Ciscos NetFlow og inMons sFlow er to ensendnu forskellige overvågningsteknologier, der kan give dig en kvalitativ oversigt over dit netværks trafik. Mens overvågningsværktøjer til båndbredde kun fortæller dig, hvor meget trafik der passerer et bestemt punkt, vil flowanalyseværktøjer fortælle dig, hvad disse data er, hvor de kommer fra og går til, og et par andre nyttige informationsbits. I dag sammenligner vi de to teknologier, og vi ser på nogle af de bedste tilgængelige værktøjer til hver. Vi gennemgår nogle af de bedste NetFlow- og sFlow-analysatorer og samlere, vi kunne finde.
Vi starter med at beskrive NetFlow. Vi gør vores bedste for at forklare, hvad det er, og hvordan det fungerer, mens vi holder vores diskussion så ikke-teknisk som muligt. Vi vil derefter gøre den samme øvelse med sFlow og gøre vores bedste for at forklare teknologien. Derefter skal vi se på, hvordan de to teknologier adskiller sig. Ligesom før, holder vi os væk fra de tekniske detaljer i hård teknologi. Dernæst prøver vi at besvare det brændende spørgsmål: Hvilken skal jeg bruge? Som du ser er der ikke et klart og definitivt svar. Endelig gennemgår vi nogle af de bedste flowanalyseværktøjer, vi kunne finde.
NetFlow - den originale flowanalyseteknologi
Udviklet af Cisco Systems NetFlow-teknologienblev introduceret på deres routere for at give mulighed for at indsamle data om netværkstrafik, når den kommer ind eller afslutter en grænseflade. Disse data kan analyseres ved hjælp af specialiserede applikationer for at udtrække kilden og destinationen for trafikken, dens serviceklasse og i forlængelse heraf årsagerne til overbelastning.
En typisk NetFlow-overvågningsopsætning består af tre hovedkomponenter:
- Det flow eksportør aggregerer pakker i strømme og eksporterer strømningsregistre til en eller flere flowsamlere.
- Det flow opsamler er ansvarlig for modtagelse, opbevaring og forbehandling af flowdata modtaget fra en floweksportør.
- Det flowanalysator, eller flowanalyseansøgning bruges til at analysere modtagne flowdata. Analyse kan bruges til trafikprofilering eller til fejlfinding i netværket.
Sådan fungerer NetFlow
Netværksenheder, der understøtter NetFlow-genereringflow poster og send dem til en NetFlow-samler. En strøm i denne sammenhæng er en komplet samtale i IP-forstand. Enheden, der forbereder flow records, sender dem normalt til samleren, når den bestemmer, at flowet er færdig enten gennem aldring - når der ikke har været nogen trafik inden for en bestemt timeout - eller når den ser en TCP-session ophør.
Flowet registrerer information om sådan strømsom input- og outputgrænseflader, start- og sluttidstempler for flowet, antallet af bytes og pakker, det indeholder, lag 3-overskrifter, kilden og destinationens IP-adresse og portnummer, IP-protokollen og TOS-værdien. Flowposter indeholder ikke de faktiske data, der udgjorde flowet, de indeholder kun oplysninger om flowet. Dette er en vigtig sikkerhedsfunktion ved denne teknologi.
Bortset fra i enorme multi-site miljø, flowetsamlere, hvor posterne sendes, er også flowanalysatorerne. De bruger oplysningerne i flow-poster til at præsentere data om netværkstrafik på en måde, der er nyttig for netværksadministratorer. Forskellige NetFlow-samlere og analysatorer vil have forskellige måder at præsentere data på.
sFlow - En fjern relativ
“S” i sFlow står for “sampling”. Dette er afgørende for dens drift, og det er her, det adskiller sig fra andre flowanalysesystemer. Denne teknologi fungerer kun med sFlow-aktiverede enheder, ligesom NetFlow. Heldigvis er der disse enheder ret almindelige blandt de største producenter af netværksudstyr.
SFlow-standarden opretholdes af sFlow.org-konsortium, men det er hjernen til inMon-selskabet, der stadig udøver næsten absolut kontrol over dens udvikling og udvikling. Store udstyrsproducenter som Alcatel-Lucent, Aruba, Brocade, Cisco, Dell, Hewlett Packard, IBM og mange flere — over 300 — inkluderer sFlow-support i mange af deres produkter.
sFlow er en statsløs pakkeudtagningsprotokol. "Flow" -delen af protokollens navn kan være vildledende, da sFlow faktisk ikke har nogen opfattelse af at samle datapakker til strømme på højt niveau, som NetFlow gør. Det fungerer kun med hensyn til pakker.
sFlow's generelle pakkeudtagning spænder over laggennem 7. Kører inden for netværksenheden, samler sFlow-eksportøren præfikser fra et undermængde af al pakken, der passerer gennem den overvågede grænseflade. Administratorer kan vælge at prøve en pakke hver N-pakke, men eksportøren vælger også tilfældige pakker og inkluderer dem i dens post. Eksportøren samler end de oprindelige bytes af hver samplet pakke sammen med enhedstællere og sender den ud til sFlow-samleren. Enheden cacheer ikke nogen af dataene eller den samplede pakke, hvilket reducerer ressourceforbruget og gør det let at skalere op til højhastighedsnetværk.
NetFlow Og sFlow - Hvad er forskellen?
På trods af at de har lignende navne, formål og mål, er NetFlow og sFlow faktisk meget forskellige, især på den måde, hver enkelt udfører sin opgave.
Avi Freedman, medstifter og CEO af Kentik, opsummerer forskellen mellem NetFlow og sFlow med en analogi: “... mens NetFlow kan beskrives som iagttagelsetrafikmønstre ('Hvor mange busser kørte herfra og derfra?'), med sFlow tager du bare øjebliksbilleder af uanset hvilke biler eller busser der tilfældigvis går forbi på det samme tidspunkt.”Lad ikke denne forenklede analogi føre dig blindt til at tro, at NetFlow giver mere information end sFlow og derfor er en bedre teknologi.
Selvom du sandsynligvis får flere oplysninger fraNetFlow end fra sFlow, det gør ikke nødvendigvis det til en bedre protokol. For eksempel er NetFlows ressourceforbrug meget højere end sFlow's. Dette vil have en tendens til at gøre sFlow til en mere interessant mulighed for enheder med lavere ender. Og selvom NetFlow muligvis indsamler flere oplysninger, har du virkelig brug for dem, og er din analysator endda i stand til at bruge den?
Hvilken skal jeg bruge?
De fleste samlere og analysatorer håndterer begge deleNetFlow og sFlow-information og mange netværksenheder understøtter også begge. Den vigtigste afgørende faktor skal sandsynligvis være, hvad dit udstyr understøtter. Hvis noget af dit udstyr understøtter det ene, men ikke det andet, er det det du skal vælge. Hvis du for det meste har Cisco-udstyr, hvorfor ikke gå med NetFlow, da det er Ciscos egen protokol?
Du behøver dog ikke vælge sider. Både NetFlow og sFlow er fremragende teknologier. Hvorfor ikke bruge begge dele med en samler og analysator, der kan understøtte enten? Du kan få flowdata fra din sFlow-aktiverede såvel som dine Netflow-aktiverede enheder.
Nogle af de bedste NetFlow-overvågningsværktøjer
Her er nogle af de bedste NetFlow samlere oganalysatorværktøjer, som vi kunne finde. Vi har inkluderet en blanding af værktøjer for at give dig en bedre idé om de forskellige tilgængelige værktøjer. De understøtter alle NetFlow-overvågning og alle dens varianter, såsom J-flow eller IPFIX, bare for at nævne nogle få.
1- SolarWinds NetFlow Traffic Analyzer (Gratis prøveversion)
SolarWinds er en af de mest kendte producenter afnetværk og systemadministrationsværktøjer. Dets flagskibsprodukt, kaldet Network Performance monitor, betragtes af mange som de bedste netværksbåndbreddeovervågningsværktøjer. Ligeledes SolarWinds NetFlow Traffic Analyzer—Som installeres oven på Network Performance Monitor — er en af de bedste IPFIX-samlere og analysatorer, du kan finde.
- GRATIS PRØVEVERSION: SolarWinds NetFlow Traffic Analyzer
- Download link: https://www.solarwinds.com/network-bandwidth-analyzer-pack/registration
Nogle af SolarWinds NetFlow Traffic AnalyzerBedste funktioner inkluderer:
- Overvågning af båndbreddebrug efter anvendelse, efter protokol og efter IP-adressegruppe.
- Overvågning af IPFIX-, Cisco NetFlow-, Juniper J-Flow-, sFlow- og Huawei NetStream-flowdata, så det identificerer, hvilke enheder, applikationer og protokoller, der er den største båndbredde-forbruger.
- Indsamling af trafikdata, korrelering af dem i et anvendeligt format og præsentation af det til brugeren via en webbaseret interface til overvågning af netværkstrafik.
- Identificering af, hvilke applikationer og kategorier der bruger den mest båndbredde for bedre synlighed for netværkstrafik (inklusive Cisco NBAR2-support).
Det SolarWinds NetFlow Traffic Analyzer er en tilføjelse til Netværk båndbredde skærm. Du kan gemme ved at erhverve begge på samme tid som SolarWinds Network Bandwidth Analyzer Pack. Priserne for bundtet starter ved $ 4 910 forovervågning op til 100 elementer og varierer afhængigt af antallet af overvågede enheder. Selvom dette kan virke lidt dyrt, skal du huske, at du ikke får et, men to af de bedste tilgængelige overvågningsværktøjer. Hvis du foretrækker at prøve produktet, før du køber det, kan en gratis 30-dages prøveversion downloades fra SolarWinds.
2- PRTG Network Monitor
Det PRTG Network Monitor fra Paessler AG er en alt-i-en-løsning, hvisdet primære formål er at overvåge brugen af båndbredde. Det bruges også til at overvåge tilgængeligheden og sundheden for forskellige netværksressourcer. Disse funktioner gør det til et nyttigt værktøj for netværksadministratorer. Værktøjet kan overvåge enheder over flere steder, og det kan overvåge LAN, WAN, VPN og Cloud Services.
Det er hurtigt og nemt at installere dette produkt. Efter at have kørt installationsprogrammet, opdager auto-discovery processen enheder og opsætter sensorer. Paessler hævder, at du kunne begynde at overvåge inden for to minutter efter start af installationen. Selvom dette muligvis var en lille overdrivelse, blev vi imponeret over installationens lethed og hastighed. Selvom serveren kun kører på Windows, er brugergrænsefladen webbaseret og kan fås adgang fra enhver browser. Derudover er der en mobilapp, som du kan installere på din smartphone eller tablet.
Det PRTG Network Monitor kan overvåge stort set hvad som helst takket være detsensorbaseret arkitektur. Du kan tænke på sensorer som tilføjelser, der er indbygget lige i produktet, der hver har et specifikt formål. Der er sensorer til HTTP og SMTP / POP3 (e-mail). Der er også hardwarespecifikke sensorer til switches, routere og servere. I alt har værktøjet over 200 forskellige foruddefinerede sensorer.
Det PRTG Network Monitor tilbyder et udvalg af brugergrænseflader. Du har valget mellem en Ajax-baseret webgrænseflade eller en Windows-firmakonsol samt mobile apps til Android og iOS. En dejlig funktion ved mobilapps er, at de kan få alarmer gennem push-anmeldelse. Standard SMS- eller e-mail-underretninger er også tilgængelige.
Det PRTG Network Monitor tilbydes i to versioner. Der er en gratis version, der er fuldt udstyret, men som begrænser din overvågningsevne til 100 sensorer med hver overvåget parameter, der tæller som en sensor. For at overvåge hver port på en 48-port switch skal du f.eks. Have 48 sensorer. For mere end 100 sensorer skal du købe en licens. De starter ved $ 1 600 for 500 sensorer. Du kan også få en gratis, sensor-ubegrænset og fuldt udstyret 30-dages prøveversion.
3- Scrutinizer
Scrutinizer fra Plixer er en anden stor NetFlow Analyzer. Faktisk er det endnu mere end det, og mange betragter det som et komplet responssystem på hændelser. Med sin evne til at overvåge forskellige flowtyper som NetFlow, J-flow, NetStream, sFlow og IPFIX er du ikke begrænset til kun at overvåge Cisco-enheder.
Med det hierarkiske design, Scrutinizer tilbyder strømlinet og effektiv dataindsamlingog giver dig mulighed for at starte en lille og let skala måde op til mange millioner strømme i sekundet. Netværket får ofte først skylden, når noget går galt. Med Scrutinizer kan du hurtigt finde den egentlige årsag til de fleste ethvert netværksproblemer. Scrutinizer fungerer i både fysiske og virtuelle miljøer og leveres med avancerede rapporteringsfunktioner.
Scrutinizer kommer i fire licensniveauer, der går fragrundlæggende gratis version til det fulde SCR-niveau, der kan skalere op til over 10 millioner strømme i sekundet. Den gratis version er begrænset til 10 tusind strømme i sekundet, og den vil kun opbevare data om rå flow i 5 timer, men det skal være mere end nok til at fejlfinde netværksproblemer. Du kan også prøve ethvert licenslag i 30 dage, hvorefter det vender tilbage til den gratis version.
4- ManageEngine NetFlow Analyzer
Det ManageEngine NetFlow Analyzer giver netværksadministratoren en detaljeret oversigtaf brug af netværksbåndbredde samt trafikmønstre. Produktet styres af en webbaseret interface og tilbyder et imponerende antal forskellige visninger på dit netværk.
Du kan f.eks. Se trafik efterapplikation, ved samtale, efter protokol og flere flere indstillinger. Du kan også indstille advarsler for at advare dig om potentielle problemer. For eksempel kan du indstille en trafikgrænse på en bestemt grænseflade og blive advaret, når trafikken overskrider den.
Men det meste af produktets styrke kommerfra dens rapporter og betjeningspanel. Værktøjet leveres med flere meget nyttige forudbyggede rapporter, der er specifikt skræddersyet til specifikke formål såsom fejlfinding, kapacitetsplanlægning eller fakturering. Men du sidder ikke fast med indbyggede rapporter, da værktøjet også tillader administratorer at oprette tilpassede rapporter efter deres smag.
Hvad angår værktøjets instrumentbræt, som vi nævnte, er detlige så imponerende som dens rapporter. Det inkluderer adskillige cirkeldiagrammer med ting som top applikationer, top protokoller eller top samtaler. Det kan også vise et varmekort med status for de overvågede grænseflader. Og som du måske har gætt, kan dashboards tilpasses til kun at omfatte de oplysninger, du finder nyttige. Dashboardet er også hvor advarsler vises i form af pop-ups. Og for den farten netværksadministrator er der en smartphone-app, der giver dig adgang til instrumentbrættet og rapporter.
Det ManageEngine NetFlow Analyzer understøtter de fleste flowteknologier inklusive NetFlow(selvfølgelig), IPFIX, J-flow, NetStream og et par andre. Som en bonus har også den fremragende integration med Cisco-enheder med support til justering af trafikformning og / eller QoS-politikker lige fra værktøjet.
Som mange konkurrerende produkter, ManageEngine NetFlow Analyzer findes i to versioner. Den gratis version vil være identisk med den betalte i de første 30 dage, men den vil derefter vende tilbage til kun at overvåge to grænseflader af strømme. Selvom dette ikke er meget, kan det være alt hvad du har brug for. Hvis du vil have den betalte version, er licenser tilgængelige i flere størrelser fra 100 til 2500 grænseflader eller strømmer med priser, der varierer mellem ca. $ 600 til over $ 50K plus årlige vedligeholdelsesgebyrer.
Hvad med S-Flow-overvågningsværktøjer?
Alle de produkter, vi netop har gennemgået, vil indsamleog analysere sFlow-data ud over NetFlow. I hybridmiljøer ville de alle være gode valg. Men hvis du kun har sFLow-udstyr, vil du måske hellere vælge et værktøj, der kun understøtter denne teknologi.
5- inMon sFlowTrend
sFlowTrend er et gratis overvågningsværktøj fra inMon, virksomhedenbag sFlow-teknologien. Denne gratis version af softwaren giver dig mulighed for at samle data fra op til fem sFlow-aktiverede enheder og vil kun opbevare historiedata i RAM i op til en time. Og hvis du vil intensivere tingene, kan du opgradere til pro-versionen - selvfølgelig til en pris - som fjerner antallet af enhedsgrænser og gemmer ubegrænset historiedata på disken.
Det sFlowTrend Dashboard giver et hurtigt overblik over den aktuelletilstand af de overvågede enheder og netværk, det inkluderer tærskler på topniveau og grænseflader med potentielle fejl. Når man klikker på fanen Netværk, afslører sflowTrend opsummerede effektivitetsstatistikker og detaljeret trafik på netværks- eller enhedsniveau. Alert-tærskler kan defineres. Det giver dig mulighed for at modtage advarsler, når der bruges højere end sædvanlig båndbredde eller netværksfejl. Der er endda en rodårsagsfane, hvor du kan uddybe årsagen til et problem, såsom en tærskelovertrædelse.
Fanen Værter er der, hvor du finder mere detaljeretinformation om hver enhed. Det leverer ydelsesdata på netværk, CPU, disk osv. Til sFlow-aktiverede servere - inklusive virtuelle. Under fanen Tjenester finder du ydelsesdata til applikationer (inklusive forskellige webservere), der eksporterer sFlow-data. På fanen Begivenheder finder du en log over begivenheder som overskredet tærskler eller opdagede fejl. Og til sidst indeholder fanen Rapporter flere foruddefinerede rapporter, men det understøtter også oprettelse af tilpassede rapporter. Det er her du skal køre rapporter og derefter se deres resultater.
sFlowTrend er skrevet i Java og leveres med både enJava-baseret eller webbaseret brugergrænseflade. Det er tilgængeligt til Windows, Macintosh og Linux. Der er også online hjælp, der er tilgængelig til at hjælpe dig med at konfigurere og bruge værktøjet. Det er et godt værktøj, især for mindre organisationer med sFlow-aktiveret udstyr. Og opgraderingsstien til pro-versionen gør det til et lige så gyldigt valg for større netværk.
Kommentarer