NetFlow на Cisco и sFlow на inMon са две подобни, но различни технологии за наблюдение, които могат да ви осигурят качествен поглед върху трафика на вашата мрежа. Докато инструментите за наблюдение на честотната лента ви казват само колко трафик преминава през определена точка, инструментите за анализ на потока ще ви кажат какви са тези данни, откъде идват и отиват и няколко други полезни битове информация. Днес ще сравняваме двете технологии и ще разгледаме някои от най-добрите налични инструменти за всяка. Ще прегледаме някои от най-добрите NetFlow и sFlow анализатори и колектори, които можем да намерим.
Ще започнем с описание на NetFlow. Ще направим всичко възможно да обясним какво представлява и как работи, като същевременно поддържаме дискусията си възможно най-нетехническа. След това ще направим същото упражнение с sFlow и ще направим всичко възможно, за да обясним технологията. След това ще разгледаме как се различават двете технологии. Както преди, ние ще стоим далеч от твърдите технически подробности. След това ще се опитаме да отговорим на горящия въпрос: Кой да използвам? Както ще видите, няма ясен и категоричен отговор. И накрая, ще прегледаме някои от най-добрите инструменти за анализ на потока, които можем да намерим.
Съдържание
NetFlow – Оригиналната технология за анализ на потока
Разработена от Cisco Systems, технологията NetFlow беше въведена на техните рутери, за да осигури възможност за събиране на данни за мрежовия трафик, когато той влиза или излиза от интерфейс. Тези данни могат да бъдат анализирани от специализирани приложения, за да се извлекат източникът и дестинацията на трафика, неговият клас на обслужване и в допълнение причините за задръстванията.
Типичната настройка за мониторинг на NetFlow се състои от три основни компонента:
Износителят на потоци обединява пакетите в потоци и експортира записи на потоци към един или повече колектори на потоци.
Колекторът на потока е отговорен за приемането, съхранението и предварителната обработка на данните за потока, получени от износител на поток.
Анализаторът на потока или приложението за анализ на потока се използва за анализ на получените данни за потока. Анализът може да се използва за профилиране на трафика или за отстраняване на неизправности в мрежата.
Как работи NetFlow
Мрежови устройства, които поддържат NetFlow, генерират записи на потока и ги изпращат до колектор на NetFlow. Потокът в този контекст е пълен разговор в смисъла на IP. Устройството, което подготвя записи на потока, обикновено ги изпраща на колектора, когато определи, че потокът е приключил или чрез стареене – когато няма трафик в рамките на определено изчакване – или когато види прекратяване на TCP сесия.
Информацията за запис на потока за потока, като интерфейсите за вход и изход, началните и крайните времеви печати на потока, броя на байтовете и пакетите, които съдържа, заглавките на слой 3, IP адреса на източника и дестинацията и номера на порта, IP протокол и стойността на TOS. Записите на потока не съдържат действителните данни, съставляващи потока, те съдържат само информация за потока. Това е важна характеристика за сигурност на тази технология.
Освен в огромна многосайтова среда, колекторите на потоци, където се изпращат записите, са и анализаторите на поток. Те използват информацията, съдържаща се в записите на потока, за да представят данни за мрежовия трафик по начин, който е полезен за мрежовите администратори. Различните NetFlow колектори и анализатори ще имат различни начини за представяне на данни.
sFlow – Далечен роднина
„s“ в sFlow означава „вземане на проби“. Това е от решаващо значение за нейното функциониране и по това се различава от другите системи за анализ на потока. Тази технология работи само с устройства с активиран sFlow, точно като NetFlow. За щастие там тези устройства са доста често срещани сред големите производители на мрежово оборудване.
Стандартът sFlow се поддържа от консорциума sFlow.org, но това е рожба на корпорацията inMon, която все още упражнява почти абсолютен контрол върху нейното развитие и развитие. Големите производители на оборудване като Alcatel-Lucent, Aruba, Brocade, Cisco, Dell, Hewlett Packard, IBM и много други – над 300 – включват поддръжка на sFlow в много от своите продукти.
sFlow е протокол за вземане на проби от пакети без състояние. Частта „Flow“ от името на протокола може да е подвеждаща, тъй като sFlow всъщност няма представа за агрегиране на пакети данни в потоци от високо ниво, както прави NetFlow. Работи само по отношение на пакети.
Общото вземане на проби от пакети на sFlow обхваща слоеве до 7. Работейки в мрежовото устройство, sFlow експортерът събира префикси от подмножество от всички пакети, преминаващи през наблюдавания интерфейс. Администраторите могат да изберат да вземат проби по един пакет на всеки N пакет, но износителят също избира произволни пакети и ги включва в своя запис. Износителят събира първоначалните байтове на всеки извадков пакет заедно с броячите на устройства и го изпраща на колектора на sFlow. Устройството не кешира никакви данни или извадки пакети, което намалява използването на ресурси и го прави лесно за мащабиране до високоскоростни мрежи.
NetFlow и sFlow – Каква е разликата?
Въпреки подобни имена, цели и цели, NetFlow и sFlow всъщност са доста различни, особено по начина, по който всеки изпълнява задачата си.
Ави Фридман, съосновател и главен изпълнителен директор на Kentik, обобщава разликата между NetFlow и sFlow с аналогия: „… докато NetFlow може да се опише като наблюдаване на модели на трафик („Колко автобуса са минали оттук до там?“), с sFlow вие вие. просто правим моментни снимки на колите или автобусите, които случайно минават в този конкретен момент.” Не позволявайте на тази опростена аналогия сляпо да ви накара да повярвате, че NetFlow предоставя повече информация от sFlow и следователно е по-добра технология.
Въпреки че вероятно получавате повече информация от NetFlow, отколкото от sFlow, това не го прави непременно по-добър протокол. Например, използването на ресурсите на NetFlow е много по-високо от това на sFlow. Това би направило sFlow по-интересна опция за устройства от по-нисък клас. И докато NetFlow може да събира повече информация, наистина ли се нуждаете от нея и може ли вашият анализатор изобщо да я използва?
Кой трябва да използвам?
Повечето колектори и анализатори ще обработват информация както за NetFlow, така и за sFlow, а много мрежови устройства също поддържат и двете. Основният решаващ фактор вероятно трябва да бъде какво поддържа вашето оборудване. Ако някое от вашето оборудване поддържа едното, но не и другото, това е този, който трябва да изберете. Ако имате предимно оборудване на Cisco, защо не използвате NetFlow, тъй като това е собствен протокол на Cisco?
Не е нужно обаче да избирате страни. И NetFlow, и sFlow са отлични технологии. Защо не използвате и двете с колектор и анализатор, които могат да поддържат и двете? Ще можете да получавате данни за потока от вашите устройства с активиран sFlow, както и от устройства с активиран Netflow.
Някои от най-добрите инструменти за наблюдение на NetFlow
Ето някои от най-добрите инструменти за колектор и анализатор на NetFlow, които можем да намерим. Включихме комбинация от инструменти, за да ви дадем по-добра представа за разнообразието от налични инструменти. Всички те поддържат мониторинг на NetFlow и всички негови варианти, като J-flow или IPFIX, само за да назовем няколко.
1- SolarWinds NetFlow Traffic Analyzer (безплатна пробна версия)
SolarWinds е един от най-известните производители на инструменти за мрежово и системно администриране. Неговият водещ продукт, наречен монитор за мрежова производителност, се разглежда от мнозина като най-добрите инструменти за наблюдение на мрежовата честотна лента. По същия начин, SolarWinds NetFlow Traffic Analyzer—който се инсталира върху монитора на мрежовата производителност—е един от най-добрите IPFIX колектори и анализатори, които можете да намерите.
Някои от най-добрите характеристики на SolarWinds NetFlow Traffic Analyzer включват:
Мониторинг на използването на честотната лента по приложение, по протокол и по IP адресна група.
Мониторинг на данните за потока на IPFIX, Cisco NetFlow, Juniper J-Flow, sFlow и Huawei NetStream, което му позволява да идентифицира кои устройства, приложения и протоколи са най-високите потребители на честотна лента.
Събиране на данни за трафика, съпоставянето им в използваем формат и представянето им на потребителя чрез уеб-базиран интерфейс за наблюдение на мрежовия трафик.
Идентифициране кои приложения и категории консумират най-много честотна лента за по-добра видимост на мрежовия трафик (включително поддръжка на Cisco NBAR2).
Анализаторът на трафик SolarWinds NetFlow е добавка към монитора на мрежовата честотна лента. Можете да спестите, като закупите и двете едновременно с пакета SolarWinds Network Bandwidth Analyzer Pack. Цените за пакета започват от $4 910 за наблюдение на до 100 елемента и варират в зависимост от броя на наблюдаваните устройства. Въпреки че това може да изглежда малко скъпо, имайте предвид, че получавате не един, а два от най-добрите налични инструменти за наблюдение. Ако предпочитате да изпробвате продукта, преди да го закупите, можете да изтеглите безплатна 30-дневна пробна версия от SolarWinds.
2- PRTG мрежов монитор
PRTG Network Monitor от Paessler AG е решение всичко в едно, чиято основна цел е да наблюдава използването на честотната лента. Също така се използва за наблюдение на наличността и здравето на различни мрежови ресурси. Тези функции го правят полезен инструмент за мрежовите администратори. Инструментът може да наблюдава устройства през множество сайтове и може да наблюдава LAN, WAN, VPN и облачни услуги.
Инсталирането на този продукт е бързо и лесно. След стартиране на инсталатора процесът на автоматично откриване открива устройства и настройва сензори. Paessler твърди, че можете да започнете да наблюдавате в рамките на две минути, след като стартирате инсталацията. Въпреки че това може да е леко преувеличение, бяхме впечатлени от лекотата и скоростта на инсталиране. Въпреки че сървърът работи само на Windows, потребителският интерфейс е уеб-базиран и може да бъде достъпен от всеки браузър. Освен това има мобилно приложение, което можете да инсталирате на вашия смартфон или таблет.
PRTG Network Monitor може да наблюдава почти всичко, благодарение на базираната на сензори архитектура. Можете да мислите за сензорите като добавки, които са вградени направо в продукта, като всяка има специфична цел. Има сензори за HTTP и SMTP/POP3 (e-mail). Има и хардуерно-специфични сензори за комутатори, рутери и сървъри. Като цяло инструментът има над 200 различни предварително дефинирани сензора.
PRTG Network Monitor предлага селекция от потребителски интерфейси. Имате избор между базиран на Ajax уеб интерфейс или корпоративна конзола на Windows, както и мобилни приложения за Android и iOS. Хубава характеристика на мобилните приложения е, че те могат да получават сигнали чрез push известия. Налични са и стандартни SMS или имейл известия.
PRTG Network Monitor се предлага в две версии. Има безплатна версия, която е пълнофункционална, но ще ограничи възможностите ви за наблюдение до 100 сензора, като всеки наблюдаван параметър се брои като един сензор. Например, за да наблюдавате всеки порт на 48-портов комутатор, ще ви трябват 48 сензора. За повече от 100 сензора трябва да закупите лиценз. Те започват от $1 600 за 500 сензора. Можете също така да получите безплатна, неограничена и пълнофункционална 30-дневна пробна версия.
3- Изследовател
Scrutinizer от Plixer е друг страхотен NetFlow Analyzer. Всъщност това е дори повече от това и мнозина го разглеждат като пълна система за реакция при инциденти. Със своята способност да наблюдава различни типове поток, като NetFlow, J-flow, NetStream, sFlow и IPFIX, вие не сте ограничени до наблюдение само на устройства на Cisco.
Със своя йерархичен дизайн Scrutinizer предлага рационализирано и ефективно събиране на данни и ви позволява да започнете с малък и лесно мащабен път до много милиони потоци в секунда. Често първо се обвинява мрежата, когато нещо се обърка. С Scrutinizer можете бързо да намерите истинската причина за повечето проблеми с мрежата. Scrutinizer работи както във физическа, така и във виртуална среда и се предлага с разширени функции за отчитане.
Scrutinizer се предлага в четири лицензионни нива, които преминават от основната безплатна версия до пълноценното ниво на SCR, което може да мащабира до над 10 милиона потоци в секунда. Безплатната версия е ограничена до 10 хиляди потока в секунда и ще съхранява необработени данни за потока само за 5 часа, но би трябвало да е повече от достатъчно за отстраняване на проблеми с мрежата. Можете също да опитате всяко ниво на лиценз за 30 дни, след което той ще се върне обратно към безплатната версия.
4- Анализатор на NetFlow ManageEngine
ManageEngine NetFlow Analyzer дава на мрежовия администратор подробен поглед върху използването на честотната лента на мрежата, както и моделите на трафика. Продуктът се управлява от уеб-базиран интерфейс и предлага впечатляващ брой различни изгледи във вашата мрежа.
Можете например да преглеждате трафика по приложение, по разговор, по протокол и още няколко опции. Можете също да зададете сигнали, които да ви предупреждават за потенциални проблеми. Например, можете да зададете праг на трафик на конкретен интерфейс и да бъдете предупредени, когато трафикът го надвиши.
Но по-голямата част от силата на продукта идва от неговите отчети и табло за управление. Инструментът идва с няколко много полезни предварително изготвени отчета, които са специално пригодени за конкретни цели като отстраняване на неизправности, планиране на капацитет или фактуриране. Но не сте останали с вградени отчети, тъй като инструментът също така позволява на администраторите да създават персонализирани отчети по свой вкус.
Що се отнася до таблото на инструмента, което споменахме, то е също толкова впечатляващо, колкото и неговите отчети. Той включва няколко кръгови диаграми с неща като топ приложения, топ протоколи или най-добри разговори. Може също да показва топлинна карта със състоянието на наблюдаваните интерфейси. И както може би се досещате, таблата за управление могат да бъдат персонализирани, за да включват само информацията, която намирате за полезна. Таблото за управление също е мястото, където сигналите се показват под формата на изскачащи прозорци. А за мрежовия администратор в движение има приложение за смартфон, което ще ви позволи да получите достъп до таблото и отчетите.
ManageEngine NetFlow Analyzer поддържа повечето технологии за поток, включително NetFlow (разбира се), IPFIX, J-flow, NetStream и няколко други. Като бонус също има отлична интеграция с устройства на Cisco, с поддръжка за коригиране на оформянето на трафика и/или QoS политиките направо от инструмента.
Подобно на много конкурентни продукти, ManageEngine NetFlow Analyzer се предлага в две версии. Безплатната версия ще бъде идентична с платената през първите 30 дни, но след това ще се върне към наблюдение само на два интерфейса на потоци. Въпреки че това не е много, може да е всичко, от което се нуждаете. Ако искате платената версия, лицензите се предлагат в няколко размера от 100 до 2500 интерфейса или потоци с цени, вариращи между около $600 до над $50K плюс годишни такси за поддръжка.
Какво ще кажете за инструментите за наблюдение на S-Flow?
Всички продукти, които току-що прегледахме, ще събират и анализират данни за sFlow в допълнение към NetFlow. За хибридни среди всички те биха били чудесен избор. Но ако имате само оборудване sFLow, може би предпочитате да изберете инструмент, който поддържа само тази технология.
5-inMon sFlowTrend
sFlowTrend е безплатен инструмент за наблюдение от inMon, компанията зад технологията sFlow. Тази безплатна версия на софтуера ви позволява да събирате данни от до пет устройства с активиран sFlow и ще съхранява само исторически данни в RAM за до един час. И ако искате да ускорите нещата, можете да надстроите до професионалната версия – на цена, разбира се – което премахва ограничението за броя на устройствата и съхранява неограничени исторически данни на диск.
sFlowTrend Dashboard предоставя бърз преглед на текущото състояние на наблюдаваните устройства и мрежи, включва прагове от най-високо ниво и интерфейси с потенциални грешки. Когато щракнете върху раздела Мрежа, sflowTrend разкрива обобщени статистически данни за производителността и подробен трафик на ниво мрежа или устройство. Могат да бъдат дефинирани прагове за предупреждение. Позволява ви да получавате сигнали, когато се случи по-високо от обичайното използване на честотна лента или мрежова грешка. Има дори раздел за основната причина, където можете да разгледате причината за проблем, като например нарушение на прага.
Разделът Хостове е мястото, където ще намерите по-подробна информация за всяко устройство. Той предоставя данни за производителността на мрежата, процесора, диска и т.н. за сървъри с активиран sFlow – включително виртуални. В раздела Услуги ще намерите данни за производителността на приложения (включително различни уеб сървъри), които експортират sFlow данни. В раздела Събития ще намерите дневник със събития като надвишени прагове или открити грешки. И накрая, разделът Отчети предоставя няколко предварително дефинирани отчета, но също така поддържа създаването на персонализирани отчети. Тук ще отидете да стартирате отчети и след това да прегледате резултатите от тях.
sFlowTrend е написан на Java и се предлага както с Java-базиран, така и с уеб-базиран потребителски интерфейс. Предлага се за Windows, Macintosh и Linux. Има и онлайн помощ, която да ви помогне при конфигурирането и използването на инструмента. Това е чудесен инструмент, особено за по-малки организации с оборудване, поддържащо sFlow. А пътят за надграждане до професионалната версия го прави еднакво валиден избор за по-големи мрежи.