2021 年適用於 Linux 的 5 個最佳 NetFlow 收集器

管理網絡需要使用專門的工具，這些工具可為您提供必要的可見性，以確保一切始終順利運行。與可以輕鬆查明減速和障礙物的道路交通不同，網絡交通不是很容易看到的東西。這就是像 NetFlow 這樣的工具可以提供幫助的原因。NetFlow 技術可以讓您深入了解哪些流量正在穿越您的網絡，而不僅僅是有多少流量。繼續閱讀，我們將回顧一些適用於 Linux 的最佳 NetFlow 收集器和分析器。

我們將通過討論網絡管理員可以用來監控他們的網絡並在問題成為真正問題之前定位和修復問題的不同方法來開始我們的旅程。然後，我們將解釋什麼是 NetFlow，它是如何工作的，以及需要什麼來利用它。當我們在那裡時，我們還將討論一些可能感興趣的 NetFlow 替代方案。然後，我們將深入探討問題的核心，並回顧一些適用於 Linux 平台的最佳 NetFlow 收集器和分析器。根據 Linux 的開源理念，其中一些是免費提供的，而另一些則需要購買或訂閱。

監控網絡

作為網絡管理員，您的職責之一是確保一切順利運行，沒有減速，並且所有網絡流量都在可接受的時間內到達目的地。不幸的是，網絡上發生的事情發生在電纜、路由器、交換機和其他設備中，通常很難看到發生了什麼。這就是網絡監控概念的來源。使用不同的工具，管理員可以對網絡內部發生的事情有一定的了解。

命令行實用程序

管理員可以使用多種工具來監控他們的網絡。最基本的工具是命令行診斷工具。您可能了解它們並且經常使用它們。例如，Ping 允許您驗證是否可以訪問給定的 IP 地址，並提供有關往返延遲和數據包丟失的一些統計信息。Tracert – 或 traceroute，取決於您的操作系統 – 將跟踪兩個設備之間的完整網絡路徑。Nmap 將列出特定子網上存在的所有設備。

數據包捕獲和分析工具

接下來是網絡監控工具，可以讓您捕獲通過特定位置的流量，並讓您解碼數據包並分析它們。它們在嘗試解決應用層問題時非常有用，但它們通常不會為您提供有關網絡實際性能的太多信息。一種已經變得非常普遍的工具稱為 Wireshark。Tcpdump 是另一個類似的工具，它使用命令行界面而不是 GUI。

流量分析軟件

要最準確地了解正在發生的事情，請根據您的需要進行流量分析。它依賴於網絡設備來發送流量信息，因此稱為收集器和/或分析器的系統可以反過來解釋流量數據並以有意義的方式呈現它。允許這樣做的協議稱為 NetFlow。它是由 Cisco Systems 幾年前創建的，但現在它通常以一種或另一種形式用於大多數主要製造商的網絡設備。

什麼是 NetFlow？

NetFlow 由 Cisco Systems 開發並被引入他們的路由器，以提供在 IP 網絡流量進入或退出接口時收集 IP 網絡流量的能力。然後網絡管理員會分析收集到的數據，以幫助確定流量的來源和目的地、服務等級以及擁塞的原因。

該流出口聚集成數據包流和出口流記錄對一個或多個流的收藏家。這是在受監控設備上運行的組件。

所述集流器是負責從流出口接收的流數據的接收，存儲和預處理。

最後，將流ANALY ZER是用於分析接收到的流數據的應用程序。分析可用於流量分析或網絡故障排除。

NetFlow 的工作原理

路由器、交換機和任何其他支持 NetFlow 的設備都可以配置為以流記錄的形式輸出流數據並將它們發送到 NetFlow 收集器。流是 IP 意義上的完整對話。準備流記錄的設備通常在確定流通過老化結束時（在特定超時內沒有任何流量）或當它看到 TCP 會話終止時將它們發送到收集器。

流記錄包含大量關於流的信息。它包括輸入和輸出接口、流的開始和結束時間戳、它包含的字節數和數據包數、第 3 層標頭、源和目標 IP 地址和端口號、IP 協議和 TOS 值. 流記錄不包含構成流的實際數據。僅包含有關流的信息。從安全的角度來看，這很重要。

除了在龐大的多站點環境中，發送記錄的流收集器通常也是流分析器。它們使用流記錄中包含的信息以對網絡管理員有用的方式呈現有關網絡流量的數據。不同的 NetFlow 收集器和分析器將具有不同的數據呈現方式。這是我們最好的 NetFlow 收集器和分析器列表將派上用場的地方。

NetFlow 的一些替代方案

正如我們已經暗示的那樣，NetFlow 有幾個不同的名稱。但也有 NetFlow 的替代品，最著名的兩個是 sFlow 和 IPFIX。後者在很大程度上基於 NetFlow 的最新版本，只是它是 IETF 標準。我們可以自由地認為 Cisco 甚至可能最終用 IPFIX 取代 NetFlow。

至於 sFlow，它是一個不同的競爭系統。它的目標和操作的一般原則相似但不同。一些 NetFlow 分析器也可以與 sFlow 一起使用，但一般來說，其中一個的用戶不會使用另一個。

適用於 Linux 的最佳 NetFlow 收集器

我們在市場上搜索了適用於 Linux 的最佳 NetFlow 收集器和分析器。我們為您準備了五種我們能找到的最好的產品，按喜好順序排列，我們最喜歡的產品位於列表頂部。讓我們回顧每一個並探索它們的主要功能，以幫助您選擇最符合您需求的軟件包。

1. ManageEngine NetFlow 分析器

ManageEngine NetFlow Analyzer 為網絡管理員提供網絡帶寬利用率和流量模式的詳細視圖。該產品由基於 Web 的界面控制，並在您的網絡上提供大量不同的視圖。

例如，您可以按應用程序、對話、協議和更多選項查看流量。您還可以設置警報以警告您潛在的問題。例如，您可以在特定接口上設置流量閾值，並在流量超過該閾值時收到警報。

但該產品的大部分優勢來自其報告和儀表板。該工具附帶了幾個非常有用的預構建報告，這些報告專門針對特定目的（例如故障排除、容量規劃或計費）量身定制。但是您不會被內置報告所困擾，因為該工具還允許管理員根據自己的喜好創建自定義報告。

至於我們提到的工具儀表板，它與其報告一樣令人印象深刻。它包括幾個餅圖，其中包含頂級應用程序、頂級協議或頂級對話等內容。它還可以顯示帶有受監控接口狀態的熱圖。正如您可能已經猜到的那樣，可以自定義儀表板以僅包含您認為有用的信息。儀表板也是以彈出窗口的形式顯示警報的地方。對於忙碌的網絡管理員，還有一款智能手機應用程序可讓您訪問儀表板和報告。

ManageEngine NetFlow Analyzer 支持大多數流技術，包括 NetFlow（當然）、IPFIX、J-flow、NetStream 和其他一些技術。作為獎勵，它也與 Cisco 設備具有出色的集成，支持直接從該工具調整流量整形和/或 QoS 策略。

與許多競爭產品一樣，ManageEngine NetFlow Analyzer 有兩個版本。免費版本在前 30 天與付費版本相同，但隨後將恢復為僅監控兩個流接口。雖然這並不多，但它可能就是您所需要的。

如果您需要付費版本，則可以使用從 100 到 2500 個接口或流的多種尺寸的許可證，價格在大約 600 美元到 5 萬美元以上，外加每年的維護費用。

2. 審查員

Plixer 的 Scrutinizer 是另一款出色的 NetFlow Analyzer。事實上，它甚至不止於此，許多人將其視為一個完整的事件響應系統。憑藉其監控不同流類型（例如 NetFlow、J-flow、NetStream 和 IPFIX）的能力，您不僅可以監控 Cisco 設備。

憑藉其分層設計，Scrutinizer 提供簡化和高效的數據收集，並允許您從小規模開始，輕鬆擴展到每秒數百萬個流。每當出現問題時，網絡往往首先受到指責，使用 Scrutinizer，您可以快速找到大多數網絡問題的真正原因。Scrutinizer 可在物理和虛擬環境中使​​用，並具有高級報告功能。

Scrutinizer 有四個許可等級，從基本免費版本到成熟的 SCR 級別，可擴展到每秒超過 1000 萬個流量。免費版本限制為每秒 10,000 次流量，並且只會保留原始流量數據 5 小時，但應該足以解決網絡問題。您還可以試用任何許可證層 30 天，之後它將恢復為免費版本。該工具可用作硬件設備或可通過 KVM 在 Linux 主機上運行的虛擬設備

3. nProbe 和 ntopng

nProbe 和 ntopng 是更高級、更複雜的開源工具。Ntopng 是一個基於網絡的流量分析工具，用於根據流量數據監控網絡，而 nProbe 是一個 NetFlow 和 IPFIX 導出器和收集器。它們共同構成了一個非常靈活的分析包。如果您以前管理過 Linux 網絡，您可能熟悉 ntop。ntopng 是這個永不過時的工具的下一代 GUI 版本。

ntopng 有免費的社區版，您也可以購買企業版。它們可能很昂貴，但它們對教育和非營利組織是免費的。至於 nProbe，您可以免費試用，但僅限於總共 25 000 個導出流。要超出此範圍，您需要購買許可證。

與大多數現代網絡分析工具一樣，ntopng 具有基於 Web 的用戶界面，該界面可以按流量呈現數據，例如頂級談話者、流量、主機、設備和接口。它混合了圖表、表格和圖形。大多數具有鑽取選項，可讓您進行更深入的探索。界面非常靈活，允許進行大量自定義。

4.流量掃描

FlowScan 是一種可視化工具，可用於分析 Netflow 數據並對其進行報告。它可以生成近乎實時的可視化圖表，向您展示網絡上發生的事情。FlowScan 可以部署在 GNU/Linux 或 BSD 系統上。它使用其他幾個包來正確收集和處理流程。例如，Cflowd 用作流量收集器。FlowScan 實際上是一個 Perl 腳本，它構成了軟件包的主體。該組件負責加載和執行報告。最後一個主要組件是 RRDtool，這是一種流行的工具，用於在循環數據庫中存儲數據並將該數據繪製在圖形上，用於存儲流量信息並生成有用的圖形。

網絡管理員經常發現他們收集的數據太少或太多。FlowScan 提供的流量分析在數據收集的這些極端之間提供了務實的折衷方案。由於流聚合了在數據包通過給定端口或接口時收集的數據，因此它們可以用作在感興趣的端點之間傳輸的一系列數據包的縮寫。但僅此功能不足以可靠地連續使用：需要額外的軟件工具來定義、解析和分析這些流。這些附加工具包含在 FlowScan 中。

5.inMon sFlowTrend（特別提及）

儘管不是 NetFlow 收集器和分析器，而是處理 sFlow 的工具，但我們認為 sFlowTrend 應該出現在此列表中。它可以在 Linux 上運行，如果您的網絡組件使用 sFlow 而不是 NetFlow，它是可用的最佳工具之一。該工具來自 sFlow 背後的公司 inMon。它是一個基本的、有限但功能非常強大的工具。該軟件的免費版本可讓您從最多五個支持 sFlow 的交換機、路由器或主機收集數據，並且只會在 RAM 中保留歷史數據長達一個小時。它應該足以解決大多數網絡問題。如果你想更進一步，你可以升級到專業版——當然是付費的——這消除了設備數量限制並將歷史數據存儲到磁盤。

sFlowTrend 儀表板選項卡提供受監控設備和網絡的當前狀態的快速視圖，它包括頂級閾值和具有潛在錯誤的接口。單擊“網絡”選項卡時，sflowTrend 會顯示網絡或設備級別的匯總性能統計數據和詳細流量。可以定義警報閾值。當帶寬使用率高於平常或發生網絡錯誤時，它可以讓您收到警報。甚至還有一個根本原因選項卡，您可以在其中深入了解問題的原因，例如違反閾值。

在主機選項卡中，您可以找到有關每個設備的更多詳細信息。它為支持 sFlow 的服務器（包括虛擬服務器）提供網絡、CPU、磁盤等方面的性能數據。在服務選項卡下，您將找到導出 sFlow 數據的應用程序（包括各種 Web 服務器）的性能數據。在“事件”選項卡上，您會找到諸如超出閾值或檢測到的錯誤之類的事件日誌。最後，報告選項卡提供了幾個預定義的報告，但它也支持創建自定義報告。您將在此處運行報告，然後查看其結果。

sFlowTrend 是用 Java 編寫的，並帶有基於 Java 或基於 Web 的用戶界面。它適用於 Linux、Windows 和 Mac。還有在線幫助可幫助您配置和使用該工具。這是一個很棒的工具，尤其是對於擁有 sFlow 設備的小型組織而言。專業版的升級路徑使其成為大型網絡同樣有效的選擇。

包起來

儘管一些最好的 NetFlow 收集器和分析器（例如 SolarWinds NetFlow Traffic Analyzer）只能在 Windows 機器上運行，但如果您選擇的監控工具平台是 Linux，仍然有很多選項可用。在 ManageEngine NetFlow Analyzer 或 Plixer 的 Scrutinizer 等商業產品和開源工具之間，一定有一款能夠完美滿足您的需求。

我們剛剛審查的所有產品都是不錯的選擇。有些可能功能不全，或者他們可能需要更多的工作來設置它們，但它們中的任何一個都可以完成它的工作並且做得很好。而且由於它們都提供某種形式的免費試用——或者完全免費，因此沒有理由不嘗試其中的一些，並親自看看哪個適合你。