Flowanalyse er den nye bølge inden for netværksovervågning. Det giver administratorer og ledere mulighed for at få et klarere overblik over, ikke kun hvor meget trafik der foregår, men også hvilken slags trafik. Og når debugging flaskehalse, opbremsninger eller alle mulige netværksproblemer, er det vigtigt at have en sådan synlighed. Og det er ikke kun til debugging, det er også vigtigt at have en klar synlighed for kapacitetsplanlægning. I dag ser vi på de bedste gratis sFlow-samlere og analysatorer på markedet. I lighed med Ciscos NetFlow eller dens åbne efterkommer IPFIX, men samtidig meget anderledes, kan sFlow – en (næsten) leverandøruafhængig protokol – give netværksadministratorer et detaljeret overblik over, hvad der foregår på deres netværk.
Der er flere måder, hvorpå du kan få en vis grad af synlighed over, hvad der sker på dit netværk. Simple Network Management Protocol eller SNMP kan bruges til at læse tæller på enheder og beregne hver grænseflades båndbreddeudnyttelse. Dette kan være tilstrækkeligt for mindre netværk. Ping, traceroute (eller tracert), nmap og netstat kan hjælpe med grundlæggende fejlfinding, men for det komplette billede er der intet, der slår flowanalyse.
I denne artikel vil vi begynde med at diskutere, hvad sFlow er, hvordan det virker, og hvordan det kan være nyttigt. Vi vil også sammenligne det med NetFlow, som er en slags fjern fætter til sFlow’s. Selvom sFlow og NetFlow samlere og analysatorer ofte er en og samme, vil du se, at de faktisk er meget forskellige. Vi fortsætter derefter med vores top fem bedste gratis sFlow-samlere og analysatorer.
Indholdsfortegnelse
Hvad er sFlow
“S”et i sFlow står for “sampling”. Dette er afgørende for dets drift, og som vi snart skal se, er det, hvordan det adskiller sig fra andre flowanalysesystemer. Det meste af magien ved sFlow sker inden for selve de overvågede enheder. Det er derfor, det kun vil fungere på sFlow-aktiverede enheder. Heldigvis er der mange sådanne enheder, især blandt de store producenter af netværksudstyr.
Selvom sFlow.org-konsortiet nu fastholder standarden, er sFlow udtænkt af inMon corporation, som stadig udøver en næsten absolut kontrol over udviklingen af systemet. Større udstyrsproducenter som Alcatel-Lucent, Brocade, Aruba, Cisco, Dell, Hewlett Packard, IBM og mange flere inkluderer sFlow-support er mange af deres switching-udstyr. Faktisk inkluderer over 300 producenter sFlow i deres produkter.
sFlows primære mål er at overvåge højhastighedsnetværk. det er en statsløs pakkesamplingsprotokol. “Flow”-delen af protokollens navn kan være misvisende, da sFlow faktisk ikke har nogen idé om at aggregere datapakker til flow på højt niveau. Det virker kun i forhold til pakker.
I sin rod udfører sFlow generel pakkesampling, som strækker sig over lag til 7. Kører i netværksenheden, indsamler sFlow-eksportøren præfikser fra en undergruppe af al pakken, der passerer gennem en grænseflade. Indstillingen for samplinghastighed giver ledere mulighed for at vælge at sample én pakke for hver N pakke. Eksportøren vælger også tilfældige pakker og inkluderer dem. Eksportøren samler derefter de indledende bytes af hver samplede pakke sammen med enhedstællere og sender det ud til sFlow-samleren som et sFlow-datagram ved hjælp af UDP. Enheden cacher ikke nogen af dataene eller samplede pakker, hvilket reducerer ressourceforbruget og gør det nemt at skalere op til højhastighedsnetværk.
sFlow vs Netflow, hvad er forskellen?
På trods af deres lignende navne og på trods af, at mange samlere og analysatorer kan arbejde med både NetFlow og sFlow, er de to faktisk meget forskellige, især i den måde, hver enkelt udfører sin opgave.
Avi Freedman, medstifter og administrerende direktør for Kentik, gør følgende analogi til overvågning af vejtrafik, som ganske godt opsummerer forskellen mellem NetFlow og sFlow: “… mens NetFlow kan beskrives som at observere trafikmønstre (‘Hvor mange busser gik herfra til der?’), med sFlow tager du bare øjebliksbilleder af de biler eller busser, der tilfældigvis kører forbi på det bestemte tidspunkt.” Selvom dette er en fantastisk analogi, er den også noget misvisende, idet den kan få en til at tro, at NetFlow giver mere information end sFlow og derfor er bedre.
Selvom det nok er rigtigt, at du får mere information fra NetFlow, end du får fra sFlow, gør det ikke nødvendigvis det til en bedre protokol. Til at begynde med er NetFlows ressourceforbrug – hukommelse og CPU – meget højere end sFlows. Dette ville have en tendens til at gøre sFlow til en mere interessant mulighed for enheder i lavere ende. Der er også hele aspektet af, hvor meget information er for meget information. Ja, NetFlow indsamler muligvis flere oplysninger, men har du brug for det? Og er din analysator overhovedet i stand til at bruge den?
Det store spørgsmål: Skal jeg bruge NetFlow eller sFlow?
Det er nemt at stille spørgsmålet, men at give et godt svar er næsten umuligt. Som vi sagde tidligere, vil mange samlere og analysatorer håndtere både NetFlow- og sFlow-oplysninger. Og der er et stort antal netværksenheder, der også understøtter begge protokoller, hvilket gør valget af den ene frem for den anden endnu sværere. Den vigtigste afgørende faktor bør nok være, hvad dit udstyr understøtter.
Men skal man virkelig vælge side? Både NetFlow og sFlow er fremragende systemer. Hvorfor så ikke bruge både med en opsamler og analysator, der understøtter begge dele? Du vil være i stand til at have detaljerede flowdata fra dine sFlow-aktiverede enheder og dine Netflow-aktiverede enheder.
Hvad med enheder, der har begge protokoller indbygget? Mange Cisco-enheder kan f.eks. bruge enten. I disse situationer ville jeg være fristet til at anbefale at bruge sFlow, da dets ressourceforbrug er lavere. Medmindre du selvfølgelig kan bruge den ekstra information, som NetFlow kan give.
De bedste gratis sFlow-samlere og -analysatorer
Vi har søgt på internettet efter de bedste gratis sFlow-samlere og -analyzere. Blandt dem, vi fandt, er nogle få virkelig gratis pakker. Andre er kommerciel software, der enten tilbyder en gratis prøveversion eller en nedskaleret gratis version. Nogle vil også kun understøtte sFlow, mens andre også vil arbejde med både sFlow og NetFlow, hvilket gør dem endnu mere alsidige. Vi har gennemgået hver af de fem bedste pakker, og vi præsenterer vores resultater. Her er listen over vores top 5 pakker.
SolarWinds sFlow Collector og Analyzer
inMon sFlowTrend
ManageEngine NetFlow Analyzer
ntopng og nProbe
Plixer Scrutinizer
1. SolarWinds sFlow Collector og Analyzer (GRATIS PRØVE)
SolarWinds er et velkendt navn inden for netværksadministration. Virksomheden laver noget af det bedste software til at hjælpe netadministratorer med at få et bedre overblik over, hvad der sker med deres udstyr. Deres flagskibsprodukt hedder Network Performance Monitor.
SolarWinds er også kendt for at lave en lang række gratis og brugbare produkter. De spænder fra IP-adresseberegnere til at hjælpe begyndere med at finde undernet og værtsadresser til komplette, omend begrænsede overvågningssystemer af forskellig art. Et sådant produkt, SolarWinds Real-Time Netflow Analyzer, blev omtalt i en tidligere artikel. Du vil måske læse den for alle detaljer.
Men dagens artikel handler om sFlow frem for NetFlow. Og selvom SolarWinds ikke har et gratis sFlow svarende til deres Real-Time NetFlow Analyzer, har det sFlow Collector and Analyzer som en funktion af sin NetFlow Traffic Analyzer eller NTA. Sidstnævnte er et modul i Network Performance Monitor eller NPM. Og selvom både NTA eller NPM ikke er gratis produkter, er en gratis 3-dages prøveversion tilgængelig. Faktisk SolarWinds som en 30-dages prøveversion af de fleste af sine produkter. Du kan derfor prøve enhver af dem uden risiko.
Download link: https://www.solarwinds.com/netflow-traffic-analyzer
Så på trods af dets noget misvisende navn, vil SolarWinds NetFlow Traffic Analyzer håndtere både NetFlow- og sFlow-data. Dette gør det til et ideelt valg i et varieret miljø, hvor nogle enheder understøtter én protokol, mens andre understøtter en anden. Og som en sFlow-samler vil NTA indsamle alle sFlow-data fra enheder, den overvåger.
Kombineret sammen har NPM og NTA en imponerende række af funktionaliteter til at hjælpe enhver administrator med at administrere netværk med flere leverandører. Du får båndbreddeovervågning ved hjælp af SNMP, trafikanalyse, præstationsanalyse, alarmering, rapportering, politikoptimering og meget mere.
Som standard vil NetFlow Traffic Analyzers oversigtsside vise adskillige sektioner såsom de 5 bedste applikationer, de 5 bedste slutpunkter, de 5 bedste samtaler eller de 10 bedste kilder efter procentdel af båndbreddeudnyttelsen. Og som en flowanalysator kan den identificere brugere, applikationer og protokoller, der bruger mest båndbredde, hvilket giver administratorer mulighed for hurtigt at finde kilden til enhver observeret overbelastning. Og du kan sortere de viste resultater efter flere kriterier såsom havn, kilde, destination, protokol osv. Det giver dig også mulighed for at se trafikmønstre over minutter, dage eller måneder.
Både NTA og NPM er software i virksomhedskvalitet, designet til at skalere op til meget store netværk med hundredvis – hvis ikke tusindvis – af enheder. De vil derfor forbruge betydelige ressourcer på dit system og bør installeres på dedikeret hardware. Men hvis du administrerer sådan et netværk med adskillige sFlow-aktiverede enheder, er NTAs sFlow-indsamling og -analyse værd at prøve. Du skal bruge nogle anstrengelser for at sætte det på plads, men de vil blive godt belønnet.
2. inMon sFlowTrend
inMon, virksomheden bag sFlow, har sit eget gratis overvågningsværktøj i form af sit sFlowTrend software. Det er et grundlæggende og noget begrænset, men meget kapabelt værktøj. Den gratis version af softwaren lader dig samle data fra op til fem sFlow-aktiverede switche, routere eller værter og vil kun opbevare historiedata i RAM i op til en time. Det burde være nok til at fejlfinde de fleste netværksproblemer. Og hvis du ønsker at gå opad, kan du opgradere til pro-versionen – selvfølgelig til en pris – som fjerner begrænsningen af antallet af enheder og gemmer historikdata på disken.
Fanen sFlowTrend Dashboard giver et hurtigt overblik over den aktuelle tilstand af de overvågede enheder og netværk, den inkluderer tærskler på øverste niveau og grænseflader med potentielle fejl. Når man klikker på fanen Netværk, afslører sflowTrend opsummerede præstationsstatistikker og detaljeret trafik på netværks- eller enhedsniveau. Alarmtærskler kan defineres. Det giver dig mulighed for at modtage advarsler, når der opstår større båndbreddeforbrug eller netværksfejl. Der er endda en hovedårsagsfane, hvor du kan se nærmere på årsagen til et problem, såsom en tærskelovertrædelse.
Fanen Værter er, hvor du finder mere detaljerede oplysninger om hver enhed. Den leverer ydeevnedata på netværk, CPU, disk osv. til sFlow-aktiverede servere – inklusive virtuelle. Under fanen Tjenester finder du ydeevnedata for applikationer (inklusive forskellige webservere), der eksporterer sFlow-data. På fanen Hændelser finder du en log over hændelser som overskredne tærskler eller opdagede fejl. Og endelig indeholder fanen Rapporter flere foruddefinerede rapporter, men den understøtter også oprettelse af tilpassede rapporter. Det er her, du går for at køre rapporter og derefter se deres resultater.
sFlowTrend er skrevet i Java og leveres med både en Java-baseret eller webbaseret brugergrænseflade. Den er tilgængelig til Windows, Macintosh og Linux. Der er også online hjælp, der er tilgængelig for at hjælpe dig med at konfigurere og bruge værktøjet. Det er et fantastisk værktøj, især for mindre organisationer med sFlow-aktiveret udstyr. Og opgraderingsstien til pro-versionen gør det til et lige så gyldigt valg for større netværk.
3. ManageEngine NetFlow Analyzer
Mens den primært er en NetFlow-samler og -analysator, vil ManageEngine NetFlow Analyzer også håndtere sFlow-datagrammer, som dine sFlow-aktiverede enheder kaster efter den. Det er endnu et fantastisk stykke software fra en virksomhed, der har været kendt for at levere styringsværktøjer af høj kvalitet. Værktøjet giver dig synlighed over trafik og båndbredde efter applikation, samtale eller protokol. Du kan også indstille advarsler baseret på trafiktærskler.
ManageEngine NetFlow Analyzer kommer med et stort udvalg af nyttige foruddefinerede rapporter. Nogle vil hjælpe med fejlfinding, andre med kapacitetsplanlægning, og nogle kan bruges til faktureringsformål for de organisationer, der videresælger deres infrastrukturer. Og der er selvfølgelig også mulighed for at lave tilpassede rapporter.
En unik egenskab ved det webbaserede dashboard er et varmekort, der med et øjeblik viser status for overvågede grænseflader samt cirkeldiagrammer i realtid, der viser topapplikationer, protokoller og samtaler, seneste alarmer og mere.
Den gratis version kommer med vigtige begrænsninger. For eksempel, mens det vil tillade ubegrænset overvågning i 30 dage, vil det derefter vende tilbage til kun at overvåge to grænseflader. Det er ikke meget, men det kan være nok til en hurtig fejlfindingssession, forudsat at du ved præcis, hvor du skal lede. Selvfølgelig kan du opgradere til den betalte version for at fjerne begrænsningen med to grænseflader. Og ManageEngine tilbyder også adskillige relaterede produkter, der arbejder sammen om at udvide grundlæggende trafikanalyse til en komplet netværksadministrationspakke.
4. ntopng og nProbe
ntopng er et ægte open source-trafikanalyseværktøj. Den overvåger passivt netværk baseret på flowdata og pakkefangst. Bare en analysator, ntopng er afhængig af nProbe – en samler – til at indsamle flowdata fra enheder og værter, der eksporterer dem. nProbe understøtter flere forskellige typer flowdata, inklusive både NetFlow og sFlow. Sammen udgør de en meget potent overvågnings- og fejlfindingsduo.
ntopng kommer med en webbaseret brugergrænseflade, hvor information præsenteres på flere forskellige måder såsom trafik (f.eks. toptalere), flows, værter, enheder og grænseflader. Flowvisningen er nok en af de mest interessante, da den præsenterer applikationsprotokoller og kan vise latens eller anden TCP-statistik såsom pakketab. Du kan også bruge ntopng til at indstille advarsler baseret på flere forskellige tærskler og kriterier.
ntopng er tilgængelig i tre versioner, Community, Professional og Enterprise. Community-versionen er gratis at bruge. Professional og Enterprise tilbyder nogle ekstra funktioner og kan købes
Hvad angår nProbe, kan den bruges gratis, men den er begrænset til 25000 eksporterede flows. Selvom det kan virke af meget, når du hurtigt det tal. Du kan selvfølgelig fjerne restriktioner ved at købe licenser.
5. Plixer Scrutinizer
Scrutinizer fra Plixer er et meget sofistikeret “Incident Response System”, som det står på Plixers hjemmeside. Lad dog ikke det smarte navn narre dig. Mere end noget andet Scrutinizer er et fremragende netværksovervågningssystem. Den er meget grundig og komplet, og af særlig interesse i forbindelse med denne artikel, vil den håndtere både sFlow- og NetFlow-data.
Scrutinizer tilbyder en af de mest skalerbare løsninger på markedet. Det siges at have den hurtigste rapportering og at give den rigeste datakontekst tilgængelig overalt. Den har rollebaseret adgang til kun at præsentere forskellige teams med de data, de har brug for. Designet til høj ydeevne og skalerbarhed fra små til meget store miljøer. Det giver et rigt udvalg af analyse- og rapporteringsfunktioner.
Der er flere måder, hvorpå Scrutinizer kan konfigureres. Du kan installere det som et dedikeret apparat. Du kan også som virtuel server. Og det kan også køres i en software-as-en-service-måde, hvor det ville køre i skyen. I den tilstand kan du vælge enten at bruge Plixers offentlige sky eller en privat. Dette er et stort system, og det er ressourcekrævende. Du bliver nødt til at sætte den op på en kraftig server – med for eksempel 16 GB RAM.
Scrutinizer er tilgængelig på fire forskellige licensniveauer. Der er den gratis version – som ikke er en prøveversion, men en rigtig gratis version – der understøtter op til 10.000 flows i sekundet, vil gemme flowdata i 5 timer og historiske roll-ups i en uge. Så har du tre niveauer af betalte versioner, der varierer efter antallet af flows pr. sekund, de understøtter, og den historik, de opbevarer. Desuden tilføjer hvert højere niveau et par ekstra funktioner til et allerede rigt funktionssæt.
Afslutningsvis
Hvis dit netværk primært er lavet af sFlow-aktiverede enheder, er der nogle fremragende værktøjer tilgængelige, som vil give dig et uvurderligt indblik i dit netværks adfærd. Og hvis du har både sFlow- og NetFlow-aktiverede enheder, vil nogle få af dem understøtte begge protokoller. Dit endelige valg vil mere end noget andet afhænge af den aktuelle størrelse på dit netværk, hvilken protokol dine enheder understøtter og dit netværks forventede udvikling. Disse værktøjer tager et stykke tid at konfigurere, og du vil vælge det rigtige lige fra starten. Det kan redde dig fra en kompliceret udskiftning.