El análisis de flujo es la nueva ola en la redvigilancia. Permite a los administradores y gerentes tener una visión más clara no solo de cuánto tráfico está pasando sino también de qué tipo de tráfico. Y al depurar cuellos de botella, ralentizaciones o todo tipo de problemas de red, tener esa visibilidad es esencial. Y no es solo para depurar, tener una visibilidad clara también es importante para la planificación de la capacidad. Hoy, echamos un vistazo a los mejores colectores y analizadores sFlow gratuitos del mercado. Similar al NetFlow de Cisco o su IPFIX descendiente abierto pero al mismo tiempo muy diferente, sFlow, un protocolo (casi) independiente del proveedor, puede brindar a los administradores de la red una visión detallada de lo que está sucediendo en sus redes.
Hay varias formas de obtener cierto grado devisibilidad sobre lo que sucede en su red. El Protocolo simple de administración de red o SNMP se puede usar para leer el contador en los dispositivos y calcular la utilización del ancho de banda de cada interfaz. Esto puede ser suficiente para redes más pequeñas. Ping, traceroute (o tracert), nmap y netstat pueden ayudar con la resolución de problemas básicos, pero, para una imagen completa, nada supera el análisis de flujo.
En este artículo, comenzaremos discutiendo quésFlow es, cómo funciona y cómo puede ser útil. También lo compararemos con NetFlow, que es una especie de primo lejano de sFlow. Aunque los colectores y analizadores sFlow y NetFlow son a menudo uno y el mismo, verá que en realidad son muy diferentes. Luego procederemos con nuestros cinco mejores recopiladores y analizadores gratuitos de sFlow.
¿Qué es sFlow?
La "S" en sFlow significa "muestreo". Esto es crucial para su funcionamiento y, como veremos pronto, es cómo se diferencia de otros sistemas de análisis de flujo. La mayor parte de la magia de sFlow ocurre dentro de los dispositivos monitoreados. Es por eso que solo funcionará en dispositivos habilitados para sFlow. Afortunadamente, hay muchos de estos dispositivos, especialmente entre los principales fabricantes de equipos de red.
Aunque el sFlow.org consortium ahora mantiene el estándar, sFlow es una creación de inMon corporation que aún ejerce un control casi absoluto sobre la evolución del sistema. Los principales fabricantes de equipos como Alcatel-Lucent, Brocade, Aruba, Cisco, Dell, Hewlett Packard, IBM, y muchos más incluyen soporte de sFlow, muchos de sus equipos de conmutación. De hecho, más de 300 fabricantes incluyen sFlow en sus productos.
El objetivo principal de sFlow es controlar la alta velocidadredes. Es un protocolo de muestreo de paquetes sin estado. la parte "Flujo" del nombre del protocolo puede ser engañosa ya que sFlow en realidad no tiene la noción de agregar paquetes de datos en flujos de alto nivel. Solo funciona en términos de paquetes.
En su raíz, sFlow hace un muestreo general de paquetesque abarca capas hasta 7. Ejecutando dentro del dispositivo de red, el exportador sFlow recopila prefijos de un subconjunto de todos los paquetes que pasan a través de una interfaz. La configuración de la frecuencia de muestreo permite a los gerentes elegir muestrear un paquete cada N paquete. El exportador también elige paquetes aleatorios y los incluye. El exportador ensambla los bytes iniciales de cada paquete muestreado junto con los contadores del dispositivo y lo envía al recopilador sFlow como un datagrama sFlow usando UDP. El dispositivo no almacena en caché ninguno de los datos o el paquete muestreado, lo que reduce el uso de recursos y facilita el escalado a redes de alta velocidad.
sFlow vs Netflow, ¿Cuál es la diferencia?
A pesar de sus nombres similares y a pesar del hechoque muchos coleccionistas y analizadores pueden trabajar con NetFlow y sFlow, los dos son realmente muy diferentes, especialmente en la forma en que cada uno realiza su tarea.
Avi Freedman, cofundador y CEO de Kentik, haceLa siguiente analogía para monitorear el tráfico rodado que resume bastante bien la diferencia entre NetFlow y sFlow: “… mientras que NetFlow puede describirse como observar patrones de tráfico ('¿Cuántos autobuses iban de aquí para allá?'), con sFlow solo está tomando instantáneas de cualquier automóvil o autobús por el que pasen en ese momento en particular ”. Si bien esta es una gran analogía, también es un tanto engañosa ya que puede llevar a creer que NetFlow proporciona más información que sFlow y, por lo tanto, es mejor.
Si bien es probable que sea cierto que obtienes másinformación de NetFlow de la que obtiene de sFlow, que no necesariamente lo convierte en un mejor protocolo. Para empezar, el uso de recursos-memoria y CPU de NetFlow es mucho mayor que el de sFlow. Esto tenderá a hacer que sFlow sea una opción más interesante para dispositivos de gama baja. También está todo el aspecto de cuánta información es demasiada información. Sí, NetFlow podría recopilar más información, pero ¿la necesita? ¿Y su analizador es incluso capaz de usarlo?
La gran pregunta: ¿Debo usar NetFlow o sFlow?
Hacer la pregunta es fácil pero proporciona un buenLa respuesta es casi imposible. Como dijimos anteriormente, muchos recolectores y analizadores manejarán la información de NetFlow y sFlow. Y hay una buena cantidad de dispositivos de red que también admitirán ambos protocolos, lo que hace que la selección de uno sobre el otro sea aún más difícil. El principal factor decisivo probablemente debería ser lo que admite su equipo.
¿Pero realmente tienes que elegir lados? Tanto NetFlow como sFlow son sistemas excelentes. ¿Por qué no, entonces, usar ambos con un colector y un analizador que sea compatible? Podrá tener datos de flujo detallados de sus dispositivos habilitados para sFlow y sus dispositivos habilitados para Netflow.
¿Qué pasa con los dispositivos que tienen ambos protocolos?construido? Muchos dispositivos Cisco, por ejemplo, pueden usar cualquiera. En estas situaciones, me vería tentado a recomendar el uso de sFlow ya que su uso de recursos es menor. A menos que, por supuesto, tenga algún uso para la información adicional que NetFlow puede proporcionar.
Los mejores colectores y analizadores sFlow gratuitos
Hemos buscado en Internet lo mejor gratisColectores y analizadores de flujo. Entre los que encontramos, algunos son paquetes verdaderamente gratuitos. Otros son software comerciales que ofrecen una versión de prueba gratuita o una versión gratuita reducida. Además, algunos solo admitirán sFlow, mientras que otros también trabajarán con sFlow y NetFlow, lo que los hará aún más versátiles. Hemos revisado cada uno de los cinco paquetes principales y estamos presentando nuestros hallazgos. Aquí está la lista de nuestros 5 paquetes principales.
- SolarWinds sFlow Collector and Analyzer
- inMon sFlowTrend
- Analizador ManageEngine NetFlow
- ntopng y nProbe
- Analizador Plixer
1. SolarWinds sFlow Collector and Analyzer (PRUEBA GRATIS)
SolarWinds es un nombre bien conocido en la redarena de gestión. La compañía fabrica algunos de los mejores programas para ayudar a los administradores de red a obtener una mejor visibilidad de lo que sucede con sus equipos. Su producto estrella se llama Network Performance Monitor.
SolarWinds también es conocido por hacer una amplia gamade productos gratuitos y útiles. Van desde calculadoras de direcciones IP para ayudar a los principiantes a calcular subredes y direcciones de host para completar, aunque limitados, sistemas de monitoreo de diferentes tipos. Uno de esos productos, el analizador de flujo de red en tiempo real SolarWinds, apareció en un artículo anterior. Es posible que desee leerlo para todos los detalles.
Pero el artículo de hoy trata sobre sFlow en lugar deNetFlow. Y aunque SolarWinds no tiene un sFlow gratuito equivalente a su analizador NetFlow en tiempo real, tiene el recopilador y analizador sFlow como una característica de su analizador de tráfico NetFlow o NTA. Este último es un módulo de Network Performance Monitor o NPM. Y aunque tanto NTA como NPM no son productos gratuitos, hay disponible una versión de prueba gratuita de 3 días. De hecho, SolarWinds es una versión de prueba de 30 días de la mayoría de sus productos. Por lo tanto, puede probar cualquiera de ellos sin riesgos.
Enlace de descarga: https://www.solarwinds.com/netflow-traffic-analyzer
Entonces, a pesar de su nombre algo engañoso, elSolarWinds NetFlow Traffic Analyzer manejará los datos de NetFlow y sFlow. Esto lo convierte en una opción ideal en un entorno diversificado donde algunos dispositivos admiten un protocolo, mientras que otros admiten uno diferente. Y como recopilador de sFlow, NTA recopilará cualquier información de sFlow de los dispositivos que supervisa.
Combinados, NPM y NTA cuentan con unImpresionante variedad de funcionalidades para ayudar a cualquier administrador en la gestión de redes de múltiples proveedores. Obtiene monitoreo de ancho de banda mediante SNMP, análisis de tráfico, análisis de rendimiento, alertas, informes, optimización de políticas y mucho más.
Por defecto, el analizador de tráfico de NetFlowLa página de resumen mostrará varias secciones, como las 5 aplicaciones principales, los 5 puntos finales superiores, las 5 conversaciones principales o las 10 fuentes principales por porcentaje de utilización del ancho de banda. Y como analizador de flujo, puede identificar usuarios, aplicaciones y protocolos que consumen la mayor cantidad de ancho de banda, lo que permite a los administradores encontrar rápidamente la fuente de cualquier congestión observada. Y puede ordenar los resultados mostrados de acuerdo con varios criterios, como puerto, origen, destino, protocolo, etc. También le permite a uno ver los patrones de tráfico en minutos, días o meses.
Tanto NTA como NPM son software de nivel empresarial,diseñado para escalar a redes muy grandes con cientos, si no miles, de dispositivos. Por lo tanto, consumirán recursos considerables en su sistema y deben instalarse en hardware dedicado. Pero si está administrando una red de este tipo con numerosos dispositivos habilitados para sFlow, vale la pena probar la colección y el análisis de sFlow de NTA. Necesitará algunos esfuerzos para implementarlo, pero serán bien recompensados.
2. inMon sFlowTrend
inMon, la compañía detrás de sFlow, tiene su propio servicio gratuitoherramienta de monitoreo en forma de su software sFlowTrend. Es una herramienta básica y algo limitada pero muy capaz. La versión gratuita del software le permite recopilar datos de hasta cinco conmutadores, enrutadores o hosts habilitados para sFlow y solo mantendrá los datos del historial en la RAM durante hasta una hora. Debería ser suficiente para solucionar la mayoría de los problemas de red. Y si desea avanzar, puede actualizar a la versión pro, a un costo, por supuesto, que elimina el límite de la cantidad de dispositivos y almacena los datos del historial en el disco.
La pestaña del Panel de control de sFlowTrend proporciona un rápidovista del estado actual de los dispositivos y redes monitoreados, incluye umbrales de nivel superior e interfaces con posibles errores. Cuando uno hace clic en la pestaña Red, sflowTrend revela estadísticas resumidas de rendimiento y tráfico detallado a nivel de red o dispositivo. Se pueden definir umbrales de alerta. Le permite recibir alertas cuando se produce un uso de ancho de banda superior al habitual o un error de red. Incluso hay un causa principal pestaña donde puede profundizar en la causa de un problema, como una violación del umbral.
La pestaña Hosts es donde encontrarás más detallesinformación sobre cada dispositivo. Proporciona datos de rendimiento en red, CPU, disco, etc., para servidores habilitados para sFlow, incluidos los virtuales. En la pestaña Servicios, encontrará datos de rendimiento para aplicaciones (incluidos varios servidores web) que exportan datos de sFlow. En la pestaña Eventos, encontrará un registro de eventos como umbrales excedidos o errores detectados. Y, por último, la pestaña Informes proporciona varios informes predefinidos, pero también admite la creación de informes personalizados. Aquí es donde irá para ejecutar informes y luego ver sus resultados.
sFlowTrend está escrito en Java y viene con ambosuna interfaz de usuario basada en Java o en la web. Está disponible para Windows, Macintosh y Linux. También hay ayuda en línea disponible para ayudarlo a configurar y usar la herramienta. Es una gran herramienta, especialmente para organizaciones más pequeñas con equipos habilitados para sFlow. Y la ruta de actualización a la versión pro la convierte en una opción igualmente válida para redes más grandes.
3. Analizador ManageEngine NetFlow
Aunque principalmente es un colector y analizador de NetFlow,ManageEngine NetFlow Analyzer también manejará los datagramas de sFlow que sus dispositivos habilitados para sFlow le arrojarán. Es otra gran pieza de software de una compañía que se sabe que proporciona herramientas de administración de alta calidad. La herramienta le brinda visibilidad sobre el tráfico y el ancho de banda por aplicación, conversación o protocolo. También puede configurar alertas basadas en umbrales de tráfico.
El analizador ManageEngine NetFlow viene con unGran variedad de informes útiles predefinidos. Algunos ayudarán con la resolución de problemas, otros con la planificación de la capacidad y otros se pueden usar con fines de facturación, para aquellas organizaciones que revenden sus infraestructuras. Y, por supuesto, también existe la posibilidad de crear informes personalizados.
Una característica única del panel de control basado en la web esun mapa de calor que muestra de un vistazo el estado de las interfaces monitoreadas, así como gráficos circulares en tiempo real que muestran las principales aplicaciones, protocolos y conversaciones, alarmas recientes y más.
La versión gratuita viene con limitaciones importantes. Por ejemplo, si bien permitirá un monitoreo ilimitado durante 30 días, volverá a monitorear solo dos interfaces. No es mucho, pero podría ser suficiente para una sesión rápida de solución de problemas, siempre que sepa exactamente dónde buscar. Por supuesto, puede actualizar a la versión paga para eliminar la limitación de dos interfaces. Y ManageEngine también ofrece varios productos relacionados que trabajan juntos para expandir el análisis de tráfico básico en un conjunto completo de administración de red.
4. ntopng y nProbe
ntopng es un verdadero análisis de tráfico de código abiertoherramienta. Monitorea pasivamente redes basadas en datos de flujo y captura de paquetes. Solo un analizador, ntopng se basa en nProbe, un recopilador, para recopilar datos de flujo de dispositivos y hosts que lo exportan. nProbe admite varios tipos diferentes de datos de flujo, incluidos NetFlow y sFlow. Juntos, forman un dúo muy potente de monitoreo y solución de problemas.
ntopng viene con una interfaz de usuario basada en la webdonde la información se presenta de varias maneras diferentes, como el tráfico (por ejemplo, los que hablan más), los flujos, los hosts, los dispositivos y las interfaces. La visualización de flujo es probablemente una de las más interesantes, ya que presenta protocolos de aplicación y puede mostrar latencia u otras estadísticas TCP, como la pérdida de paquetes. También puede usar ntopng para configurar alertas basadas en varios umbrales y criterios diferentes.
ntopng está disponible en tres versiones, Comunidad,Profesional y empresarial. La versión comunitaria es de uso gratuito. Professional y Enterprise ofrecen algunas características adicionales y están disponibles para su compra.
En cuanto a nProbe, se puede usar de forma gratuita pero eslimitado a 25000 flujos exportados. Si bien puede parecer mucho, alcanzarás rápidamente ese número. Por supuesto, puede eliminar las restricciones comprando licencias.
5. Examinador Plixer
Scrutinizer de Plixer es muy sofisticado"Sistema de respuesta a incidentes" como se indica en el sitio web de Plixer. Sin embargo, no dejes que el nombre elegante te engañe. Más que nada, Scrutinizer es un excelente sistema de monitoreo de red. Es muy completo y completo y, de particular interés en el contexto de este artículo, manejará los datos de sFlow y NetFlow.
Scrutinizer ofrece uno de los más escalablessoluciones en el mercado. Se dice que tiene los informes más rápidos y proporciona el contexto de datos más rico disponible en cualquier lugar. Tiene acceso basado en roles para presentar diferentes equipos con solo los datos que necesitan. Diseñado para un alto rendimiento y escalabilidad de entornos pequeños a muy grandes. Proporciona una amplia gama de funciones de análisis e informes.
Hay varias formas en que se puede configurar Scrutinizer. Puede instalarlo como un dispositivo dedicado. También puede como servidor virtual. Y también se puede ejecutar en forma de software como servicio donde se ejecutaría en la nube. En ese modo, puede optar por usar la nube pública de Plixer o una privada. Este es un gran sistema y necesita muchos recursos. Deberá configurarlo en un servidor robusto, con, por ejemplo, 16 GB de RAM.
Scrutinizer está disponible en cuatro diferentesniveles de licencia. Existe la versión gratuita, que no es una versión de prueba, sino una versión gratuita real, que admitirá hasta 10 mil flujos por segundo, mantendrá los datos de flujo durante 5 horas y los resúmenes históricos durante una semana. Luego, tiene tres niveles de versiones pagas que varían según la cantidad de flujos por segundo que admiten y el historial que mantienen. Además, cada nivel superior agrega algunas características adicionales a un conjunto de características ya rico.
En conclusión
Si su red está compuesta principalmente des Dispositivos habilitados para flujo, hay algunas herramientas excelentes disponibles que le brindarán una visión invaluable del comportamiento de su red. Y si tiene dispositivos habilitados para sFlow y NetFlow, algunos de ellos admitirán cualquiera de los protocolos. Su elección final dependerá, más que nada, del tamaño actual de su red, qué protocolo admiten sus dispositivos y la evolución esperada de su red. Estas herramientas tardan un tiempo en configurarse y desea elegir la correcta desde el principio. Podría salvarlo de un reemplazo complicado en el futuro.
Comentarios