NetFlow von Cisco und sFlow von inMon sind zwei ähnliche, aber unterschiedliche Überwachungstechnologien, die Ihnen einen qualitativen Überblick über den Datenverkehr Ihres Netzwerks bieten können. Während Tools zur Bandbreitenüberwachung Ihnen nur sagen, wie viel Datenverkehr an einem bestimmten Punkt vorbeifließt, sagen Ihnen Tools zur Flussanalyse, um welche Daten es sich handelt, woher sie kommen und wohin sie gehen, und einige andere nützliche Informationen. Heute werden wir die beiden Technologien vergleichen und uns einige der besten Tools ansehen, die für jede verfügbar sind. Wir werden einige der besten NetFlow- und sFlow-Analysatoren und -Sammler überprüfen, die wir finden konnten.
Wir beginnen mit der Beschreibung von NetFlow. Wir werden unser Bestes tun, um zu erklären, was es ist und wie es funktioniert, während wir unsere Diskussion so nicht-technisch wie möglich halten. Wir werden dann die gleiche Übung mit sFlow machen und unser Bestes tun, um die Technologie zu erklären. Danach schauen wir uns an, wie sich die beiden Technologien unterscheiden. Wie bisher bleiben wir von den knallharten technischen Details fern. Als nächstes werden wir versuchen, die brennende Frage zu beantworten: Welches soll ich verwenden? Wie Sie sehen werden, gibt es keine klare und endgültige Antwort. Abschließend werden wir einige der besten Flow-Analyse-Tools überprüfen, die wir finden konnten.
Inhaltsverzeichnis
NetFlow – Die Original-Flow-Analyse-Technologie
Die von Cisco Systems entwickelte NetFlow-Technologie wurde auf ihren Routern eingeführt, um die Möglichkeit zu bieten, Daten über den Netzwerkverkehr zu sammeln, wenn er in eine Schnittstelle eintritt oder diese verlässt. Diese Daten können von spezialisierten Anwendungen analysiert werden, um die Quelle und das Ziel des Verkehrs, seine Dienstklasse und im weiteren Sinne die Ursachen der Überlastung zu extrahieren.
Ein typisches NetFlow-Monitoring-Setup besteht aus drei Hauptkomponenten:
Der Flow-Exporter aggregiert Pakete zu Flows und exportiert Flow-Aufzeichnungen an einen oder mehrere Flow-Kollektoren.
Der Stromsammler ist für den Empfang, die Speicherung und die Vorverarbeitung von Stromdaten verantwortlich, die er von einem Stromexporteur erhält.
Der Durchflussanalysator oder die Durchflussanalyseanwendung wird verwendet, um empfangene Durchflussdaten zu analysieren. Die Analyse kann für die Erstellung von Verkehrsprofilen oder für die Fehlerbehebung im Netzwerk verwendet werden.
So funktioniert NetFlow
Netzwerkgeräte, die NetFlow unterstützen, generieren Flow-Datensätze und senden sie an einen NetFlow-Kollektor. Ein Flow ist in diesem Zusammenhang eine vollständige Konversation im IP-Sinne. Das Gerät, das Flow-Aufzeichnungen vorbereitet, sendet sie normalerweise an den Kollektor, wenn es feststellt, dass der Flow entweder durch Alterung beendet ist – wenn innerhalb eines bestimmten Timeouts kein Datenverkehr stattgefunden hat – oder wenn es eine Beendigung der TCP-Sitzung feststellt.
Die Flow-Aufzeichnungsinformationen über den Flow, wie z. B. die Eingabe- und Ausgabeschnittstellen, die Start- und Endzeitstempel des Flows, die Anzahl der darin enthaltenen Bytes und Pakete, die Layer-3-Header, die Quell- und Ziel-IP-Adresse und Portnummer, die IP-Protokoll und den TOS-Wert. Flussaufzeichnungen enthalten nicht die eigentlichen Daten, aus denen der Fluss besteht, sie enthalten nur Informationen über den Fluss. Dies ist ein wichtiges Sicherheitsmerkmal dieser Technologie.
Außer in großen Umgebungen mit mehreren Standorten sind die Durchflusssammler, an die die Aufzeichnungen gesendet werden, auch die Durchflussanalysatoren. Sie verwenden die in Flussaufzeichnungen enthaltenen Informationen, um Daten über den Netzwerkverkehr auf eine Weise darzustellen, die für Netzwerkadministratoren nützlich ist. Verschiedene NetFlow-Kollektoren und -Analysatoren haben unterschiedliche Arten der Datendarstellung.
sFlow – Ein entfernter Verwandter
Das „s“ in sFlow steht für „sampling“. Dies ist entscheidend für den Betrieb und unterscheidet es von anderen Durchflussanalysesystemen. Diese Technologie funktioniert nur mit sFlow-fähigen Geräten, genau wie NetFlow. Glücklicherweise sind diese Geräte bei den großen Herstellern von Netzwerkgeräten weit verbreitet.
Der sFlow-Standard wird vom sFlow.org-Konsortium gepflegt, aber es ist die Idee der inMon Corporation, die immer noch fast die absolute Kontrolle über seine Entwicklung und Weiterentwicklung ausübt. Große Gerätehersteller wie Alcatel-Lucent, Aruba, Brocade, Cisco, Dell, Hewlett Packard, IBM und viele mehr – über 300 – integrieren sFlow-Unterstützung in viele ihrer Produkte.
sFlow ist ein zustandsloses Paket-Sampling-Protokoll. Der „Flow“-Teil des Namens des Protokolls könnte irreführend sein, da sFlow tatsächlich keine Vorstellung davon hat, wie NetFlow Datenpakete zu High-Level-Flows aggregiert. Es funktioniert nur in Bezug auf Pakete.
Das allgemeine Paket-Sampling von sFlow erstreckt sich über Schichten bis 7. Der sFlow-Exporter, der innerhalb des Netzwerkgeräts ausgeführt wird, sammelt Präfixe aus einer Teilmenge aller Pakete, die die überwachte Schnittstelle passieren. Administratoren können sich dafür entscheiden, alle N Pakete ein Paket abzutasten, aber der Exporteur wählt auch zufällige Pakete aus und nimmt sie in seinen Datensatz auf. Der Exporter stellt dann die Anfangsbytes jedes abgetasteten Pakets zusammen mit Gerätezählern zusammen und sendet sie an den sFlow-Sammler. Das Gerät speichert weder Daten noch abgetastete Pakete zwischen, wodurch die Ressourcennutzung reduziert und die Skalierung auf Hochgeschwindigkeitsnetzwerke vereinfacht wird.
NetFlow und sFlow – was ist der Unterschied?
Obwohl sie ähnliche Namen, Zwecke und Ziele haben, sind NetFlow und sFlow eigentlich ziemlich unterschiedlich, insbesondere in der Art und Weise, wie beide ihre Aufgabe erfüllen.
Avi Freedman, Mitbegründer und CEO von Kentik, fasst den Unterschied zwischen NetFlow und sFlow mit einer Analogie zusammen: „… während NetFlow als Beobachtung von Verkehrsmustern beschrieben werden kann („Wie viele Busse fuhren von hier nach dort?“), mit sFlow Sie Wir machen nur Schnappschüsse von den Autos oder Bussen, die gerade gerade vorbeifahren.“ Lassen Sie sich von dieser vereinfachenden Analogie nicht blindlings zu der Annahme verleiten, dass NetFlow mehr Informationen liefert als sFlow und daher eine bessere Technologie ist.
Obwohl Sie wahrscheinlich mehr Informationen von NetFlow als von sFlow erhalten, ist es nicht unbedingt ein besseres Protokoll. Beispielsweise ist die Ressourcennutzung von NetFlow viel höher als die von sFlow. Dies würde sFlow tendenziell zu einer interessanteren Option für Geräte der unteren Preisklasse machen. Und obwohl NetFlow möglicherweise mehr Informationen sammelt, brauchen Sie diese wirklich und ist Ihr Analysegerät überhaupt in der Lage, sie zu verwenden?
Welche sollte ich verwenden?
Die meisten Sammler und Analysatoren verarbeiten sowohl NetFlow- als auch sFlow-Informationen, und viele Netzwerkgeräte unterstützen auch beides. Der Hauptentscheidungsfaktor sollte wahrscheinlich sein, was Ihre Ausrüstung unterstützt. Wenn einige Ihrer Geräte das eine, aber nicht das andere unterstützen, sollten Sie dies wählen. Wenn Sie hauptsächlich mit Cisco-Geräten arbeiten, warum entscheiden Sie sich nicht für NetFlow, da es sich um ein Cisco-eigenes Protokoll handelt?
Sie müssen sich jedoch nicht für eine Seite entscheiden. Sowohl NetFlow als auch sFlow sind hervorragende Technologien. Warum nicht beide mit einem Kollektor und Analysator verwenden, die beides unterstützen können? Sie können Flussdaten sowohl von Ihren sFlow-fähigen als auch von Ihren Netflow-fähigen Geräten abrufen.
Einige der besten NetFlow-Überwachungstools
Hier sind einige der besten NetFlow-Sammler- und Analysetools, die wir finden konnten. Wir haben eine Mischung von Tools hinzugefügt, um Ihnen eine bessere Vorstellung von der Vielfalt der verfügbaren Tools zu geben. Sie alle unterstützen NetFlow-Monitoring und alle seine Varianten wie J-Flow oder IPFIX, um nur einige zu nennen.
1- SolarWinds NetFlow Traffic Analyzer (kostenlose Testversion)
SolarWinds ist einer der bekanntesten Hersteller von Netzwerk- und Systemverwaltungstools. Sein Flaggschiff namens Network Performance Monitor wird von vielen als das beste Tool zur Überwachung der Netzwerkbandbreite angesehen. Ebenso ist der SolarWinds NetFlow Traffic Analyzer – der über dem Network Performance Monitor installiert wird – einer der besten IPFIX-Sammler und -Analysatoren, die Sie finden können.
Zu den besten Funktionen von SolarWinds NetFlow Traffic Analyzer gehören:
Überwachung der Bandbreitennutzung nach Anwendung, Protokoll und IP-Adressgruppe.
Überwachung von IPFIX-, Cisco NetFlow-, Juniper J-Flow-, sFlow- und Huawei NetStream-Flussdaten, um zu erkennen, welche Geräte, Anwendungen und Protokolle die größten Bandbreitenverbraucher sind.
Sammeln von Verkehrsdaten, Korrelieren in ein verwendbares Format und Präsentieren für den Benutzer über eine webbasierte Schnittstelle zum Überwachen des Netzwerkverkehrs.
Identifizieren, welche Anwendungen und Kategorien die meiste Bandbreite verbrauchen, um die Sichtbarkeit des Netzwerkverkehrs zu verbessern (einschließlich Cisco NBAR2-Unterstützung).
Der SolarWinds NetFlow Traffic Analyzer ist ein Add-on zum Network Bandwidth Monitor. Sie können sparen, indem Sie beide gleichzeitig mit dem SolarWinds Network Bandwidth Analyzer Pack erwerben. Die Preise für das Paket beginnen bei 4.910 US-Dollar für die Überwachung von bis zu 100 Elementen und variieren je nach Anzahl der überwachten Geräte. Dies mag zwar etwas teuer erscheinen, bedenken Sie jedoch, dass Sie nicht nur eines, sondern zwei der besten verfügbaren Überwachungstools erhalten. Wenn Sie das Produkt vor dem Kauf lieber testen möchten, können Sie eine kostenlose 30-Tage-Testversion von SolarWinds herunterladen.
2- PRTG-Netzwerkmonitor
Der PRTG Network Monitor der Paessler AG ist eine All-in-One-Lösung, deren primärer Zweck die Überwachung der Bandbreitennutzung ist. Es wird auch verwendet, um die Verfügbarkeit und den Zustand verschiedener Netzwerkressourcen zu überwachen. Diese Funktionen machen es zu einem nützlichen Werkzeug für Netzwerkadministratoren. Das Tool kann Geräte über mehrere Standorte hinweg überwachen und LAN-, WAN-, VPN- und Cloud-Dienste überwachen.
Die Installation dieses Produkts ist schnell und einfach. Nach dem Ausführen des Installationsprogramms erkennt der automatische Erkennungsprozess Geräte und richtet Sensoren ein. Paessler behauptet, Sie könnten innerhalb von zwei Minuten nach Beginn der Installation mit der Überwachung beginnen. Auch wenn dies vielleicht etwas übertrieben ist, waren wir von der einfachen und schnellen Installation beeindruckt. Obwohl der Server nur unter Windows läuft, ist die Benutzeroberfläche webbasiert und kann von jedem Browser aus aufgerufen werden. Darüber hinaus gibt es eine mobile App, die Sie auf Ihrem Smartphone oder Tablet installieren können.
Der PRTG Network Monitor kann dank seiner sensorbasierten Architektur so ziemlich alles überwachen. Sie können sich Sensoren als Add-Ons vorstellen, die direkt in das Produkt integriert sind und jeweils einen bestimmten Zweck haben. Es gibt Sensoren für HTTP und SMTP/POP3 (E-Mail). Es gibt auch hardwarespezifische Sensoren für Switches, Router und Server. Insgesamt verfügt das Tool über mehr als 200 verschiedene vordefinierte Sensoren.
Der PRTG Network Monitor bietet eine Auswahl an Benutzeroberflächen. Sie haben die Wahl zwischen einem Ajax-basierten Webinterface oder einer Windows-Enterprise-Konsole sowie mobilen Apps für Android und iOS. Eine nette Funktion der mobilen Apps ist, dass sie Benachrichtigungen per Push-Benachrichtigung erhalten können. Standard-SMS- oder E-Mail-Benachrichtigungen sind ebenfalls verfügbar.
Der PRTG Network Monitor wird in zwei Versionen angeboten. Es gibt eine kostenlose Version mit vollem Funktionsumfang, die jedoch Ihre Überwachungsfähigkeit auf 100 Sensoren begrenzt, wobei jeder überwachte Parameter als ein Sensor zählt. Um beispielsweise jeden Port eines Switches mit 48 Ports zu überwachen, benötigen Sie 48 Sensoren. Für mehr als 100 Sensoren müssen Sie eine Lizenz erwerben. Sie beginnen bei 1.600 $ für 500 Sensoren. Sie können auch eine kostenlose, sensorunbegrenzte und voll funktionsfähige 30-Tage-Testversion erhalten.
3- Prüfer
Scrutinizer von Plixer ist ein weiterer großartiger NetFlow Analyzer. Tatsächlich ist es sogar noch mehr als das, und viele betrachten es als ein vollständiges Incident-Response-System. Mit seiner Fähigkeit, verschiedene Flow-Typen wie NetFlow, J-Flow, NetStream, sFlow und IPFIX zu überwachen, sind Sie nicht auf die Überwachung nur von Cisco-Geräten beschränkt.
Mit seinem hierarchischen Design bietet Scrutinizer eine optimierte und effiziente Datenerfassung und ermöglicht es Ihnen, klein anzufangen und problemlos auf viele Millionen Flows pro Sekunde zu skalieren. Wenn etwas schief geht, wird oft zuerst das Netzwerk beschuldigt. Mit Scrutinizer können Sie schnell die wahre Ursache für die meisten Netzwerkprobleme finden. Scrutinizer funktioniert sowohl in physischen als auch in virtuellen Umgebungen und verfügt über erweiterte Berichtsfunktionen.
Scrutinizer ist in vier Lizenzstufen erhältlich, die von der kostenlosen Basisversion bis zur vollwertigen SCR-Stufe reichen, die auf über 10 Millionen Flows pro Sekunde skaliert werden kann. Die kostenlose Version ist auf 10.000 Flows pro Sekunde begrenzt und speichert nur 5 Stunden lang Raw-Flow-Daten, aber es sollte mehr als genug sein, um Netzwerkprobleme zu beheben. Sie können jede Lizenzstufe auch 30 Tage lang testen, danach wird sie wieder auf die kostenlose Version zurückgesetzt.
4- ManageEngine NetFlow-Analyzer
Der ManageEngine NetFlow Analyzer gibt dem Netzwerkadministrator einen detaillierten Überblick über die Auslastung der Netzwerkbandbreite sowie über Verkehrsmuster. Das Produkt wird über eine webbasierte Oberfläche gesteuert und bietet eine beeindruckende Anzahl verschiedener Ansichten auf Ihr Netzwerk.
Sie können beispielsweise den Datenverkehr nach Anwendung, Konversation, Protokoll und mehreren weiteren Optionen anzeigen. Sie können auch Warnungen einrichten, um Sie vor potenziellen Problemen zu warnen. Beispielsweise können Sie einen Schwellenwert für den Datenverkehr auf einer bestimmten Schnittstelle festlegen und benachrichtigt werden, wenn der Datenverkehr diesen überschreitet.
Aber die größte Stärke des Produkts liegt in seinen Berichten und seinem Dashboard. Das Tool enthält mehrere sehr nützliche vorgefertigte Berichte, die speziell auf bestimmte Zwecke wie Fehlerbehebung, Kapazitätsplanung oder Abrechnung zugeschnitten sind. Sie sind jedoch nicht auf integrierte Berichte angewiesen, da das Tool es Administratoren auch ermöglicht, benutzerdefinierte Berichte nach ihren Wünschen zu erstellen.
Das erwähnte Dashboard des Tools ist genauso beeindruckend wie seine Berichte. Es enthält mehrere Tortendiagramme mit Dingen wie Top-Anwendungen, Top-Protokollen oder Top-Gesprächen. Es kann auch eine Heatmap mit dem Status der überwachten Schnittstellen anzeigen. Und wie Sie vielleicht schon erraten haben, können Dashboards so angepasst werden, dass sie nur die Informationen enthalten, die Sie für nützlich halten. Das Dashboard ist auch der Ort, an dem Warnungen in Form von Popups angezeigt werden. Und für den Netzwerkadministrator, der unterwegs ist, gibt es eine Smartphone-App, mit der Sie auf das Dashboard und die Berichte zugreifen können.
Der ManageEngine NetFlow Analyzer unterstützt die meisten Flow-Technologien, einschließlich NetFlow (natürlich), IPFIX, J-Flow, NetStream und einige andere. Als Bonus bietet der auch eine hervorragende Integration mit Cisco-Geräten, mit Unterstützung für die Anpassung von Traffic Shaping und/oder QoS-Richtlinien direkt aus dem Tool.
Wie viele Konkurrenzprodukte gibt es den ManageEngine NetFlow Analyzer in zwei Versionen. Die kostenlose Version ist in den ersten 30 Tagen mit der kostenpflichtigen Version identisch, wird dann aber wieder auf die Überwachung von nur zwei Flussschnittstellen zurückgesetzt. Das ist zwar nicht viel, aber es könnte alles sein, was Sie brauchen. Wenn Sie die kostenpflichtige Version wünschen, sind Lizenzen in verschiedenen Größen von 100 bis 2500 Schnittstellen oder Flows mit Preisen zwischen etwa 600 und über 50.000 US-Dollar zuzüglich jährlicher Wartungsgebühren erhältlich.
Wie wäre es mit S-Flow-Überwachungstools?
Alle Produkte, die wir gerade überprüft haben, sammeln und analysieren zusätzlich zu NetFlow sFlow-Daten. Für hybride Umgebungen wären sie alle eine großartige Wahl. Aber wenn Sie nur sFLow-Geräte haben, entscheiden Sie sich vielleicht lieber für ein Tool, das nur diese Technologie unterstützt.
5- inMon sFlowTrend
sFlowTrend ist ein kostenloses Überwachungstool von inMon, dem Unternehmen hinter der sFlow-Technologie. Mit dieser kostenlosen Version der Software können Sie Daten von bis zu fünf sFlow-fähigen Geräten sammeln und nur Verlaufsdaten bis zu einer Stunde im RAM speichern. Und wenn Sie die Dinge beschleunigen möchten, können Sie auf die Pro-Version upgraden – natürlich gegen eine Gebühr – die die Beschränkung der Anzahl der Geräte aufhebt und unbegrenzte Verlaufsdaten auf der Festplatte speichert.
Das sFlowTrend Dashboard bietet einen schnellen Überblick über den aktuellen Zustand der überwachten Geräte und Netzwerke, es enthält Schwellenwerte auf oberster Ebene und Schnittstellen mit potenziellen Fehlern. Wenn man auf die Registerkarte Netzwerk klickt, zeigt sflowTrend zusammengefasste Leistungsstatistiken und detaillierten Datenverkehr auf Netzwerk- oder Geräteebene an. Warnschwellen können definiert werden. Sie können Warnungen erhalten, wenn eine höhere Bandbreitennutzung als üblich oder Netzwerkfehler auftreten. Es gibt sogar eine Registerkarte für die Hauptursache, auf der Sie die Ursache eines Problems, z. B. eine Schwellenwertverletzung, aufschlüsseln können.
Auf der Registerkarte Hosts finden Sie detailliertere Informationen zu jedem Gerät. Es liefert Leistungsdaten zu Netzwerk, CPU, Festplatte usw. für sFlow-fähige Server – einschließlich virtueller. Auf der Registerkarte Dienste finden Sie Leistungsdaten für Anwendungen (einschließlich verschiedener Webserver), die sFlow-Daten exportieren. Auf der Registerkarte „Ereignisse“ finden Sie ein Protokoll mit Ereignissen wie überschrittenen Schwellenwerten oder erkannten Fehlern. Und schließlich bietet die Registerkarte Berichte mehrere vordefinierte Berichte, unterstützt aber auch das Erstellen benutzerdefinierter Berichte. Hier führen Sie Berichte aus und sehen sich dann deren Ergebnisse an.
sFlowTrend ist in Java geschrieben und verfügt sowohl über eine Java-basierte als auch über eine Web-basierte Benutzeroberfläche. Es ist für Windows, Macintosh und Linux verfügbar. Es gibt auch eine Online-Hilfe, die Sie bei der Konfiguration und Verwendung des Tools unterstützt. Es ist ein großartiges Tool, insbesondere für kleinere Organisationen mit sFlow-fähigen Geräten. Und der Upgrade-Pfad zur Pro-Version macht es zu einer ebenso guten Wahl für größere Netzwerke.