NetFlow de Cisco et sFlow d’inMon sont deux solutions similaires.Cependant, différentes technologies de surveillance peuvent vous fournir une vue qualitative du trafic de votre réseau. Alors que les outils de surveillance de la bande passante vous indiquent uniquement le volume de trafic passant par un point spécifique, les outils d’analyse de flux vous indiquent la nature de ces données, leur origine et leur destination, ainsi que quelques autres informations utiles. Aujourd’hui, nous allons comparer les deux technologies et examiner les meilleurs outils disponibles pour chacune d’elles. Nous allons passer en revue certains des meilleurs analyseurs et collecteurs NetFlow et sFlow que nous avons pu trouver.
Nous allons commencer par décrire NetFlow. Nous ferons de notre mieux pour expliquer en quoi cela consiste et comment cela fonctionne, tout en maintenant notre discussion aussi peu technique que possible. Nous ferons ensuite le même exercice avec sFlow et ferons de notre mieux pour expliquer la technologie. Après cela, nous verrons comment les deux technologies diffèrent. Comme avant, nous allons rester à l’écart des détails techniques essentiels. Nous tenterons ensuite de répondre à la question brûlante: laquelle devrais-je utiliser? Comme vous le verrez, il n’existe pas de réponse claire et définitive. Enfin, nous passerons en revue certains des meilleurs outils d’analyse de flux que nous avons pu trouver.
NetFlow - La technologie originale d'analyse de flux
Développé par Cisco Systems, la technologie NetFlowa été introduit sur leurs routeurs pour permettre de collecter des données sur le trafic réseau à l’entrée ou à la sortie d’une interface. Ces données peuvent être analysées par des applications spécialisées pour extraire la source et la destination du trafic, sa classe de service et, par extension, les causes d'encombrement.
Une configuration de surveillance NetFlow typique comprend trois composants principaux:
- le exportateur de flux agrège les paquets en flux et exporte les enregistrements de flux vers un ou plusieurs collecteurs de flux.
- le collecteur de flux est responsable de la réception, du stockage et du prétraitement des données de flux reçues d'un exportateur de flux.
- le analyseur de flux, ou application d'analyse de flux, est utilisé pour analyser les données de flux reçues. L'analyse peut être utilisée pour le profilage du trafic ou pour le dépannage du réseau.
Comment fonctionne NetFlow
Les périphériques réseau prenant en charge NetFlow génèrentenregistrer les flux et les envoyer à un collecteur NetFlow. Un flux, dans ce contexte, est une conversation complète au sens IP. Le périphérique qui prépare les enregistrements de flux les envoie normalement au collecteur lorsqu'il détermine que le flux est terminé, soit par vieillissement, lorsqu'il n'y a pas eu de trafic dans un délai donné, ou lorsqu'il voit une fin de session TCP.
Les informations d'enregistrement de flux sur le flux telen tant qu'interfaces d'entrée et de sortie, les horodatages de début et de fin du flux, le nombre d'octets et de paquets qu'il contient, les en-têtes de couche 3, l'adresse IP source et de destination et le numéro de port, le protocole IP et la valeur TOS. Les enregistrements de flux ne contiennent pas les données réelles constituant le flux, ils ne contiennent que des informations sur le flux. C'est un élément de sécurité important de cette technologie.
Sauf dans un immense environnement multi-site, le fluxles collecteurs où les enregistrements sont envoyés sont également les analyseurs de flux. Ils utilisent les informations contenues dans les enregistrements de flux pour présenter les données relatives au trafic réseau de manière utile pour les administrateurs réseau. Différents collecteurs et analyseurs NetFlow auront différentes façons de présenter les données.
sFlow - Un parent éloigné
Le «s» dans sFlow signifie «échantillonnage». Ceci est crucial pour son fonctionnement et c'est là où il se distingue des autres systèmes d'analyse de flux. Cette technologie ne fonctionne qu'avec les périphériques compatibles sFlow, tout comme NetFlow. Heureusement, ces appareils sont assez courants chez les principaux fabricants d’équipements réseau.
Le standard sFlow est maintenu par le sFlow.consortium d’organisation, mais c’est le fruit de inMon corporation qui exerce toujours un contrôle quasi absolu sur son évolution et son développement. Les principaux équipementiers tels que Alcatel-Lucent, Aruba, Brocade, Cisco, Dell, Hewlett Packard, IBM et bien d'autres, plus de 300, incluent la prise en charge de sFlow dans nombre de leurs produits.
sFlow est un protocole d'échantillonnage de paquets sans état. La partie «Flux» du nom du protocole peut être trompeuse, car sFlow n’a en fait aucune notion d’agrégation de paquets de données dans des flux de haut niveau, contrairement à NetFlow. Cela ne fonctionne qu'en termes de paquets.
L’échantillonnage de paquets général de sFlow s’étend sur plusieurs couchesÀ travers le périphérique réseau, l'exportateur sFlow collecte les préfixes d'un sous-ensemble de tous les paquets transitant par l'interface surveillée. Les administrateurs peuvent choisir d’échantillonner un paquet tous les N paquets, mais l’exportateur choisit également des paquets aléatoires et les inclut dans son enregistrement. L’exportateur assemble ensuite les octets initiaux de chaque paquet échantillonné avec les compteurs de périphériques et les envoie au collecteur sFlow. Le périphérique ne met en cache aucune des données ni aucun paquet échantillonné, ce qui réduit l'utilisation des ressources et facilite la mise à l'échelle vers des réseaux à haut débit.
NetFlow et sFlow - Quelle est la différence?
Malgré des noms, des objectifs et des objectifs similaires, NetFlow et sFlow sont en réalité très différents, en particulier dans la manière dont chacun accomplit sa tâche.
Avi Freedman, co-fondateur et PDG de Kentik, résume la différence entre NetFlow et sFlow avec une analogie: “… Alors que NetFlow peut être décrit comme observantla circulation (‘Combien d’autobus sont allés d’ici à là-bas?’), avec sFlow, vous ne faites que des instantanés des voitures ou des autobus qui se trouvent à ce moment-là."Ne laissez pas cette analogie simpliste vous amener à croire que NetFlow fournit plus d'informations que sFlow et constitue donc une meilleure technologie.
Bien que vous obteniez probablement plus d’informations deNetFlow qu'à partir de sFlow, cela n'en fait pas nécessairement un meilleur protocole. Par exemple, l’utilisation des ressources de NetFlow est bien supérieure à celle de sFlow. Cela aurait tendance à faire de sFlow une option plus intéressante pour les appareils bas de gamme. Et bien que NetFlow puisse collecter davantage d'informations, en avez-vous vraiment besoin et votre analyseur est-il même capable de l'utiliser?
Lequel devrais-je utiliser?
La plupart des collectionneurs et des analyseurs gèrent les deuxLes informations NetFlow et sFlow ainsi que de nombreux périphériques réseau prennent également en charge les deux. Le principal facteur décisif devrait probablement être ce que votre équipement prend en charge. Si certains de vos équipements prennent en charge l’un mais pas l’autre, c’est celui que vous devriez choisir. Si vous avez principalement des équipements Cisco, pourquoi ne pas opter pour NetFlow car il s’agit d’un protocole propre à Cisco?
Vous n'êtes pas obligé de choisir des côtés, cependant. NetFlow et sFlow sont d'excellentes technologies. Pourquoi ne pas utiliser les deux avec un collecteur et un analyseur pouvant supporter l’un ou l’autre? Vous pourrez obtenir les données de flux de vos appareils compatibles sFlow ainsi que de vos appareils Netflow.
Certains des meilleurs outils de surveillance NetFlow
Voici quelques-uns des meilleurs collectionneurs NetFlow etdes outils d'analyse que nous avons pu trouver. Nous avons inclus divers outils pour vous donner une meilleure idée de la variété des outils disponibles. Ils prennent tous en charge la surveillance NetFlow et toutes ses variantes telles que J-flow ou IPFIX, pour n'en nommer que quelques-unes.
1- Analyseur de trafic SolarWinds NetFlow (Essai gratuit)
SolarWinds est l’un des fabricants les plus connus deoutils d'administration réseau et système. Son produit phare, appelé moniteur de performances réseau, est considéré par beaucoup comme le meilleur outil de surveillance de la bande passante du réseau. De même, le Analyseur de trafic SolarWinds NetFlow—Qui s’installe au-dessus de l’Analyseur de performances réseau - est l’un des meilleurs collecteur et analyseur IPFIX que vous puissiez trouver.
- ESSAI GRATUIT: Analyseur de trafic SolarWinds NetFlow
- Lien de téléchargement: https://www.solarwinds.com/network-bandwidth-analyzer-pack/registration
Certains Analyseur de trafic SolarWinds NetFlowLes meilleures caractéristiques comprennent:
- Contrôle de l'utilisation de la bande passante par application, par protocole et par groupe d'adresses IP.
- Surveillez les données de flux IPFIX, Cisco NetFlow, Juniper J-Flow, sFlow et Huawei NetStream, ce qui lui permet d'identifier les périphériques, les applications et les protocoles consommant le plus de bande passante.
- Collecte des données sur le trafic, mise en corrélation dans un format utilisable et présentation à l'utilisateur via une interface Web pour la surveillance du trafic réseau.
- Identifier les applications et les catégories qui consomment le plus de bande passante pour une meilleure visibilité du trafic réseau (prise en charge de Cisco NBAR2).
le Analyseur de trafic SolarWinds NetFlow est un ajout au Moniteur de bande passante réseau. Vous pouvez économiser en achetant les deux en même temps que le Pack analyseur de bande passante réseau SolarWinds. Les prix pour le forfait commencent à 4 910 $ pourcontrôle jusqu’à 100 éléments et varie en fonction du nombre d’appareils surveillés. Bien que cela puisse sembler un peu coûteux, gardez à l’esprit que vous ne possédez pas un, mais deux des meilleurs outils de surveillance disponibles. Si vous préférez essayer le produit avant de l’acheter, vous pouvez télécharger une version d’essai gratuite de 30 jours à partir de SolarWinds.
2- PRTG Network Monitor
le PRTG Network Monitor de Paessler AG est une solution tout-en-un dontl'objectif principal est de surveiller l'utilisation de la bande passante. Il sert également à surveiller la disponibilité et la santé de différentes ressources réseau. Ces fonctionnalités en font un outil utile pour les administrateurs réseau. L'outil peut surveiller des appareils sur plusieurs sites et des services LAN, WAN, VPN et Cloud.
L'installation de ce produit est rapide et facile. Après avoir exécuté le programme d'installation, le processus de découverte automatique découvre les périphériques et configure les capteurs. Paessler affirme que vous pourriez commencer à surveiller en moins de deux minutes à compter du début de l'installation. Bien que cela puisse sembler un peu exagéré, nous avons été impressionnés par la facilité et la rapidité d’installation. Bien que le serveur ne fonctionne que sous Windows, l'interface utilisateur est basée sur le Web et est accessible à partir de n'importe quel navigateur. En outre, il existe une application mobile que vous pouvez installer sur votre smartphone ou votre tablette.
le PRTG Network Monitor peut surveiller à peu près n'importe quoi, grâce à sonarchitecture à base de capteurs. Vous pouvez considérer les capteurs comme des add-ons intégrés au produit, chacun ayant un objectif spécifique. Il existe des capteurs pour HTTP et SMTP / POP3 (courrier électronique). Il existe également des capteurs spécifiques au matériel pour les commutateurs, les routeurs et les serveurs. Au total, l'outil dispose de plus de 200 capteurs prédéfinis différents.
le PRTG Network Monitor offre une sélection d'interfaces utilisateur. Vous avez le choix entre une interface Web basée sur Ajax ou une console d'entreprise Windows, ainsi que des applications mobiles pour Android et iOS. Une fonctionnalité intéressante des applications mobiles est qu'elles peuvent recevoir des alertes par notification push. Des notifications standard par SMS ou par courrier électronique sont également disponibles.
le PRTG Network Monitor est offert en deux versions. Il existe une version gratuite complète, mais qui limite votre capacité de surveillance à 100 capteurs, chaque paramètre surveillé comptant pour un capteur. Par exemple, pour surveiller chaque port d’un commutateur à 48 ports, vous aurez besoin de 48 capteurs. Pour plus de 100 capteurs, vous devez acheter une licence. Ils commencent à 1 600 $ pour 500 capteurs. Vous pouvez également obtenir une version d'évaluation gratuite, illimitée de capteurs et complète de 30 jours.
3- Scrutinizer
Scrutinizer de Plixer est un autre excellent analyseur NetFlow. En fait, c’est même plus que cela et beaucoup le considèrent comme un système complet de réponse aux incidents. Grâce à sa capacité à surveiller différents types de flux tels que NetFlow, J-flow, NetStream, sFlow et IPFIX, vous n'êtes pas limité à la surveillance des périphériques Cisco.
Avec sa conception hiérarchique, Scrutinizer offre une collecte de données rationalisée et efficaceet vous permet de démarrer petit et facilement jusqu'à plusieurs millions de flux par seconde. Le réseau est souvent blâmé pour la première fois en cas de problème. Avec Scrutinizer, vous pouvez trouver rapidement la cause réelle de la plupart des problèmes de réseau. Scrutinizer fonctionne dans les environnements physiques et virtuels et est livré avec des fonctionnalités de rapport avancées.
Scrutinizer vient en quatre niveaux de licence qui vont de laversion gratuite de base au niveau de SCR à part entière pouvant atteindre plus de 10 millions de flux par seconde. La version gratuite est limitée à 10 000 flux par seconde. Elle ne conservera que les données de flux brutes pendant 5 heures, mais elle devrait être amplement suffisante pour résoudre les problèmes de réseau. Vous pouvez également essayer n'importe quel niveau de licence pendant 30 jours, après quoi il reviendra à la version gratuite.
4- ManageEngine NetFlow Analyzer
le Analyseur ManageEngine NetFlow donne à l'administrateur réseau une vue détailléede l'utilisation de la bande passante du réseau ainsi que des modèles de trafic. Le produit est contrôlé par une interface Web et offre un nombre impressionnant de vues différentes sur votre réseau.
Vous pouvez, par exemple, afficher le trafic enapplication, par conversation, par protocole, et plusieurs autres options. Vous pouvez également définir des alertes pour vous avertir de problèmes potentiels. Par exemple, vous pouvez définir un seuil de trafic sur une interface spécifique et être alerté chaque fois que le trafic le dépasse.
Mais l'essentiel de la force du produit vientde ses rapports et tableau de bord. L'outil est fourni avec plusieurs rapports prédéfinis très utiles spécialement adaptés à des objectifs spécifiques tels que le dépannage, la planification de la capacité ou la facturation. Mais vous n’êtes pas coincé dans les rapports intégrés car cet outil permet également aux administrateurs de créer des rapports personnalisés à leur convenance.
Quant au tableau de bord de l’outil que nous avons mentionné, c’estaussi impressionnant que ses rapports. Il comprend plusieurs diagrammes à secteurs avec des éléments tels que les principales applications, les meilleurs protocoles ou les meilleures conversations. Il peut également afficher une carte thermique avec le statut des interfaces surveillées. Et comme vous l'aurez deviné, les tableaux de bord peuvent être personnalisés pour inclure uniquement les informations que vous jugez utiles. Le tableau de bord est également l'endroit où les alertes sont affichées sous forme de fenêtres contextuelles. Et pour l’administrateur réseau actif, il existe une application pour smartphone qui vous permettra d’accéder au tableau de bord et aux rapports.
le Analyseur ManageEngine NetFlow prend en charge la plupart des technologies de flux, y compris NetFlow(bien sûr), IPFIX, J-flow, NetStream et quelques autres. De plus, la société possède également une excellente intégration avec les périphériques Cisco, avec une prise en charge de l'ajustement des stratégies de lissage du trafic et / ou de qualité de service directement à partir de l'outil.
Comme beaucoup de produits concurrents, le Analyseur ManageEngine NetFlow vient en deux versions. La version gratuite sera identique à la version payante pendant les 30 premiers jours, mais elle reviendra ensuite à la surveillance de deux interfaces de flux uniquement. Bien que ce ne soit pas beaucoup, ce pourrait être tout ce dont vous avez besoin. Si vous souhaitez la version payante, les licences sont disponibles dans différentes tailles, de 100 à 2500 interfaces ou flux, avec des prix variant d’environ 600 USD à plus de 50 000 USD, plus les frais de maintenance annuels.
Qu'en est-il des outils de surveillance S-Flow?
Tous les produits que nous venons de passer en revue vont collecteret analyser les données sFlow en plus de NetFlow. Pour les environnements hybrides, ils seraient tous d'excellents choix. Mais si vous n’avez que du matériel SFLow, vous préférerez peut-être un outil qui ne supporte que cette technologie.
5- inMon sFlowTrend
sFlowTrend est un outil de surveillance gratuit de inMon, la sociétéderrière la technologie sFlow. Cette version gratuite du logiciel vous permet de collecter des données à partir de cinq appareils compatibles sFlow et ne conservera les données d’historique dans la RAM que pendant une heure maximum. Et si vous souhaitez accélérer les choses, vous pouvez passer à la version pro, moyennant un coût, bien sûr, ce qui supprime le nombre de périphériques limités et stocke un nombre illimité de données d’historique sur disque.
le sFlowTrend Le tableau de bord fournit une vue rapide du courantétat des périphériques et des réseaux surveillés, il inclut des seuils de niveau supérieur et des interfaces avec des erreurs potentielles. Lorsque vous cliquez sur l'onglet Réseau, sflowTrend révèle des statistiques de performances résumées et un trafic détaillé au niveau du réseau ou du périphérique. Des seuils d'alerte peuvent être définis. Il vous permet de recevoir des alertes en cas d'utilisation d'une bande passante supérieure à la normale ou d'erreur réseau. Il existe même un onglet de cause première où vous pouvez explorer la cause d’un problème tel qu’une violation de seuil.
L'onglet Hosts est l'endroit où vous trouverez des informations plus détaillées.informations sur chaque appareil. Il fournit des données de performances sur le réseau, la CPU, le disque, etc., pour les serveurs compatibles sFlow, y compris les serveurs virtuels. Sous l'onglet Services, vous trouverez les données de performance pour les applications (y compris divers serveurs Web) qui exportent des données sFlow. Dans l'onglet Evénements, vous trouverez un journal des événements tels que les seuils dépassés ou les erreurs détectées. Enfin, l'onglet Rapports fournit plusieurs rapports prédéfinis, mais il prend également en charge la création de rapports personnalisés. C’est là que vous allez exécuter des rapports, puis voir leurs résultats.
sFlowTrend est écrit en Java et est livré avec unInterface utilisateur basée sur Java ou sur le Web. Il est disponible pour Windows, Macintosh et Linux. Une aide en ligne est également disponible pour vous aider à configurer et à utiliser cet outil. C'est un outil formidable, en particulier pour les petites organisations dotées d'équipements compatibles avec sFlow. Et le chemin de mise à niveau vers la version professionnelle en fait un choix tout aussi valable pour les réseaux plus grands.
commentaires