NetFlow van Cisco en sFlow van Cisco zijn twee vergelijkbaremaar verschillende bewakingstechnologieën die u een kwalitatief beeld van het verkeer van uw netwerk kunnen bieden. Hoewel de tools voor bandbreedtebewaking u alleen vertellen hoeveel verkeer een bepaald punt passeert, zullen flowanalyse-tools u vertellen wat die gegevens zijn, waar ze vandaan komen en gaan, en een paar andere nuttige stukjes informatie. Vandaag zullen we de twee technologieën vergelijken en kijken we naar enkele van de beste tools die voor elk beschikbaar zijn. We zullen enkele van de beste NetFlow- en sFlow-analyzers en -verzamelaars die we konden vinden beoordelen.
We beginnen met het beschrijven van NetFlow. We zullen ons best doen om uit te leggen wat het is en hoe het werkt, terwijl we onze discussie zo niet-technisch mogelijk houden. We doen dan dezelfde oefening met sFlow en doen ons best om de technologie uit te leggen. Daarna zullen we kijken hoe de twee technologieën verschillen. Net als voorheen, blijven we weg van de harde technische details. Vervolgens proberen we de brandende vraag te beantwoorden: welke moet ik gebruiken? Zoals u zult zien, is er geen duidelijk en definitief antwoord. Ten slotte zullen we enkele van de beste flowanalyse-tools bekijken die we kunnen vinden.
NetFlow - De originele stroomanalyse-technologie
Ontwikkeld door Cisco Systems de NetFlow-technologiewerd geïntroduceerd op hun routers om de mogelijkheid te bieden om gegevens te verzamelen over netwerkverkeer wanneer dit een interface binnenkomt of verlaat. Deze gegevens kunnen door gespecialiseerde toepassingen worden geanalyseerd om de bron en bestemming van het verkeer, de serviceklasse en, bij uitbreiding, de oorzaken van congestie te extraheren.
Een typische NetFlow-monitoringopstelling bestaat uit drie hoofdcomponenten:
- De stroom exporteur aggregeert pakketten in stromen en exporteert stroomrecords naar een of meer stroomcollectoren.
- De stroom verzamelaar is verantwoordelijk voor ontvangst, opslag en voorverwerking van stroomgegevens ontvangen van een stroomexporteur.
- De stroomanalysator, of stroomanalysetoepassing, wordt gebruikt om ontvangen stroomgegevens te analyseren. Analyse kan worden gebruikt voor verkeersprofilering of voor netwerkproblemen oplossen.
Hoe NetFlow werkt
Netwerkapparaten die NetFlow ondersteunen genererenstroom records en stuur ze naar een NetFlow-verzamelaar. Een stroom is in deze context een volledig gesprek in de zin van IP. Het apparaat dat flowrecords voorbereidt, stuurt ze normaal naar de collector wanneer het vaststelt dat de flow is beëindigd door veroudering - wanneer er geen verkeer is geweest binnen een specifieke time-out - of wanneer het een TCP-sessiebeëindiging ziet.
De stroom registreert informatie over de stroom zoalsals de invoer- en uitvoerinterfaces, de start- en eindtijdstempels van de stroom, het aantal bytes en pakketten die het bevat, de headers van laag 3, het bron- en doel-IP-adres en poortnummer, het IP-protocol en de TOS-waarde. Stroomrecords bevatten niet de feitelijke gegevens waaruit de stroom is samengesteld, ze bevatten alleen informatie over de stroom. Dit is een belangrijk beveiligingskenmerk van deze technologie.
Behalve in een enorme multi-site-omgeving, de stroomverzamelaars waar de records naartoe worden gestuurd, zijn ook de stroomanalysatoren. Ze gebruiken de informatie in stroomrecords om gegevens over netwerkverkeer te presenteren op een manier die nuttig is voor netwerkbeheerders. Verschillende NetFlow-verzamelaars en -analysatoren hebben verschillende manieren om gegevens te presenteren.
sFlow - Een verre familielid
De "s" in sFlow staat voor "sampling". Dit is cruciaal voor de werking ervan en het is waar het verschilt van andere stroomanalysesystemen. Deze technologie werkt alleen met sFlow-apparaten, net als NetFlow. Gelukkig zijn deze apparaten vrij algemeen bij de grote fabrikanten van netwerkapparatuur.
De sFlow-standaard wordt onderhouden door de sFlow.org consortium, maar het is het geesteskind van inMon corporation die nog steeds bijna absolute controle uitoefent over zijn evolutie en ontwikkeling. Grote fabrikanten van apparatuur zoals Alcatel-Lucent, Aruba, Brocade, Cisco, Dell, Hewlett Packard, IBM en nog veel meer - meer dan 300 - nemen sFlow-ondersteuning in veel van hun producten op.
sFlow is een stateless packet sample-protocol. Het 'Flow'-gedeelte van de naam van het protocol kan misleidend zijn, omdat sFlow eigenlijk geen idee heeft om datapakketten te aggregeren in high-level flows zoals NetFlow doet. Het werkt alleen in termen van pakketten.
De algemene pakketbemonstering van sFlow beslaat lagentot en met 7. De sFlow-exporteur verzamelt binnen het netwerkapparaat voorvoegsels van een deelverzameling van alle pakketten die door de bewaakte interface gaan. Beheerders kunnen ervoor kiezen om elk N-pakket te bemonsteren, maar de exporteur kiest ook willekeurige pakketten en neemt deze op in zijn record. De exporteur verzamelt dan de initiële bytes van elk bemonsterd pakket samen met apparaattellers en verzendt deze naar de sFlow-collector. Het apparaat slaat geen gegevens of gesampled pakket op in de cache, waardoor het gebruik van bronnen wordt beperkt en het opschalen naar snelle netwerken eenvoudiger wordt.
NetFlow en sFlow - wat is het verschil?
Ondanks dat ze vergelijkbare namen, doelen en doelen hebben, zijn NetFlow en sFlow eigenlijk heel verschillend, met name in de manier waarop elk zijn taak vervult.
Avi Freedman, mede-oprichter en CEO van Kentik, vat het verschil tussen NetFlow en sFlow samen met een analogie: “... terwijl NetFlow kan worden beschreven als observerenverkeerspatronen (‘Hoeveel bussen zijn van hier naar daar gegaan?’), met sFlow maak je gewoon foto's van alle auto's of bussen die op dat moment voorbijgaan."Laat deze simplistische analogie je niet blindelings doen geloven dat NetFlow meer informatie biedt dan sFlow en daarom een betere technologie is.
Hoewel je waarschijnlijk meer informatie krijgt vanNetFlow dan van sFlow maakt het niet noodzakelijkerwijs een beter protocol. Het brongebruik van NetFlow is bijvoorbeeld veel hoger dan dat van sFlow. Dit zou sFlow een interessantere optie maken voor lagere apparaten. En hoewel NetFlow mogelijk meer informatie verzamelt, heeft u die echt nodig en kan uw analyser deze zelfs gebruiken?
Welke moet ik gebruiken?
De meeste verzamelaars en analysatoren zullen beide aanNetFlow- en sFlow-informatie en veel netwerkapparaten ondersteunen ook beide. De belangrijkste bepalende factor zou waarschijnlijk moeten zijn wat uw apparatuur ondersteunt. Als sommige van uw apparatuur de ene ondersteunt, maar niet de andere, is dit degene die u moet kiezen. Als u meestal Cisco-apparatuur hebt, waarom zou u dan niet voor NetFlow kiezen, omdat dit het eigen protocol van Cisco is?
Je hoeft echter geen partij te kiezen. Zowel NetFlow als sFlow zijn uitstekende technologieën. Waarom niet beide gebruiken met een verzamelaar en analyser die beide kunnen ondersteunen? U kunt stroomgegevens ophalen van zowel uw sFlow-apparaten als uw Netflow-apparaten.
Enkele van de beste NetFlow-monitoringtools
Hier zijn enkele van de beste NetFlow-verzamelaars enanalysetools die we konden vinden. We hebben een mix van tools toegevoegd om u een beter idee te geven van de verscheidenheid aan beschikbare tools. Ze ondersteunen allemaal NetFlow-monitoring en al zijn varianten zoals J-flow of IPFIX, om er maar een paar te noemen.
1- SolarWinds NetFlow Traffic Analyzer (Gratis proefversie)
SolarWinds is een van de bekendste makers vanhulpmiddelen voor netwerk- en systeembeheer. Het vlaggenschipproduct, de Network Performance-monitor genoemd, wordt door velen gezien als de beste netwerkbandbreedtebewakingsinstrumenten. Evenzo de SolarWinds NetFlow Traffic Analyzer—Die bovenop de Network Performance Monitor wordt geïnstalleerd — is een van de beste IPFIX-verzamelaar en -analysator die u kunt vinden.
- GRATIS PROEF: SolarWinds NetFlow Traffic Analyzer
- Download link: https://www.solarwinds.com/network-bandwidth-analyzer-pack/registration
Sommige van de SolarWinds NetFlow Traffic AnalyzerDe beste functies zijn onder meer:
- Monitoring van bandbreedtegebruik per applicatie, per protocol en per IP-adresgroep.
- Monitoring van IPFIX-, Cisco NetFlow-, Juniper J-Flow-, sFlow- en Huawei NetStream-stroomgegevens waarmee het kan identificeren welke apparaten, applicaties en protocollen de grootste bandbreedtegebruikers zijn.
- Verkeersgegevens verzamelen, in een bruikbare indeling correleren en aan de gebruiker presenteren via een webinterface voor het bewaken van netwerkverkeer.
- Bepalen welke applicaties en categorieën de meeste bandbreedte verbruiken voor een betere zichtbaarheid van het netwerkverkeer (inclusief Cisco NBAR2-ondersteuning).
De SolarWinds NetFlow Traffic Analyzer is een add-on voor de Monitor voor netwerkbandbreedte. U kunt besparen door beide tegelijkertijd te verwerven SolarWinds Network Bandbreedte Analyzer Pack. Prijzen voor de bundel beginnen bij $ 4 910 voorbewaking van maximaal 100 elementen en varieert afhankelijk van het aantal bewaakte apparaten. Hoewel dit misschien een beetje duur lijkt, moet je er rekening mee houden dat je niet één maar twee van de beste beschikbare monitoringtools krijgt. Als u het product liever wilt proberen voordat u het koopt, kunt u een gratis proefperiode van 30 dagen downloaden van SolarWinds.
2- PRTG-netwerkmonitor
De PRTG-netwerkmonitor van Paessler AG is een alles-in-één oplossing waarvanprimair doel is het controleren van het bandbreedtegebruik. Het wordt ook gebruikt om de beschikbaarheid en gezondheid van verschillende netwerkbronnen te controleren. Deze functies maken het een handig hulpmiddel voor netwerkbeheerders. De tool kan apparaten over meerdere sites bewaken en kan LAN, WAN, VPN en Cloud Services bewaken.
Het installeren van dit product gaat snel en gemakkelijk. Nadat het installatieprogramma is uitgevoerd, worden tijdens het automatische detectieproces apparaten ontdekt en sensoren ingesteld. Paessler beweert dat je binnen twee minuten kon beginnen met het monitoren van de installatie. Hoewel dit misschien een lichte overdrijving is, waren we onder de indruk van het gemak en de snelheid van installatie. Hoewel de server alleen op Windows draait, is de gebruikersinterface webgebaseerd en kan deze vanuit elke browser worden geopend. Bovendien is er een mobiele app die u op uw smartphone of tablet kunt installeren.
De PRTG-netwerkmonitor kan vrijwel alles monitoren, dankzij zijnsensor-gebaseerde architectuur. Je kunt sensoren beschouwen als add-ons die rechtstreeks in het product zijn ingebouwd en elk een specifiek doel hebben. Er zijn sensoren voor HTTP en SMTP / POP3 (e-mail). Er zijn ook hardwarespecifieke sensoren voor schakelaars, routers en servers. In totaal heeft de tool meer dan 200 verschillende vooraf gedefinieerde sensoren.
De PRTG-netwerkmonitor biedt een selectie van gebruikersinterfaces. U hebt de keuze uit een op Ajax gebaseerde webinterface of een Windows enterprise-console en mobiele apps voor Android en iOS. Een leuke functie van de mobiele apps is dat ze meldingen kunnen ontvangen via pushmeldingen. Standaard SMS- of e-mailmeldingen zijn ook beschikbaar.
De PRTG-netwerkmonitor wordt aangeboden in twee versies. Er is een gratis versie die volledig is uitgerust, maar die uw bewakingsmogelijkheden beperkt tot 100 sensoren, waarbij elke bewaakte parameter als één sensor telt. Als u bijvoorbeeld elke poort van een 48-poorts switch wilt controleren, hebt u 48 sensoren nodig. Voor meer dan 100 sensoren moet u een licentie aanschaffen. Ze beginnen bij $ 1 600 voor 500 sensoren. U kunt ook een gratis, sensor-onbeperkte en volledig functionele proefversie van 30 dagen krijgen.
3- Scrutinizer
Scrutinizer van Plixer is nog een geweldige NetFlow Analyzer. Het is zelfs meer dan dat en velen beschouwen het als een volledig incidentresponssysteem. Met de mogelijkheid om verschillende flowtypen te bewaken, zoals NetFlow, J-flow, NetStream, sFlow en IPFIX, bent u niet beperkt tot het bewaken van alleen Cisco-apparaten.
Met zijn hiërarchische ontwerp, Scrutinizer biedt gestroomlijnde en efficiënte gegevensverzamelingen stelt u in staat om klein en gemakkelijk op te schalen tot vele miljoenen stromen per seconde. Het netwerk krijgt vaak eerst de schuld als er iets misgaat. Met Scrutinizer kunt u snel de echte oorzaak van bijna alle netwerkproblemen vinden. Scrutinizer werkt in zowel fysieke als virtuele omgevingen en wordt geleverd met geavanceerde rapportagefuncties.
Scrutinizer komt in vier licentieniveaus die vanaf degratis basisversie naar het volwaardige SCR-niveau dat tot meer dan 10 miljoen stromen per seconde kan schalen. De gratis versie is beperkt tot 10.000 stroom per seconde en zal slechts 5 uur ruwe stroomgegevens bewaren, maar het zou meer dan voldoende moeten zijn om netwerkproblemen op te lossen. U kunt ook elke licentielaag 30 dagen proberen, waarna deze terugkeert naar de gratis versie.
4- ManageEngine NetFlow Analyzer
De ManageEngine NetFlow Analyzer geeft de netwerkbeheerder een gedetailleerd overzichtvan netwerkbandbreedtegebruik en verkeerspatronen. Het product wordt bestuurd door een webgebaseerde interface en biedt een indrukwekkend aantal verschillende weergaven op uw netwerk.
U kunt bijvoorbeeld verkeer bekijken optoepassing, via conversatie, per protocol en nog veel meer opties. U kunt ook waarschuwingen instellen om u te waarschuwen voor mogelijke problemen. U kunt bijvoorbeeld een verkeersdrempel instellen op een specifieke interface en een waarschuwing krijgen wanneer het verkeer deze overschrijdt.
Maar de meeste kracht van het product komtvan zijn rapporten en dashboard. De tool wordt geleverd met een aantal zeer nuttige, vooraf gebouwde rapporten die specifiek zijn toegesneden op specifieke doeleinden zoals probleemoplossing, capaciteitsplanning of facturering. Maar u zit niet vast aan ingebouwde rapporten, omdat de tool beheerders ook in staat stelt om aangepaste rapporten naar hun wens te maken.
Wat betreft het dashboard van de tool dat we hebben genoemd, dat is hetnet zo indrukwekkend als zijn rapporten. Het bevat verschillende cirkeldiagrammen met zaken als topapplicaties, topprotocollen of topgesprekken. Het kan ook een heatmap weergeven met de status van de bewaakte interfaces. En zoals u misschien al geraden heeft, kunnen dashboards worden aangepast om alleen de informatie te bevatten die u nuttig vindt. Op het dashboard worden ook waarschuwingen weergegeven in de vorm van pop-ups. En voor de netwerkbeheerder die onderweg is, is er een smartphone-app waarmee u toegang krijgt tot het dashboard en rapporten.
De ManageEngine NetFlow Analyzer ondersteunt de meeste flowtechnologieën, waaronder NetFlow(natuurlijk), IPFIX, J-flow, NetStream en enkele anderen. Als bonus heeft de ook uitstekende integratie met Cisco-apparaten, met ondersteuning voor het aanpassen van verkeersvorming en / of QoS-beleid direct vanuit de tool.
Zoals veel concurrerende producten, de ManageEngine NetFlow Analyzer komt in twee versies. De gratis versie is de eerste 30 dagen identiek aan de betaalde versie, maar zal dan terugkeren naar het monitoren van slechts twee interfaces van stromen. Hoewel dit niet veel is, kan het alles zijn wat je nodig hebt. Als u de betaalde versie wilt, zijn licenties beschikbaar in verschillende groottes van 100 tot 2500 interfaces of stromen met prijzen variërend tussen ongeveer $ 600 tot meer dan $ 50K plus jaarlijkse onderhoudskosten.
Hoe zit het met S-Flow Monitoring Tools?
Alle producten die we zojuist hebben beoordeeld, worden verzamelden analyseer sFlow-gegevens naast NetFlow. Voor hybride omgevingen zouden ze allemaal geweldige keuzes zijn. Maar als u alleen sFLow-apparatuur heeft, kiest u misschien liever voor een tool die alleen die technologie ondersteunt.
5- inMon sFlowTrend
sFlowTrend is een gratis monitoringtool van inMon, het bedrijfachter de sFlow-technologie. Met deze gratis versie van de software kunt u gegevens verzamelen van maximaal vijf sFlow-apparaten en bewaart u geschiedenisgegevens maximaal een uur in RAM. En als u dingen wilt opvoeren, kunt u upgraden naar de pro-versie - uiteraard tegen betaling - die het aantal apparatenlimiet verwijdert en onbeperkte geschiedenisgegevens op schijf opslaat.
De sFlowTrend Dashboard biedt een snel overzicht van de huidigestatus van de bewaakte apparaten en netwerken, het omvat drempels van het hoogste niveau en interfaces met mogelijke fouten. Wanneer u op het tabblad Netwerk klikt, onthult sflowTrend samengevatte prestatiestatistieken en gedetailleerd verkeer op netwerk- of apparaatniveau. Waarschuwingsdrempels kunnen worden gedefinieerd. Hiermee kunt u waarschuwingen ontvangen wanneer het bandbreedtegebruik of de netwerkfout groter is dan normaal. Er is zelfs een hoofdoorzaak-tabblad waar u de oorzaak van een probleem zoals een drempelovertreding kunt bekijken.
Op het tabblad Hosts vindt u meer informatieinformatie over elk apparaat. Het biedt prestatiegegevens op het netwerk, CPU, schijf, enz. Voor sFlow-compatibele servers, inclusief virtuele. Op het tabblad Services vindt u prestatiegegevens voor applicaties (inclusief verschillende webservers) die sFlow-gegevens exporteren. Op het tabblad Gebeurtenissen vindt u een logboek met gebeurtenissen zoals overschreden drempels of gedetecteerde fouten. En tot slot biedt het tabblad Rapporten verschillende vooraf gedefinieerde rapporten, maar het ondersteunt ook het maken van aangepaste rapporten. Hier gaat u rapporten uitvoeren en vervolgens de resultaten bekijken.
sFlowTrend is geschreven in Java en wordt geleverd met beide eenJava-gebaseerde of web-gebaseerde gebruikersinterface. Het is beschikbaar voor Windows, Macintosh en Linux. Er is ook online help beschikbaar om u te helpen bij het configureren en gebruiken van de tool. Het is een geweldig hulpmiddel, vooral voor kleinere organisaties met apparatuur die sFlow ondersteunt. En het upgradepad naar de pro-versie maakt het een even geldige keuze voor grotere netwerken.
Comments