De 5 bästa NetFlow-samlarna för Linux 2020

Att hantera nätverk kräver användning av specialiserade verktyg som ger dig nödvändig synlighet för att säkerställa att allt fungerar smidigt hela tiden. Till skillnad från vägtrafik där avmattningar och hinder lätt kan lokaliseras, är nätverkstrafik inte något som är lätt att se. Det är därför verktyg som NetFlow kan hjälpa. NetFlow-tekniken kan ge dig en viss insikt om vilken trafik som passerar ditt nätverk istället för hur mycket trafik det finns. Läs vidare när vi granskar några av de bästa NetFlow-samlarna och analysatorerna för Linux.

Vi börjar vår resa med att diskutera de olika metoderna som nätverksadministratörer kan använda för att övervaka sitt nätverk och lokalisera – och åtgärda – problem innan de blir verkliga problem. Sedan kommer vi att förklara vad NetFlow är Hur det fungerar och vad som behövs för att utnyttja det. Och medan vi är där kommer vi också att diskutera några NetFlow-alternativ som kan vara av intresse. Vi kommer sedan att dyka ner i kärnan av saken och granska några av de bästa NetFlow-samlare och analysatorer som finns tillgängliga för Linux-plattformen. I enlighet med Linux-filosofin med öppen källkod är vissa av dem tillgängliga gratis medan andra kräver ett köp eller en prenumeration.

Övervakningsnätverk

Som nätverksadministratör är en av dina skyldigheter att se till att allt fungerar smidigt, att det inte finns några avmatningar och att all nätverkstrafik kommer till sin destination inom en acceptabel tid. Tyvärr händer det som händer i ett nätverk inuti kablar, routrar, switchar och annan utrustning där det vanligtvis är väldigt svårt att se vad som händer. Det är härifrån konceptet nätverksövervakning kommer. med hjälp av olika verktyg kan administratörer få lite synlighet i vad som händer i nätverket.

Kommandoradsverktyg

Det finns flera verktyg som administratörer kan använda för att övervaka sitt nätverk. De mest grundläggande verktygen är kommandoradsdiagnostikverktyg. Du känner säkert till dem och använder dem ständigt. Ping, till exempel, låter dig verifiera att en given IP-adress kan nås och ge lite statistik om förseningar tur och retur och paketförlust. Tracert – eller traceroute, beroende på ditt operativsystem – kommer att spåra hela nätverksvägen mellan två enheter. Nmap kommer att lista alla enheter som finns på ett specifikt undernät.

Paketfångst- och analysverktyg

Därefter är nätverksövervakningsverktyg som låter dig fånga trafik som passerar genom en specifik plats och som låter dig avkoda paketen och analysera dem. De kan vara mycket användbara när du försöker lösa problem med applikationslager, men de ger dig ofta inte mycket information om den faktiska prestandan för ditt nätverk. Ett sådant verktyg som har blivit väldigt vanligt kallas Wireshark. Tcpdump är ett annat liknande verktyg som använder ett kommandoradsgränssnitt snarare än ett GUI.

Programvara för flödesanalys

För den mest exakta bilden av vad som händer, flödesanalys vad du behöver. Den förlitar sig på nätverksenheter för att skicka trafikinformation så system som kallas samlare och/eller analysatorer som i sin tur kan tolka flödesdata och presentera dem på ett meningsfullt sätt. Protokollet som tillåter detta kallas NetFlow. Det skapades av Cisco Systems för flera år sedan men det används nu ofta i en eller annan form på nätverksutrustning från de flesta stora tillverkare.

Vad är NetFlow?

NetFlow utvecklades av Cisco Systems och introducerades på deras routrar för att ge möjligheten att samla in IP-nätverkstrafik när den går in i eller lämnar ett gränssnitt. Den insamlade informationen analyseras sedan av nätverksadministratörer för att hjälpa till att fastställa källan och destinationen för trafiken, tjänsteklassen och orsakerna till trafikstockningar.

De flödesexportör aggregerar paket till flöden och exporterar flödesposter till en eller flera flödessamlare. Det här är den komponent som körs på de övervakade enheterna.

De flödesuppsamlare ansvarar för mottagning, lagring och förbehandling av flödesdata som tas emot från en flödesexportör.

Slutligen, den flöde analyszer är en applikation som används för att analysera mottagna flödesdata. Analys kan användas för trafikprofilering eller för nätverksfelsökning.

Hur NetFlow fungerar

Routrar, switchar och alla andra enheter som stöder NetFlow kan konfigureras för att mata ut flödesdata i form av flödesposter och skicka dem till en NetFlow-samlare. Ett flöde är en komplett konversation i IP-bemärkelse. Enheten som förbereder flödesposter skickar dem normalt till uppsamlaren när den fastställer att flödet är avslutat antingen genom åldrandet – det har inte förekommit någon trafik inom en specifik timeout – eller när den ser en TCP-session uppsägning.

Flödesposten innehåller mycket information om flödet. Det inkluderar ingångs- och utmatningsgränssnitt, start- och sluttidsstämplar för flödet, antalet byte och paket den innehåller lager 3-rubriker, käll- och destinations-IP-adress och portnummer, IP-protokollet och TOS värde. Flödesposter innehåller inte den faktiska data som utgjorde flödet. Den enda innehåller information om flödet. Detta är viktigt ur säkerhetssynpunkt.

Förutom i enorma multi-site-miljöer är flödessamlarna dit posterna skickas ofta också flödesanalysatorerna. De använder informationen i flödesposter för att presentera data om nätverkstrafik på ett sätt som är användbart för nätverksadministratörer. Olika NetFlow-samlare och analysatorer kommer att ha olika sätt att presentera data. Det är här vår lista över de bästa NetFlow-samlarna och analysatorerna kommer att komma till nytta.

Några alternativ till NetFlow

Som vi redan har antytt finns NetFlow under flera olika namn. Men det finns också alternativ till NetFlow, de två mest kända är sFlow och IPFIX. Den senare är starkt baserad på den senaste versionen av NetFlow förutom att det är en IETF-standard. Vi är fria att tro att Cisco till och med så småningom kan ersätta NetFlow med IPFIX.

När det gäller sFlow är det ett annat, konkurrerande system. Dess mål och allmänna funktionsprinciper är likartade men olika. Vissa NetFlow-analysatorer kommer också att fungera med sFlow, men generellt sett använder användare av den ena inte den andra.

De bästa NetFlow-samlarna för Linux

Vi har sökt marknaden efter de bästa NetFlow-samlarna och analysatorerna för Linux. Vad vi har för dig är fem av de bästa produkterna vi kunde hitta, i prioritetsordning med vår favorit högst upp på listan. Låt oss granska var och en och utforska deras huvudfunktioner med målet att hjälpa dig välja det paket som bäst matchar dina behov.

1. ManageEngine NetFlow Analyzer

ManageEngine NetFlow Analyzer ger nätverksadministratören en detaljerad bild av nätverkets bandbreddsutnyttjande samt trafikmönster. Produkten styrs av ett webbaserat gränssnitt och erbjuder ett imponerande antal olika vyer på ditt nätverk.

Du kan till exempel se trafik efter applikation, konversation, protokoll och flera alternativ. Du kan också ställa in varningar för att varna dig för potentiella problem. Du kan till exempel ställa in en trafiktröskel på ett specifikt gränssnitt och bli varnad när trafiken överskrider den.

Men det mesta av styrkan med produkten kommer från dess rapporter och instrumentpanel. Verktyget kommer med flera mycket användbara förbyggda rapporter som är specifikt skräddarsydda för specifika ändamål som felsökning, kapacitetsplanering eller fakturering. Men du har inte fastnat för inbyggda rapporter eftersom verktyget också tillåter administratörer att skapa anpassade rapporter efter eget tycke.

När det gäller verktygets instrumentpanel vi nämnde, är den lika imponerande som dess rapporter. Den innehåller flera cirkeldiagram med saker som toppapplikationer, toppprotokoll eller toppkonversationer. Den kan också visa en värmekarta med status för de övervakade gränssnitten. Och som du kanske har gissat kan instrumentpaneler anpassas så att de bara innehåller den information du tycker är användbar. Instrumentpanelen är också där varningar visas i form av popup-fönster. Och för nätverksadministratören som är på språng finns det en smartphone-app som låter dig komma åt instrumentpanelen och rapporterna.

ManageEngine NetFlow Analyzer stöder de flesta flödesteknologier inklusive NetFlow (naturligtvis), IPFIX, J-flow, NetStream och några andra. Som en bonus har den också utmärkt integration med Cisco-enheter, med stöd för justering av trafikformning och/eller QoS-policyer direkt från verktyget.

Liksom många konkurrerande produkter kommer ManageEngine NetFlow Analyzer i två versioner. Den kostnadsfria versionen kommer att vara identisk med den betalda under de första 30 dagarna men den kommer sedan att återgå till att övervaka endast två gränssnitt av flöden. Även om detta inte är mycket, kan det vara allt du behöver.

Om du vill ha den betalda versionen finns licenser tillgängliga i flera storlekar från 100 till 2500 gränssnitt eller flöden med priser som varierar mellan cirka $600 till över $50K plus årliga underhållsavgifter.

2. Granskare

Scrutinizer från Plixer är en annan bra NetFlow Analyzer. Faktum är att det är ännu mer än så och många ser det som ett komplett incidentresponssystem. Med sin förmåga att övervaka olika flödestyper som NetFlow, J-flow, NetStream och IPFIX är du inte begränsad till att bara övervaka Cisco-enheter.

Med sin hierarkiska design erbjuder Scrutinizer strömlinjeformad och effektiv datainsamling och låter dig börja i liten skala och enkelt skala upp till många miljoner flöden per sekund. Nätverket får ofta först skulden när något går fel, med Scrutinizer kan du snabbt hitta den verkliga orsaken till de flesta nätverksproblem. Scrutinizer fungerar i både fysiska och virtuella miljöer och kommer med avancerade rapporteringsfunktioner.

Scrutinizer kommer i fyra licensnivåer som går från den grundläggande gratisversionen till den fullfjädrade SCR-nivån som kan skala upp till över 10 miljoner flöden per sekund. Den kostnadsfria versionen är begränsad till 10 tusen flöden per sekund och den kommer bara att behålla råflödesdata i 5 timmar men det borde vara mer än tillräckligt för att felsöka nätverksproblem. Du kan också prova vilken licensnivå som helst i 30 dagar, varefter den återgår till gratisversionen. Verktyget är tillgängligt som en hårdvaruapparat eller som en virtuell apparat som kan köras på en Linux-värd via KVM

3. nProbe och ntopng

nProbe och ntopng är något mer avancerade och mer komplicerade verktyg med öppen källkod. Ntopng är ett webbaserat trafikanalysverktyg för att övervaka nätverk baserat på flödesdata medan nProbe är en NetFlow och IPFIX exportör och samlare. Tillsammans skapar de ett mycket flexibelt analyspaket. Om du har administrerat Linux-nätverk tidigare kanske du är bekant med ntop. ntopng är nästa generations GUI-version av detta tidlösa verktyg.

Det finns en gratis communityversion av ntopng och du kan också köpa företagsversioner. De kan vara dyra men de är gratis för utbildnings- och ideella organisationer. När det gäller nProbe kan du prova det gratis men det är begränsat till totalt 25 000 exporterade flöden. För att gå utöver det måste du köpa en licens.

Liksom de flesta moderna nätverksanalysverktyg har ntopng ett webbaserat användargränssnitt som kan presentera data via trafik-såsom topptalare, flöden, värdar, enheter och gränssnitt. Den har en blandning av diagram, tabeller och grafer. de flesta med borrningsalternativ som låter dig utforska på större djup. Gränssnittet är ganska flexibelt och möjliggör mycket anpassning.

4. FlowScan

FlowScan är ett slags visualiseringsverktyg som du kan använda för att analysera Netflow-data och rapportera om det. Det kan producera visuella grafer som är i nästan realtid som visar dig vad som händer i ditt nätverk. FlowScan kan distribueras på ett GNU/Linux- eller ett BSD-system. Den använder flera andra paket för att korrekt samla in och bearbeta flöden. Till exempel används Cflowd som flödesuppsamlare. FlowScan är faktiskt ett Perl-skript som utgör huvuddelen av mjukvarupaketet. Denna komponent ansvarar för att ladda och utföra rapporter. En sista viktig komponent är RRDtool, ett populärt verktyg för att lagra data i round-robin-databaser och plotta dessa data på grafer, som används för att lagra flödesinformation och producera användbara grafer.

Nätverksadministratörer tycker ofta att de antingen har samlat in för lite eller för mycket data. Flödesprofilering som tillhandahålls av FlowScan erbjuder en pragmatisk kompromiss mellan sådana ytterligheter i datainsamling. Eftersom flöden samlar in data som samlas in som paket färdas över en given port eller gränssnitt, kan de användas som en sorts förkortning för serier av paket som färdas mellan slutpunkter av intresse. Men enbart denna funktion är otillräcklig för tillförlitlig kontinuerlig användning: ytterligare mjukvaruverktyg behövs för att definiera, analysera och analysera dessa flöden. Dessa ytterligare verktyg ingår i FlowScan.

5. inMon sFlowTrend (Särskilt omnämnande)

Även om det inte var en NetFlow-samlare och analysator utan snarare en som hanterar sFlow, kände vi att sFlowTrend förtjänade att vara med på den här listan. Det kan köras på Linux och om ditt nätverks komponenter använder sFlow snarare än NetFlow, är det ett av de bästa tillgängliga verktygen. Verktyget är från inMon, företaget bakom sFlow. Det är ett grundläggande och något begränsat men mycket kapabelt verktyg. Den kostnadsfria versionen av programvaran låter dig samla in data från upp till fem sFlow-aktiverade switchar, routrar eller värdar och lagrar bara historikdata i RAM-minnet i upp till en timme. Det borde räcka för att felsöka de flesta nätverksproblem. Och om du vill ta steget upp kan du uppgradera till pro-versionen – till en kostnad, förstås – vilket tar bort gränsen för antalet enheter och lagrar historikdata på disken.

Fliken sFlowTrend Dashboard ger en snabb överblick över det aktuella tillståndet för de övervakade enheterna och nätverken, den inkluderar trösklar på högsta nivå och gränssnitt med potentiella fel. När man klickar på fliken Nätverk avslöjar sflowTrend sammanfattad prestandastatistik och detaljerad trafik på nätverks- eller enhetsnivå. Varningströsklar kan definieras. Den låter dig ta emot varningar när en högre bandbreddsanvändning än vanligt eller nätverksfel inträffar. Det finns till och med en rotorsaksflik där du kan gå igenom orsaken till ett problem, till exempel ett tröskelvärde.

Fliken Värdar är där du hittar mer detaljerad information om varje enhet. Den tillhandahåller prestandadata på nätverk, CPU, disk, etc, för sFlow-aktiverade servrar – inklusive virtuella. Under fliken Tjänster hittar du prestandadata för applikationer (inklusive olika webbservrar) som exporterar sFlow-data. På fliken Händelser hittar du en logg över händelser som överskridna trösklar eller upptäckta fel. Och slutligen, fliken Rapporter innehåller flera fördefinierade rapporter men den stöder också skapande av anpassade rapporter. Det är här du går för att köra rapporter och sedan se deras resultat.

sFlowTrend är skrivet i Java och kommer med både ett Java-baserat eller webbaserat användargränssnitt. Den är tillgänglig för Linux, Windows och Mac. Det finns också onlinehjälp som är tillgänglig för att hjälpa dig att konfigurera och använda verktyget. Det är ett utmärkt verktyg, särskilt för mindre organisationer med sFlow-aktiverad utrustning. Och uppgraderingsvägen till proversionen gör det till ett lika giltigt val för större nätverk.

Avslutar

Även om några av de allra bästa NetFlow-samlarna och analysatorerna som SolarWinds NetFlow Traffic Analyzer kommer att endast körs på Windows-maskiner, det finns fortfarande många alternativ tillgängliga om din övervakningsverktygsplattform är det Linux. Mellan kommersiella produkter som ManageEngine NetFlow Analyzer eller Plixers Scrutinizer och verktyg med öppen källkod måste det finnas en som passar dina behov perfekt.

Alla produkter vi just har granskat är fantastiska alternativ. Vissa kanske inte är lika fullfjädrade eller så kan de kräva lite mer arbete för att installera dem, men någon av dem kommer att göra sitt jobb och göra det bra. Och eftersom de alla erbjuder någon form av gratis provperiod – eller är helt gratis, finns det ingen anledning att inte prova några av dem och se själv vilken som är för dig.