Обзор лучших бесплатных сборщиков и анализаторов sFlow в 2021 году

Анализ потоков - это новая волна в сетевом мониторинге. Это позволяет администраторам и менеджерам иметь более четкое представление не только о том, сколько трафика идет, но и о том, какой трафик. И при отладке узких мест, замедлений или всевозможных сетевых проблем очень важно иметь такую ​​видимость. И это не только для отладки, четкая видимость также важна для планирования мощности. Сегодня мы познакомимся с лучшими на рынке бесплатными сборщиками и анализаторами sFlow. Подобно Cisco NetFlow или его открытому потомку IPFIX, но в то же время сильно отличается, sFlow - (почти) независимый от производителя протокол - может дать сетевым администраторам подробное представление о том, что происходит в их сетях.

Есть несколько способов получить некоторую степень видимости того, что происходит в вашей сети. Простой протокол управления сетью или SNMP можно использовать для чтения счетчиков на устройствах и расчета использования полосы пропускания каждого интерфейса. Этого может быть достаточно для небольших сетей. Ping, traceroute (или tracert), nmap и netstat могут помочь в устранении основных неисправностей, но для полной картины ничто не сравнится с анализом потока.

В этой статье мы начнем с обсуждения того, что такое sFlow, как он работает и чем может быть полезен. Мы также сравним его с NetFlow, который является своего рода дальним родственником sFlow. Хотя сборщики и анализаторы sFlow и NetFlow часто являются одним и тем же, вы увидите, что на самом деле они очень разные. Затем мы перейдем к нашей пятерке лучших бесплатных сборщиков и анализаторов sFlow.

Что такое sFlow

Буква «S» в sFlow означает «отбор проб». Это очень важно для его работы и, как мы вскоре увидим, чем оно отличается от других систем анализа потока. Большая часть волшебства sFlow происходит внутри самих контролируемых устройств. Вот почему он будет работать только на устройствах с поддержкой sFlow. К счастью, таких устройств много, особенно среди крупных производителей сетевого оборудования.

Хотя консорциум sFlow.org в настоящее время поддерживает стандарт, sFlow является детищем корпорации inMon, которая до сих пор практически полностью контролирует развитие системы. Крупные производители оборудования, такие как Alcatel-Lucent, Brocade, Aruba, Cisco, Dell, Hewlett Packard, IBM и многие другие, включают поддержку sFlow в свое коммутационное оборудование. Фактически, более 300 производителей включают sFlow в свои продукты.

Основная цель sFlow - мониторинг высокоскоростных сетей. это протокол выборки пакетов без сохранения состояния. Часть имени протокола «Поток» может вводить в заблуждение, поскольку sFlow фактически не имеет понятия об объединении пакетов данных в потоки высокого уровня. Он работает только с пакетами.

В своем корне sFlow выполняет общую выборку пакетов, которая охватывает уровни до 7. Работая в сетевом устройстве, экспортер sFlow собирает префиксы из подмножества всех пакетов, проходящих через интерфейс. Настройка частоты дискретизации позволяет менеджерам выбирать один пакет для каждого N пакета. Экспортер также выбирает случайные пакеты и включает их. Затем экспортер собирает начальные байты каждого выбранного пакета вместе со счетчиками устройства и отправляет их сборщику sFlow в виде дейтаграммы sFlow с использованием UDP. Устройство не кэширует какие-либо данные или выбранные пакеты, тем самым сокращая использование ресурсов и упрощая масштабирование до высокоскоростных сетей.

sFlow против Netflow, в чем разница?

Несмотря на их схожие названия и несмотря на то, что многие сборщики и анализаторы могут работать как с NetFlow, так и с sFlow, на самом деле они очень разные, особенно в том, как каждый выполняет свою задачу.

Ави Фридман, соучредитель и генеральный директор Kentik, проводит следующую аналогию с мониторингом дорожного движения, которая довольно хорошо резюмирует разницу между NetFlow и sFlow: «… в то время как NetFlow можно охарактеризовать как наблюдение за схемами движения (« Сколько автобусов прошло отсюда до там? '), с помощью sFlow вы просто делаете снимки машин или автобусов, проезжающих мимо в данный момент ». Хотя это отличная аналогия, она также несколько вводит в заблуждение, поскольку может заставить поверить в то, что NetFlow предоставляет больше информации, чем sFlow, и, следовательно, лучше.

Хотя, вероятно, вы получаете больше информации от NetFlow, чем от sFlow, это не обязательно делает его лучшим протоколом. Во-первых, использование ресурсов памяти и ЦП NetFlow намного выше, чем у sFlow. Это могло бы сделать sFlow более интересным вариантом для недорогих устройств. Также существует целый аспект того, сколько информации - это слишком много информации. Да, NetFlow может собирать дополнительную информацию, но нужна ли она вам? И ваш анализатор вообще может это использовать?

Главный вопрос: что использовать: NetFlow или sFlow?

Задать вопрос легко, но дать хороший ответ практически невозможно. Как мы уже говорили ранее, многие сборщики и анализаторы обрабатывают информацию как NetFlow, так и sFlow. И есть большое количество сетевых устройств, которые также будут поддерживать оба протокола, что еще больше затрудняет выбор одного из них. Вероятно, главным решающим фактором должно быть то, что поддерживает ваше оборудование.

Но действительно ли вам нужно выбирать чью-то сторону? И NetFlow, и sFlow - отличные системы. Почему бы тогда не использовать и коллектор, и анализатор, который их поддерживает? Вы сможете получить подробные данные о потоках с ваших устройств с поддержкой sFlow и устройств с поддержкой Netflow.

А как насчет устройств, в которых встроены оба протокола? Например, многие устройства Cisco могут использовать и то, и другое. В таких ситуациях я бы с соблазном порекомендовал использовать sFlow, поскольку его использование ресурсов ниже. Если, конечно, вам не понадобится дополнительная информация, которую может предоставить NetFlow.

Лучшие бесплатные сборщики и анализаторы sFlow

Мы искали в Интернете лучшие бесплатные сборщики и анализаторы sFlow. Среди найденных нами пакетов есть действительно бесплатные. Другие представляют собой коммерческое программное обеспечение, предлагающее либо бесплатную пробную версию, либо уменьшенную бесплатную версию. Кроме того, некоторые будут поддерживать только sFlow, в то время как другие также будут работать как с sFlow, так и с NetFlow, что делает их еще более универсальными. Мы рассмотрели каждый из пяти лучших пакетов и представляем наши выводы. Вот список наших 5 лучших пакетов.

1. Коллектор и анализатор sFlow SolarWinds
2. inMon sFlowTrend
3. Анализатор ManageEngine NetFlow
4. ntopng и nProbe
5. Plixer Scrutinizer

1. Коллектор и анализатор sFlow SolarWinds (БЕСПЛАТНАЯ ПРОБНАЯ ИНФОРМАЦИЯ)

SolarWinds - широко известное имя в сфере управления сетями. Компания делает одно из лучших программ, помогающих сетевым администраторам лучше видеть, что происходит с их оборудованием. Их флагманский продукт называется Network Performance Monitor.

SolarWinds также известна тем, что производит широкий спектр бесплатных и полезных продуктов. Они варьируются от калькуляторов IP-адресов, чтобы помочь новичкам вычислить подсети и адреса хостов, до создания, хотя и ограниченного, систем мониторинга различных типов. Один из таких продуктов, SolarWinds Real-Time Netflow Analyzer, был описан в предыдущей статье . Возможно, вы захотите прочитать все подробности.

Но сегодняшняя статья больше о sFlow, чем о NetFlow. И хотя у SolarWinds нет бесплатного sFlow, эквивалентного их анализатору NetFlow в реальном времени, у него есть сборщик и анализатор sFlow как функция анализатора трафика NetFlow или NTA. Последний является модулем монитора производительности сети или NPM. И хотя и NTA, и NPM не являются бесплатными продуктами, доступна бесплатная трехдневная пробная версия. Фактически SolarWinds представляет собой 30-дневную пробную версию большинства своих продуктов. Поэтому вы можете попробовать любой из них без риска.

Ссылка для скачивания:  https://www.solarwinds.com/netflow-traffic-analyzer

Таким образом, несмотря на несколько вводящее в заблуждение название, SolarWinds NetFlow Traffic Analyzer будет обрабатывать данные как NetFlow, так и sFlow . Это делает его идеальным выбором в разнообразной среде, где одни устройства поддерживают один протокол, а другие - другой. И как сборщик sFlow, NTA будет собирать любые данные sFlow с устройств, которые он контролирует.

В совокупности NPM и NTA обладают впечатляющим набором функций, которые помогают любому администратору управлять сетями от различных поставщиков. Вы получаете мониторинг пропускной способности с помощью SNMP, анализ трафика, анализ производительности, оповещение, отчетность, оптимизацию политик и многое другое.

По умолчанию на итоговой странице анализатора трафика NetFlow отображается несколько разделов, таких как 5 основных приложений, 5 основных конечных точек, 5 основных разговоров или 10 источников с наибольшим процентом использования полосы пропускания. В качестве анализатора потока он может определять пользователей, приложения и протоколы, которые потребляют наибольшую полосу пропускания, что позволяет администраторам быстро находить источник любой наблюдаемой перегрузки. И вы можете отсортировать отображаемые результаты по нескольким критериям, таким как порт, источник, место назначения, протокол и т. Д. Это также позволяет просматривать шаблоны трафика в течение минут, дней или месяцев.

И NTA, и NPM - это программное обеспечение корпоративного уровня, предназначенное для масштабирования до очень больших сетей с сотнями, если не тысячами, устройств. Следовательно, они будут потреблять значительные ресурсы в вашей системе, и их следует устанавливать на выделенном оборудовании. Но если вы управляете такой сетью с многочисленными устройствами с поддержкой sFlow, стоит попробовать сбор и анализ sFlow от NTA. Вам потребуются некоторые усилия, чтобы установить его, но они будут хорошо вознаграждены.

2. inMon sFlowTrend

inMon, компания, стоящая за sFlow, имеет собственный бесплатный инструмент мониторинга в виде программного обеспечения sFlowTrend . Это базовый и несколько ограниченный, но очень эффективный инструмент. Бесплатная версия программного обеспечения позволяет собирать данные с пяти коммутаторов, маршрутизаторов или хостов с поддержкой sFlow и сохраняет данные истории в ОЗУ не более часа. Этого должно быть достаточно для устранения большинства сетевых проблем. И если вы хотите сделать шаг вперед, вы можете перейти на профессиональную версию - за определенную плату, - которая снимает ограничение на количество устройств и сохраняет данные истории на диск.

Вкладка sFlowTrend Dashboard обеспечивает быстрый просмотр текущего состояния отслеживаемых устройств и сетей, включает в себя пороговые значения верхнего уровня и интерфейсы с потенциальными ошибками. Когда вы щелкаете вкладку «Сеть», sflowTrend показывает сводную статистику производительности и подробный трафик на уровне сети или устройства. Можно определить пороги оповещения. Он позволяет получать предупреждения, когда происходит использование полосы пропускания выше обычного или возникает ошибка сети. Есть даже вкладка первопричины, где вы можете детализировать причину проблемы, например, нарушение порогового значения.

На вкладке «Хосты» вы найдете более подробную информацию о каждом устройстве. Он предоставляет данные о производительности в сети, ЦП, диске и т. Д. Для серверов с поддержкой sFlow, включая виртуальные. На вкладке «Службы» вы найдете данные о производительности приложений (включая различные веб-серверы), которые экспортируют данные sFlow. На вкладке «События» вы найдете журнал событий, таких как превышение пороговых значений или обнаруженные ошибки. И, наконец, вкладка «Отчеты» предоставляет несколько предустановленных отчетов, но также поддерживает создание настраиваемых отчетов. Здесь вы будете запускать отчеты, а затем просматривать их результаты.

sFlowTrend написан на Java и имеет как Java-интерфейс, так и веб-интерфейс. Он доступен для Windows, Macintosh и Linux. Также доступна онлайн-справка, которая поможет вам в настройке и использовании инструмента. Это отличный инструмент, особенно для небольших организаций с оборудованием с поддержкой sFlow. А путь обновления до версии pro делает его одинаково подходящим выбором для более крупных сетей.

3. Анализатор ManageEngine NetFlow

Будучи в первую очередь сборщиком и анализатором NetFlow, ManageEngine NetFlow Analyzer также будет обрабатывать дейтаграммы sFlow, которые передаются ему устройствами с поддержкой sFlow. Это еще одно отличное программное обеспечение от компании, которая, как известно, предоставляет высококачественные инструменты управления. Инструмент дает вам видимость трафика и пропускной способности по приложениям, диалогам или протоколам. Вы также можете установить предупреждения на основе пороговых значений трафика.

ManageEngine NetFlow Analyzer поставляется с большим набором полезных готовых отчетов. Некоторые из них помогут с устранением неполадок, другие - с планированием мощности, а некоторые могут использоваться для выставления счетов тем организациям, которые перепродают свою инфраструктуру. И, конечно же, есть возможность создавать собственные отчеты.

Одной из уникальных функций веб-панели управления является тепловая карта, которая сразу показывает состояние отслеживаемых интерфейсов, а также круговые диаграммы в реальном времени, которые показывают основные приложения, протоколы и разговоры, недавние сигналы тревоги и многое другое.

Бесплатная версия имеет важные ограничения. Например, хотя он позволит осуществлять неограниченный мониторинг в течение 30 дней, затем он вернется к мониторингу только двух интерфейсов. Это немного, но этого может быть достаточно для быстрого сеанса устранения неполадок, если вы точно знаете, где искать. Конечно, вы можете перейти на платную версию, чтобы снять ограничение на два интерфейса. ManageEngine также предлагает несколько связанных продуктов, которые работают вместе, чтобы расширить базовый анализ трафика до полного пакета управления сетью.

4. ntopng и nProbe

ntopng - это настоящий инструмент анализа трафика с открытым исходным кодом. Он пассивно контролирует сети на основе данных потока и захвата пакетов. Просто анализатор, ntopng полагается на nProbe - сборщик - для сбора данных о потоках с устройств и хостов, которые их экспортируют. nProbe поддерживает несколько различных типов потоковых данных, включая NetFlow и sFlow. Вместе они образуют очень эффективный дуэт для мониторинга и устранения неполадок.

ntopng поставляется с веб-интерфейсом пользователя, в котором информация представлена ​​несколькими различными способами, такими как трафик (например, основные участники), потоки, хосты, устройства и интерфейсы. Отображение потока, вероятно, является одним из самых интересных, поскольку оно представляет протоколы приложений и может отображать задержку или другую статистику TCP, например потерю пакетов. Вы также можете использовать ntopng для установки предупреждений на основе нескольких различных пороговых значений и критериев.

ntopng доступен в трех версиях: Community, Professional и Enterprise. Версия Сообщества бесплатна для использования. Версии Professional и Enterprise предлагают некоторые дополнительные функции и доступны для покупки.

Что касается nProbe, то его можно использовать бесплатно, но он ограничен 25000 экспортируемыми потоками. Хотя это может показаться большим, вы быстро достигнете этого числа. Вы, конечно, можете снять ограничения, купив лицензии.

5. Скрутинизер Plixer

Scrutinizer от Plixer - это очень сложная «система реагирования на инциденты», как указано на веб-сайте Plixer. Однако не позволяйте причудливому имени вводить вас в заблуждение. Больше всего на свете Scrutinizer - отличная система мониторинга сети. Он очень тщательный и полный и, что представляет особый интерес в контексте этой статьи, он будет обрабатывать данные sFlow, а также данные NetFlow.

Scrutinizer предлагает одно из самых масштабируемых решений на рынке. Говорят, что это самая быстрая отчетность и самый богатый контекст данных, доступный где-либо. Он имеет ролевой доступ, позволяющий предоставлять разным командам только те данные, которые им нужны. Разработан для обеспечения высокой производительности и масштабируемости от малых до очень больших сред. Он предоставляет широкий спектр функций для анализа и отчетности.

Есть несколько способов настройки Scrutinizer. Вы можете установить его как отдельное устройство. Вы также можете в качестве виртуального сервера. И он также может быть запущен в виде программного обеспечения как услуги, где он будет работать в облаке. В этом режиме вы можете использовать либо общедоступное облако Plixer, либо частное. Это большая система, и она требует больших ресурсов. Вам нужно будет установить его на мощном сервере, например, с 16 ГБ ОЗУ.

Scrutinizer доступен на четырех разных уровнях лицензирования. Существует бесплатная версия - это не пробная, а настоящая бесплатная версия, - которая поддерживает до 10 тысяч потоков в секунду, будет хранить данные о потоках в течение 5 часов и исторические сводки в течение недели. Затем у вас есть три уровня платных версий, которые различаются в зависимости от количества поддерживаемых потоков в секунду и истории, которую они хранят. Кроме того, каждый более высокий уровень добавляет несколько дополнительных функций к уже богатому набору функций.

В заключении

If your network is primarily made of sFlow-enabled devices, there are some excellent tools available that will give you an invaluable insight into your network’s behavior. And if you have both sFlow- and NetFlow-enabled devices, a few of them will support either protocol. Your final choice will depend, more than anything, on the current size of your network, what protocol your devices support and your network’s expected evolution. These tools take a while to set up and you want to pick the right one right from the start. It could save you from a complicated replacement down the line.