Analiza fluxului este noul val în monitorizarea rețelei. Le permite administratorilor și managerilor să aibă o vedere mai clară nu numai asupra cât de mult trafic se desfășoară, ci și asupra tipului de trafic. Și atunci când depanați blocajele, încetinirile sau tot felul de probleme de rețea, este esențial să aveți o astfel de vizibilitate. Și nu este doar pentru depanare, a avea o vizibilitate clară este importantă și pentru planificarea capacității. Astăzi, aruncăm o privire la cei mai buni colectori și analizoare sFlow gratuite de pe piață. Similar cu Cisco NetFlow sau cu descendentul său deschis IPFIX, dar în același timp foarte diferit, sFlow – un protocol (aproape) independent de furnizor – poate oferi administratorilor de rețea o vedere detaliată a ceea ce se întâmplă în rețelele lor.
Există mai multe moduri prin care puteți obține un anumit grad de vizibilitate asupra a ceea ce se întâmplă în rețeaua dvs. Protocolul simplu de gestionare a rețelei sau SNMP poate fi utilizat pentru a citi contorul de pe dispozitive și pentru a calcula utilizarea lățimii de bandă a fiecărei interfețe. Acest lucru poate fi suficient pentru rețele mai mici. Ping, traceroute (sau tracert), nmap și netstat pot ajuta la depanarea de bază, dar, pentru o imagine completă, nimic nu depășește analiza fluxului.
În acest articol, vom începe prin a discuta despre ce este sFlow, cum funcționează și cum poate fi util. De asemenea, îl vom compara cu NetFlow, care este un fel de văr îndepărtat al lui sFlow. Deși colectorii și analizoarele sFlow și NetFlow sunt adesea unul și același, veți vedea că sunt de fapt foarte diferiți. Vom continua apoi cu primele cinci cele mai bune colectoare și analizoare sFlow gratuite.
Ce este sFlow
„S” din sFlow înseamnă „eșantionare”. Acest lucru este esențial pentru funcționarea sa și, după cum vom vedea în curând, acesta diferă de alte sisteme de analiză a fluxului. Cea mai mare parte a magiei sFlow se întâmplă în interiorul dispozitivelor monitorizate. Acesta este motivul pentru care va funcționa numai pe dispozitivele compatibile cu sFlow. Din fericire, există multe astfel de dispozitive, în special printre marii producători de echipamente de rețea.
Deși consorțiul sFlow.org menține acum standardul, sFlow este creația corporației inMon, care încă exercită un control aproape absolut asupra evoluției sistemului. Principalii producători de echipamente precum Alcatel-Lucent, Brocade, Aruba, Cisco, Dell, Hewlett Packard, IBM și mulți alții includ suportul sFlow pentru multe dintre echipamentele lor de comutare. De fapt, peste 300 de producători includ sFlow în produsele lor.
Scopul principal al sFlow este de a monitoriza rețelele de mare viteză. este un protocol de eșantionare a pachetelor fără stat. partea „Flux” a numelui protocolului ar putea induce în eroare, deoarece sFlow nu are de fapt ideea de a agrega pachete de date în fluxuri de nivel înalt. Funcționează doar în ceea ce privește pachetele.
La rădăcină, sFlow efectuează eșantionare generală a pachetelor care se întinde pe straturi până la 7. Rulând în cadrul dispozitivului de rețea, exportatorul sFlow colectează prefixe dintr-un subset al întregului pachet care trece printr-o interfață. Setarea ratei de eșantionare le permite managerilor să aleagă să eșantioneze câte un pachet la fiecare N pachet. Exportatorul alege, de asemenea, pachete aleatorii și le include. Exportatorul asamblează octeții inițiali ai fiecărui pachet eșantionat împreună cu contoarele de dispozitiv și îi trimite colectorului sFlow ca datagramă sFlow folosind UDP. Dispozitivul nu memorează în cache niciunul dintre datele sau pachetul eșantionat, reducând astfel utilizarea resurselor și facilitând scalarea la rețelele de mare viteză.
sFlow vs Netflow, care este diferența?
În ciuda numelor lor similare și în ciuda faptului că mulți colectori și analizoare pot lucra atât cu NetFlow, cât și cu sFlow, cei doi sunt de fapt foarte diferiți, mai ales în modul în care fiecare își îndeplinește sarcina.
Avi Freedman, co-fondator și CEO al Kentik, face următoarea analogie cu monitorizarea traficului rutier, care rezumă destul de bine diferența dintre NetFlow și sFlow: „… în timp ce NetFlow poate fi descris ca observând tiparele de trafic („Câte autobuze au mers de aici în acolo?’), cu sFlow, faci doar instantanee ale oricăror mașini sau autobuze care trec în acel moment.” Deși aceasta este o analogie grozavă, este, de asemenea, oarecum înșelătoare prin faptul că poate face să creadă că NetFlow oferă mai multe informații decât sFlow și, prin urmare, este mai bun.
Deși este probabil adevărat că obțineți mai multe informații de la NetFlow decât de la sFlow, asta nu îl face neapărat un protocol mai bun. Pentru început, utilizarea resurselor NetFlow – memorie și CPU – este mult mai mare decât cea a sFlow. Acest lucru ar tinde să facă din sFlow o opțiune mai interesantă pentru dispozitivele de ultimă generație. Există, de asemenea, întregul aspect al cât de multă informație este prea multă informație. Da, NetFlow poate colecta mai multe informații, dar aveți nevoie de ele? Și analizorul tău este capabil să-l folosească?
Marea întrebare: ar trebui să folosesc NetFlow sau sFlow?
A pune întrebarea este ușor, dar a oferi un răspuns bun este aproape imposibil. După cum am spus mai devreme, mulți colectori și analizatori vor gestiona atât informațiile NetFlow, cât și sFlow. Și există un număr bun de dispozitive de rețea care vor accepta, de asemenea, ambele protocoale, făcând alegerea unuia față de celălalt și mai dificilă. Principalul factor decisiv ar trebui să fie probabil ceea ce suportă echipamentul dvs.
Dar chiar trebuie să alegi părți? Atât NetFlow, cât și sFlow sunt sisteme excelente. De ce nu, atunci, să le folosiți pe ambele cu un colector și un analizor care le suportă pe oricare? Veți putea avea date detaliate de flux de la dispozitivele dvs. compatibile cu sFlow și dispozitivele dvs. compatibile cu Netflow.
Dar dispozitivele care au ambele protocoale încorporate? Multe dispozitive Cisco, de exemplu, pot folosi oricare dintre ele. În aceste situații, aș fi tentat să recomand utilizarea sFlow, deoarece utilizarea resurselor sale este mai mică. Cu excepția cazului în care, desigur, aveți nevoie de informații suplimentare pe care NetFlow le poate furniza.
Cei mai buni colectori și analizoare sFlow gratuite
Am căutat pe internet cei mai buni colectori și analizoare sFlow gratuite. Printre cele pe care le-am găsit, câteva sunt pachete cu adevărat gratuite. Altele sunt software comercial care oferă fie o versiune de încercare gratuită, fie o versiune gratuită redusă. De asemenea, unii vor accepta doar sFlow, în timp ce alții vor funcționa și cu sFlow și NetFlow, făcându-le și mai versatile. Am analizat fiecare dintre primele cinci pachete și ne prezentăm constatările. Iată lista celor mai bune 5 pachete ale noastre.
- Colector și analizor SolarWinds sFlow
- inMon sFlowTrend
- ManageEngine NetFlow Analyzer
- ntopng și nProbe
- Plixer Analizator
1. colector și analizor SolarWinds sFlow (ÎNCERCARE GRATUITĂ)
SolarWinds este un nume binecunoscut în domeniul managementului rețelei. Compania produce unele dintre cele mai bune software-uri pentru a ajuta administratorii de rețea să obțină o vizibilitate mai bună asupra a ceea ce se întâmplă cu echipamentele lor. Produsul lor emblematic se numește Network Performance Monitor.
SolarWinds este, de asemenea, cunoscut pentru realizarea unei game largi de produse gratuite și utile. Acestea variază de la calculatoare de adrese IP pentru a-i ajuta pe începători să descopere subrețele și adrese de gazdă pentru a finaliza sisteme de monitorizare, deși limitate, de diferite tipuri. Un astfel de produs, SolarWinds Real-Time Netflow Analyzer a fost prezentat într-un articol anterior . Poate doriți să o citiți pentru toate detaliile.
Dar articolul de astăzi este mai degrabă despre sFlow decât despre NetFlow. Și, în timp ce SolarWinds nu are un sFlow gratuit echivalent cu analizatorul NetFlow în timp real, are colectorul și analizatorul sFlow ca caracteristică a analizorului de trafic NetFlow sau NTA. Acesta din urmă este un modul al Network Performance Monitor sau NPM. Și deși atât NTA, cât și NPM nu sunt produse gratuite, este disponibilă o versiune de probă gratuită de 3 zile. De fapt, SolarWinds este o versiune de probă de 30 de zile a majorității produselor sale. Prin urmare, puteți încerca oricare dintre ele fără riscuri.
Link de descărcare: https://www.solarwinds.com/netflow-traffic-analyzer
Deci, în ciuda numelui său oarecum înșelător, Analizorul de trafic SolarWinds NetFlow va gestiona atât datele NetFlow, cât și sFlow . Acest lucru îl face o alegere ideală într-un mediu diversificat în care unele dispozitive acceptă un protocol, în timp ce altele acceptă altul. Și în calitate de colector sFlow, NTA va colecta orice date sFlow de pe dispozitivele pe care le monitorizează.
Combinate împreună, NPM și NTA oferă o gamă impresionantă de funcționalități pentru a ajuta orice administrator în gestionarea rețelelor cu mai mulți furnizori. Obțineți monitorizare a lățimii de bandă folosind SNMP, analiza traficului, analiza performanței, alerte, raportare, optimizare a politicilor și multe altele.
În mod implicit, pagina de rezumat a NetFlow Traffic Analyzer va afișa mai multe secțiuni, cum ar fi primele 5 aplicații, primele 5 puncte finale, primele 5 conversații sau primele 10 surse în funcție de procentul de utilizare a lățimii de bandă. Și ca analizor de flux, poate identifica utilizatorii, aplicațiile și protocoalele care consumă cea mai mare lățime de bandă, permițând administratorilor să găsească rapid sursa oricărei congestii observate. Și puteți sorta rezultatele afișate în funcție de mai multe criterii, cum ar fi portul, sursa, destinația, protocolul etc. De asemenea, vă permite să vizualizați modelele de trafic în minute, zile sau luni.
Atât NTA, cât și NPM sunt software de nivel enterprise, concepute pentru a se extinde la rețele foarte mari, cu sute – dacă nu mii – de dispozitive. Prin urmare, vor consuma resurse considerabile pe sistemul dvs. și ar trebui să fie instalate pe hardware dedicat. Dar dacă gestionați o astfel de rețea cu numeroase dispozitive compatibile cu sFlow, colectarea și analiza sFlow de la NTA merită încercată. Veți avea nevoie de niște eforturi pentru a-l pune în aplicare, dar vor fi bine răsplătiți.
2. inMon sFlowTrend
inMon, compania din spatele sFlow, are propriul său instrument gratuit de monitorizare sub forma software-ului său sFlowTrend . Este un instrument de bază și oarecum limitat, dar foarte capabil. Versiunea gratuită a software-ului vă permite să culegeți date de la până la cinci switch-uri, routere sau gazde compatibile cu sFlow și va păstra datele istorice în RAM până la o oră. Ar trebui să fie suficient pentru a depana majoritatea problemelor de rețea. Și dacă doriți să treceți mai departe, puteți face upgrade la versiunea pro – cu un cost, desigur – care elimină limita de număr de dispozitive și stochează datele istorice pe disc.
Fila sFlowTrend Dashboard oferă o vizualizare rapidă a stării curente a dispozitivelor și rețelelor monitorizate, include praguri de nivel superior și interfețe cu potențiale erori. Când se face clic pe fila Rețea, sflowTrend dezvăluie statistici de performanță rezumate și trafic detaliat la nivel de rețea sau dispozitiv. Pot fi definite praguri de alertare. Vă permite să primiți alerte atunci când se produce o utilizare a lățimii de bandă mai mare decât de obicei sau o eroare în rețea. Există chiar și o filă cu cauza rădăcină în care puteți detalia cauza unei probleme, cum ar fi o încălcare a pragului.
Fila Gazde este locul unde veți găsi informații mai detaliate despre fiecare dispozitiv. Oferă date de performanță pe rețea, CPU, disc etc., pentru serverele sFlow, inclusiv cele virtuale. Sub fila Servicii, veți găsi date de performanță pentru aplicații (inclusiv diverse servere web) care exportă date sFlow. În fila Evenimente, veți găsi un jurnal al evenimentelor, cum ar fi praguri depășite sau erori detectate. Și, în sfârșit, fila Rapoarte oferă mai multe rapoarte predefinite, dar acceptă și crearea de rapoarte personalizate. Aici veți merge pentru a rula rapoarte și apoi veți vedea rezultatele acestora.
sFlowTrend este scris în Java și vine cu o interfață de utilizator atât bazată pe Java, cât și pe web. Este disponibil pentru Windows, Macintosh și Linux. Există, de asemenea, ajutor online care este disponibil pentru a vă ajuta în configurarea și utilizarea instrumentului. Este un instrument grozav, în special pentru organizațiile mai mici cu echipamente compatibile cu sFlow. Iar calea de upgrade la versiunea pro o face o alegere la fel de valabilă pentru rețelele mai mari.
3. ManageEngine NetFlow Analyzer
Deși este în primul rând un colector și analizor NetFlow, ManageEngine NetFlow Analyzer va gestiona și datagramele sFlow pe care dispozitivele dvs. compatibile cu sFlow le vor arunca. Este un alt program grozav de la o companie despre care se știe că oferă instrumente de management de înaltă calitate. Instrumentul vă oferă vizibilitate asupra traficului și lățimii de bandă în funcție de aplicație, conversație sau protocol. De asemenea, puteți seta alerte pe baza pragurilor de trafic.
Analizorul ManageEngine NetFlow vine cu o mare varietate de rapoarte predefinite utile. Unele vor ajuta la depanarea problemelor, altele la planificarea capacității, iar unele pot fi folosite în scopuri de facturare, pentru acele organizații care își revind infrastructurile. Și desigur, există și posibilitatea de a crea rapoarte personalizate.
O caracteristică unică a tabloului de bord bazat pe web este o hartă termică care arată dintr-o privire starea interfețelor monitorizate, precum și diagrame circulare în timp real care arată cele mai importante aplicații, protocoale și conversații, alarme recente și multe altele.
Versiunea gratuită vine cu limitări importante. De exemplu, deși va permite monitorizarea nelimitată timp de 30 de zile, va reveni apoi la monitorizarea doar a două interfețe. Nu este mult, dar ar putea fi suficient pentru o sesiune rapidă de depanare, cu condiția să știi exact unde să cauți. Desigur, puteți face upgrade la versiunea plătită pentru a elimina limitarea celor două interfețe. Și ManageEngine oferă, de asemenea, câteva produse similare care lucrează împreună pentru a extinde analiza de bază a traficului într-o suită completă de gestionare a rețelei.
4. ntopng și nProbe
ntopng este un adevărat instrument de analiză a traficului open-source. Monitorizează pasiv rețelele pe baza datelor de flux și a captării pachetelor. Doar un analizor, ntopng se bazează pe nProbe – un colector – pentru a colecta date de flux de la dispozitive și gazde care le exportă. nProbe acceptă mai multe tipuri diferite de date de flux, inclusiv NetFlow și sFlow. Împreună, formează un duo foarte puternic de monitorizare și depanare.
ntopng vine cu o interfață de utilizator bazată pe web în care informațiile sunt prezentate în mai multe moduri diferite, cum ar fi trafic (de exemplu, cei mai buni vorbitori), fluxuri, gazde, dispozitive și interfețe. Afișarea fluxului este probabil una dintre cele mai interesante, deoarece prezintă protocoale de aplicație și poate afișa latența sau alte statistici TCP, cum ar fi pierderea de pachete. De asemenea, puteți utiliza ntopng pentru a seta alerte bazate pe mai multe praguri și criterii diferite.
ntopng este disponibil în trei versiuni, Community, Professional și Enterprise. Versiunea comunitară este gratuită. Professional și Enterprise oferă câteva funcții suplimentare și sunt disponibile pentru achiziție
În ceea ce privește nProbe, acesta poate fi folosit gratuit, dar este limitat la 25000 de fluxuri exportate. Deși poate părea mult, veți ajunge rapid la acest număr. Puteți, desigur, să eliminați restricțiile cumpărând licențe.
5. Plixer Scrutinizer
Scrutinizer de la Plixer este un „sistem de răspuns la incident” foarte sofisticat, așa cum se menționează pe site-ul web al Plixer. Nu lăsa numele fantezist să te păcălească, totuși. Mai mult decât orice, Scrutinizer este un sistem excelent de monitorizare a rețelei. Este foarte amănunțit și complet și, de interes deosebit în contextul acestui articol, va gestiona datele sFlow, precum și NetFlow.
Scrutinizer oferă una dintre cele mai scalabile soluții de pe piață. Se spune că are cea mai rapidă raportare și că oferă cel mai bogat context de date disponibil oriunde. Are acces bazat pe roluri pentru a prezenta diferite echipe doar datele de care au nevoie. Proiectat pentru performanță ridicată și scalabilitate de la medii mici la foarte mari. Oferă o gamă bogată de funcții de analiză și raportare.
Există mai multe moduri în care Scrutinizer poate fi configurat. Îl puteți instala ca un aparat dedicat. Puteți, de asemenea, ca server virtual. Și poate fi, de asemenea, rulat într-un software ca serviciu, în cazul în care ar rula în cloud. În acest mod, puteți alege fie să utilizați cloudul public al Plixer, fie unul privat. Acesta este un sistem mare și are nevoie de resurse. Va trebui să-l configurați pe un server robust – cu, de exemplu, 16 GB de RAM.
Scrutinizer este disponibil pe patru niveluri de licență diferite. Există versiunea gratuită – care nu este o versiune de încercare, ci o versiune gratuită reală – care va suporta până la 10 mii de fluxuri pe secundă, care va păstra datele de flux timp de 5 ore și sumele istorice timp de o săptămână. Apoi aveți trei niveluri de versiuni plătite care variază în funcție de numărul de fluxuri pe secundă pe care le suportă și de istoricul pe care îl păstrează. În plus, fiecare nivel superior adaugă câteva caracteristici suplimentare la un set de caracteristici deja bogat.
In concluzie
Dacă rețeaua dvs. este formată în principal din dispozitive compatibile cu sFlow, există câteva instrumente excelente disponibile care vă vor oferi o perspectivă neprețuită asupra comportamentului rețelei dvs. Și dacă aveți atât dispozitive sFlow, cât și NetFlow, câteva dintre ele vor accepta oricare dintre protocolele. Alegerea ta finală va depinde, mai mult decât orice, de dimensiunea actuală a rețelei tale, de protocolul suportat de dispozitivele tale și de evoluția așteptată a rețelei tale. Configurarea acestor instrumente durează ceva timp și doriți să-l alegeți pe cel potrivit chiar de la început. Te-ar putea salva de la o înlocuire complicată pe linie.