Wir veranschaulichen Netzwerkstrukturen oft mit Autobahnen, auf denen Datenpakete wie Fahrzeuge von einem Ort zum anderen reisen. Obwohl diese Analogie hilfreich ist, gibt es einen wesentlichen Unterschied: Während sich der Autoverkehr auf einer Autobahn leicht beobachten lässt, ist die Visualisierung von Datenströmen in einem Netzwerk wesentlich schwieriger. Ein Stau oder eine erhöhte Verkehrsdichte auf der Straße sind sofort erkennbar, während ähnliche Phänomene in einem Netzwerk unsichtbar bleiben und lediglich deren Auswirkungen spürbar werden. Hier kommen Netzwerkanalysatoren ins Spiel, die einen detaillierten Einblick in das Geschehen innerhalb des Netzwerks ermöglichen. IPFIX, ein branchenübliches Protokoll zur Netzwerkanalyse, bietet genau diese Sichtbarkeit. Deshalb stellen wir Ihnen in diesem Beitrag die besten IPFIX-Kollektoren und -Analysatoren vor.
Zunächst betrachten wir die Netzwerküberwachung im Allgemeinen und stellen die beiden primären Arten von Überwachungstools vor, die Netzwerkadministratoren zur Überwachung ihrer Infrastruktur und zur frühzeitigen Erkennung von Problemen verwenden. Wir erklären, was IPFIX ist und wie es funktioniert, wobei wir uns bemühen, eine möglichst wenig technische Sprache zu verwenden. Anschließend widmen wir uns den Top-IPFIX-Kollektoren und -Analysatoren, die wir auf dem Markt gefunden haben.
Werkzeuge zur Netzwerküberwachung
Eine Hauptaufgabe von Netzwerkadministratoren ist es, einen reibungslosen Betrieb zu gewährleisten, Verzögerungen zu vermeiden und sicherzustellen, dass der gesamte Netzwerkverkehr seine Bestimmungsorte innerhalb angemessener Zeit erreicht. Jedoch finden Netzwerkaktivitäten in Kabeln, Routern, Switches und anderen Geräten statt, wo es normalerweise unmöglich ist, das Geschehen zu beobachten. Netzwerküberwachungstools wurden entwickelt, um Administratoren die erforderliche Transparenz zu bieten, damit alles jederzeit optimal funktioniert. Es gibt verschiedene Typen von Netzwerküberwachungstools, aber zwei spezifische Arten sind am weitesten verbreitet: Bandbreitenüberwachung und Flussanalyse.
Bandbreitenüberwachungstools
Die einfachste Form der Netzwerkverkehrsüberwachung ist die Bandbreitenüberwachung. Diese Systeme fragen regelmäßig (meist alle fünf Minuten) Netzwerkgeräte ab und lesen deren Schnittstellen-Byte-Zähler. Diese Daten werden verwendet, um die durchschnittliche Bandbreitennutzung zu berechnen und deren Entwicklung grafisch darzustellen. Diese Tools verwenden in der Regel das Simple Network Management Protocol (SNMP), um sich mit Geräten zu verbinden und deren Zähler auszulesen, ohne dass zusätzliche Software installiert werden muss. Das Ergebnis ist eine quantitative Darstellung des Netzwerkverkehrs. Das Tool zeigt an, wie viele Daten an einem bestimmten Punkt im Netzwerk fließen, jedoch nicht, welche Art von Datenverkehr es ist.
Flussanalyse-Tools
Für eine detailliertere Einsicht in die Netzwerkaktivitäten ist eine Flussanalyse erforderlich. Sie basiert darauf, dass Netzwerkgeräte detaillierte Verkehrsinformationen an sogenannte Verkehrskollektoren und/oder -analysatoren senden, die diese Daten interpretieren und auf aussagekräftige Weise darstellen. Es gibt verschiedene Protokolle für die Flussanalyse, aber die meisten, einschließlich IPFIX, basieren auf der NetFlow-Technologie von Cisco. NetFlow wurde vor vielen Jahren von Cisco Systems entwickelt und wird heute in unterschiedlichen Formen von Netzwerkgeräten der meisten großen Hersteller genutzt.
Über IPFIX
IPFIX (Internet Protocol Flow Information Export) ist die vom IETF standardisierte Version der neuesten NetFlow-Iteration. Ursprünglich von Cisco Systems entwickelt und auf deren Routern eingeführt, ermöglichte es die Erfassung von IP-Netzwerkverkehr, wenn dieser eine Schnittstelle betritt oder verlässt. Die gesammelten Daten werden dann von Flussanalysesystemen verarbeitet und von Netzwerkadministratoren verwendet, um die Herkunft und das Ziel des Verkehrs, die Dienstklasse und die Ursachen für Überlastungen zu bestimmen.
Ein typisches System zur Flussüberwachung besteht aus drei Hauptkomponenten:
Der Fluss-Exporter fasst Pakete zu Flüssen zusammen und exportiert Flussaufzeichnungen an einen oder mehrere Fluss-Kollektoren. Diese Komponente ist in kompatible Geräte integriert.
Der Fluss-Kollektor empfängt, speichert und verarbeitet die Flussdaten, die von einem oder mehreren Fluss-Exportern gesendet werden.
Der Fluss-Analysator analysiert die vom Fluss-Kollektor gesammelten Daten. Die Analyse kann zur Erstellung von Verkehrsprofilen oder zur Fehlerbehebung im Netzwerk verwendet werden. Bei den meisten Flussüberwachungstools sind die Funktionen des Kollektors und Analysators in einem einzigen System integriert.
Wie IPFIX funktioniert
Router, Switches und andere Geräte, die IPFIX oder andere Flussanalyseprotokolle unterstützen, sind so konfiguriert, dass sie Flussdaten in Form von Flussaufzeichnungen generieren und an einen Flusskollektor senden. Ein Fluss ist im IP-Sinn eine vollständige Konversation, vom Aufbau einer Sitzung bis zu deren Beendigung. Flussaufzeichnungen werden in der Regel an den Kollektor gesendet, wenn Geräte feststellen, dass ein Fluss beendet ist. Dies kann durch einen Timeout (wenn innerhalb eines bestimmten Zeitraums kein Datenverkehr stattgefunden hat) oder durch das Erkennen einer Beendigung einer TCP-Sitzung geschehen.
Die Flussaufzeichnung enthält relevante Informationen über den Fluss, wie Ein- und Ausgangsschnittstellen, Start- und Endzeitstempel des Flusses, die Anzahl der enthaltenen Bytes und Pakete, Layer-3-Header, Quell- und Ziel-IP-Adressen und Portnummern, das verwendete IP-Protokoll und den TOS-Wert. Wichtig ist, dass Flussaufzeichnungen nicht die eigentlichen Nutzdaten des Flusses enthalten, sondern lediglich Informationen darüber. Dies ist ein wesentliches Sicherheitsmerkmal des Protokolls.
Flussanalysatoren nutzen die in den Flussaufzeichnungen enthaltenen Informationen, um den Netzwerkverkehr für Netzwerkadministratoren auf nützliche Weise darzustellen. Unterschiedliche IPFIX-Kollektoren und -Analysatoren bieten unterschiedliche Methoden zur Datenvisualisierung. Typische Anzeigen umfassen Top-Sprecher und -Zuhörer, Top-Protokolle oder Top-Anwendungen sowie Top-Benutzer. Letzteres ist eine Funktion, die auf fortschrittlicheren Tools verfügbar ist, die sich mit AD- oder LDAP-Servern verbinden können, um zu bestimmen, welcher Benutzer welche IP-Adresse verwendet.
Die besten IPFIX-Kollektoren und -Analysatoren
Die Auswahl an IPFIX-Kollektoren und -Analysatoren ist umfangreich. Wir haben den Markt analysiert und die besten Optionen ausgewählt, darunter sowohl kommerzielle Software als auch kostenlose oder Open-Source-Angebote. Sie werden sehen, dass der Einstieg in die Flussanalyse nicht teuer sein muss.
1. SolarWinds NetFlow Traffic Analyzer (KOSTENLOSE TESTVERSION)
SolarWinds ist ein führender Hersteller von Netzwerk- und Systemverwaltungstools. Ihr Flaggschiff, der Network Performance Monitor, wird von vielen als das beste Tool zur Überwachung der Netzwerkbandbreite angesehen. Ebenso ist der SolarWinds NetFlow Traffic Analyzer, der über dem Network Performance Monitor installiert wird, einer der Top-IPFIX-Kollektoren und -Analysatoren auf dem Markt.
Zu den wichtigsten Funktionen des SolarWinds NetFlow Traffic Analyzers gehören:
- Überwachung der Bandbreitennutzung nach Anwendung, Protokoll und IP-Adressgruppe.
- Überwachung von IPFIX-, Cisco NetFlow-, Juniper J-Flow-, sFlow- und Huawei NetStream-Flussdaten, um die größten Bandbreitenverbraucher unter den Geräten, Anwendungen und Protokollen zu identifizieren.
- Erfassung und Korrelation von Verkehrsdaten in einem benutzerfreundlichen Format und Darstellung über eine webbasierte Schnittstelle zur Netzwerküberwachung.
- Identifizierung der Anwendungen und Kategorien, die die meiste Bandbreite beanspruchen, um die Transparenz im Netzwerkverkehr zu erhöhen (einschließlich Unterstützung für Cisco NBAR2).
Der SolarWinds NetFlow Traffic Analyzer ist eine Erweiterung des Network Bandwidth Monitors. Durch den gemeinsamen Erwerb mit dem SolarWinds Network Bandwidth Analyzer Pack lassen sich Kosten sparen. Die Preise beginnen bei 4.910 US-Dollar für die Überwachung von bis zu 100 Elementen und variieren je nach Anzahl der überwachten Geräte. Auch wenn dies teuer erscheinen mag, sollten Sie bedenken, dass Sie nicht nur ein, sondern zwei der besten verfügbaren Überwachungstools erhalten. Für eine Testphase können Sie eine kostenlose 30-Tage-Testversion von SolarWinds herunterladen.
2. SolarWinds Real-Time AppFlow Analyzer (KOSTENLOSER DOWNLOAD)
SolarWinds ist nicht nur für seine hochkarätigen Netzwerkverwaltungstools, sondern auch für seine kostenlosen kleineren Tools bekannt, die auf spezifische Bedürfnisse von Netzwerkadministratoren zugeschnitten sind. Eines dieser kostenlosen Tools ist der Real-Time AppFlow Analyzer. Wenn Sie eine schlankere Lösung benötigen, könnte dies genau das Richtige für Sie sein. Dieses Produkt bietet zwar nicht den gleichen Funktionsumfang wie der NetFlow Traffic Analyzer, deckt jedoch einige der grundlegenden Funktionen ab.
Das Tool kann IPFIX-, NetFlow-, JFlow- und sFlow-Daten in Echtzeit erfassen und analysieren. Es zeigt genau die Arten von Datenverkehr in Ihrem Netzwerk, woher er kommt und wohin er geht. Außerdem können Sie es zur Diagnose von Verkehrsspitzen und zur Behebung von Bandbreitenproblemen einsetzen.
Zu den Hauptfunktionen des Produkts gehören:
- Identifizierung der Benutzer, Geräte und Anwendungen mit dem größten Bandbreitenverbrauch.
- Isolierung des Netzwerkverkehrs nach Konversation, App, Domäne, Endpunkt und Protokoll.
- Anzeige des Netzwerkverkehrs nach Typ und angegebenen Zeiträumen.
Dieses kostenlose Tool kann zwar nicht mit seinem großen Bruder mithalten, es ist jedoch möglicherweise ausreichend, um festzustellen, ob die Flussanalyse die richtige Wahl ist. Der Schwerpunkt des Tools liegt auf dem aktuellen Status Ihres Netzwerks. Es sammelt nur Daten von einem Fluss-Exporteur und speichert und analysiert Daten der letzten 60 Minuten.
Die Installation des SolarWinds Real-Time AppFlow Analyzer ist durch den Installationsassistenten einfach und schnell. Nach der Installation ist ein NetFlow-Konfigurationsmodul enthalten, das bei der Konfiguration von Geräten mit Unterstützung für verschiedene NetFlow-Varianten, einschließlich IPFIX, hilft.
Wenn Ihre Netzwerkgeräte IPFIX unterstützen und Sie einen schnellen Überblick über Ihre Bandbreitennutzung benötigen, könnte der kostenlose SolarWinds Real-Time AppFlow Analyzer die richtige Wahl für Sie sein.
3. PRTG Netzwerkmonitor
Der PRTG Network Monitor von der Paessler AG ist eine umfassende All-in-One-Lösung, deren Hauptaufgabe die Überwachung der Bandbreitennutzung ist. Er wird auch zur Überwachung der Verfügbarkeit und des Zustands verschiedener Netzwerkressourcen verwendet und ist somit ein wertvolles Tool für Netzwerkadministratoren. PRTG kann mehrere Standorte überwachen und sowohl LAN-, WAN-, VPN- als auch Cloud-Dienste im Blick behalten.
Die Stärke von PRTG liegt in seinen Sensoren, die als Add-ons betrachtet werden können, obwohl sie im Produkt enthalten sind. Ein solcher Sensor ist der IPFIX-Sensor, der Verkehrsdaten von einem IPFIX-kompatiblen Gerät empfängt und den Verkehr nach Typ anzeigt. Zahlreiche Filteroptionen ermöglichen es, den Datenverkehr in verschiedene Kanäle aufzuteilen.
Die Installation von PRTG ist schnell und einfach. Paessler gibt an, dass die Überwachung innerhalb weniger Minuten beginnen kann. Die schnelle Einrichtung ist zum Teil auf den automatischen Erkennungsprozess zurückzuführen, der Geräte erkennt und Sensoren einrichtet.
PRTG läuft ausschließlich unter Windows, jedoch ist die Benutzeroberfläche webbasiert und kann von jedem Browser aus aufgerufen werden. Zusätzlich gibt es eine mobile App für Smartphones. Die mobile PRTG-App nutzt die zugrunde liegende Plattform voll aus und bietet Funktionen wie QR-Etiketten, die an Geräten angebracht und dann mit der App gescannt werden können, um schnell Sensordaten anzuzeigen.
PRTG ist in zwei Versionen erhältlich. Die kostenlose Version ist auf 100 Sensoren begrenzt. Obwohl das viel erscheinen mag, ist ein Sensor im PRTG-Jargon die kleinste Einheit, die überwacht werden kann. Die Überwachung jedes Ports eines Switches mit 48 Ports benötigt beispielsweise 48 Sensoren. Für IPFIX wird ein Sensor pro Flussquelle benötigt.
Für mehr als 100 Sensoren ist eine Lizenz erforderlich. Die Preise variieren je nach Anzahl der benötigten Sensoren und beginnen bei 1.600 $ für 500 Sensoren. Die kostenlose Version ermöglicht in den ersten 30 Tagen die Nutzung einer unbegrenzten Anzahl von Sensoren, so dass Sie das Produkt umfassend testen können.
4. Scrutinizer
Scrutinizer von Plixer ist ein weiterer ausgezeichneter IPFIX-Analysator, der oft als ein umfassendes System für die Reaktion auf Vorfälle angesehen wird. Er kann verschiedene Flussdatenformate analysieren, darunter IPFIX, NetFlow, J-Flow und NetStream.
Scrutinizer basiert auf einem hierarchischen Design für eine optimierte und effiziente Datenerfassung, das ein einfaches Skalieren von wenigen auf mehrere Millionen Flüsse pro Sekunde ermöglicht. Scrutinizer hilft dabei, die Ursachen von Netzwerkproblemen schnell zu identifizieren. Das Tool funktioniert sowohl in physischen als auch in virtuellen Umgebungen und bietet erweiterte Berichts- und Alarmfunktionen.
Scrutinizer ist in vier Lizenzstufen erhältlich, von der kostenlosen Basisversion bis zur voll ausgestatteten SCR-Stufe, die auf über 10 Millionen Flüsse pro Sekunde skaliert werden kann. Die kostenlose Version ist auf 10.000 Flüsse pro Sekunde beschränkt und speichert Rohflussdaten nur für 5 Stunden, sollte aber zur Problembehandlung ausreichend sein. Preisinformationen sind nicht öffentlich zugänglich und können durch ein formelles Angebot von Plixer eingeholt werden. Jede Lizenzstufe kann 30 Tage lang getestet werden, danach wird sie auf die kostenlose Version zurückgesetzt.
5. ManageEngine NetFlow Analyzer
Der ManageEngine NetFlow Analyzer bietet Netzwerkadministratoren einen detaillierten Einblick in die Auslastung der Netzwerkbandbreite und Verkehrsmuster. Das Tool verfügt über eine webbasierte Benutzeroberfläche mit einer beeindruckenden Anzahl von verschiedenen Ansichten Ihres Netzwerks. Sie können den Datenverkehr nach Anwendung, Konversation, Protokoll und verschiedenen anderen Optionen anzeigen und Warnungen einrichten, um vor potenziellen Problemen zu warnen. So können Sie beispielsweise einen Schwellenwert für den Datenverkehr auf einer bestimmten Schnittstelle festlegen und werden benachrichtigt, sobald dieser überschritten wird.
Die größten Stärken des Tools sind seine Berichte und das Dashboard. Das Tool bietet eine Vielzahl vorgefertigter Berichte für bestimmte Zwecke wie Fehlerbehebung, Kapazitätsplanung oder Abrechnung. Benutzerdefinierte Berichte können nach Bedarf erstellt werden.
Das Dashboard enthält Tortendiagramme zu Top-Anwendungen, Top-Protokollen oder Top-Gesprächen. Außerdem kann es eine Heatmap mit dem Status der überwachten Schnittstellen anzeigen. Das Dashboard kann vollständig angepasst werden, um nur die benötigten Informationen anzuzeigen. Warnungen werden als Pop-ups auf dem Dashboard angezeigt. Eine Smartphone-App ermöglicht den Zugriff auf das Dashboard und die Berichte von unterwegs.
Der ManageEngine NetFlow Analyzer unterstützt die meisten Fluss-Technologien, einschließlich NetFlow (selbstverständlich), IPFIX, J-Flow, NetStream und einige andere. Als Bonus bietet das Tool eine hervorragende Integration mit Cisco-Geräten, einschließlich der Anpassung von Traffic Shaping und QoS-Richtlinien direkt vom Dashboard aus.
Wie viele ähnliche Produkte ist der ManageEngine NetFlow Analyzer in zwei Versionen erhältlich. Die kostenlose Version ist in den ersten 30 Tagen identisch mit der kostenpflichtigen Version, kehrt dann aber zur Überwachung von nur zwei Flussschnittstellen zurück. Für mehr Kapazität benötigen Sie die kostenpflichtige Version. Lizenzen sind in verschiedenen Größen von 100 bis 2500 Schnittstellen oder Flüssen erhältlich, wobei die Preise bei etwa 600 US-Dollar zuzüglich jährlicher Wartungsgebühren beginnen.
6. nProbe und ntopng
nProbe und ntopng sind etwas anspruchsvollere Open-Source-Tools. ntopng ist ein webbasiertes Verkehrsanalyse-Tool zur Überwachung von Netzwerken auf Basis von Flussdaten, während nProbe ein IPFIX- und NetFlow-Exporter und -Kollektor ist. Zusammen bilden sie ein sehr flexibles Paket zur Netzwerkanalyse. Wenn Sie mit Linux-Administration vertraut sind, kennen Sie vielleicht ntop bereits. ntopng ist die GUI-Version der „nächsten Generation“ dieses Tools.
Wie die meisten modernen Netzwerkanalysetools verfügt ntopng über eine webbasierte Benutzeroberfläche, die Daten nach verschiedenen Kriterien wie Top-Talkern, Flüssen, Hosts, Geräten und Schnittstellen darstellen kann. Das Tool bietet eine Mischung aus Diagrammen, Tabellen und Grafiken, die meisten mit Drill-Down-Optionen, um tiefergehende Analysen zu ermöglichen. Die Benutzeroberfläche ist sehr flexibel und ermöglicht viele Anpassungen.
Es gibt eine kostenlose Community-Version von ntopng, sowie Pro- und Enterprise-Versionen. Deren Preise liegen derzeit bei 149,95 Euro bzw. 499,95 Euro. Kostenlose Lizenzen sind für Bildungseinrichtungen und gemeinnützige Organisationen erhältlich. nProbe kann kostenlos getestet werden, ist jedoch auf 25.000 exportierte Flüsse beschränkt. Für höhere Kapazitäten ist eine Lizenz erforderlich, die in der Standard- und Pro-Version für 149,95 Euro bzw. 299,95 Euro erhältlich ist.