Анализът на потока е новата вълна в мониторинга на мрежата. Тя позволява на администраторите и мениджърите да имат по-ясна представа не само за това колко трафик се случва, но и какъв трафик. И когато отстранявате проблеми с тесни грешки, забавяне или всякакви мрежови проблеми, наличието на такава видимост е от съществено значение. И не е само за отстраняване на грешки, наличието на ясна видимост е важно и за планирането на капацитета. Днес ще разгледаме най-добрите безплатни колектори и анализатори на sFlow на пазара. Подобно на NetFlow на Cisco или неговия отворен наследник IPFIX, но в същото време много различен, sFlow – (почти) независим от доставчика протокол – може да даде на мрежовите администратори подробен поглед върху това, което се случва в техните мрежи.
Има няколко начина, по които можете да получите известна степен на видимост върху това, което се случва във вашата мрежа. Протоколът за управление на мрежата или SNMP може да се използва за четене на брояч на устройства и изчисляване на използването на честотната лента на всеки интерфейс. Това може да е достатъчно за по-малки мрежи. Ping, traceroute (или tracert), nmap и netstat могат да помогнат с основното отстраняване на неизправности, но за пълната картина нищо не е по-добро от анализа на потока.
В тази статия ще започнем, като обсъдим какво е sFlow, как работи и как може да бъде полезен. Ще го сравним и с NetFlow, който е нещо като далечен братовчед на sFlow. Въпреки че колекторите и анализаторите sFlow и NetFlow често са едно и също, ще видите, че всъщност са много различни. След това ще продължим с нашите пет най-добри безплатни колектори и анализатори на sFlow.
Съдържание
Какво е sFlow
„S“ в sFlow означава „вземане на проби“. Това е от решаващо значение за нейното функциониране и, както скоро ще видим, е как се различава от другите системи за анализ на потока. Повечето от магията на sFlow се случва в самите наблюдавани устройства. Ето защо той ще работи само на устройства с активиран sFlow. За щастие има много такива устройства, особено сред големите производители на мрежово оборудване.
Въпреки че консорциумът sFlow.org сега поддържа стандарта, sFlow е рожба на корпорацията inMon, която все още упражнява почти абсолютен контрол върху развитието на системата. Основните производители на оборудване като Alcatel-Lucent, Brocade, Aruba, Cisco, Dell, Hewlett Packard, IBM и много други включват поддръжката на sFlow, която е голяма част от тяхното комутационно оборудване. Всъщност над 300 производителя включват sFlow в своите продукти.
Основната цел на sFlow е да наблюдава високоскоростните мрежи. това е протокол за вземане на проби от пакети без състояние. частта „Flow“ от името на протокола може да е подвеждаща, тъй като sFlow всъщност няма представа за агрегиране на пакети данни в потоци от високо ниво. Работи само по отношение на пакети.
В основата си sFlow извършва общо семплиране на пакети, което обхваща слоеве до 7. Работейки в мрежовото устройство, sFlow експортерът събира префикси от подмножество от всички пакети, преминаващи през интерфейс. Настройката за честота на дискретизация позволява на мениджърите да избират да вземат проби от един пакет на всеки N пакет. Износителят също избира произволни пакети и ги включва. Износителят събира първоначалните байтове на всеки извадков пакет заедно с броячите на устройства и го изпраща до колектора на sFlow като дейтаграма sFlow, използвайки UDP. Устройството не кешира никакви данни или извадки пакети, като по този начин намалява използването на ресурси и улеснява мащабирането до високоскоростни мрежи.
sFlow срещу Netflow, каква е разликата?
Въпреки сходните си имена и въпреки факта, че много колектори и анализатори могат да работят както с NetFlow, така и с sFlow, двете всъщност са много различни, особено по начина, по който всеки изпълнява задачата си.
Ави Фридман, съосновател и главен изпълнителен директор на Kentik, прави следната аналогия с наблюдението на пътния трафик, която обобщава доста добре разликата между NetFlow и sFlow: „… докато NetFlow може да се опише като наблюдение на модели на трафик („Колко автобуса са отишли от тук до там?“), с sFlow просто правите моментни снимки на каквито и да са коли или автобуси, които случайно минават в този конкретен момент.“ Въпреки че това е страхотна аналогия, тя също е донякъде подвеждаща, тъй като може да накара човек да вярва, че NetFlow предоставя повече информация от sFlow и следователно е по-добър.
Макар че вероятно е вярно, че получавате повече информация от NetFlow, отколкото от sFlow, това не го прави непременно по-добър протокол. Като начало, използването на ресурсите на NetFlow – памет и процесор – е много по-високо от това на sFlow. Това би направило sFlow по-интересна опция за устройства от по-нисък клас. Има и целият аспект на това колко много информация е твърде много информация. Да, NetFlow може да събира повече информация, но имате ли нужда от нея? И вашият анализатор изобщо може ли да го използва?
Големият въпрос: Трябва ли да използвам NetFlow или sFlow?
Задаването на въпроса е лесно, но даването на добър отговор е почти невъзможно. Както казахме по-рано, много колектори и анализатори ще обработват информация както за NetFlow, така и за sFlow. И има голям брой мрежови устройства, които също ще поддържат и двата протокола, което прави избора на един пред друг още по-труден. Основният решаващ фактор вероятно трябва да бъде какво поддържа вашето оборудване.
Но наистина ли трябва да избирате страни? И NetFlow, и sFlow са отлични системи. Защо тогава не използвате и двете с колектор и анализатор, които поддържат и двете? Ще можете да имате подробни данни за потока от вашите устройства с активиран sFlow и устройства с активиран Netflow.
Какво ще кажете за устройства, които имат вградени и двата протокола? Много устройства на Cisco, например, могат да използват и двете. В тези ситуации бих се изкушил да препоръчам използването на sFlow, тъй като използването на ресурси е по-ниско. Освен ако, разбира се, нямате някаква полза от допълнителната информация, която NetFlow може да предостави.
Най-добрите безплатни колектори и анализатори на поток
Потърсихме в интернет най-добрите безплатни колектори и анализатори на sFlow. Сред тези, които открихме, някои са наистина безплатни пакети. Други са търговски софтуер, който или предлага безплатна пробна версия, или намалена безплатна версия. Освен това някои ще поддържат само sFlow, докато други също ще работят както с sFlow, така и с NetFlow, което ги прави още по-гъвкави. Прегледахме всеки от петте най-добри пакета и представяме нашите констатации. Ето списъка с нашите топ 5 пакета.
Колектор и анализатор на потока SolarWinds
inMon sFlowTrend
ManageEngine NetFlow Analyzer
ntopng и nProbe
Plixer Scrutinizer
1. Колектор и анализатор на потока SolarWinds (БЕЗПЛАТЕН ПРОБЕН ПРОБЕН)
SolarWinds е добре познато име в сферата на управлението на мрежата. Компанията прави някои от най-добрите софтуери, които помагат на администраторите на мрежата да получат по-добра видимост върху това, което се случва с тяхното оборудване. Техният водещ продукт се нарича Network Performance Monitor.
SolarWinds също е известен с това, че прави широка гама от безплатни и полезни продукти. Те варират от калкулатори на IP адреси, за да помогнат на начинаещите да определят подмрежи и хост адреси до завършване на макар и ограничени системи за наблюдение от различни видове. Един такъв продукт, SolarWinds Real-Time Netflow Analyzer беше представен в предишна статия. Може да искате да го прочетете за всички подробности.
Но днешната статия е за sFlow, а не за NetFlow. И докато SolarWinds няма безплатен sFlow, еквивалентен на техния NetFlow анализатор в реално време, той има колектор и анализатор на потока като характеристика на своя NetFlow Traffic Analyzer или NTA. Последният е модул на Network Performance Monitor или NPM. И докато NTA или NPM не са безплатни продукти, е налична безплатна 3-дневна пробна версия. Всъщност SolarWinds като 30-дневна пробна версия на повечето от своите продукти. Следователно можете да опитате всеки един от тях без риск.
Връзка за изтегляне: https://www.solarwinds.com/netflow-traffic-analyzer
Така че, въпреки донякъде подвеждащото си име, анализаторът на трафик на SolarWinds NetFlow ще обработва както NetFlow, така и данните за sFlow. Това го прави идеален избор в разнообразна среда, където някои устройства поддържат един протокол, докато други поддържат различен. И като колектор на sFlow, NTA ще събира всички данни за sFlow от устройства, които наблюдава.
Комбинирани заедно, NPM и NTA разполагат с впечатляващ набор от функционалности, за да помогнат на всеки администратор при управлението на мрежи от няколко доставчици. Получавате мониторинг на честотната лента с помощта на SNMP, анализ на трафика, анализ на производителността, предупреждение, отчитане, оптимизиране на правилата и много други.
По подразбиране резюмираната страница на NetFlow Traffic Analyzer ще показва няколко секции като топ 5 приложения, топ 5 крайни точки, първите 5 разговора или първите 10 източника по процент на използване на честотната лента. И като анализатор на поток, той може да идентифицира потребители, приложения и протоколи, които консумират най-много честотна лента, което позволява на администраторите бързо да намерят източника на всяко наблюдавано задръстване. И можете да сортирате показаните резултати според няколко критерия, като порт, източник, дестинация, протокол и т.н. Той също така позволява да видите моделите на трафика за минути, дни или месеци.
Както NTA, така и NPM са софтуер от корпоративен клас, проектиран да мащабира до много големи мрежи със стотици – ако не и хиляди – устройства. Следователно те ще консумират значителни ресурси на вашата система и трябва да бъдат инсталирани на специален хардуер. Но ако управлявате такава мрежа с множество устройства с активиран sFlow, събирането и анализът на sFlow на NTA си струва да опитате. Ще ви трябват известни усилия, за да го поставите на място, но те ще бъдат добре възнаградени.
2. inMon sFlowTrend
inMon, компанията зад sFlow, има свой собствен безплатен инструмент за наблюдение под формата на своя Софтуер sFlowTrend. Това е основен и донякъде ограничен, но много способен инструмент. Безплатната версия на софтуера ви позволява да събирате данни от до пет комутатора, рутери или хостове, поддържащи sFlow, и ще съхранява само данни за историята в RAM за до един час. Би трябвало да е достатъчно за отстраняване на повечето проблеми с мрежата. И ако искате да ускорите нещата, можете да надстроите до професионалната версия – на цена, разбира се – което премахва ограничението за броя на устройствата и съхранява данни за историята на диска.
Разделът sFlowTrend Dashboard предоставя бърз преглед на текущото състояние на наблюдаваните устройства и мрежи, включва прагове от най-високо ниво и интерфейси с потенциални грешки. Когато щракнете върху раздела Мрежа, sflowTrend разкрива обобщени статистически данни за производителността и подробен трафик на ниво мрежа или устройство. Могат да се дефинират прагове за предупреждение. Позволява ви да получавате сигнали, когато се случи по-високо от обичайното използване на честотна лента или мрежова грешка. Има дори раздел за основната причина, където можете да разгледате причината за проблем, като например нарушение на прага.
Разделът Хостове е мястото, където ще намерите по-подробна информация за всяко устройство. Той предоставя данни за производителността на мрежата, процесора, диска и т.н. за сървъри с активиран sFlow – включително виртуални. В раздела Услуги ще намерите данни за производителността на приложения (включително различни уеб сървъри), които експортират sFlow данни. В раздела Събития ще намерите дневник със събития като надвишени прагове или открити грешки. И накрая, разделът Отчети предоставя няколко предварително дефинирани отчета, но също така поддържа създаването на персонализирани отчети. Тук ще отидете да стартирате отчети и след това да прегледате резултатите от тях.
sFlowTrend е написан на Java и се предлага както с Java-базиран, така и с уеб-базиран потребителски интерфейс. Предлага се за Windows, Macintosh и Linux. Има и онлайн помощ, която да ви помогне при конфигурирането и използването на инструмента. Това е чудесен инструмент, особено за по-малки организации с оборудване, поддържащо sFlow. А пътят за надграждане до професионалната версия го прави еднакво валиден избор за по-големи мрежи.
3. ManageEngine NetFlow Analyzer
Макар че е предимно NetFlow колектор и анализатор, ManageEngine NetFlow Analyzer също ще обработва sFlow дейтаграми, които вашите устройства с възможност за sFlow ще му хвърлят. Това е друг страхотен софтуер от компания, за която е известно, че предоставя висококачествени инструменти за управление. Инструментът ви дава видимост върху трафика и честотната лента по приложение, разговор или протокол. Можете също да зададете сигнали въз основа на праговете на трафика.
ManageEngine NetFlow Analyzer идва с голямо разнообразие от полезни предварително дефинирани отчети. Някои ще помогнат с отстраняването на проблеми, други с планирането на капацитета, а някои могат да се използват за целите на фактурирането за тези организации, които препродават своите инфраструктури. И разбира се, има и възможност за създаване на персонализирани отчети.
Една уникална характеристика на уеб базираното табло за управление е топлинна карта, която показва с един поглед състоянието на наблюдаваните интерфейси, както и кръгови диаграми в реално време, които показват най-добрите приложения, протоколи и разговори, последните аларми и др.
Безплатната версия идва с важни ограничения. Например, докато ще позволи неограничен мониторинг за 30 дни, след това ще се върне към наблюдение само на два интерфейса. Не е много, но може да е достатъчно за бърза сесия за отстраняване на неизправности, при условие че знаете точно къде да търсите. Разбира се, можете да надстроите до платената версия, за да премахнете ограничението за два интерфейса. ManageEngine също така предлага няколко свързани продукта, които работят заедно за разширяване на основния анализ на трафика в пълен пакет за управление на мрежата.
4. ntopng и nProbe
ntopng е истински инструмент за анализ на трафика с отворен код. Той пасивно наблюдава мрежите въз основа на данни за поток и улавяне на пакети. Просто анализатор, ntopng разчита на nProbe – колектор – за събиране на данни за потока от устройства и хостове, които ги експортират. nProbe поддържа няколко различни типа данни за потока, включително NetFlow и sFlow. Заедно те образуват много мощен дует за наблюдение и отстраняване на неизправности.
ntopng идва с уеб-базиран потребителски интерфейс, където информацията се представя по няколко различни начина, като например трафик (напр. водещи говорещи), потоци, хостове, устройства и интерфейси. Дисплеят на потока е може би един от най-интересните, тъй като представя протоколи на приложението и може да показва латентност или други TCP статистически данни, като например загуба на пакети. Можете също да използвате ntopng, за да зададете сигнали въз основа на няколко различни прага и критерии.
ntopng се предлага в три версии, Community, Professional и Enterprise. Версията на Общността е безплатна за използване. Professional и Enterprise предлагат някои допълнителни функции и са достъпни за закупуване
Що се отнася до nProbe, той може да се използва безплатно, но е ограничен до 25 000 експортирани потока. Въпреки че може да изглежда много, бързо ще достигнете това число. Можете, разбира се, да премахнете ограниченията, като закупите лицензи.
5. Plixer Scrutinizer
Scrutinizer от Plixer е много сложна „Система за реагиране при инциденти“, както е посочено на уеб сайта на Plixer. Все пак не позволявайте на фантастичното име да ви заблуди. Повече от всичко Scrutinizer е отлична система за наблюдение на мрежата. Той е много задълбочен и пълен и от особен интерес в контекста на тази статия ще обработва sFlow, както и NetFlow данни.
Scrutinizer предлага едно от най-мащабируемите решения на пазара. Твърди се, че има най-бързото отчитане и предоставя най-богатия контекст на данни, наличен навсякъде. Той има достъп, базиран на роли, за да представи различни екипи само с данните, от които се нуждаят. Проектиран за висока производителност и мащабируемост от малки до много големи среди. Той предоставя богат набор от функции за анализ и отчитане.
Има няколко начина да се настрои Scrutinizer. Можете да го инсталирате като специален уред. Можете също така като виртуален сървър. Освен това може да се изпълнява в софтуер като услуга, където ще работи в облака. В този режим можете да изберете да използвате публичен облак на Plixer или частен. Това е голяма система и е гладна за ресурси. Ще трябва да го настроите на мощен сървър – например с 16 GB RAM.
Scrutinizer се предлага на четири различни нива на лицензиране. Има безплатна версия – която не е пробна, а истинска безплатна версия – която ще поддържа до 10 хиляди потока в секунда, ще съхранява данни за потока за 5 часа и исторически сборни пакети за една седмица. След това имате три нива на платени версии, които варират в зависимост от броя на потоците в секунда, които поддържат, и историята, която съхраняват. Освен това, всяко по-високо ниво добавя няколко допълнителни функции към вече богат набор от функции.
В заключение
Ако вашата мрежа е направена предимно от устройства с активиран sFlow, има някои отлични инструменти, които ще ви дадат безценна представа за поведението на вашата мрежа. И ако имате устройства с активиран sFlow и NetFlow, някои от тях ще поддържат всеки протокол. Вашият окончателен избор ще зависи повече от всичко от текущия размер на вашата мрежа, какъв протокол поддържат вашите устройства и очакваното развитие на вашата мрежа. Настройването на тези инструменти отнема известно време и вие искате да изберете правилния още от самото начало. Това може да ви спести от сложна подмяна в бъдеще.