NetFlow Cisco та InMon sFlow - це дві схожіале різні технології моніторингу, які можуть забезпечити вам якісний перегляд трафіку вашої мережі. Хоча інструменти моніторингу пропускної здатності лише показують, скільки трафіку проходить певна точка, інструменти аналізу потоку підкажуть, що це за дані, звідки вони надходять та збираються, та кілька інших корисних бітів інформації. Сьогодні ми будемо порівнювати дві технології та розглянемо деякі найкращі інструменти, доступні для кожної з них. Ми розглянемо деякі найкращі аналізатори та колектори NetFlow та sFlow, які ми могли знайти.
Почнемо з опису NetFlow. Ми зробимо все можливе, щоб пояснити, що це таке і як це працює, зберігаючи нашу дискусію якомога більше нетехнічної. Тоді ми зробимо ту саму вправу з sFlow і зробимо все можливе, щоб пояснити технологію. Після цього ми ознайомимось з тим, як дві технології відрізняються. Як і раніше, ми будемо триматися осторонь важких технічних деталей. Далі ми спробуємо відповісти на актуальне запитання: Який я повинен використовувати? Як ви побачите, немає чіткої та остаточної відповіді. Нарешті, ми розглянемо деякі найкращі інструменти аналізу потоку, які ми могли знайти.
NetFlow - оригінальна технологія аналізу потоку
Розроблена Cisco Systems, технологія NetFlowбула представлена на їх маршрутизаторах для надання можливості збирати дані про мережевий трафік під час входу або виходу з інтерфейсу. Ці дані можуть бути проаналізовані спеціалізованими програмами для вилучення джерела та пункту призначення трафіку, його класу обслуговування та, за розширенням, причин перевантаженості.
Типова настройка моніторингу NetFlow складається з трьох основних компонентів:
- The експортер потоку агрегує пакети в потоки та експортує записи потоків до одного або декількох колекторів потоків.
- The проточний колектор відповідає за прийом, зберігання та попередню обробку даних потоку, отриманих від експортера потоку.
- The аналізатор потокуабо додаток для аналізу потоку використовується для аналізу отриманих даних потоку. Аналіз можна використовувати для профілювання трафіку або для усунення несправностей у мережі.
Як працює NetFlow
Мережеві пристрої, що підтримують NetFlow, генеруютьзаписує потоки та надсилає їх до колектора NetFlow. Потік у цьому контексті - це повна розмова в сенсі IP. Пристрій, що готує записи потоків, зазвичай надсилає їх до колектора, коли він визначає, що потік закінчується шляхом старіння - коли не було трафіку протягом певного часу, або коли він бачить припинення сеансу TCP.
Інформація про запис потоку такаяк інтерфейси вводу та виводу, позначки часу початку та закінчення потоку, кількість байтів та пакетів, які він містить, заголовки 3 рівня, IP-адреса джерела та призначення та номер порту, протокол IP та значення TOS. Записи потоку не містять фактичних даних, що складали потік, вони містять лише інформацію про потік. Це важлива особливість безпеки цієї технології.
За винятком величезних середовищ на багатьох сайтах, потікколектори, куди надсилаються записи, також є аналізаторами потоку. Вони використовують інформацію, що міститься в записах потоків, для представлення даних про мережевий трафік таким чином, який корисний адміністраторам мережі. Різні збирачі та аналізатори NetFlow матимуть різні способи подання даних.
sFlow - Далекий родич
"S" у sFlow означає "вибірку". Це має вирішальне значення для його роботи, і саме воно відрізняється від інших систем аналізу потоків. Ця технологія працює лише з пристроями з підтримкою sFlow, як і NetFlow. На щастя, ці пристрої є досить поширеними серед великих виробників мережевого обладнання.
Стандарт sFlow підтримується sFlow.Органічний консорціум, але саме дітище корпорації InM досі здійснює майже абсолютний контроль над своєю еволюцією та розвитком. Основні виробники обладнання, такі як Alcatel-Lucent, Aruba, Brocade, Cisco, Dell, Hewlett Packard, IBM та багато інших - понад 300 - включають підтримку sFlow у багатьох своїх продуктах.
sFlow - протокол вибірки пакетів без стану. Частина "Потік" назви протоколу може ввести в оману, оскільки sFlow насправді не має поняття агрегування пакетів даних у потоки високого рівня, як це робить NetFlow. Він працює лише з точки зору пакетів.
sFlow загальна вибірка пакетів охоплює шаричерез 7. Працюючи в мережевому пристрої, експортер sFlow збирає префікси з підмножини всього пакету, що проходить через контрольований інтерфейс. Адміністратори можуть вибрати вибірку одного пакету кожного N пакету, але експортер також вибирає випадкові пакети та включає їх у свій запис. Експортер, ніж збирає початкові байти кожного відібраного пакету разом із лічильниками пристроїв і надсилає його до колектора sFlow. Пристрій не кешує жодний пакет даних або вибірки, зменшуючи використання ресурсів і полегшуючи масштабування до високошвидкісних мереж.
NetFlow І sFlow - в чому різниця?
Незважаючи на те, що мають схожі назви, цілі та цілі, NetFlow та sFlow насправді зовсім інші, особливо у тому, як кожен виконує своє завдання.
Аві Фрідман, співзасновник і генеральний директор компанії Kentik, підсумовує різницю між NetFlow та sFlow за аналогією: "… Поки NetFlow можна охарактеризувати як спостереженнясхему руху ("Скільки автобусів їхало звідти туди?"), з sFlow ви просто робите знімки будь-яких автомобілів чи автобусів, які трапляються в цей конкретний момент."Не дозволяйте цій спрощеній аналогії сліпо привести вас до думки, що NetFlow надає більше інформації, ніж sFlow, і, отже, краща технологія.
Хоча ви, мабуть, отримуєте більше інформації відNetFlow, ніж від sFlow, не обов'язково робить його кращим протоколом. Наприклад, використання ресурсів NetFlow набагато вище, ніж використання sFlow. Це, як правило, робить sFlow більш цікавим варіантом для нижчих пристроїв. І хоча NetFlow може збирати більше інформації, вам вона справді потрібна і чи здатний ваш аналізатор навіть її використовувати?
Який я повинен використовувати?
Більшість колекторів та аналізаторів впораються з обомаІнформація NetFlow і sFlow та багато мережевих пристроїв також підтримують і те, і інше. Основним вирішальним фактором, мабуть, має бути те, що підтримує ваше обладнання. Якщо частина вашого обладнання підтримує одне, а не інше, це вам слід вибрати. Якщо у вас в основному є обладнання Cisco, чому б не поїхати з NetFlow, оскільки це власний протокол Cisco?
Не потрібно вибирати сторони. І NetFlow, і sFlow - відмінні технології. Чому б не скористатися як колектором, так і аналізатором, який може підтримувати будь-який? Ви зможете отримувати дані про потік з увімкнених функцій sFlow, а також із пристроїв з підтримкою Netflow.
Деякі з найкращих інструментів моніторингу NetFlow
Ось кілька кращих колекціонерів NetFlow іінструменти аналізатора, які ми могли б знайти. Ми включили поєднання інструментів, щоб краще зрозуміти різноманітність інструментів. Всі вони підтримують NetFlow-моніторинг та всі його варіанти, такі як J-flow або IPFIX, лише декілька.
1- Аналізатор трафіку SolarWinds NetFlow (Безкоштовний пробний період)
SolarWinds - один з найвідоміших виробниківінструменти мережевого та системного адміністрування. Його флагманський продукт під назвою Монітор продуктивності мережі розглядаються багатьма як найкращі інструменти контролю пропускної здатності мережі. Точно також Аналізатор трафіку SolarWinds NetFlow—Встановлюється поверх мережевого монітора продуктивності - є одним з найкращих колекторів і аналізаторів IPFIX, які ви можете знайти.
- БЕЗКОШТОВНИЙ ПРОБНИЙ ПЕРІОД: Аналізатор трафіку SolarWinds NetFlow
- Посилання для завантаження: https://www.solarwinds.com/network-bandwidth-analyzer-pack/registration
Деякі з Аналізатор трафіку SolarWinds NetFlowКращі функції включають:
- Моніторинг використання пропускної здатності за допомогою програми, протоколу та групи IP-адрес.
- Моніторинг даних IPFIX, Cisco NetFlow, Juniper J-Flow, sFlow та Huawei NetStream, що дозволяє визначати, які пристрої, програми та протоколи є найвищою споживчою пропускною здатністю.
- Збір даних про трафік, співвіднесення їх у корисному форматі та представлення їх користувачеві через веб-інтерфейс для моніторингу мережевого трафіку.
- Визначення, які програми та категорії споживають найбільшу пропускну здатність для кращої видимості мережевого трафіку (включаючи підтримку Cisco NBAR2).
The Аналізатор трафіку SolarWinds NetFlow є доповненням до Монітор пропускної здатності мережі. Ви можете заощадити, придбавши обидва одночасно з Пакет мережевої пропускної здатності SolarWinds SolarWinds. Ціни на набір починаються від $ 4 910 замоніторинг до 100 елементів і змінюється залежно від кількості контрольованих пристроїв. Хоча це може здатися трохи дорогим, майте на увазі, що ви отримуєте не один, а два найкращі доступні інструменти моніторингу. Якщо ви бажаєте спробувати продукт перед його придбанням, безкоштовну 30-денну пробну версію можна завантажити з SolarWinds.
2- PRTG Network Monitor
The PRTG Network Monitor від Paessler AG - це рішення "все в одному"Основна мета - моніторинг використання пропускної здатності. Він також використовується для моніторингу наявності та стану здоров'я різних мережевих ресурсів. Ці функції роблять його корисним інструментом для мережевих адміністраторів. Інструмент може контролювати пристрої на декількох сайтах, а також може здійснювати моніторинг LAN, WAN, VPN та Cloud Services.
Установка цього продукту швидка та проста. Після запуску інсталятора процес автоматичного виявлення виявляє пристрої та встановлює датчики. Paessler стверджує, що ви можете почати моніторинг протягом двох хвилин після початку установки. Хоча це може бути незначним завищенням, нас вразила простота та швидкість монтажу. Хоча сервер працює лише в ОС Windows, користувальницький інтерфейс базується на веб-сторінках і доступ до них можна отримати з будь-якого браузера. Крім того, є мобільний додаток, який ви можете встановити на свій смартфон або планшет.
The PRTG Network Monitor може контролювати майже все, завдяки своємусенсорна архітектура. Ви можете вважати датчики як додатки, які вбудовані прямо у виріб, кожен з яких має конкретне призначення. Існують датчики для HTTP та SMTP / POP3 (електронна пошта). Є також апаратні датчики для комутаторів, маршрутизаторів та серверів. Всього в інструменті є понад 200 різних заздалегідь визначених датчиків.
The PRTG Network Monitor пропонує вибір інтерфейсів користувача. У вас є вибір веб-інтерфейсу на базі Ajax або корпоративної консолі Windows, а також мобільних додатків для Android та iOS. Приємною особливістю мобільних додатків є те, що вони можуть отримувати сповіщення за допомогою push-повідомлення. Також доступні стандартні SMS або електронні повідомлення.
The PRTG Network Monitor пропонується у двох версіях. Існує безкоштовна версія, яка є повнофункціональною, але обмежить вашу здатність до моніторингу до 100 датчиків, кожен з яких моніторинг параметру вважається одним датчиком. Наприклад, для контролю кожного порту 48-портового комутатора знадобиться 48 датчиків. Для більш ніж 100 датчиків потрібно придбати ліцензію. Вони починаються від $ 1 600 за 500 датчиків. Ви також можете отримати безкоштовну, безлімітну та сенсорну 30-денну пробну версію.
3- Ревізор
Ревізор від Plixer - ще один чудовий аналізатор NetFlow. Насправді це навіть більше, і багато хто вважає це повноцінною системою реагування на інциденти. Завдяки своїй можливості контролювати різні типи потоків, такі як NetFlow, J-flow, NetStream, sFlow та IPFIX, ви не обмежуєтесь моніторингом лише пристроїв Cisco.
Завдяки своєму ієрархічному дизайну, Ревізор пропонує обтічний та ефективний збір данихі дозволяє почати невеликим і легким масштабом шляху до багатьох мільйонів потоків в секунду. Мережу часто спочатку звинувачують, коли щось піде не так, за допомогою Scrutinizer ви можете швидко знайти справжню причину більшості будь-яких мережевих проблем. Ревізор працює як у фізичному, так і у віртуальному середовищах та має розширені функції звітування.
Ревізор поставляється у чотирьох ліцензійних ярусах, що йдуть відосновна безкоштовна версія до повноцінного рівня SCR, яка може масштабувати до 10 мільйонів потоків в секунду. Безкоштовна версія обмежена 10 тисячами потоків в секунду, і вона буде зберігати дані про непередбачувані потоки протягом 5 годин, але це повинно бути більш ніж достатньо для усунення проблем з мережею. Ви також можете спробувати будь-який рівень ліцензії протягом 30 днів, після чого він повернеться до безкоштовної версії.
4- ManageEngine NetFlow Analyzer
The ManageEngine NetFlow Analyzer надає адміністратору мережі детальний виглядвикористання пропускної здатності мережі, а також структури трафіку. Продукт контролюється веб-інтерфейсом і пропонує вражаючу кількість різних переглядів у вашій мережі.
Наприклад, ви можете переглянути трафік за допомогоюдодаток, розмова, протокол та ще кілька варіантів. Ви також можете встановити сповіщення, щоб попереджати про можливі проблеми. Наприклад, ви можете встановити поріг трафіку на певному інтерфейсі та отримувати сповіщення, коли трафік перевищує його.
Але більша частина міцності продукту приходитьзі своїх звітів та інформаційної панелі. Інструмент постачається з кількома дуже корисними попередньо створеними звітами, спеціально розробленими для конкретних цілей, таких як усунення несправностей, планування потужностей або виставлення рахунків. Але ви не зациклюєтесь на вбудованих звітах, оскільки інструмент також дозволяє адміністраторам створювати власні звіти на свій смак.
Що стосується згаданої нами панелі інструментів, то вона єнастільки ж вражаючі, як і його звіти. Він включає кілька кругових діаграм із такими речами, як топ-програми, топ-протоколи чи топові розмови. Він також може відображати теплову карту зі статусом інтерфейсів, що контролюються. І як ви могли здогадатися, панелі інструментів можуть бути налаштовані так, щоб вони містили лише ту інформацію, яку ви вважаєте корисною. На інформаційній панелі також відображаються сповіщення у вигляді спливаючих вікон. А для адміністратора мережі в дорозі є додаток для смартфонів, який дозволяє вам отримувати доступ до інформаційної панелі та звітів.
The ManageEngine NetFlow Analyzer підтримує більшість технологій потоку, включаючи NetFlow(звичайно), IPFIX, J-flow, NetStream та кілька інших. Як бонус, також є чудова інтеграція з пристроями Cisco, з підтримкою коригування формування трафіку та / або політик QoS безпосередньо з інструменту.
Як і багато конкуруючих продуктів, ManageEngine NetFlow Analyzer випускається у двох версіях. Безкоштовна версія буде ідентичною платній для перших 30 днів, але потім повернеться до моніторингу лише двох інтерфейсів потоків. Хоча це не так багато, це може бути все, що вам потрібно. Якщо ви хочете оплачувати версію, ліцензії доступні в декількох розмірах від 100 до 2500 інтерфейсів або потоки, ціни яких варіюються приблизно від 600 до понад 50 000 доларів плюс щорічні плати за обслуговування.
Як щодо інструментів моніторингу S-Flow?
Усі товари, які ми тільки що переглянули, збиратимутьта аналізувати дані sFlow на додаток до NetFlow. Для гібридних середовищ вони все б чудово підбирали. Але якщо у вас є лише обладнання sFLow, можливо, ви скористаєтеся інструментом, який підтримує лише цю технологію.
5- inMon sFlowTrend
sFlowTrend це безкоштовний інструмент моніторингу від компанії InMonза технологією sFlow. Ця безкоштовна версія програмного забезпечення дозволяє збирати дані з до п'яти пристроїв, що підтримують sFlow, і зберігатиме дані історії в оперативній пам’яті до години. І якщо ви хочете активізувати все, ви, звичайно, зможете оновити до професійної версії, що знімає ліміт кількості пристроїв і зберігає необмежену кількість даних історії на диску.
The sFlowTrend Приладова панель забезпечує швидкий огляд струмустан контрольованих пристроїв та мереж, він включає пороги верхнього рівня та інтерфейси з потенційними помилками. Коли ви натискаєте вкладку Мережа, sflowTrend розкриває узагальнену статистику продуктивності та детальний трафік на рівні мережі або пристрою. Порогові сповіщення можна визначити. Він дозволяє отримувати сповіщення, коли трапляється більша, ніж зазвичай, пропускна здатність або помилка мережі. Існує навіть вкладка з першопричиною, на якій ви можете зрозуміти причину такої проблеми, як порушення порогу.
На вкладці «Хости» ви знайдете детальнішу інформаціюінформація про кожен пристрій. Він надає дані про продуктивність у мережі, процесорі, диску тощо для серверів з підтримкою sFlow, включаючи віртуальні. На вкладці Служби ви знайдете дані про продуктивність додатків (включаючи різні веб-сервери), які експортують дані sFlow. На вкладці "Події" ви знайдете журнал подій, наприклад перевищені пороги або виявлені помилки. І нарешті, на вкладці "Звіти" подано кілька попередньо визначених звітів, але він також підтримує створення спеціальних звітів. Тут ви збираєтеся запускати звіти, а потім переглядати їх результати.
sFlowTrend написано на Java і постачається з обомаНа базі Java або веб-інтерфейс користувача. Він доступний для Windows, Macintosh та Linux. Також є онлайн-довідка, яка допоможе вам налаштувати та використовувати інструмент. Це чудовий інструмент, особливо для менших організацій із обладнанням, що підтримує sFlow. А шлях оновлення до професійної версії робить його однаково правильним вибором для великих мереж.
Коментарі