NetFlow de Cisco y sFlow de inMon son dos similaresSin embargo, diferentes tecnologías de monitoreo que pueden proporcionarle una vista cualitativa del tráfico de su red. Mientras que las herramientas de monitoreo de ancho de banda solo le dicen cuánto tráfico pasa por un punto específico, las herramientas de análisis de flujo le dirán cuáles son esos datos, de dónde provienen y hacia dónde van, y algunos otros datos útiles. Hoy, compararemos las dos tecnologías y echaremos un vistazo a algunas de las mejores herramientas disponibles para cada una. Revisaremos algunos de los mejores analizadores y recopiladores de NetFlow y sFlow que pudimos encontrar.
Comenzaremos describiendo NetFlow. Haremos todo lo posible para explicar qué es y cómo funciona mientras mantenemos nuestra discusión lo más no técnica posible. Luego haremos el mismo ejercicio con sFlow y haremos todo lo posible para explicar la tecnología. Después de eso, veremos cómo difieren las dos tecnologías. Al igual que antes, nos mantendremos alejados de los detalles técnicos básicos. A continuación, intentaremos responder la pregunta candente: ¿cuál debo usar? Como verá, no hay una respuesta clara y definitiva. Finalmente, revisaremos algunas de las mejores herramientas de análisis de flujo que pudimos encontrar.
NetFlow: la tecnología de análisis de flujo original
Desarrollado por Cisco Systems, la tecnología NetFlowse introdujo en sus enrutadores para proporcionar la capacidad de recopilar datos sobre el tráfico de la red a medida que entra o sale de una interfaz. Estos datos pueden ser analizados por aplicaciones especializadas para extraer el origen y el destino del tráfico, su clase de servicio y, por extensión, las causas de la congestión.
Una configuración de monitoreo típica de NetFlow consta de tres componentes principales:
- los exportador de flujo agrega paquetes en flujos y exporta registros de flujo hacia uno o más recolectores de flujo.
- los colector de flujo es responsable de la recepción, el almacenamiento y el procesamiento previo de los datos de flujo recibidos de un exportador de flujo.
- los analizador de flujo, o aplicación de análisis de flujo, se utiliza para analizar los datos de flujo recibidos. El análisis se puede utilizar para la creación de perfiles de tráfico o para la resolución de problemas de red.
Cómo funciona NetFlow
Los dispositivos de red que admiten NetFlow generanflujo de registros y enviarlos a un colector NetFlow. Un flujo, en este contexto, es una conversación completa en el sentido de IP. El dispositivo que prepara los registros de flujo normalmente los envía al recopilador cuando determina que el flujo ha finalizado ya sea por caducidad, cuando no ha habido tráfico en un tiempo de espera específico, o cuando ve una terminación de sesión TCP.
La información de registro de flujo sobre el flujo talcomo las interfaces de entrada y salida, las marcas de tiempo de inicio y finalización del flujo, la cantidad de bytes y paquetes que contiene, los encabezados de la capa 3, la dirección IP de origen y destino y el número de puerto, el protocolo IP y el valor TOS. Los registros de flujo no contienen los datos reales que conformaron el flujo, solo contienen información sobre el flujo. Esta es una característica de seguridad importante de esta tecnología.
Excepto en un gran entorno multisitio, el flujoLos recolectores a los que se envían los registros también son analizadores de flujo. Utilizan la información contenida en los registros de flujo para presentar datos sobre el tráfico de red de una manera que sea útil para los administradores de red. Los diferentes recopiladores y analizadores de NetFlow tendrán diferentes formas de presentar los datos.
sFlow - Un pariente distante
La "s" en sFlow significa "muestreo". Esto es crucial para su funcionamiento y es donde difiere de otros sistemas de análisis de flujo. Esta tecnología solo funciona con dispositivos habilitados para sFlow, al igual que NetFlow. Afortunadamente, estos dispositivos son bastante comunes entre los principales fabricantes de equipos de redes.
El estándar sFlow es mantenido por sFlow.org consortium pero es una creación de inMon Corporation que aún ejerce un control casi absoluto sobre su evolución y desarrollo. Los principales fabricantes de equipos como Alcatel-Lucent, Aruba, Brocade, Cisco, Dell, Hewlett Packard, IBM y muchos más, más de 300, incluyen soporte sFlow en muchos de sus productos.
sFlow es un protocolo de muestreo de paquetes sin estado. La parte "Flujo" del nombre del protocolo puede ser engañosa ya que sFlow en realidad no tiene la noción de agregar paquetes de datos en flujos de alto nivel como lo hace NetFlow. Solo funciona en términos de paquetes.
El muestreo general de paquetes de sFlow abarca capashasta 7. Ejecutando dentro del dispositivo de red, el exportador sFlow recopila prefijos de un subconjunto de todos los paquetes que pasan a través de la interfaz monitoreada. Los administradores pueden elegir muestrear un paquete por cada paquete N, pero el exportador también elige paquetes aleatorios y los incluye en su registro. El exportador ensambla los bytes iniciales de cada paquete muestreado junto con los contadores del dispositivo y lo envía al recopilador sFlow. El dispositivo no almacena en caché ninguno de los datos o el paquete muestreado, lo que reduce el uso de recursos y facilita el escalado a redes de alta velocidad.
NetFlow y sFlow: ¿cuál es la diferencia?
A pesar de tener nombres, propósitos y objetivos similares, NetFlow y sFlow son en realidad bastante diferentes, particularmente en la forma en que cada uno realiza su tarea.
Avi Freedman, cofundador y CEO de Kentik, resume la diferencia entre NetFlow y sFlow con una analogía: "... mientras que NetFlow puede describirse como observaciónpatrones de tráfico ("¿Cuántos autobuses iban de aquí para allá?"), con sFlow solo está tomando instantáneas de los automóviles o autobuses que pasan en ese momento en particular."No permita que esta analogía simplista lo lleve ciegamente a creer que NetFlow proporciona más información que sFlow y, por lo tanto, es una tecnología mejor.
Aunque probablemente obtenga más información deNetFlow que de sFlow, no necesariamente lo convierte en un mejor protocolo. Por ejemplo, el uso de recursos de NetFlow es mucho mayor que el de sFlow. Esto tenderá a hacer que sFlow sea una opción más interesante para dispositivos de gama baja. Y aunque NetFlow podría recopilar más información, ¿realmente la necesita y su analizador es capaz de usarla?
¿Cuál debo usar?
La mayoría de los coleccionistas y analizadores manejarán ambosLa información de NetFlow y sFlow y muchos dispositivos de red también son compatibles con ambos. El principal factor decisivo probablemente debería ser lo que admite su equipo. Si alguno de sus equipos admite uno pero no el otro, este es el que debe elegir. Si en su mayoría tiene equipos Cisco, ¿por qué no optar por NetFlow, ya que es el propio protocolo de Cisco?
Sin embargo, no tienes que elegir lados. Tanto NetFlow como sFlow son excelentes tecnologías. ¿Por qué no usar ambos con un colector y un analizador que puedan admitirlos? Podrá obtener datos de flujo de sus dispositivos habilitados para sFlow y de sus dispositivos habilitados para Netflow.
Algunas de las mejores herramientas de monitoreo de NetFlow
Estos son algunos de los mejores colectores NetFlow yanalizador de herramientas que pudimos encontrar. Hemos incluido una combinación de herramientas para darle una mejor idea de la variedad de herramientas disponibles. Todos son compatibles con el monitoreo de NetFlow y todas sus variantes, como J-flow o IPFIX, solo por nombrar algunos.
1- Analizador de tráfico SolarWinds NetFlow (Prueba gratis)
SolarWinds es uno de los fabricantes más conocidos deherramientas de administración de redes y sistemas. Muchos consideran que su producto estrella, llamado Monitor de rendimiento de red, es la mejor herramienta de monitoreo de ancho de banda de red. Asimismo, el Analizador de tráfico SolarWinds NetFlow—Que se instala en la parte superior de Network Performance Monitor — es uno de los mejores recopiladores y analizadores IPFIX que puede encontrar.
- PRUEBA GRATIS: Analizador de tráfico SolarWinds NetFlow
- Enlace de descarga: https://www.solarwinds.com/network-bandwidth-analyzer-pack/registration
Algunos de los Analizador de tráfico SolarWinds NetFlowLas mejores características incluyen:
- Supervisión del uso del ancho de banda por aplicación, por protocolo y por grupo de direcciones IP.
- Supervisión de datos de flujo IPFIX, Cisco NetFlow, Juniper J-Flow, sFlow y Huawei NetStream que le permiten identificar qué dispositivos, aplicaciones y protocolos son los consumidores de mayor ancho de banda.
- Recopilar datos de tráfico, correlacionarlos en un formato utilizable y presentarlos al usuario a través de una interfaz basada en web para monitorear el tráfico de red.
- Identificar qué aplicaciones y categorías consumen la mayor cantidad de ancho de banda para una mejor visibilidad del tráfico de red (incluido el soporte de Cisco NBAR2).
los Analizador de tráfico SolarWinds NetFlow es un complemento para el Monitor de ancho de banda de red. Puede ahorrar adquiriendo ambos al mismo tiempo que Paquete de analizador de ancho de banda de red de SolarWinds. Los precios del paquete comienzan en $ 4 910 pormonitoriza hasta 100 elementos y varía según el número de dispositivos monitorizados. Si bien esto puede parecer un poco costoso, tenga en cuenta que no obtendrá una sino dos de las mejores herramientas de monitoreo disponibles. Si prefiere probar el producto antes de comprarlo, puede descargar una prueba gratuita de 30 días de SolarWinds.
2- PRTG Network Monitor
los PRTG Network Monitor de Paessler AG es una solución todo en uno cuyaEl propósito principal es monitorear la utilización del ancho de banda. También se usa para monitorear la disponibilidad y el estado de los diferentes recursos de la red. Estas características lo convierten en una herramienta útil para los administradores de red. La herramienta puede monitorear dispositivos en múltiples sitios y puede monitorear LAN, WAN, VPN y servicios en la nube.
Instalar este producto es rápido y fácil. Después de ejecutar el instalador, el proceso de descubrimiento automático descubre dispositivos y configura sensores. Paessler afirma que puede comenzar a monitorear dentro de los dos minutos posteriores al inicio de la instalación. Si bien esto podría ser una exageración leve, nos impresionó la facilidad y rapidez de la instalación. Aunque el servidor se ejecuta solo en Windows, la interfaz de usuario está basada en la web y se puede acceder desde cualquier navegador. Además, hay una aplicación móvil que puede instalar en su teléfono inteligente o tableta.
los PRTG Network Monitor puede monitorear casi cualquier cosa, gracias a suarquitectura basada en sensores. Puede pensar en los sensores como complementos integrados en el producto, cada uno con un propósito específico. Hay sensores para HTTP y SMTP / POP3 (correo electrónico). También hay sensores específicos de hardware para conmutadores, enrutadores y servidores. En total, la herramienta tiene más de 200 sensores predefinidos diferentes.
los PRTG Network Monitor ofrece una selección de interfaces de usuario. Puede elegir una interfaz web basada en Ajax o una consola empresarial de Windows, así como aplicaciones móviles para Android e iOS. Una buena característica de las aplicaciones móviles es que pueden recibir alertas a través de notificaciones automáticas. Las notificaciones estándar por SMS o correo electrónico también están disponibles.
los PRTG Network Monitor Se ofrece en dos versiones. Existe una versión gratuita con todas las funciones, pero limitará su capacidad de monitoreo a 100 sensores con cada parámetro monitoreado contando como un sensor. Por ejemplo, para monitorear cada puerto de un conmutador de 48 puertos, necesitará 48 sensores. Para más de 100 sensores, debe comprar una licencia. Comienzan en $ 1 600 por 500 sensores. También puede obtener una versión de prueba de 30 días gratuita, ilimitada por el sensor y con todas las funciones.
3- Escrutador
Escrutador Plixer es otro gran analizador de NetFlow. De hecho, es incluso más que eso y muchos lo ven como un sistema completo de respuesta a incidentes. Con su capacidad de monitorear diferentes tipos de flujo como NetFlow, J-flow, NetStream, sFlow e IPFIX, no está limitado a monitorear solo dispositivos Cisco.
Con su diseño jerárquico, Escrutador ofrece una recopilación de datos eficiente y optimizaday le permite comenzar con una escala pequeña y fácil hasta muchos millones de flujos por segundo. A menudo se culpa primero a la red cada vez que algo sale mal. Con Scrutinizer, puede encontrar rápidamente la causa real de la mayoría de los problemas de red. Escrutador funciona en entornos físicos y virtuales y viene con funciones de informes avanzadas.
Escrutador viene en cuatro niveles de licencia que van desde elversión básica gratuita al nivel SCR completo que puede escalar hasta más de 10 millones de flujos por segundo. La versión gratuita está limitada a 10 mil flujos por segundo y solo mantendrá los datos de flujo sin procesar durante 5 horas, pero debería ser más que suficiente para solucionar problemas de red. También puede probar cualquier nivel de licencia durante 30 días, luego de lo cual volverá a la versión gratuita.
4- Analizador ManageEngine NetFlow
los Analizador ManageEngine NetFlow le da al administrador de la red una vista detalladade la utilización del ancho de banda de la red, así como los patrones de tráfico. El producto está controlado por una interfaz basada en la web y ofrece una impresionante cantidad de vistas diferentes en su red.
Puede, por ejemplo, ver el tráfico poraplicación, por conversación, por protocolo y varias opciones más. También puede configurar alertas para advertirle de posibles problemas. Por ejemplo, puede establecer un umbral de tráfico en una interfaz específica y recibir alertas cuando el tráfico lo exceda.
Pero la mayor parte de la fuerza del producto vienede sus informes y tablero. La herramienta viene con varios informes prediseñados muy útiles que están diseñados específicamente para fines específicos, como la resolución de problemas, la planificación de la capacidad o la facturación. Pero no está atascado con los informes integrados, ya que la herramienta también permite a los administradores crear informes personalizados a su gusto.
En cuanto al panel de la herramienta que mencionamos, estan impresionante como sus informes. Incluye varios gráficos circulares con cosas como las mejores aplicaciones, los mejores protocolos o las mejores conversaciones. También puede mostrar un mapa de calor con el estado de las interfaces monitoreadas. Y como habrás adivinado, los paneles se pueden personalizar para incluir solo la información que consideres útil. El tablero también es donde se muestran las alertas en forma de ventanas emergentes. Y para el administrador de la red en movimiento, hay una aplicación para teléfonos inteligentes que le permitirá acceder al tablero y a los informes.
los Analizador ManageEngine NetFlow admite la mayoría de las tecnologías de flujo, incluido NetFlow(por supuesto), IPFIX, J-flow, NetStream y algunos otros. Como beneficio adicional, también tiene una excelente integración con los dispositivos Cisco, con soporte para ajustar la configuración del tráfico y / o las políticas de QoS directamente desde la herramienta.
Al igual que muchos productos de la competencia, el Analizador ManageEngine NetFlow Viene en dos versiones. La versión gratuita será idéntica a la pagada durante los primeros 30 días, pero luego volverá a monitorear solo dos interfaces de flujos. Si bien esto no es mucho, podría ser todo lo que necesita. Si desea la versión paga, las licencias están disponibles en varios tamaños, desde 100 hasta 2500 interfaces o flujos con precios que varían entre aproximadamente $ 600 y más de $ 50K más tarifas anuales de mantenimiento.
¿Qué hay de las herramientas de monitoreo S-Flow?
Todos los productos que acabamos de revisar recogerány analizar datos de sFlow además de NetFlow. Para entornos híbridos, todos serían excelentes opciones. Pero si solo tiene equipo sFLow, quizás prefiera optar por una herramienta que solo sea compatible con esa tecnología.
5- inMon sFlowTrend
sFlowTrend es una herramienta de monitoreo gratuita de inMon, la compañíadetrás de la tecnología sFlow. Esta versión gratuita del software le permite recopilar datos de hasta cinco dispositivos habilitados para sFlow y solo mantendrá los datos del historial en la RAM durante hasta una hora. Y si desea acelerar las cosas, puede actualizar a la versión pro, a un costo, por supuesto, que elimina el límite de la cantidad de dispositivos y almacena datos de historial ilimitados en el disco.
los sFlowTrend El panel de control proporciona una vista rápida del actualestado de los dispositivos y redes monitoreados, incluye umbrales de nivel superior e interfaces con posibles errores. Cuando uno hace clic en la pestaña Red, sflowTrend revela estadísticas resumidas de rendimiento y tráfico detallado a nivel de red o dispositivo. Se pueden definir umbrales de alerta. Le permite recibir alertas cuando se produce un uso de ancho de banda superior al habitual o un error de red. Incluso hay una pestaña de causa raíz donde puede profundizar en la causa de un problema, como una violación del umbral.
La pestaña Hosts es donde encontrarás más detallesinformación sobre cada dispositivo. Proporciona datos de rendimiento en red, CPU, disco, etc., para servidores habilitados para sFlow, incluidos los virtuales. En la pestaña Servicios, encontrará datos de rendimiento para aplicaciones (incluidos varios servidores web) que exportan datos de sFlow. En la pestaña Eventos, encontrará un registro de eventos como umbrales excedidos o errores detectados. Y, por último, la pestaña Informes proporciona varios informes predefinidos, pero también admite la creación de informes personalizados. Aquí es donde irá para ejecutar informes y luego ver sus resultados.
sFlowTrend está escrito en Java y viene con unInterfaz de usuario basada en Java o basada en web. Está disponible para Windows, Macintosh y Linux. También hay ayuda en línea disponible para ayudarlo a configurar y usar la herramienta. Es una gran herramienta, especialmente para organizaciones más pequeñas con equipos habilitados para sFlow. Y la ruta de actualización a la versión pro la convierte en una opción igualmente válida para redes más grandes.
Comentarios