi nämnde är den lika imponerande som rapporterna. Det innehåller flera cirkeldiagram med saker som toppapplikationer, toppprotokoll eller toppsamtal. Det kan också visa en värmekarta med status för de övervakade gränssnitten. Och som du kanske gissat kan instrumentpaneler anpassas så att de endast innehåller information som du tycker är användbar. Instrumentpanelen är också där varningar visas i form av popup-fönster. Och för den on-the-go nätverksadministratören finns det en smartphone-app som låter dig komma åt instrumentpanelen och rapporter.

De Hantera Engine NetFlow Analyzer stöder de flesta flödeteknologier inklusive NetFlow (naturligtvis), IPFIX, J-flow, NetStream och några få andra. Som en bonus har också utmärkt integration med Cisco-enheter, med stöd för att anpassa trafikformning och / eller QoS-policy direkt från verktyget.

Liksom många konkurrerande produkter, Hantera Engine NetFlow Analyzer finns i två versioner. Den kostnadsfria versionen kommer att vara identisk med den betalade under de första 30 dagarna men den återgår sedan till att bara övervaka två flödesgränssnitt. Även om detta inte är mycket, kan det vara allt du behöver. Om du vill ha den betalda versionen finns licenser i flera storlekar från 100 till 2500 gränssnitt eller flöden med priser som varierar mellan cirka $ 600 till över $ 50 000 plus årliga underhållsavgifter.

Vad sägs om S-Flow-övervakningsverktyg?

Alla produkter vi just har granskat kommer att samla in och analysera sFlow-data utöver NetFlow. För hybridmiljöer skulle de alla vara bra val. Men om du bara har sFLow-utrustning kanske du hellre vill välja ett verktyg som bara stöder den tekniken.

5- inMon sFlowTrend

sFlowTrend är ett gratis övervakningsverktyg från inMon, företaget bakom sFlow-tekniken. Denna kostnadsfria version av programvaran låter dig samla in data från upp till fem sFlow-aktiverade enheter och kommer bara att hålla historikdata i RAM i upp till en timme. Och om du vill intensifiera saker kan du uppgradera till proversionen - till en kostnad, naturligtvis - som tar bort antalet enhetsbegränsningar och lagrar obegränsad historiedata på disken.

De sFlowTrend Dashboard ger en snabb vy över det nuvarande tillståndet för övervakade enheter och nätverk, den inkluderar trösklar på toppnivå och gränssnitt med potentiella fel. När man klickar på fliken Nätverk avslöjar sflowTrend sammanfattad prestationsstatistik och detaljerad trafik på nätverks- eller enhetsnivå. Varningströsklar kan definieras. Den låter dig få varningar när högre än vanligt bandbredd användning eller nätverksfel inträffar. Det finns till och med en rotflik där du kan granska orsaken till ett problem som en tröskelöverträdelse.

På fliken Värdar hittar du mer detaljerad information om varje enhet. Det tillhandahåller prestandadata på nätverk, CPU, disk osv. För sFlow-aktiverade servrar - inklusive virtuella. Under fliken Tjänster hittar du prestandadata för applikationer (inklusive olika webbservrar) som exporterar sFlow-data. På fliken Händelser hittar du en logg över händelser som överskridit trösklar eller upptäckta fel. Och slutligen innehåller fliken Rapporter flera fördefinierade rapporter men det stöder också att skapa anpassade rapporter. Det är här du kommer att köra rapporter och sedan se deras resultat.

sFlowTrend är skriven i Java och levereras med både ett Java-baserat eller webbaserat användargränssnitt. Det är tillgängligt för Windows, Macintosh och Linux. Det finns också onlinehjälp som kan hjälpa dig att konfigurera och använda verktyget. Det är ett bra verktyg, särskilt för mindre organisationer med sFlow-aktiverad utrustning. Och uppgraderingsvägen till proversionen gör det till ett lika giltigt val för större nätverk.