- - NetFlow vs sFlow: Welches ist besser für die Verkehrsanalyse?

NetFlow vs sFlow: Welches ist besser für die Verkehrsanalyse?

NetFlow von Cisco und inMon'sFlow sind zwei ähnlicheverschiedene Überwachungstechnologien, mit denen Sie einen qualitativen Überblick über den Datenverkehr Ihres Netzwerks erhalten. Während die Tools zur Bandbreitenüberwachung nur Aufschluss darüber geben, wie viel Verkehr an einem bestimmten Punkt vorbeiführt, können Sie mit den Tools zur Flussanalyse feststellen, woher diese Daten stammen und wohin sie gehen, und einige andere nützliche Informationen abrufen. Heute vergleichen wir die beiden Technologien und werfen einen Blick auf die jeweils besten verfügbaren Tools. Wir werden einige der besten NetFlow- und sFlow-Analysatoren und -Sammler prüfen, die wir finden konnten.

Wir beginnen mit der Beschreibung von NetFlow. Wir werden unser Bestes tun, um zu erklären, was es ist und wie es funktioniert, während wir unsere Diskussion so wenig technisch wie möglich halten. Wir werden dann die gleiche Übung mit sFlow machen und unser Bestes geben, um die Technologie zu erklären. Danach schauen wir uns an, wie sich die beiden Technologien unterscheiden. Wir werden uns wie bisher von den wichtigsten technischen Details fernhalten. Als nächstes werden wir versuchen, die brennende Frage zu beantworten: Welche soll ich verwenden? Wie Sie sehen werden, gibt es keine klare und endgültige Antwort. Abschließend werden einige der besten Tools zur Durchflussanalyse vorgestellt, die wir finden konnten.

NetFlow - Die originale Durchflussanalysetechnologie

Entwickelt von Cisco Systems die NetFlow-Technologiewurde auf ihren Routern eingeführt, um die Möglichkeit zu bieten, Daten über den Netzwerkverkehr zu sammeln, wenn dieser in eine Schnittstelle eintritt oder diese verlässt. Diese Daten können von spezialisierten Anwendungen analysiert werden, um die Quelle und das Ziel des Datenverkehrs, seine Dienstklasse und, im weiteren Sinne, die Ursachen der Überlastung zu ermitteln.

Ein typisches NetFlow-Überwachungssetup besteht aus drei Hauptkomponenten:

  • Das Flussexporteur fasst Pakete zu Flows zusammen und exportiert Flow-Datensätze zu einem oder mehreren Flow-Sammlern.
  • Das Durchflusskollektor ist für den Empfang, die Speicherung und die Vorverarbeitung der von einem Flussexporteur empfangenen Flussdaten verantwortlich.
  • Das Durchflussanalysatoroder Durchflussanalyseanwendung wird verwendet, um empfangene Durchflussdaten zu analysieren. Die Analyse kann zur Erstellung von Verkehrsprofilen oder zur Fehlerbehebung im Netzwerk verwendet werden.

So funktioniert NetFlow

Netzwerkgeräte, die NetFlow unterstützen, generierenFlow-Aufzeichnungen und senden Sie sie an einen NetFlow-Collector. Ein Flow ist in diesem Zusammenhang eine vollständige Konversation im IP-Sinne. Das Gerät, das Flow-Datensätze erstellt, sendet diese normalerweise an den Collector, wenn es feststellt, dass der Flow entweder durch Altern beendet wurde - wenn innerhalb eines bestimmten Timeouts kein Datenverkehr stattgefunden hat - oder wenn eine Beendigung der TCP-Sitzung festgestellt wird.

NetFlow-Architektur

Die Flussaufzeichnungsinformationen über den Fluss, wie zB. die Eingabe- und Ausgabeschnittstellen, die Start- und Endzeitstempel des Flusses, die Anzahl der darin enthaltenen Bytes und Pakete, die Header der Schicht 3, die Quell- und Ziel-IP-Adresse und -Portnummer, das IP-Protokoll und den TOS-Wert. Flow-Datensätze enthalten nicht die tatsächlichen Daten, aus denen der Flow besteht, sondern nur Informationen zum Flow. Dies ist ein wichtiges Sicherheitsmerkmal dieser Technologie.

Außer in einer riesigen Umgebung mit mehreren Standorten fließt der StromSammler, an die die Aufzeichnungen gesendet werden, sind auch die Durchflussanalysatoren. Sie verwenden die in Ablaufdatensätzen enthaltenen Informationen, um Daten zum Netzwerkverkehr auf eine Weise darzustellen, die für Netzwerkadministratoren nützlich ist. Verschiedene NetFlow-Sammler und -Analysatoren bieten unterschiedliche Möglichkeiten zur Darstellung von Daten.

sFlow - Ein entfernter Verwandter

Das "s" in sFlow steht für "Sampling". Dies ist für den Betrieb von entscheidender Bedeutung und unterscheidet sich von anderen Durchflussanalysesystemen. Diese Technologie funktioniert nur mit sFlow-fähigen Geräten, genau wie NetFlow. Glücklicherweise sind diese Geräte bei den großen Herstellern von Netzwerkgeräten weit verbreitet.

Der sFlow-Standard wird vom sFlow beibehalten.Org-Konsortium, aber es ist die Idee von InMon Corporation, die immer noch fast die absolute Kontrolle über seine Entwicklung und Entwicklung ausübt. Große Gerätehersteller wie Alcatel-Lucent, Aruba, Brocade, Cisco, Dell, Hewlett Packard, IBM und viele mehr - über 300 - bieten in vielen ihrer Produkte sFlow-Unterstützung.

sFLow in Betrieb

sFlow ist ein zustandsloses Paketabtastprotokoll. Der „Flow“ -Teil des Protokollnamens kann irreführend sein, da sFlow im Gegensatz zu NetFlow keine Vorstellung davon hat, Datenpakete zu High-Level-Flows zusammenzufassen. Es funktioniert nur in Bezug auf Pakete.

Die allgemeine Paketabtastung von sFlow erstreckt sich über mehrere EbenenDer sFlow-Exporter wird auf dem Netzwerkgerät ausgeführt und sammelt Präfixe aus einer Teilmenge aller Pakete, die die überwachte Schnittstelle passieren. Administratoren können für jedes N-Paket eine Stichprobe erstellen. Der Exporteur wählt jedoch auch zufällige Pakete aus und nimmt sie in seinen Datensatz auf. Der Exporteur setzt dann die Anfangsbytes jedes abgetasteten Pakets zusammen mit Gerätezählern zusammen und sendet sie an den sFlow-Kollektor. Das Gerät speichert keine Daten oder abgetasteten Pakete im Cache, wodurch die Ressourcennutzung verringert und die Skalierung auf Hochgeschwindigkeitsnetzwerke vereinfacht wird.

NetFlow und sFlow - Was ist der Unterschied?

Obwohl NetFlow und sFlow ähnliche Namen, Zwecke und Ziele haben, unterscheiden sie sich tatsächlich erheblich, insbesondere in der Art und Weise, wie sie ihre Aufgabe erfüllen.

Avi Freedman, Mitbegründer und CEO von Kentik, fasst den Unterschied zwischen NetFlow und sFlow mit einer Analogie zusammen:… Während NetFlow als beobachtend bezeichnet werden kannVerkehrsmuster ("Wie viele Busse sind von hier nach dort gefahren?"), mit sFlow machen Sie nur Momentaufnahmen von den Autos oder Bussen, die gerade fahren."Lassen Sie sich von dieser simplen Analogie nicht blindlings glauben, dass NetFlow mehr Informationen liefert als sFlow und daher eine bessere Technologie ist.

Obwohl Sie wahrscheinlich mehr Informationen von bekommenNetFlow ist nicht unbedingt ein besseres Protokoll als sFlow. Beispielsweise ist der Ressourcenverbrauch von NetFlow viel höher als der von sFlow. Dies würde sFlow tendenziell zu einer interessanteren Option für Geräte der unteren Preisklasse machen. Und während NetFlow möglicherweise mehr Informationen sammelt, benötigen Sie diese wirklich und kann Ihr Analysegerät sie überhaupt verwenden?

Welches sollte ich verwenden?

Die meisten Sammler und Analysatoren können mit beidem umgehenNetFlow- und sFlow-Informationen sowie viele Netzwerkgeräte unterstützen auch beide. Der Hauptentscheidungsfaktor sollte wahrscheinlich sein, was Ihre Ausrüstung unterstützt. Wenn einige Ihrer Geräte eines unterstützen, das andere jedoch nicht, sollten Sie dieses auswählen. Wenn Sie meistens über Cisco-Geräte verfügen, warum nicht NetFlow verwenden, da es das Cisco-eigene Protokoll ist?

Sie müssen sich jedoch nicht für eine Seite entscheiden. Sowohl NetFlow als auch sFlow sind hervorragende Technologien. Warum nicht beides mit einem Kollektor und einem Analysator verwenden, die beide unterstützen können? Sie können Flussdaten sowohl von Ihren sFlow-fähigen als auch von Ihren Netflow-fähigen Geräten abrufen.

Einige der besten NetFlow-Überwachungstools

Hier sind einige der besten NetFlow-Sammler undAnalysewerkzeuge, die wir finden konnten. Wir haben eine Reihe von Tools zusammengestellt, um Ihnen einen besseren Eindruck von der Vielfalt der verfügbaren Tools zu vermitteln. Sie alle unterstützen NetFlow Monitoring und alle seine Varianten wie J-Flow oder IPFIX, um nur einige zu nennen.

1- SolarWinds NetFlow Traffic Analyzer (Kostenlose Testphase)

SolarWinds ist einer der bekanntesten Hersteller vonNetzwerk- und Systemverwaltungstools. Das Vorzeigeprodukt, der Network Performance Monitor, wird von vielen als das beste Tool zur Überwachung der Netzwerkbandbreite angesehen. Ebenso die SolarWinds NetFlow Traffic Analyzer- die zusätzlich zum Network Performance Monitor installiert wird - ist einer der besten IPFIX-Kollektoren und -Analysatoren, die Sie finden können.

SolarWinds NetFlow Traffic Analyzer-Dashboard

  • KOSTENLOSE TESTPHASE: SolarWinds NetFlow Traffic Analyzer
  • Download-Link: https://www.solarwinds.com/network-bandwidth-analyzer-pack/registration

Einige der SolarWinds NetFlow Traffic AnalyzerZu den besten Funktionen gehören:

  • Überwachung der Bandbreitennutzung nach Anwendung, Protokoll und IP-Adressgruppe.
  • Überwachen von IPFIX-, Cisco NetFlow-, Juniper J-Flow-, sFlow- und Huawei NetStream-Flussdaten, um festzustellen, welche Geräte, Anwendungen und Protokolle die Verbraucher mit der höchsten Bandbreite sind.
  • Sammeln von Verkehrsdaten, Korrelieren in einem verwendbaren Format und Präsentieren für den Benutzer über eine webbasierte Schnittstelle zur Überwachung des Netzwerkverkehrs.
  • Identifizieren, welche Anwendungen und Kategorien die meiste Bandbreite für eine bessere Sichtbarkeit des Netzwerkverkehrs verbrauchen (einschließlich der Unterstützung von Cisco NBAR2).

Das SolarWinds NetFlow Traffic Analyzer ist ein Add-On zum Netzwerkbandbreiten-Monitor. Sie können sparen, indem Sie beide gleichzeitig mit dem Kauf erwerben SolarWinds Network Bandwidth Analyzer Pack. Die Preise für das Bundle beginnen bei 4 910 USD fürÜberwachung von bis zu 100 Elementen und je nach Anzahl der überwachten Geräte unterschiedlich. Dies mag zwar etwas teuer erscheinen, bedenken Sie jedoch, dass Sie nicht nur eines, sondern zwei der besten verfügbaren Überwachungstools erhalten. Wenn Sie das Produkt vor dem Kauf testen möchten, können Sie eine kostenlose 30-Tage-Testversion von SolarWinds herunterladen.

2- PRTG-Netzwerkmonitor

Das PRTG-Netzwerkmonitor von der Paessler AG ist eine All-in-One-Lösung, derenHauptzweck ist die Überwachung der Bandbreitennutzung. Es wird auch verwendet, um die Verfügbarkeit und den Zustand verschiedener Netzwerkressourcen zu überwachen. Diese Funktionen machen es zu einem nützlichen Tool für Netzwerkadministratoren. Das Tool kann Geräte über mehrere Standorte hinweg überwachen und LAN-, WAN-, VPN- und Cloud-Dienste überwachen.

Die Installation dieses Produkts ist schnell und einfach. Nach dem Ausführen des Installationsprogramms erkennt der automatische Erkennungsprozess Geräte und richtet Sensoren ein. Paessler behauptet, Sie könnten innerhalb von zwei Minuten nach dem Start der Installation mit der Überwachung beginnen. Dies mag eine leichte Übertreibung sein, wir waren jedoch von der einfachen und schnellen Installation beeindruckt. Obwohl der Server nur unter Windows ausgeführt wird, ist die Benutzeroberfläche webbasiert und kann von jedem Browser aus aufgerufen werden. Darüber hinaus gibt es eine mobile App, die Sie auf Ihrem Smartphone oder Tablet installieren können.

PRTG Bildschirmfoto

Das PRTG-Netzwerkmonitor kann so ziemlich alles überwachen, dank seinersensorgestützte Architektur. Sie können sich Sensoren als Add-Ons vorstellen, die direkt in das Produkt integriert sind und jeweils einen bestimmten Zweck erfüllen. Es gibt Sensoren für HTTP und SMTP / POP3 (E-Mail). Es gibt auch hardwarespezifische Sensoren für Switches, Router und Server. Insgesamt verfügt das Tool über 200 verschiedene vordefinierte Sensoren.

Das PRTG-Netzwerkmonitor bietet eine Auswahl an Benutzeroberflächen. Sie haben die Wahl zwischen einer Ajax-basierten Weboberfläche oder einer Windows-Unternehmenskonsole sowie mobilen Apps für Android und iOS. Ein nettes Feature der mobilen Apps ist, dass sie Benachrichtigungen per Push-Benachrichtigung erhalten können. Standard-SMS- oder E-Mail-Benachrichtigungen sind ebenfalls verfügbar.

Das PRTG-Netzwerkmonitor wird in zwei Versionen angeboten. Es gibt eine kostenlose Version mit vollem Funktionsumfang, die Ihre Überwachungsmöglichkeiten jedoch auf 100 Sensoren beschränkt, wobei jeder überwachte Parameter als ein Sensor gezählt wird. Um beispielsweise jeden Port eines 48-Port-Switches zu überwachen, benötigen Sie 48 Sensoren. Für mehr als 100 Sensoren müssen Sie eine Lizenz erwerben. Sie beginnen bei 1 600 USD für 500 Sensoren. Sie können auch eine kostenlose, sensorunbeschränkte und voll funktionsfähige 30-Tage-Testversion erhalten.

3- Scrutinizer

Scrutinizer von Plixer ist ein weiterer großartiger NetFlow Analyzer. In der Tat ist es sogar noch mehr und viele sehen es als vollständiges System zur Reaktion auf Vorfälle. Durch die Möglichkeit, verschiedene Flusstypen wie NetFlow, J-Flow, NetStream, sFlow und IPFIX zu überwachen, können Sie nicht nur Cisco-Geräte überwachen.

Scrutinizer-Diagramm

Mit seinem hierarchischen Design Scrutinizer bietet eine optimierte und effiziente Datenerfassungund ermöglicht es Ihnen, klein und einfach bis zu vielen Millionen Flüssen pro Sekunde zu skalieren. Das Netzwerk wird oft zuerst beschuldigt, wenn etwas schief geht. Mit Scrutinizer können Sie schnell die wahre Ursache für die meisten Netzwerkprobleme finden. Scrutinizer Funktioniert sowohl in physischen als auch in virtuellen Umgebungen und verfügt über erweiterte Berichtsfunktionen.

Scrutinizer kommt in vier Lizenzstufen, die aus dem gehenKostenlose Basisversion für das vollwertige SCR-Level, das bis zu über 10 Millionen Flüsse pro Sekunde erreichen kann. Die kostenlose Version ist auf 10.000 Flüsse pro Sekunde beschränkt und speichert nur 5 Stunden lang unformatierte Flussdaten. Sie sollte jedoch mehr als ausreichend sein, um Netzwerkprobleme zu beheben. Sie können auch eine Lizenzstufe 30 Tage lang testen. Danach wird die kostenlose Version wiederhergestellt.

4- ManageEngine NetFlow Analyzer

Das ManageEngine NetFlow Analyzer gibt dem Netzwerkadministrator eine detaillierte Ansichtder Netzwerkbandbreitennutzung sowie der Verkehrsmuster. Das Produkt wird über eine webbasierte Oberfläche gesteuert und bietet eine beeindruckende Anzahl verschiedener Ansichten in Ihrem Netzwerk.

Sie können beispielsweise den Datenverkehr nach anzeigenAnwendung, durch Konversation, durch Protokoll und mehrere weitere Optionen. Sie können auch Warnungen einrichten, um Sie vor potenziellen Problemen zu warnen. Beispielsweise können Sie einen Verkehrsschwellenwert für eine bestimmte Schnittstelle festlegen und benachrichtigt werden, wenn der Verkehr diesen Wert überschreitet.

ManageEngine Netflow Analyzer

Aber der größte Teil der Stärke des Produkts kommtaus seinen Berichten und Dashboard. Das Tool wird mit mehreren sehr nützlichen vorgefertigten Berichten geliefert, die speziell auf bestimmte Zwecke wie Fehlerbehebung, Kapazitätsplanung oder Abrechnung zugeschnitten sind. Sie sind jedoch nicht an integrierte Berichte gebunden, da das Tool Administratoren auch die Möglichkeit bietet, benutzerdefinierte Berichte nach ihren Wünschen zu erstellen.

Das erwähnte Dashboard des Tools ist esgenauso beeindruckend wie seine Berichte. Es enthält mehrere Kreisdiagramme mit Dingen wie Top-Anwendungen, Top-Protokollen oder Top-Gesprächen. Es kann auch eine Heatmap mit dem Status der überwachten Schnittstellen angezeigt werden. Wie Sie vielleicht erraten haben, können Dashboards so angepasst werden, dass sie nur die Informationen enthalten, die Sie für nützlich halten. Im Dashboard werden außerdem Warnungen in Form von Popups angezeigt. Für den mobilen Netzwerkadministrator gibt es eine Smartphone-App, mit der Sie auf das Dashboard und die Berichte zugreifen können.

Das ManageEngine NetFlow Analyzer unterstützt die meisten Flow-Technologien, einschließlich NetFlow(natürlich), IPFIX, J-Flow, NetStream und einige andere. Als Bonus ist auch die hervorragende Integration mit Cisco-Geräten möglich, wobei die Anpassung der Traffic-Shaping- und / oder QoS-Richtlinien direkt vom Tool aus unterstützt wird.

Wie viele Konkurrenzprodukte ist auch das ManageEngine NetFlow Analyzer kommt in zwei Versionen. Die kostenlose Version ist in den ersten 30 Tagen mit der kostenpflichtigen identisch, überwacht dann jedoch nur zwei Schnittstellen von Flows. Das ist zwar nicht viel, aber es könnte alles sein, was Sie brauchen. Wenn Sie die kostenpflichtige Version wünschen, sind Lizenzen in verschiedenen Größen von 100 bis 2500 Schnittstellen oder Flows mit Preisen zwischen etwa 600 und über 50.000 US-Dollar zuzüglich der jährlichen Wartungsgebühren erhältlich.

Wie wäre es mit S-Flow-Überwachungstools?

Alle Produkte, die wir gerade überprüft haben, werden gesammeltund analysieren sFlow-Daten zusätzlich zu NetFlow. Für hybride Umgebungen wären sie alle großartige Tipps. Wenn Sie jedoch nur über sFLow-Geräte verfügen, entscheiden Sie sich möglicherweise eher für ein Tool, das nur diese Technologie unterstützt.

5- inMon sFlowTrend

sFlowTrend ist ein kostenloses Überwachungstool von inMon, dem Unternehmenhinter der sFlow Technologie. Mit dieser kostenlosen Version der Software können Sie Daten von bis zu fünf sFlow-fähigen Geräten erfassen und die Verlaufsdaten nur bis zu einer Stunde im RAM speichern. Und wenn Sie noch mehr tun möchten, können Sie auf die Pro-Version upgraden - natürlich kostenpflichtig -, wodurch die Beschränkung auf die Anzahl der Geräte aufgehoben und unbegrenzt viele Verlaufsdaten auf der Festplatte gespeichert werden.

Das sFlowTrend Das Dashboard bietet eine schnelle Übersicht über den aktuellen StatusDer Status der überwachten Geräte und Netzwerke umfasst Schwellenwerte der obersten Ebene und Schnittstellen mit potenziellen Fehlern. Wenn Sie auf die Registerkarte Netzwerk klicken, zeigt sflowTrend zusammengefasste Leistungsstatistiken und detaillierten Datenverkehr auf Netzwerk- oder Geräteebene an. Alarmschwellen können definiert werden. Sie können Benachrichtigungen erhalten, wenn eine höhere Bandbreitennutzung oder ein Netzwerkfehler auftritt. Es gibt sogar eine Registerkarte "Grundursache", auf der Sie die Ursache eines Problems wie einer Schwellenwertverletzung herausfinden können.

sFlowTrend V6

Auf der Registerkarte "Hosts" finden Sie weitere InformationenInformationen zu jedem Gerät. Es liefert Leistungsdaten zu Netzwerk, CPU, Festplatte usw. für sFlow-fähige Server, einschließlich virtueller Server. Auf der Registerkarte "Dienste" finden Sie Leistungsdaten für Anwendungen (einschließlich verschiedener Webserver), die sFlow-Daten exportieren. Auf der Registerkarte "Ereignisse" finden Sie ein Protokoll mit Ereignissen wie überschrittenen Schwellenwerten oder erkannten Fehlern. Schließlich bietet die Registerkarte "Berichte" mehrere vordefinierte Berichte, unterstützt jedoch auch das Erstellen benutzerdefinierter Berichte. Hier können Sie Berichte ausführen und deren Ergebnisse anzeigen.

sFlowTrend ist in Java geschrieben und kommt mit einemJava-basierte oder webbasierte Benutzeroberfläche. Es ist für Windows, Macintosh und Linux verfügbar. Es gibt auch eine Online-Hilfe, die Sie bei der Konfiguration und Verwendung des Tools unterstützt. Es ist ein großartiges Tool, insbesondere für kleinere Unternehmen mit sFlow-fähigen Geräten. Und der Upgrade-Pfad zur Pro-Version macht es zu einer ebenso gültigen Wahl für größere Netzwerke.

Lesen Sie auch

6 Beste NetFlow-Tools, die Sie neben VMware verwenden können
Die 6 besten Open-Source-NetFlow-Software (KOSTENLOS)
Die 5 besten Netzwerk-Verkehrsanalysatoren (2019 Review)
Die 5 besten NetFlow-Collectors für Linux im Jahr 2019
SolarWinds NetFlow Traffic Analyzer - Rückblick 2019
Beste Router-Überwachungssoftware und Tools für die Bandbreiten- und Verkehrsanalyse
Best Free sFlow Collectors and Analyzers Bewertet in 2019
Best NetFlow Collectors and Analyzers für Windows: Überprüft im Jahr 2019
Die 5 besten Werkzeuge für die Deep Packet Inspection im Jahr 2019
Beste J-Flow Monitoring Tools für Netzwerkprofis
Die 5 besten Tools für die Analyse von Verkehrsmustern und wie sie Ihr Unternehmen unterstützen
6 Beste Tools zur Analyse von Bandbreite und Verkehrsmustern

Bemerkungen