NetFlow von Cisco und sFlow von inMon sind zwei Technologien zur Netzwerküberwachung, die zwar ähnlich sind, aber sich in ihrer Funktionsweise unterscheiden. Sie bieten einen wertvollen Einblick in den Datenverkehr innerhalb eines Netzwerks. Während Bandbreitenüberwachungstools lediglich die Menge des übertragenen Datenverkehrs an einem bestimmten Punkt messen, analysieren Flussdaten, um welche Art von Daten es sich handelt, woher sie stammen und wohin sie geleitet werden, und liefern zusätzlich nützliche Informationen. In diesem Artikel werden wir diese beiden Technologien vergleichen und einige der besten verfügbaren Tools für jede vorstellen. Wir werden die besten NetFlow- und sFlow-Analysatoren und -Kollektoren unter die Lupe nehmen, die wir finden konnten.
Wir beginnen mit einer Beschreibung von NetFlow. Wir werden uns bemühen, die Funktionsweise von NetFlow so verständlich wie möglich zu erläutern und dabei technische Details weitgehend vermeiden. Anschließend werden wir dasselbe mit sFlow tun und uns bemühen, auch diese Technologie zu erklären. Danach werden wir die Unterschiede zwischen den beiden Technologien untersuchen, wobei wir weiterhin auf tiefgreifende technische Details verzichten. Als Nächstes werden wir die Frage beantworten: Welche Technologie ist die richtige für Sie? Wie wir sehen werden, gibt es keine einfache Antwort. Abschließend stellen wir einige der besten Tools zur Durchflussanalyse vor, die uns begegnet sind.
NetFlow – Die ursprüngliche Technologie der Flussanalyse
NetFlow, entwickelt von Cisco Systems, wurde in ihre Router integriert, um Daten über den Netzwerkverkehr zu sammeln, wenn dieser in eine Schnittstelle eintritt oder sie verlässt. Diese Daten können mit spezialisierten Anwendungen analysiert werden, um die Quelle und das Ziel des Datenverkehrs, seine Dienstklasse und letztendlich die Ursachen für Überlastungen zu ermitteln.
Ein typisches NetFlow-Überwachungs-Setup besteht aus drei Hauptkomponenten:
Der Flow-Exporter aggregiert Pakete zu Flows und exportiert Flow-Datensätze an einen oder mehrere Flow-Kollektoren. Der Flow-Kollektor empfängt, speichert und verarbeitet die Flow-Daten, die er vom Flow-Exporter erhält. Der Flow-Analysator oder die Flow-Analyseanwendung dient dazu, die empfangenen Flow-Daten zu analysieren. Die Analyse kann verwendet werden, um Verkehrsprofile zu erstellen oder Netzwerkprobleme zu beheben.
So funktioniert NetFlow
Netzwerkgeräte, die NetFlow unterstützen, generieren Flow-Datensätze und senden sie an einen NetFlow-Kollektor. Ein Flow wird hier als eine vollständige Konversation im IP-Sinne verstanden. Das Gerät, das Flow-Datensätze erstellt, sendet sie normalerweise an den Kollektor, wenn es feststellt, dass der Flow entweder durch Zeitablauf beendet wurde – wenn innerhalb eines bestimmten Zeitraums kein Datenverkehr mehr stattgefunden hat – oder wenn es eine Beendigung der TCP-Sitzung erkennt.
Die Flow-Datensätze enthalten Informationen wie die Eingangs- und Ausgangsschnittstellen, den Start- und Endzeitpunkt des Flows, die Anzahl der enthaltenen Bytes und Pakete, die Layer-3-Header, die Quell- und Ziel-IP-Adressen und Portnummern, das IP-Protokoll und den TOS-Wert. Flow-Datensätze enthalten nicht die eigentlichen Daten, aus denen der Flow besteht, sondern lediglich Informationen darüber. Dies ist ein wichtiges Sicherheitsmerkmal dieser Technologie.
In kleineren Umgebungen sind die Flow-Kollektoren, an die die Datensätze gesendet werden, oft auch die Flow-Analysatoren. Sie nutzen die Informationen aus den Flow-Datensätzen, um den Netzwerkverkehr so darzustellen, dass er für Netzwerkadministratoren nützlich ist. Verschiedene NetFlow-Kollektoren und -Analysatoren haben unterschiedliche Methoden der Datenvisualisierung.
sFlow – Eine verwandte Technologie
Das „s“ in sFlow steht für „Sampling“ (Stichproben). Dies ist ein entscheidender Aspekt für die Funktionsweise von sFlow und unterscheidet es von anderen Flussanalyse-Systemen. Diese Technologie funktioniert, wie NetFlow, nur mit sFlow-fähigen Geräten. Glücklicherweise ist die sFlow-Unterstützung bei den großen Herstellern von Netzwerkgeräten weit verbreitet.
Der sFlow-Standard wird vom sFlow.org-Konsortium betreut, aber die grundlegende Idee stammt von der inMon Corporation, die immer noch einen erheblichen Einfluss auf seine Entwicklung und Weiterentwicklung ausübt. Zahlreiche namhafte Gerätehersteller wie Alcatel-Lucent, Aruba, Brocade, Cisco, Dell, Hewlett Packard, IBM und viele andere – insgesamt über 300 – integrieren die sFlow-Unterstützung in viele ihrer Produkte.
sFlow ist ein zustandsloses Paket-Sampling-Protokoll. Der Begriff „Flow“ im Namen des Protokolls kann irreführend sein, da sFlow nicht die gleiche Vorstellung hat, wie NetFlow Datenpakete zu Flows auf höherer Ebene aggregiert. Es arbeitet ausschließlich mit Paketen.
Die allgemeine Paketstichprobenentnahme von sFlow erstreckt sich bis zu Schicht 7. Der sFlow-Exporter, der innerhalb des Netzwerkgeräts ausgeführt wird, sammelt Präfixe aus einer Teilmenge aller Pakete, die die überwachte Schnittstelle passieren. Administratoren können festlegen, dass jedes n-te Paket abgetastet wird, aber der Exporter wählt auch zufällige Pakete aus und nimmt sie in seinen Datensatz auf. Der Exporter stellt dann die ersten Bytes jedes abgetasteten Pakets zusammen mit Geräte-Zählern zusammen und sendet sie an den sFlow-Sammler. Das Gerät speichert weder Daten noch abgetastete Pakete zwischen, wodurch die Ressourcennutzung reduziert und die Skalierung auf Hochgeschwindigkeitsnetzwerke vereinfacht wird.
NetFlow und sFlow – Die Unterschiede
Obwohl sie ähnliche Namen, Zwecke und Ziele haben, unterscheiden sich NetFlow und sFlow in der Art und Weise, wie sie ihre Aufgaben erfüllen.
Avi Freedman, Mitbegründer und CEO von Kentik, veranschaulicht den Unterschied zwischen NetFlow und sFlow mit folgender Analogie: „… während NetFlow als Beobachtung von Verkehrsmustern beschrieben werden kann (‚Wie viele Busse fuhren von hier nach dort?‘), macht man mit sFlow nur Momentaufnahmen der Autos oder Busse, die gerade vorbeifahren.“ Diese vereinfachende Analogie sollte jedoch nicht zu der Annahme verleiten, dass NetFlow mehr Informationen liefert als sFlow und daher die bessere Technologie ist.
Obwohl NetFlow potenziell mehr Informationen liefert als sFlow, ist es nicht zwangsläufig das bessere Protokoll. Beispielsweise ist die Ressourcennutzung von NetFlow viel höher als bei sFlow. Dies macht sFlow oft zu einer attraktiveren Option für Geräte im unteren Preissegment. Und obwohl NetFlow möglicherweise mehr Daten sammelt, muss man sich fragen, ob diese Informationen wirklich benötigt werden und ob die Analysegeräte in der Lage sind, diese Daten zu verarbeiten.
Welche Technologie sollte ich verwenden?
Die meisten Kollektoren und Analysatoren verarbeiten sowohl NetFlow- als auch sFlow-Informationen und viele Netzwerkgeräte unterstützen beide Technologien. Die entscheidende Frage sollte sein, welche Technologie Ihre Geräte unterstützen. Wenn einige Ihrer Geräte das eine, aber nicht das andere unterstützen, sollten Sie sich entsprechend entscheiden. Wenn Sie hauptsächlich mit Cisco-Geräten arbeiten, könnte NetFlow die bessere Wahl sein, da es sich um ein Cisco-eigenes Protokoll handelt.
Sie müssen sich jedoch nicht für eine der beiden Technologien entscheiden. Sowohl NetFlow als auch sFlow sind hervorragende Technologien. Warum also nicht beide mit einem Kollektor und Analysator verwenden, der beide unterstützen kann? So können Sie Flussdaten von Ihren sFlow-fähigen und NetFlow-fähigen Geräten sammeln.
Die besten NetFlow-Überwachungstools
Hier sind einige der besten NetFlow-Kollektor- und Analysetools, die wir finden konnten. Wir haben eine Mischung aus Tools ausgewählt, um Ihnen einen Einblick in die Vielfalt der verfügbaren Optionen zu geben. Alle diese Tools unterstützen NetFlow-Überwachung und alle Varianten wie J-Flow oder IPFIX.
1- SolarWinds NetFlow Traffic Analyzer (kostenlose Testversion)
SolarWinds ist ein bekannter Hersteller von Netzwerk- und Systemverwaltungstools. Sein Flaggschiffprodukt, der Network Performance Monitor, wird von vielen als eines der besten Tools zur Überwachung der Netzwerkbandbreite angesehen. Der SolarWinds NetFlow Traffic Analyzer, der auf dem Network Performance Monitor aufbaut, ist ebenfalls einer der besten IPFIX-Kollektoren und -Analysatoren, die auf dem Markt erhältlich sind.
Zu den wichtigsten Funktionen des SolarWinds NetFlow Traffic Analyzer gehören:
- Überwachung der Bandbreitennutzung nach Anwendung, Protokoll und IP-Adressgruppe.
- Überwachung von IPFIX-, Cisco NetFlow-, Juniper J-Flow-, sFlow- und Huawei NetStream-Flussdaten, um zu ermitteln, welche Geräte, Anwendungen und Protokolle die größten Bandbreitenverbraucher sind.
- Erfassung von Verkehrsdaten, Korrelation in ein verwendbares Format und Darstellung für den Benutzer über eine webbasierte Oberfläche zur Überwachung des Netzwerkverkehrs.
- Erkennung von Anwendungen und Kategorien, die die meiste Bandbreite verbrauchen, zur Verbesserung der Sichtbarkeit des Netzwerkverkehrs (einschließlich Unterstützung für Cisco NBAR2).
Der SolarWinds NetFlow Traffic Analyzer ist eine Erweiterung des Network Bandwidth Monitor. Sie können sparen, indem Sie beide gleichzeitig mit dem SolarWinds Network Bandwidth Analyzer Pack erwerben. Die Preise für das Paket beginnen bei 4.910 US-Dollar für die Überwachung von bis zu 100 Elementen und variieren je nach Anzahl der überwachten Geräte. Dies mag etwas teuer erscheinen, aber es ist wichtig zu bedenken, dass Sie nicht nur ein, sondern zwei der besten verfügbaren Überwachungstools erwerben. Wenn Sie das Produkt vor dem Kauf testen möchten, können Sie eine kostenlose 30-Tage-Testversion von SolarWinds herunterladen.
2- PRTG Network Monitor
Der PRTG Network Monitor der Paessler AG ist eine All-in-One-Lösung, die in erster Linie der Überwachung der Bandbreitennutzung dient. Er wird auch zur Überwachung der Verfügbarkeit und des Zustands verschiedener Netzwerkressourcen verwendet. Diese Funktionen machen ihn zu einem nützlichen Werkzeug für Netzwerkadministratoren. Das Tool kann Geräte an mehreren Standorten sowie LAN-, WAN-, VPN- und Cloud-Dienste überwachen.
Die Installation dieses Produkts ist einfach und schnell. Nach dem Ausführen des Installationsprogramms erkennt der automatische Erkennungsprozess Geräte und richtet Sensoren ein. Paessler behauptet, dass Sie innerhalb von zwei Minuten nach Beginn der Installation mit der Überwachung beginnen können. Auch wenn dies vielleicht etwas übertrieben ist, waren wir von der einfachen und schnellen Installation beeindruckt. Obwohl der Server nur unter Windows läuft, ist die Benutzeroberfläche webbasiert und kann über jeden Browser aufgerufen werden. Darüber hinaus gibt es eine mobile App, die Sie auf Ihrem Smartphone oder Tablet installieren können.
Der PRTG Network Monitor kann dank seiner sensorbasierten Architektur so ziemlich alles überwachen. Sensoren können als Add-ons betrachtet werden, die direkt in das Produkt integriert sind und jeweils einem bestimmten Zweck dienen. Es gibt Sensoren für HTTP und SMTP/POP3 (E-Mail) sowie hardwarespezifische Sensoren für Switches, Router und Server. Insgesamt bietet das Tool mehr als 200 verschiedene vordefinierte Sensoren.
Der PRTG Network Monitor bietet eine Auswahl an Benutzeroberflächen. Sie können zwischen einem Ajax-basierten Webinterface oder einer Windows-Enterprise-Konsole sowie mobilen Apps für Android und iOS wählen. Eine praktische Funktion der mobilen Apps ist, dass sie Benachrichtigungen per Push-Benachrichtigung erhalten können. Standard-SMS- oder E-Mail-Benachrichtigungen sind ebenfalls verfügbar.
Der PRTG Network Monitor wird in zwei Versionen angeboten. Es gibt eine kostenlose Version mit vollem Funktionsumfang, die Ihre Überwachungsfähigkeit jedoch auf 100 Sensoren begrenzt. Jeder überwachte Parameter wird als ein Sensor gezählt. Um beispielsweise jeden Port eines Switches mit 48 Ports zu überwachen, benötigen Sie 48 Sensoren. Für mehr als 100 Sensoren müssen Sie eine Lizenz erwerben. Die Preise beginnen bei 1.600 $ für 500 Sensoren. Sie können auch eine kostenlose, sensorunbegrenzte und voll funktionsfähige 30-Tage-Testversion erhalten.
3- Scrutinizer
Scrutinizer von Plixer ist ein weiteres hervorragendes NetFlow-Analysetool. Tatsächlich ist es sogar mehr als das, und viele betrachten es als ein komplettes Incident-Response-System. Dank seiner Fähigkeit, verschiedene Flow-Typen wie NetFlow, J-Flow, NetStream, sFlow und IPFIX zu überwachen, sind Sie nicht auf die Überwachung von Cisco-Geräten beschränkt.
Mit seinem hierarchischen Design bietet Scrutinizer eine optimierte und effiziente Datenerfassung und ermöglicht es Ihnen, klein anzufangen und problemlos auf Millionen von Flows pro Sekunde zu skalieren. Wenn etwas schief geht, wird oft zuerst das Netzwerk beschuldigt. Mit Scrutinizer können Sie schnell die Ursache der meisten Netzwerkprobleme ermitteln. Scrutinizer funktioniert sowohl in physischen als auch in virtuellen Umgebungen und verfügt über erweiterte Berichtsfunktionen.
Scrutinizer ist in vier Lizenzstufen erhältlich, die von der kostenlosen Basisversion bis zur vollwertigen SCR-Stufe reichen, die auf über 10 Millionen Flows pro Sekunde skaliert werden kann. Die kostenlose Version ist auf 10.000 Flows pro Sekunde begrenzt und speichert nur 5 Stunden lang Rohdaten, was jedoch mehr als ausreichend sein sollte, um Netzwerkprobleme zu beheben. Sie können jede Lizenzstufe auch 30 Tage lang testen, danach wird sie auf die kostenlose Version zurückgesetzt.
4- ManageEngine NetFlow Analyzer
Der ManageEngine NetFlow Analyzer bietet Netzwerkadministratoren einen detaillierten Einblick in die Nutzung der Netzwerkbandbreite sowie in Verkehrsmuster. Das Produkt wird über eine webbasierte Oberfläche gesteuert und bietet eine beeindruckende Anzahl verschiedener Ansichten des Netzwerks.
Sie können beispielsweise den Datenverkehr nach Anwendung, Konversation, Protokoll und mehreren anderen Optionen anzeigen. Sie können auch Warnmeldungen einrichten, um sich vor potenziellen Problemen zu warnen. Sie können beispielsweise einen Schwellenwert für den Datenverkehr auf einer bestimmten Schnittstelle festlegen und benachrichtigt werden, wenn der Datenverkehr diesen überschreitet.
Die größte Stärke des Produkts liegt jedoch in seinen Berichten und dem Dashboard. Das Tool enthält eine Reihe nützlicher, vorgefertigter Berichte, die speziell auf bestimmte Zwecke wie Fehlerbehebung, Kapazitätsplanung oder Abrechnung zugeschnitten sind. Sie sind jedoch nicht auf integrierte Berichte beschränkt, da das Tool es Administratoren auch ermöglicht, benutzerdefinierte Berichte zu erstellen.
Das Dashboard des Tools ist ebenso beeindruckend wie seine Berichte. Es enthält mehrere Kreisdiagramme, die Top-Anwendungen, Top-Protokolle oder Top-Konversationen anzeigen. Es kann auch eine Heatmap mit dem Status der überwachten Schnittstellen anzeigen. Und wie Sie vielleicht schon erraten haben, können Dashboards so angepasst werden, dass sie nur die Informationen enthalten, die Sie für nützlich halten. Das Dashboard ist auch der Ort, an dem Warnungen in Form von Popups angezeigt werden. Für Netzwerkadministratoren, die unterwegs sind, gibt es eine Smartphone-App, mit der Sie auf das Dashboard und die Berichte zugreifen können.
Der ManageEngine NetFlow Analyzer unterstützt die meisten Flow-Technologien, einschließlich NetFlow (natürlich), IPFIX, J-Flow, NetStream und einige andere. Als Bonus bietet das Tool eine hervorragende Integration mit Cisco-Geräten, einschließlich Unterstützung für die Anpassung von Traffic Shaping und QoS-Richtlinien direkt aus dem Tool.
Wie viele Konkurrenzprodukte wird der ManageEngine NetFlow Analyzer in zwei Versionen angeboten. Die kostenlose Version ist in den ersten 30 Tagen mit der kostenpflichtigen Version identisch, wird dann jedoch auf die Überwachung von nur zwei Flussschnittstellen zurückgesetzt. Das ist nicht viel, aber es könnte alles sein, was Sie benötigen. Wenn Sie die kostenpflichtige Version wünschen, sind Lizenzen in verschiedenen Größen von 100 bis 2500 Schnittstellen oder Flows erhältlich, wobei die Preise zwischen etwa 600 und über 50.000 US-Dollar zuzüglich jährlicher Wartungsgebühren liegen.
Wie sieht es mit sFlow-Überwachungstools aus?
Alle Produkte, die wir zuvor vorgestellt haben, erfassen und analysieren neben NetFlow auch sFlow-Daten. Für hybride Umgebungen wären sie alle eine ausgezeichnete Wahl. Wenn Sie jedoch nur sFlow-Geräte verwenden, könnten Sie ein Tool bevorzugen, das nur diese Technologie unterstützt.
5- inMon sFlowTrend
sFlowTrend ist ein kostenloses Überwachungstool von inMon, dem Unternehmen hinter der sFlow-Technologie. Mit dieser kostenlosen Version der Software können Sie Daten von bis zu fünf sFlow-fähigen Geräten sammeln und nur Verlaufsdaten bis zu einer Stunde im RAM speichern. Wenn Sie mehr Leistung benötigen, können Sie auf die Pro-Version upgraden – natürlich gegen eine Gebühr. Die Pro-Version hebt die Beschränkung der Anzahl der Geräte auf und speichert unbegrenzte Verlaufsdaten auf der Festplatte.
Das sFlowTrend-Dashboard bietet einen schnellen Überblick über den aktuellen Status der überwachten Geräte und Netzwerke, einschließlich Schwellenwerte und Schnittstellen mit potenziellen Fehlern. Ein Klick auf die Registerkarte „Netzwerk“ zeigt zusammengefasste Leistungsstatistiken und detaillierten Datenverkehr auf Netzwerk- oder Geräteebene an. Warnschwellen können definiert werden, und Sie können Warnmeldungen erhalten, wenn eine höhere Bandbreitennutzung als üblich oder Netzwerkfehler auftreten. Es gibt sogar eine Registerkarte für die Hauptursache, mit der Sie die Ursache eines Problems, z. B. eine Schwellenwertüberschreitung, analysieren können.
Die Registerkarte „Hosts“ bietet detailliertere Informationen zu jedem Gerät, einschließlich Leistungsdaten zu Netzwerk, CPU, Festplatte usw. für sFlow-fähige Server – auch virtuelle. Auf der Registerkarte „Dienste“ finden Sie Leistungsdaten für Anwendungen (einschließlich verschiedener Webserver), die sFlow-Daten exportieren. Auf der Registerkarte „Ereignisse“ finden Sie ein Protokoll mit Ereignissen wie überschrittenen Schwellenwerten oder erkannten Fehlern. Schließlich bietet die Registerkarte „Berichte“ mehrere vordefinierte Berichte, unterstützt aber auch das Erstellen benutzerdefinierter Berichte. Hier können Sie Berichte ausführen und die Ergebnisse ansehen.
sFlowTrend ist in Java geschrieben und verfügt über eine Java-basierte und eine webbasierte Benutzeroberfläche. Es ist für Windows, Macintosh und Linux verfügbar. Es gibt auch eine Online-Hilfe, die Sie bei der Konfiguration und Verwendung des Tools unterstützt. Es ist ein großartiges Tool, besonders für kleinere Organisationen mit sFlow-fähigen Geräten. Der Upgrade-Pfad zur Pro-Version macht es aber auch zu einer guten Wahl für größere Netzwerke.