Az áramláselemzés a hálózatfigyelés új hulláma. Lehetővé teszi az adminisztrátorok és vezetők számára, hogy tisztábban láthassák nemcsak a forgalom mértékét, hanem azt is, hogy milyen forgalom zajlik. A szűk keresztmetszetek, lassulások vagy mindenféle hálózati probléma hibakeresése során elengedhetetlen az ilyen láthatóság. És ez nem csak a hibakeresésre vonatkozik, hanem a kapacitástervezéshez is fontos a tiszta láthatóság. Ma a legjobb ingyenes sFlow kollektorokat és analizátorokat tekintjük meg a piacon. Hasonlóan a Cisco NetFlow-hoz vagy annak nyílt leszármazottjához, az IPFIX-hez, de ugyanakkor nagyon eltérő, az sFlow – egy (majdnem) gyártófüggetlen protokoll – részletes képet ad a hálózati rendszergazdáknak arról, hogy mi történik a hálózatukon.
Számos módja van annak, hogy bizonyos fokú áttekintést kapjon arról, hogy mi történik a hálózatán. A Simple Network Management Protocol vagy az SNMP használható az eszközök számlálójának leolvasására és az egyes interfészek sávszélesség-kihasználásának kiszámítására. Ez elegendő lehet kisebb hálózatokhoz. A ping, a traceroute (vagy tracert), az nmap és a netstat segíthet az alapvető hibaelhárításban, de a teljes kép érdekében semmi sem jobb, mint az áramláselemzés.
Ebben a cikkben azzal kezdjük, hogy megvitatjuk, mi az sFlow, hogyan működik, és hogyan lehet hasznos. Összehasonlítjuk a NetFlow-val is, amely az sFlow távoli rokona. Bár az sFlow és a NetFlow gyűjtők és analizátorok gyakran egy és ugyanaz, látni fogja, hogy valójában nagyon különböznek egymástól. Ezután folytatjuk az öt legjobb ingyenes sFlow kollektorral és analizátorral.
Tartalomjegyzék
Mi az sFlow
Az sFlow „S” a „mintavételezést” jelenti. Ez kulcsfontosságú a működése szempontjából, és ahogy hamarosan látni fogjuk, miben különbözik a többi áramláselemző rendszertől. Az sFlow varázslatának nagy része magukban a felügyelt eszközökben történik. Ezért csak az sFlow-kompatibilis eszközökön fog működni. Szerencsére sok ilyen eszköz létezik, különösen a nagy hálózati berendezéseket gyártók körében.
Bár az sFlow.org konzorcium ma már fenntartja a szabványt, az sFlow az inMon vállalat ötlete, amely még mindig szinte abszolút ellenőrzést gyakorol a rendszer fejlődése felett. A nagy berendezésgyártók, mint például az Alcatel-Lucent, a Brocade, az Aruba, a Cisco, a Dell, a Hewlett Packard, az IBM és még sokan mások, számos kapcsolóberendezést tartalmaznak sFlow támogatással. Valójában több mint 300 gyártó használja az sFlow-t termékeibe.
Az sFlow elsődleges célja a nagy sebességű hálózatok figyelése. ez egy állapot nélküli csomagmintavételi protokoll. a protokoll nevének „Flow” része félrevezető lehet, mivel az sFlow-nak valójában fogalma sincs az adatcsomagok magas szintű folyamokká történő összesítéséről. Csak csomagok tekintetében működik.
Gyökérében az sFlow általános csomagmintavételezést végez, amely a rétegeken át a 7-ig terjed. A hálózati eszközön belül futva az sFlow exportőr előtagokat gyűjt az interfészen áthaladó összes csomag egy részhalmazából. A mintavételezési gyakoriság beállítása lehetővé teszi a menedzserek számára, hogy minden N csomagból egy csomagot vegyenek mintát. Az exportőr véletlenszerű csomagokat is kiválaszt, és beszereli azokat. Az exportőr ezután összeállítja az egyes mintavételezett csomagok kezdeti bájtjait az eszközszámlálókkal együtt, és UDP használatával sFlow datagramként elküldi az sFlow gyűjtőnek. Az eszköz nem tárolja a gyorsítótárban sem az adatokat, sem a mintavételezett csomagokat, ezáltal csökkenti az erőforrás-felhasználást, és megkönnyíti a nagy sebességű hálózatokra való felskálázást.
sFlow vs Netflow, mi a különbség?
Annak ellenére, hogy a nevük hasonló, és annak ellenére, hogy sok gyűjtő és elemző képes együttműködni a NetFlow-val és az sFlow-val is, a kettő valójában nagyon különbözik, különösen abban, ahogyan mindegyik elvégzi a feladatát.
Avi Freedman, a Kentik társalapítója és vezérigazgatója a következő analógiát hozza a közúti forgalom figyelésére, amely jól összefoglalja a NetFlow és az sFlow közötti különbséget: „… míg a NetFlow-t úgy írhatjuk le, mint a forgalmi minták megfigyelését („Hány busz ment innen ott?”), az sFlow-val csak pillanatfelvételeket készít azokról az autókról vagy buszokról, amelyek az adott pillanatban elhaladnak mellettük. Bár ez egy nagyszerű analógia, egyben kissé félrevezető is, mivel azt hiheti, hogy a NetFlow több információt nyújt, mint az sFlow, és ezért jobb.
Bár valószínűleg igaz, hogy több információt kap a NetFlow-tól, mint az sFlow-tól, ez nem feltétlenül teszi jobb protokollt. Kezdetnek a NetFlow erőforrás-memória- és CPU-használata sokkal magasabb, mint az sFlow-é. Ez általában az sFlow-t érdekesebb opcióvá tenné az alacsonyabb kategóriás eszközök számára. Itt van az is, hogy mennyi információ túl sok információ. Igen, a NetFlow több információt gyűjthet, de szüksége van rá? És az elemzője egyáltalán képes használni?
A nagy kérdés: NetFlow-t vagy sFlow-t használjam?
A kérdést könnyű feltenni, de jó választ adni szinte lehetetlen. Ahogy korábban említettük, sok gyűjtő és elemző kezeli a NetFlow és az sFlow információkat is. És számos olyan hálózati eszköz létezik, amely mindkét protokollt támogatja, így még nehezebb kiválasztani az egyiket a másik helyett. A fő döntő tényező valószínűleg az, hogy mit támogat a berendezés.
De tényleg választanod kell az oldalakat? Mind a NetFlow, mind az sFlow kiváló rendszerek. Akkor miért ne használja mindkettőt kollektorral és elemzővel, amely támogatja valamelyiket? Részletes adatfolyam-adatokat kaphat az sFlow-kompatibilis eszközökről és a Netflow-kompatibilis eszközökről.
Mi a helyzet azokkal az eszközökkel, amelyeken mindkét protokoll be van építve? Sok Cisco-eszköz például bármelyiket használhatja. Ilyen helyzetekben nagy a kísértés az sFlow használatát javasolni, mivel annak erőforrás-felhasználása alacsonyabb. Kivéve persze, ha hasznát veszi a NetFlow által biztosított többletinformációnak.
A legjobb ingyenes sFlow gyűjtők és elemzők
Megkerestük az interneten a legjobb ingyenes sFlow gyűjtőket és elemzőket. A találtak közül néhány valóban ingyenes csomag. Mások kereskedelmi szoftverek, amelyek ingyenes próbaverziót vagy kicsinyített ingyenes verziót kínálnak. Ezenkívül egyesek csak az sFlow-t támogatják, míg mások az sFlow-val és a NetFlow-val is működnek, így még sokoldalúbbá válik. Áttekintettük mind az öt legjobb csomagot, és bemutatjuk eredményeinket. Íme az 5 legjobb csomagunk listája.
SolarWinds sFlow kollektor és elemző
inMon sFlowTrend
ManageEngine NetFlow Analyzer
ntopng és nProbe
Plixer átvizsgáló
1. SolarWinds sFlow kollektor és elemző (INGYENES PRÓBA)
A SolarWinds jól ismert név a hálózatkezelési arénában. A cég a legjobb szoftvereket készíti, amelyek segítenek a hálózati rendszergazdáknak abban, hogy jobban átláthassák, mi történik a berendezéseikkel. Zászlós termékük a Network Performance Monitor.
A SolarWinds arról is ismert, hogy számos ingyenes és hasznos terméket készít. Az IP-cím-kalkulátoroktól kezdve a kezdőknek az alhálózatok és gazdagépcímek kiszámításában a különböző, bár korlátozott felügyeleti rendszerekig. Az egyik ilyen termék, a SolarWinds Real-Time Netflow Analyzer egy korábbi cikkben szerepelt. Érdemes elolvasni minden részletet.
De a mai cikk az sFlow-ról szól, nem pedig a NetFlow-ról. És bár a SolarWinds nem rendelkezik a valós idejű NetFlow Analyzerével egyenértékű ingyenes sFlow-val, a NetFlow Traffic Analyzer vagy NTA jellemzője az sFlow Collector és Analyzer. Ez utóbbi a Network Performance Monitor vagy NPM modulja. És bár az NTA és az NPM sem ingyenes termék, elérhető egy ingyenes 3 napos próbaverzió. Valójában a SolarWinds a legtöbb termékének 30 napos próbaverziója. Ezért kockázatmentesen kipróbálhatja bármelyiket.
Letöltési link: https://www.solarwinds.com/netflow-traffic-analyzer
Így a kissé félrevezető neve ellenére a SolarWinds NetFlow Traffic Analyzer a NetFlow és az sFlow adatokat is kezeli. Ez ideális választássá teszi változatos környezetben, ahol egyes eszközök egy protokollt támogatnak, míg mások egy másikat. Az NTA pedig sFlow-gyűjtőként minden sFlow-adatot összegyűjt az általa figyelt eszközökről.
Az NPM és az NTA együttesen lenyűgöző funkciók széles skáláját kínálja, amelyek segítséget nyújtanak a rendszergazdáknak a több gyártós hálózatok kezelésében. A sávszélesség-felügyeletet az SNMP, a forgalomelemzés, a teljesítményelemzés, a riasztás, a jelentéskészítés, a házirend-optimalizálás és még sok más segítségével kaphatja meg.
Alapértelmezés szerint a NetFlow Traffic Analyzer összefoglaló oldala több szakaszt is megjelenít, például az 5 legnépszerűbb alkalmazást, az 5 legjobb végpontot, az 5 legnépszerűbb beszélgetést vagy a sávszélesség-kihasználtság százalékos aránya szerinti 10 legjobb forrást. Áramláselemzőként pedig azonosítani tudja a legtöbb sávszélességet fogyasztó felhasználókat, alkalmazásokat és protokollokat, így a rendszergazdák gyorsan megtalálhatják a megfigyelt torlódások forrását. A megjelenített eredményeket számos kritérium szerint rendezheti, mint például port, forrás, cél, protokoll stb. Lehetővé teszi a percek, napok vagy hónapok forgalmi mintáinak megtekintését is.
Mind az NTA, mind az NPM vállalati szintű szoftver, amelyet arra terveztek, hogy akár nagyon nagy hálózatokra is méretezhető legyen több száz – ha nem több ezer – eszközzel. Ezért ezek jelentős erőforrásokat fogyasztanak a rendszeren, és dedikált hardverre kell telepíteni őket. De ha egy ilyen hálózatot számos sFlow-kompatibilis eszközzel kezel, akkor érdemes kipróbálni az NTA sFlow gyűjtését és elemzését. Szükséged lesz némi erőfeszítésre, hogy a helyére tedd, de jól meg lesz jutalmazva.
2. inMon sFlowTrend
Az inMon, az sFlow mögött álló cég saját ingyenes felügyeleti eszközzel rendelkezik sFlowTrend szoftver. Ez egy alapvető és kissé korlátozott, de nagyon hatékony eszköz. A szoftver ingyenes verziója lehetővé teszi, hogy akár öt sFlow-kompatibilis kapcsolóról, útválasztóról vagy gazdagépről gyűjtsön adatokat, és legfeljebb egy óráig tárolja az előzményeket a RAM-ban. Ennek elegendőnek kell lennie a legtöbb hálózati probléma elhárításához. Ha pedig fokozni szeretné a dolgot, frissíthet a pro verzióra – természetesen költség ellenében –, amely megszünteti az eszközök számának korlátozását, és az előzményeket a lemezen tárolja.
Az sFlowTrend Dashboard fül gyors áttekintést nyújt a felügyelt eszközök és hálózatok aktuális állapotáról, tartalmazza a legfelső szintű küszöbértékeket és az esetleges hibákat tartalmazó interfészt. Ha rákattint a Hálózat fülre, az sflowTrend összesített teljesítménystatisztikát és részletes forgalmat jelenít meg a hálózat vagy az eszköz szintjén. Riasztási küszöbértékek határozhatók meg. Lehetővé teszi, hogy riasztásokat kapjon, ha a szokásosnál nagyobb sávszélesség-használat vagy hálózati hiba történik. Még egy kiváltó ok lap is található, ahol részletesebben megtudhatja a probléma okát, például a küszöbsértést.
A Gazdagépek lapon részletesebb információkat talál az egyes eszközökről. Teljesítményadatokat biztosít a hálózaton, a CPU-n, a lemezen stb. az sFlow-kompatibilis szerverekhez – beleértve a virtuálisakat is. A Szolgáltatások lapon az sFlow-adatokat exportáló alkalmazások (beleértve a különféle webszervereket) teljesítményadatait találja. Az Események lapon talál egy naplót az eseményekről, például a küszöbértékek túllépéséről vagy az észlelt hibákról. Végül a Jelentések lap számos előre definiált jelentést kínál, de támogatja az egyéni jelentések létrehozását is. Itt futtathatja a jelentéseket, majd megtekintheti az eredményeket.
Az sFlowTrend Java nyelven íródott, és Java-alapú vagy web-alapú felhasználói felülettel is rendelkezik. Elérhető Windows, Macintosh és Linux rendszereken. Online súgó is rendelkezésre áll, amely segítséget nyújt az eszköz konfigurálásához és használatához. Ez egy nagyszerű eszköz, különösen az sFlow-kompatibilis berendezésekkel rendelkező kisebb szervezetek számára. A pro verzióhoz vezető frissítési útvonal pedig ugyanolyan érvényes választássá teszi a nagyobb hálózatok számára.
3. ManageEngine NetFlow Analyzer
Bár elsősorban NetFlow gyűjtő és elemző, a ManageEngine NetFlow Analyzer kezeli az sFlow-adatgramokat is, amelyeket az sFlow-kompatibilis eszközök dobnak rá. Ez egy másik nagyszerű szoftver egy olyan cégtől, amelyről ismert, hogy kiváló minőségű felügyeleti eszközöket biztosít. Az eszköz segítségével láthatja a forgalmat és a sávszélességet alkalmazások, beszélgetések vagy protokollok szerint. A forgalmi küszöbök alapján is beállíthat riasztásokat.
A ManageEngine NetFlow Analyzer számos hasznos előre definiált jelentést tartalmaz. Egyesek a hibaelhárításban, mások a kapacitástervezésben, mások pedig számlázási célokra használhatók fel az infrastruktúrájukat viszonteladó szervezetek számára. És természetesen lehetőség van egyéni riportok készítésére is.
A webalapú irányítópult egyik egyedülálló tulajdonsága a hőtérkép, amely egy pillantással mutatja a felügyelt felületek állapotát, valamint valós idejű kördiagramokat, amelyek a legnépszerűbb alkalmazásokat, protokollokat és beszélgetéseket, a legutóbbi riasztásokat és egyebeket mutatják.
Az ingyenes verziónak fontos korlátozásai vannak. Például, miközben 30 napig korlátlan megfigyelést tesz lehetővé, ezután csak két interfész figyelésére tér vissza. Nem sok, de elég lehet egy gyors hibaelhárításhoz, feltéve, hogy pontosan tudja, hol keresse. Természetesen frissíthet a fizetős verzióra a két interfész korlátozásának megszüntetése érdekében. A ManageEngine emellett számos kapcsolódó terméket is kínál, amelyek együttműködve az alapvető forgalomelemzést egy teljes hálózatfelügyeleti csomaggá bővítik.
4. ntopng és nProbe
ntopng egy igazi nyílt forráskódú forgalomelemző eszköz. Passzívan figyeli a hálózatokat áramlási adatok és csomagrögzítés alapján. Csak egy elemző, az ntopng az nProbe-ra – egy gyűjtőre – támaszkodik, hogy összegyűjtse az áramlási adatokat az azokat exportáló eszközökről és gazdagépekről. Az nProbe többféle áramlási adatot támogat, beleértve a NetFlow-t és az sFlow-t is. Együtt nagyon erős megfigyelő és hibaelhárítási kettőst alkotnak.
Az ntopng web alapú felhasználói felülettel érkezik, ahol az információk többféle módon jelennek meg, mint például a forgalom (pl. a legjobb beszélők), az áramlások, a gazdagépek, az eszközök és az interfészek. A folyamatmegjelenítés valószínűleg az egyik legérdekesebb, mivel bemutatja az alkalmazási protokollokat, és képes megjeleníteni a késleltetést vagy más TCP-statisztikát, például csomagvesztést. Az ntopng segítségével számos különböző küszöbérték és feltétel alapján állíthat be riasztásokat.
Az ntopng három változatban érhető el: Community, Professional és Enterprise. A közösségi verzió ingyenesen használható. A Professional és az Enterprise néhány extra funkciót kínál, és megvásárolható
Ami az nProbe-ot illeti, ingyenesen használható, de 25 000 exportált áramlásra korlátozódik. Bár soknak tűnhet, gyorsan eléri ezt a számot. Licencek megvásárlásával természetesen megszüntetheti a korlátozásokat.
5. Plixer átvizsgáló
Ellenőrző a Plixertől nagyon kifinomult „Incidens-reagálási rendszer”, ahogyan azt a Plixer weboldalán közölték. Ne hagyja azonban, hogy a fantázianév megtévessze. A Scrutinizer mindennél jobban kitűnő hálózatfigyelő rendszer. Nagyon alapos és teljes, és a jelen cikk kapcsán különösen érdekes, hogy az sFlow és a NetFlow adatokat is kezelni fogja.
A Scrutinizer az egyik leginkább méretezhető megoldást kínálja a piacon. Állítólag ez a leggyorsabb jelentéskészítés, és bárhol elérhető leggazdagabb adatkörnyezetet nyújtja. Szerepalapú hozzáféréssel rendelkezik, hogy a különböző csapatoknak csak azokat az adatokat jelenítse meg, amelyekre szükségük van. Nagy teljesítményre és méretezhetőségre tervezték a kicsitől a nagyon nagy környezetig. Az elemzési és jelentéskészítési funkciók gazdag skáláját kínálja.
A Scrutinizer többféleképpen is beállítható. Dedikált készülékként telepítheti. Virtuális szerverként is használható. És szoftveresen is futtatható szolgáltatásként, ahol a felhőben futna. Ebben a módban választhatja a Plixer nyilvános vagy privát felhőjét. Ez egy nagy rendszer, és erőforrás-éhes. Egy masszív szerveren kell beállítania – például 16 GB RAM-mal.
A Scrutinizer négy különböző licencelési szinten érhető el. Létezik az ingyenes verzió – amely nem próbaverzió, hanem egy igazi ingyenes verzió –, amely akár 10 ezer áramlást is támogat másodpercenként, 5 órán keresztül tárolja az áramlási adatokat, és egy hétig a történelmi összesítést. Ezután a fizetős verziók három szintje áll rendelkezésére, amelyek az általuk támogatott másodpercenkénti áramlások számától és az általuk tárolt előzményektől függően változnak. Ezenkívül minden magasabb szint néhány extra funkcióval egészíti ki az amúgy is gazdag funkciókészletet.
Következtetésképpen
Ha hálózata elsősorban sFlow-kompatibilis eszközökből áll, akkor néhány kiváló eszköz áll rendelkezésre, amelyek felbecsülhetetlen értékű betekintést nyújtanak a hálózat viselkedésébe. És ha sFlow- és NetFlow-kompatibilis eszközökkel is rendelkezik, néhány közülük bármelyik protokollt támogatni fogja. A végső választás mindennél jobban függ a hálózat jelenlegi méretétől, az eszközei által támogatott protokolltól és a hálózat várható fejlődésétől. Ezeknek az eszközöknek a beállítása eltart egy ideig, és már az elején ki kell választani a megfelelőt. Megkímélhet egy bonyolult cserétől.