Die 6 besten IPFIX-Sammler und -Analysatoren

Wir vergleichen Netzwerke oft mit Autobahnen, auf denen Datenpakete wie Autos sind, die von Punkt A nach Punkt B fahren. Obwohl dies eine gute Analogie ist, gibt es einen wichtigen Unterschied zwischen den beiden. Obwohl es einfach ist, vorbeifahrende Autos auf einer Autobahn zu sehen, ist es viel schwieriger, den Verkehr in einem Netzwerk zu sehen. Ebenso kann ein Stau oder auch nur dichterer Verkehr auf einer Autobahn leicht beobachtet werden, während er in einem Netzwerk unsichtbar bleibt. Es werden nur seine Wirkungen beobachtet. Hier können Netzwerkanalysatoren helfen, indem sie Ihnen einen Überblick darüber geben, was innerhalb des Netzwerks passiert. IPFIX ist ein branchenübliches Netzwerkanalyseprotokoll, das diese Art von Sichtbarkeit bietet. Aus diesem Grund stellen wir Ihnen unsere besten IPFIX-Sammler und -Analysatoren vor.

Wir beginnen damit, die Netzwerküberwachung im Allgemeinen zu besprechen. Wir stellen die beiden Haupttypen von Überwachungstools vor, die normalerweise von Netzwerkadministratoren verwendet werden, um ihr Netzwerk zu überwachen und Probleme zu identifizieren, bevor sie zu große Auswirkungen haben. Wir werden erklären, was IPFIX ist und wow, es funktioniert, wobei wir versuchen, es so nicht-technisch wie möglich zu halten. Wir sind dann bereit, in den Kern des Themas einzutauchen und die allerbesten IPFIX-Sammler und -Analysatoren zu überprüfen, die wir finden konnten.

Tools zur Netzwerküberwachung

Eine der wichtigsten Aufgaben von Netzwerkadministratoren besteht darin, sicherzustellen, dass alles reibungslos läuft, dass es keine Verlangsamungen gibt und dass der gesamte Netzwerkverkehr sein Ziel innerhalb einer akzeptablen Zeit erreicht. Leider geschieht das, was in einem Netzwerk passiert, in Kabeln, Routern, Switches und anderen Geräten, wo es normalerweise unmöglich ist, zu sehen, was vor sich geht. Netzwerküberwachungstools wurden entwickelt, um Administratoren die Transparenz zu geben, die sie benötigen, um sicherzustellen, dass alles jederzeit gut läuft. Obwohl mehrere verschiedene Arten von Netzwerküberwachungstools verfügbar sind, werden am häufigsten zwei spezifische Arten gefunden: Tools zur Bandbreitenüberwachung und Tools zur Flussanalyse.

Tools zur Bandbreitenüberwachung

Die einfachste Art von Tool zur Überwachung des Netzwerkverkehrs ist der Bandbreitenmonitor. Es ist ein System, das Netzwerkgeräte in regelmäßigen Abständen (normalerweise fünf Minuten) abfragt und ihre Schnittstellen-Bytezähler liest. Es verwendet diese Informationen, um die durchschnittliche Bandbreitennutzung zu berechnen und ihre Entwicklung in einem Diagramm darzustellen. Diese Tools verwenden normalerweise das Simple Network Management Protocol, um sich mit Geräten zu verbinden und ihre Zähler zu lesen, ohne dass zusätzliche Software auf ihnen installiert werden muss. Was Sie erhalten, ist eine quantitative Ansicht des Netzwerkverkehrs. Das Tool zeigt Ihnen, wie viel Datenverkehr an einem bestimmten Ort im Netzwerk vorbeifließt, aber es sagt Ihnen nicht, um welchen Datenverkehr es sich handelt.

Flow-Analyse-Tools

Für eine detailliertere Ansicht dessen, was vor sich geht, benötigen Sie eine Flussanalyse. Es stützt sich auf die Netzwerkgeräte selbst, um detaillierte Verkehrsinformationen an Verkehrskollektoren und/oder -analysatoren zu senden, die wiederum die Daten interpretieren und auf aussagekräftige Weise darstellen können. Es gibt einige verschiedene Protokolle für die Flussanalyse, aber die meisten, einschließlich IPFIX, basieren auf der NetFlow-Technologie von Cisco. NetFlow wurde vor vielen Jahren von Cisco Systems entwickelt, wird aber heute in der einen oder anderen Form auf Netzwerkgeräten der meisten großen Hersteller verwendet.

Über IPFIX

IPFIX – ein Akronym für IP Flow Information eXport – ist kurz gesagt die IETF-standardisierte Version der neuesten Version von NetFlow. Ursprünglich von Cisco Systems entwickelt, wurde es auf deren Routern eingeführt, um die Möglichkeit zu bieten, IP-Netzwerkverkehr zu erfassen, wenn er in eine Schnittstelle eintritt oder diese verlässt. Die gesammelten Daten werden dann von Flussanalysesystemen verarbeitet und von Netzwerkadministratoren verwendet, um die Quelle und das Ziel des Verkehrs, die Dienstklasse und die Ursachen der Überlastung zu bestimmen.

Eine typische Einrichtung zur Durchflussüberwachung besteht aus drei Hauptkomponenten:

Der Flow-Exporter aggregiert Pakete zu Flows und exportiert Flow-Aufzeichnungen an einen oder mehrere Flow-Kollektoren. Dies ist die Komponente, die in kompatible Geräte eingebaut ist.
Der Stromsammler ist für den Empfang, die Speicherung und die Vorverarbeitung von Stromdaten verantwortlich, die von einem oder mehreren Stromexporteuren empfangen werden.
Schließlich wird der Durchflussanalysator verwendet, um die vom Durchflusssammler gesammelten Durchflussdaten zu analysieren. Die Analyse kann für die Erstellung von Verkehrsprofilen oder für die Fehlerbehebung im Netzwerk verwendet werden. Bei den meisten Durchflussüberwachungstools sind die Funktionen des Kollektors und Analysators in einem einzigen System kombiniert.

Wie IPFIX funktioniert

Router, Switches und alle anderen Geräte, die IPFIX oder andere Flussanalyseprotokolle unterstützen, sind so konfiguriert, dass sie Flussdaten in Form von Flussaufzeichnungen ausgeben und an einen Flusssammler senden. Ein Fluss ist eine vollständige Konversation im IP-Sinne, vom anfänglichen Aufbau der Sitzung bis zu ihrer endgültigen Beendigung. Flow-Aufzeichnungen werden normalerweise an den Kollektor gesendet, wenn Geräte feststellen, dass der Flow beendet ist, entweder durch Alterung – es gab keinen Datenverkehr innerhalb eines bestimmten Timeouts – oder wenn es eine Beendigung der TCP-Sitzung sieht.

Der Flussdatensatz enthält relevante Informationen über den Fluss. Dazu gehören die Eingabe- und Ausgabeschnittstellen, die Start- und Endzeitstempel des Flusses, die Anzahl der darin enthaltenen Bytes und Pakete, die Layer-3-Header, die Quell- und Ziel-IP-Adresse und Portnummer, das IP-Protokoll und der TOS-Wert . Flussaufzeichnungen enthalten nicht die eigentlichen Daten, aus denen der Fluss besteht, sie enthalten nur Informationen über den Fluss. Dies ist ein wichtiges Sicherheitsmerkmal des Protokolls.

Flow-Analysatoren verwenden die in Flow-Aufzeichnungen enthaltenen Informationen, um Daten über den Netzwerkverkehr auf eine Weise darzustellen, die für Netzwerkadministratoren nützlich ist. Verschiedene IPFIX-Kollektoren und -Analysatoren haben unterschiedliche Arten der Datendarstellung. Typische Anzeigen umfassen Top-Sprecher und -Zuhörer, Top-Protokoll oder Top-Anwendungen und Top-Benutzer, eine Funktion, die auf erweiterten Tools verfügbar ist, die eine Verbindung zu den AD- oder LDAP-Servern herstellen und feststellen können, welcher Benutzer welche IP-Adresse verwendet.

Die besten IPFIX-Sammler und -Analysatoren

Bei der Suche nach einem IPFIX-Kollektor- und Analysetool stehen zahlreiche Optionen zur Verfügung. Wir haben den Markt durchforstet und die besten gefunden. Wir haben eine Mischung aus kommerzieller Software und kostenlosen und/oder Open-Source-Angeboten. Wie Sie sehen werden, müssen Sie nicht unbedingt riesige Summen ausgeben, um mit der Flussanalyse zu beginnen.

1. SolarWinds NetFlow Traffic Analyzer (KOSTENLOSE TESTVERSION)

SolarWinds ist einer der bekanntesten Hersteller von Netzwerk- und Systemverwaltungstools. Sein Flaggschiff namens Network Performance Monitor wird von vielen als das beste Tool zur Überwachung der Netzwerkbandbreite angesehen. Ebenso ist der SolarWinds NetFlow Traffic Analyzer – der über dem Network Performance Monitor installiert wird – einer der besten IPFIX-Sammler und -Analysatoren, die Sie finden können.

Zu den besten Funktionen von SolarWinds NetFlow Traffic Analyzer gehören:

Überwachung der Bandbreitennutzung nach Anwendung, Protokoll und IP-Adressgruppe.
Überwachung von IPFIX-, Cisco NetFlow-, Juniper J-Flow-, sFlow- und Huawei NetStream-Flussdaten, um zu erkennen, welche Geräte, Anwendungen und Protokolle die größten Bandbreitenverbraucher sind.
Sammeln von Verkehrsdaten, Korrelieren in ein verwendbares Format und Präsentieren für den Benutzer über eine webbasierte Schnittstelle zum Überwachen des Netzwerkverkehrs.
Identifizieren, welche Anwendungen und Kategorien die meiste Bandbreite verbrauchen, um die Sichtbarkeit des Netzwerkverkehrs zu verbessern (einschließlich Cisco NBAR2-Unterstützung).

Der SolarWinds NetFlow Traffic Analyzer ist ein Add-on zum Network Bandwidth Monitor. Sie können sparen, indem Sie beide gleichzeitig mit dem SolarWinds Network Bandwidth Analyzer Pack erwerben. Die Preise beginnen bei 4.910 US-Dollar für die Überwachung von bis zu 100 Elementen und variieren je nach Anzahl der überwachten Geräte. Dies mag zwar etwas teuer erscheinen, bedenken Sie jedoch, dass Sie nicht nur eines, sondern zwei der besten verfügbaren Überwachungstools erhalten. Wenn Sie das Produkt vor dem Kauf lieber testen möchten, können Sie eine kostenlose 30-Tage-Testversion von SolarWinds herunterladen.

2. Der SolarWinds Real-Time AppFlow Analyzer (KOSTENLOSER DOWNLOAD)

Zusätzlich zur Entwicklung einiger der besten Netzwerkverwaltungstools. SolarWinds ist auch für seine kostenlosen Tools bekannt. Es handelt sich um kleinere Tools, die auf einen bestimmten Bedarf von Netzwerkadministratoren eingehen. Eines dieser kostenlosen Tools ist der Real-Time AppFlow Analyzer, und wenn Sie eine kleinere Lösung benötigen, ist dies möglicherweise genau das, was Sie brauchen. Natürlich ist dieses Produkt weit davon entfernt, so funktionsreich wie der NetFlow Traffic Analyzer zu sein, aber es bietet Ihnen einige der gleichen Grundfunktionen.

Dieses Tool kann IPFIX-, NetFlow-, JFlow- und sFlow-Daten in Echtzeit erfassen und analysieren. Es zeigt Ihnen genau die Arten von Datenverkehr in Ihrem Netzwerk, woher er kommt und wohin er geht. Sie können es auch verwenden, um Verkehrsspitzen zu diagnostizieren und Bandbreitenprobleme zu beheben.

Zu den Hauptmerkmalen des Produkts gehören:

Identifizieren, welche Benutzer, Geräte und Anwendungen die meiste Bandbreite verbrauchen
Isolieren des Netzwerkverkehrs nach Konversation, App, Domäne, Endpunkt und Protokoll
Anzeigen des Netzwerkverkehrs nach Typ und angegebenen Zeiträumen

Dieses kostenlose Tool kann sich nicht mit seinem größeren Bruder messen. Es ist stark eingeschränkt, aber es könnte alles sein, was Sie brauchen, um zu sehen, ob die Durchflussanalyse das ist, was Sie brauchen. Der Hauptfokus des Tools liegt auf dem aktuellen und aktuellen Status Ihres Netzwerks. Es sammelt nur Daten von einem Flow-Exporteur und speichert und analysiert nur die Daten der letzten 60 Minuten.

Die Installation des SolarWinds Real-Time AppFlow Analyzer ist dank seines Einrichtungsassistenten einfach und schnell. Nach der Installation ist ein NetFlow-Konfiguratormodul enthalten, das Sie bei der Konfiguration von Geräten unterstützt, die verschiedene NetFlow-Varianten, einschließlich IPFIX, unterstützen.

Wenn Ihre Netzwerkgeräte IPFIX unterstützen und Sie einen schnellen Überblick über Ihre Bandbreitennutzung benötigen, ist der kostenlose SolarWinds Real-Time AppFlow Analyzer möglicherweise das Richtige für Sie.

3. PRTG-Netzwerkmonitor

Der PRTG Network Monitor der Paessler AG ist eine All-in-One-Lösung, deren Hauptzweck die Überwachung der Bandbreitennutzung ist. Es wird auch verwendet, um die Verfügbarkeit und den Zustand verschiedener Netzwerkressourcen zu überwachen. Als solches ist es ein weiteres sehr nützliches Tool für Netzwerkadministratoren. PRTG kann mehrere Standorte überwachen und LAN-, WAN-, VPN- und Cloud-Dienste überwachen.

Die Stärke von PRTG liegt vor allem in seinen Sensoren. Sie können sie sich als Add-Ons vorstellen, außer dass sie im Produkt enthalten sind. Ein solches Add-On ist der IPFIX-Sensor, der Verkehrsdaten von einem IPFIX-kompatiblen Gerät empfängt und den Verkehr nach Typ anzeigt. Es stehen mehrere Filteroptionen zur Verfügung, um den Datenverkehr auf verschiedene Kanäle aufzuteilen.

Die Installation von PRTG ist schnell und einfach. Tatsächlich behauptet Paessler, dass Sie innerhalb weniger Minuten mit der Überwachung beginnen könnten. Die Einrichtungsgeschwindigkeit ist teilweise auf den automatischen Erkennungsprozess zurückzuführen, der Geräte erkennt und Sensoren einrichtet.

PRTG läuft nur unter Windows, aber seine Benutzeroberfläche ist webbasiert und kann von jedem Browser aus aufgerufen werden. Es gibt auch eine mobile App, die Sie auf Ihrem Smartphone installieren können. Die mobile PRTG-App nutzt die zugrunde liegende Plattform voll aus. Es hat zum Beispiel eine einzigartige Funktion in Form von QR-Etiketten, die Sie drucken und auf Ihren Geräten anbringen können. Dann ist es einfach, den Code aus der mobilen App zu scannen, um schnell die Sensordaten des Geräts anzuzeigen.

Zwei Versionen von PRTG sind verfügbar. Es gibt eine kostenlose Version, die auf 100 Sensoren begrenzt ist. Obwohl diese Grenze ziemlich hoch erscheinen mag, denken Sie daran, dass ein Sensor im PRTG-Jargon das grundlegendste Element ist, das überwacht werden kann. Die Überwachung jedes Ports eines Switches mit 48 Ports verbraucht beispielsweise 48 Sensoren. Für IPFIX müssen Sie einen Sensor pro Flussquelle zuweisen.

Wenn Sie mehr als 100 Sensoren benötigen, müssen Sie eine Lizenz erwerben. Die Preise variieren je nach Anzahl der benötigten Sensoren und beginnen bei 1.600 $ für 500 Sensoren. Die kostenlose Version ermöglicht in den ersten 30 Tagen unbegrenzte Sensoren, sodass Sie das Produkt gründlich testen können.

4. Prüfer

Scrutinizer von Plixer ist ein weiterer großartiger IPFIX-Analysator. Es ist tatsächlich ein bisschen mehr als das und viele betrachten es als ein vollständiges System zur Reaktion auf Vorfälle. Bei der Flussanalyse können verschiedene Flusstypen wie IPFIX, NetFlow, J-Flow und NetStream analysiert werden.

Scrutinizer basiert auf einem hierarchischen Design, das eine optimierte und effiziente Datenerfassung bietet und es Ihnen ermöglicht, klein anzufangen und problemlos auf mehrere Millionen Flows pro Sekunde zu skalieren. Auch wenn oft zuerst das Netzwerk verantwortlich gemacht wird, wenn etwas schief geht, kann dieses Tool Ihnen helfen, die wahre Ursache der meisten Netzwerkprobleme schnell zu finden. Scrutinizer funktioniert sowohl in physischen als auch in virtuellen Umgebungen und verfügt über einige erweiterte Berichts- und Warnfunktionen.

Scrutinizer ist in vier Lizenzstufen erhältlich, die von der kostenlosen Basisversion bis zur vollwertigen SCR-Stufe reichen, die auf über 10 Millionen Flows pro Sekunde skaliert werden kann. Die kostenlose Version ist auf 10.000 Flows pro Sekunde begrenzt und speichert nur 5 Stunden lang Raw-Flow-Daten, aber es sollte mehr als genug sein, um Netzwerkprobleme zu beheben. Preisinformationen sind nicht ohne weiteres verfügbar und können durch ein formelles Angebot von Plixer eingeholt werden. Sie können jede Lizenzstufe auch 30 Tage lang testen, danach wird sie wieder auf die kostenlose Version zurückgesetzt.

5. ManageEngine NetFlow-Analyzer

Der ManageEngine NetFlow Analyzer gibt dem Netzwerkadministrator einen detaillierten Überblick über die Auslastung der Netzwerkbandbreite sowie über Verkehrsmuster. Das Produkt wird über eine webbasierte Benutzeroberfläche gesteuert und bietet eine beeindruckende Anzahl verschiedener Ansichten auf Ihr Netzwerk. Mit dem Tool können Sie beispielsweise den Datenverkehr nach Anwendung, Konversation, Protokoll und mehreren anderen Optionen anzeigen. Sie können Warnungen einrichten, um Sie vor potenziellen Problemen zu warnen. Sie könnten beispielsweise einen Schwellenwert für den Datenverkehr auf einer bestimmten Schnittstelle festlegen und benachrichtigt werden, wenn der Datenverkehr diesen überschreitet.

Die größte Stärke des Produkts liegt jedoch in seinen Berichten und seinem Dashboard. Das Tool wird mit mehreren sehr nützlichen vorgefertigten Berichten geliefert, die auf bestimmte Zwecke wie Fehlerbehebung, Kapazitätsplanung oder Abrechnung zugeschnitten sind. Aber Sie müssen sich nicht an integrierte Berichte halten. Das Tool ermöglicht es Administratoren auch, benutzerdefinierte Berichte nach ihren Wünschen zu erstellen.

Kehren wir zum zuvor erwähnten Dashboard des Tools zurück, da es genauso beeindruckend ist wie seine Berichte und einen genaueren Blick verdient. Es enthält mehrere Tortendiagramme mit Dingen wie Top-Anwendungen, Top-Protokollen oder Top-Gesprächen. Es kann auch eine Heatmap mit dem Status der überwachten Schnittstellen anzeigen. Für ein noch besseres Überwachungserlebnis können Dashboards vollständig angepasst werden, um alle Informationen zu enthalten, die Sie nützlich finden, und nichts von dem, was Sie nicht benötigen. Das Dashboard ist auch der Ort, an dem Warnungen in Form von Popups angezeigt werden. Für den Netzwerkadministrator, der unterwegs ist, gibt es sogar eine Smartphone-App, mit der Sie von überall auf das Dashboard und die Berichte zugreifen können.

Der ManageEngine NetFlow Analyzer unterstützt die meisten Flow-Technologien, einschließlich NetFlow (natürlich), IPFIX (oder es wäre nicht auf dieser Liste), J-Flow, NetStream und einige andere. Als Bonus verfügt das Tool über eine hervorragende Integration mit Cisco-Geräten, mit Unterstützung für die Anpassung von Traffic Shaping und/oder QoS-Richtlinien direkt vom Dashboard aus.

Wie viele ähnliche Produkte gibt es den ManageEngine NetFlow Analyzer in zwei Versionen. Die kostenlose Version ist in den ersten 30 Tagen identisch mit der kostenpflichtigen Version, aber sie kehrt dann zur Überwachung von nur zwei Flussschnittstellen zurück. Für mehr Kapazität benötigen Sie die kostenpflichtige Version. Lizenzen sind in verschiedenen Größen von 100 bis 2500 Schnittstellen oder Flüssen erhältlich, wobei die Preise bei etwa 600 US-Dollar zuzüglich jährlicher Wartungsgebühren variieren.

6. nProbe und ntopng

nProbe und ntopng sind etwas fortschrittlichere – und kompliziertere – Open-Source-Tools. Ntopng ist ein webbasiertes Verkehrsanalysetool zur Überwachung von Netzwerken auf der Grundlage von Flussdaten, während nProbe ein IPFIX- und NetFlow-Exporter und -Sammler ist. Zusammen bilden sie ein sehr flexibles Paket zur Netzwerkanalyse. Wenn Sie mit der Linux-Administration vertraut sind, sind Sie vielleicht bereits mit ntop vertraut. ntopng ist die GUI-Version der „nächsten Generation“ dieses zeitlosen Tools.

Wie die meisten modernen Netzwerkanalysetools verfügt ntopng über eine webbasierte Benutzeroberfläche, die Daten nach verschiedenen Kriterien wie Top-Talkern, Flows, Hosts, Geräten und Schnittstellen darstellen kann. Das Tool bietet eine Mischung aus Diagrammen, Tabellen und Grafiken, die meisten mit Drilldown-Optionen, mit denen Sie tiefer gehen können. Die Benutzeroberfläche ist sehr flexibel und ermöglicht viele Anpassungen.

Es gibt eine kostenlose Community-Version von ntopng und Sie können auch Pro- und Enterprise-Versionen erwerben. Ihre Preise liegen derzeit bei 149,95 Euro bzw. 499,95 Euro. Kostenlose Lizenzen sind für Bildungseinrichtungen und gemeinnützige Organisationen verfügbar. nProbe können Sie kostenlos ausprobieren, es ist jedoch auf insgesamt 25.000 exportierte Flows beschränkt. Um darüber hinaus zu gehen, müssen Sie eine Lizenz erwerben, die in der Standard- und Pro-Version für 149,95 Euro und 299,95 Euro erhältlich ist.