Аналіз мережевого трафіку за допомогою sFlow: Огляд безкоштовних інструментів
Моніторинг мережі досяг нового рівня з появою аналізу потоків. Цей підхід надає адміністраторам і менеджерам чітке розуміння не тільки обсягу трафіку, а й його характеру. Така видимість є надзвичайно важливою для виявлення та усунення вузьких місць, сповільнення роботи або будь-яких інших проблем з мережею. Крім того, точне уявлення про трафік необхідне для планування потужності мережі. Сьогодні ми розглянемо найкращі безкоштовні колектори та аналізатори sFlow, доступні на ринку. sFlow, схожий на NetFlow від Cisco або його відкритий аналог IPFIX, але водночас значно відрізняється, є протоколом, який майже не залежить від виробника, і може надати адміністраторам мережі детальну картину того, що відбувається в їхніх мережах.
Існує кілька способів отримати уявлення про те, що відбувається у вашій мережі. Протокол SNMP (Simple Network Management Protocol) можна використовувати для зчитування лічильників на пристроях і розрахунку використання пропускної здатності кожного інтерфейсу. Для невеликих мереж цього може бути достатньо. Ping, traceroute (або tracert), nmap та netstat можуть допомогти у базовому усуненні несправностей, але для отримання повної картини ніщо не зрівняється з аналізом потоків.
У цій статті ми розпочнемо з обговорення того, що таке sFlow, як він працює та яку користь він може принести. Ми також порівняємо його з NetFlow, який можна вважати далеким родичем sFlow. Хоча колектори та аналізатори sFlow і NetFlow часто є одними й тими ж інструментами, на практиці вони дуже різні. Далі ми розглянемо п’ять найкращих безкоштовних колекторів та аналізаторів потоку.
Що таке sFlow?
Літера «s» у назві sFlow означає «вибірка» (sampling). Це є ключовим моментом у його роботі та відрізняє його від інших систем аналізу потоків. Основна робота sFlow виконується на самих контрольованих пристроях. Тому він працює тільки на пристроях, які підтримують цей протокол. На щастя, таких пристроїв багато, особливо серед великих виробників мережевого обладнання.
Хоча консорціум sFlow.org наразі підтримує стандарт, sFlow є розробкою компанії inMon, яка все ще має майже повний контроль над розвитком цієї системи. Основні виробники обладнання, такі як Alcatel-Lucent, Brocade, Aruba, Cisco, Dell, Hewlett Packard, IBM та багато інших, інтегрують підтримку sFlow у значну частину свого комутаційного обладнання. Фактично, понад 300 виробників включають sFlow у свою продукцію.
Основна мета sFlow – моніторинг високошвидкісних мереж. Це протокол вибірки пакетів без стану. Слово «Flow» (потік) у назві протоколу може ввести в оману, оскільки sFlow насправді не має поняття про об’єднання пакетів даних у потоки високого рівня. Він працює виключно на рівні пакетів.
В основі sFlow лежить вибірка пакетів, яка охоплює рівні від 7. Запущений на мережевому пристрої, експортер sFlow збирає префікси з підмножини всіх пакетів, що проходять через інтерфейс. Налаштування частоти дискретизації дозволяє менеджерам обирати один пакет на кожні N пакетів. Експортер також обирає випадкові пакети та включає їх у вибірку. Потім експортер збирає перші байти кожного вибіркового пакета разом із лічильниками пристроїв і надсилає їх колектору sFlow у вигляді дейтаграми sFlow за допомогою протоколу UDP. Пристрій не кешує жодних даних або вибіркових пакетів, що зменшує використання ресурсів та полегшує масштабування для роботи з високошвидкісними мережами.
sFlow проти NetFlow: Основні відмінності
Попри схожі назви та те, що багато колекторів та аналізаторів можуть працювати як з NetFlow, так і з sFlow, ці два протоколи суттєво відрізняються, особливо в тому, як вони виконують свої завдання.
Аві Фрідман, співзасновник і генеральний директор Kentik, наводить аналогію з моніторингом дорожнього руху, яка досить вдало підсумовує різницю між NetFlow і sFlow: «… NetFlow можна описати як спостереження за моделями руху («Скільки автобусів відправилося з точки А до точки Б?»), а sFlow – це як фотографування будь-яких автомобілів чи автобусів, що проїжджають у певний момент часу». Хоча це гарна аналогія, вона також може бути дещо оманливою, оскільки створює враження, що NetFlow надає більше інформації, ніж sFlow, і тому є кращим.
Хоча це, ймовірно, правда, що NetFlow надає більше даних, ніж sFlow, це не обов’язково робить його кращим протоколом. По-перше, використання ресурсів (пам’яті та процесора) NetFlow значно вище, ніж у sFlow. Це робить sFlow більш привабливим варіантом для пристроїв нижчого класу. Також варто враховувати питання, чи не є надто багато інформації зайвим. Так, NetFlow може збирати більше інформації, але чи потрібна вона вам? Чи здатний ваш аналізатор обробляти та використовувати цю інформацію?
Вибір між NetFlow та sFlow: Що врахувати?
Поставити запитання легко, але дати чітку відповідь не так просто. Як ми вже зазначали, багато колекторів та аналізаторів здатні обробляти як дані NetFlow, так і дані sFlow. Крім того, існує велика кількість мережевих пристроїв, які підтримують обидва протоколи, що ускладнює вибір між ними. Основним критерієм вибору, ймовірно, має бути підтримка протоколу вашим обладнанням.
Але чи дійсно потрібно обирати один протокол? NetFlow та sFlow – обидва чудові інструменти. Чому б не використовувати обидва, вибравши колектор та аналізатор, що підтримує обидва протоколи? Таким чином ви зможете отримувати детальну інформацію про потоки як з пристроїв, що підтримують sFlow, так і з пристроїв, що підтримують NetFlow.
Щодо пристроїв, які мають вбудовану підтримку обох протоколів, наприклад, багатьох пристроїв Cisco, я б рекомендував використовувати sFlow через його менше навантаження на ресурси. Звичайно, якщо вам не потрібна додаткова інформація, яку може надати NetFlow.
Найкращі безкоштовні колектори та аналізатори потоку
Ми провели дослідження, щоб знайти найкращі безкоштовні колектори та аналізатори sFlow. Серед виявлених інструментів, деякі є повністю безкоштовними, інші ж – це комерційне програмне забезпечення, що пропонує безкоштовну пробну версію або обмежену безкоштовну версію. Крім того, деякі підтримують лише sFlow, а інші працюють як з sFlow, так і з NetFlow, що робить їх більш універсальними. Ми розглянули кожен з п’яти найкращих пакетів та представляємо наші висновки. Ось список 5 найкращих інструментів:
- Колектор і аналізатор потоку SolarWinds
- inMon sFlowTrend
- ManageEngine NetFlow Analyzer
- ntopng та nProbe
- Plixer Scrutinizer
1. Колектор та аналізатор потоку SolarWinds (БЕЗКОШТОВНА ПРОБНА ВЕРСІЯ)
SolarWinds — це добре відома компанія у сфері управління мережами. Вона пропонує одні з найкращих програмних рішень, які допомагають адміністраторам краще розуміти, що відбувається з їхнім обладнанням. Їхнім флагманським продуктом є Network Performance Monitor.
SolarWinds також відомий своїм широким спектром безкоштовних та корисних інструментів. Від калькуляторів IP-адрес для допомоги новачкам у визначенні підмереж та адрес хостів, до повноцінних, хоч і обмежених, систем моніторингу різних типів. Одним із таких продуктів, SolarWinds Real-Time Netflow Analyzer, був розглянутий у попередній статті. Ви можете прочитати її для отримання додаткової інформації.
Сьогоднішня стаття присвячена sFlow, а не NetFlow. І хоча SolarWinds не має безкоштовного аналога аналізатору NetFlow в реальному часі для sFlow, вони пропонують колектор та аналізатор потоків як функцію аналізатора трафіку NetFlow або NTA. Останній є модулем Network Performance Monitor (NPM). І хоча NTA та NPM не є безкоштовними продуктами, доступна 30-денна безкоштовна пробна версія. Фактично, SolarWinds пропонує 30-денні пробні версії для більшості своїх продуктів. Таким чином, ви можете спробувати будь-який з них без будь-якого ризику.
Незважаючи на свою дещо оманливу назву, SolarWinds NetFlow Traffic Analyzer оброблятиме дані як NetFlow, так і sFlow. Це робить його ідеальним вибором для різноманітних середовищ, де одні пристрої підтримують один протокол, а інші – інший. Як збирач sFlow, NTA збиратиме будь-які дані sFlow з пристроїв, які він відстежує.
Об’єднані разом, NPM та NTA мають вражаючий набір функцій, які допомагають будь-якому адміністратору керувати мережами кількох постачальників. Ви отримуєте моніторинг пропускної здатності за допомогою SNMP, аналіз трафіку, аналіз продуктивності, сповіщення, звіти, оптимізацію політики та багато іншого.
За замовчуванням підсумкова сторінка NetFlow Traffic Analyzer відображає кілька розділів, таких як 5 найкращих програм, 5 найпопулярніших кінцевих точок, 5 найпопулярніших розмов або 10 найкращих джерел за відсотком використання пропускної здатності. Як аналізатор потоку, він може ідентифікувати користувачів, програми та протоколи, які споживають найбільше пропускної здатності, дозволяючи адміністраторам швидко знаходити джерела будь-яких перевантажень. Ви можете сортувати відображені результати за кількома критеріями, такими як порт, джерело, призначення, протокол тощо. Також можна переглядати моделі трафіку за хвилини, дні або місяці.
NTA та NPM є програмним забезпеченням корпоративного рівня, розробленим для масштабування до дуже великих мереж з сотнями, якщо не тисячами пристроїв. Тому вони споживатимуть значні ресурси у вашій системі та мають бути встановлені на спеціальному обладнанні. Але якщо ви керуєте такою мережею з великою кількістю пристроїв з підтримкою sFlow, варто спробувати збір та аналіз sFlow від NTA. Вам доведеться докласти певних зусиль для впровадження, але вони будуть виправдані.
2. inMon sFlowTrend
inMon, компанія, що стоїть за sFlow, пропонує власний безкоштовний інструмент моніторингу – програмне забезпечення sFlowTrend. Це базовий і дещо обмежений, але водночас дуже ефективний інструмент. Безкоштовна версія програми дозволяє збирати дані до п’яти комутаторів, маршрутизаторів або хостів з підтримкою sFlow і зберігатиме дані історії в оперативній пам’яті протягом години. Цього має бути достатньо для вирішення більшості проблем з мережею. Якщо ви хочете розширити можливості, можна перейти до професійної версії – за плату, звичайно, – що знімає обмеження на кількість пристроїв і зберігає дані історії на диску.
Вкладка sFlowTrend Dashboard забезпечує швидкий огляд поточного стану пристроїв і мереж, що відстежуються, включає пороги верхнього рівня та інтерфейси з потенційними проблемами. Коли ви натискаєте вкладку «Мережа», sflowTrend показує підсумовану статистику продуктивності та детальний трафік на рівні мережі або пристрою. Можна визначити пороги попередження, щоб отримувати сповіщення, коли використання пропускної здатності перевищує звичайний рівень або виникає помилка мережі. Існує навіть вкладка першопричини, де можна детально розглянути причину проблеми, наприклад, порушення порогового значення.
На вкладці «Хости» ви знайдете більш детальну інформацію про кожен пристрій. Вона надає дані про продуктивність мережі, процесора, диска тощо для серверів із підтримкою sFlow, включаючи віртуальні. На вкладці «Служби» є дані про продуктивність додатків (включаючи різні веб-сервери), які експортують дані sFlow. На вкладці «Події» ви знайдете журнал подій, як-от перевищення порогових значень або виявлені помилки. І, нарешті, вкладка «Звіти» містить кілька попередньо визначених звітів, але також підтримує створення спеціальних звітів. Тут ви можете запускати звіти та переглядати їх результати.
sFlowTrend написаний на Java і постачається як на основі Java, так і з веб-інтерфейсом. Він доступний для Windows, Macintosh і Linux. Також є онлайн-довідка, яка допоможе налаштувати та використовувати інструмент. Це чудовий інструмент, особливо для невеликих організацій з обладнанням, що підтримує sFlow. Можливість оновлення до професійної версії робить його не менш привабливим вибором для великих мереж.
3. ManageEngine NetFlow Analyzer
Хоча ManageEngine NetFlow Analyzer в основному є колектором та аналізатором NetFlow, він також оброблятиме дейтаграми sFlow, які надсилатимуть ваші пристрої з підтримкою sFlow. Це ще одне чудове програмне забезпечення від компанії, відомої своїми високоякісними інструментами управління. Інструмент надає вам видимість трафіку та пропускної здатності за програмою, розмовою або протоколом. Ви також можете налаштувати сповіщення на основі порогових значень трафіку.
ManageEngine NetFlow Analyzer має великий набір корисних попередньо визначених звітів. Деякі з них допоможуть у вирішенні проблем, інші – у плануванні потужності, а деякі можна використовувати для цілей виставлення рахунків організаціям, які перепродають свою інфраструктуру. Звичайно, є також можливість створювати спеціальні звіти.
Однією з унікальних особливостей веб-панелі є теплова карта, яка з одного погляду показує стан контрольованих інтерфейсів, а також кругові діаграми в реальному часі, які демонструють найпопулярніші програми, протоколи та розмови, останні сповіщення тощо.
Безкоштовна версія має важливі обмеження. Наприклад, хоча вона дозволяє необмежений моніторинг протягом 30 днів, після цього періоду вона перейде до моніторингу лише двох інтерфейсів. Це не так багато, але цього може бути достатньо для швидкого усунення несправностей, якщо ви точно знаєте, де шукати. Звичайно, ви можете перейти до платної версії, щоб зняти обмеження на два інтерфейси. Крім того, ManageEngine пропонує кілька пов’язаних продуктів, які працюють разом, щоб розширити базовий аналіз трафіку до повного пакету управління мережею.
4. ntopng та nProbe
ntopng – це повноцінний інструмент аналізу трафіку з відкритим вихідним кодом. Він пасивно відстежує мережі на основі даних потоку та захоплення пакетів. ntopng як аналізатор покладається на nProbe – колектор – для збору даних потоку з пристроїв і хостів, які їх експортують. nProbe підтримує кілька різних типів потокових даних, включаючи NetFlow та sFlow. Разом вони утворюють дуже потужний інструмент для моніторингу та усунення несправностей.
ntopng має веб-інтерфейс користувача, де інформація представлена кількома різними способами, наприклад, трафік (основні розмовники), потоки, хости, пристрої та інтерфейси. Дисплей потоку є особливо цікавим, оскільки він показує протоколи додатків і може відображати затримку або іншу статистику TCP, наприклад, втрату пакетів. Ви також можете використовувати ntopng для налаштування сповіщень на основі кількох різних порогових значень та критеріїв.
ntopng доступний у трьох версіях: Community, Professional та Enterprise. Версія Community є безкоштовною для використання. Professional та Enterprise пропонують деякі додаткові функції та доступні для придбання.
Щодо nProbe, він безкоштовний для використання, але обмежений до 25 000 експортованих потоків. Хоча це може здаватися великим числом, ви швидко його досягнете. Ви, звичайно, можете зняти обмеження, придбавши ліцензії.
5. Plixer Scrutinizer
Scrutinizer від Plixer – це дуже складна «Система реагування на інциденти», як зазначено на веб-сайті Plixer. Але не дозволяйте цьому химерному визначенню ввести вас в оману. Scrutinizer — це перш за все чудова система моніторингу мережі. Він дуже ретельний та всеосяжний і, що особливо цікаво в контексті цієї статті, він оброблятиме дані sFlow, а також NetFlow.
Scrutinizer пропонує одне з найбільш масштабованих рішень на ринку. Кажуть, що він має найшвидші звіти та надає найбагатший контекст даних. Він має доступ на основі ролей, щоб надавати різним командам лише необхідні дані. Розроблений для високої продуктивності та масштабованості від малих до дуже великих середовищ. Він пропонує широкий спектр функцій аналізу та звітності.
Існує кілька способів налаштування Scrutinizer. Ви можете встановити його як спеціальний пристрій. Також можна використовувати як віртуальний сервер. Або запускати програмне забезпечення як сервіс, де воно працюватиме в хмарі. У цьому режимі ви можете вибрати між публічною хмарою Plixer або приватною. Це велика система, що потребує ресурсів. Вам потрібно буде налаштувати її на потужному сервері – наприклад, з 16 ГБ оперативної пам’яті.
Scrutinizer доступний на чотирьох різних рівнях ліцензування. Є безкоштовна версія – це не пробна, а справжня безкоштовна версія – яка підтримуватиме до 10 тисяч потоків на секунду, зберігатиме дані про потоки протягом 5 годин та історичні згортання протягом тижня. Потім є три платні версії, що відрізняються за кількістю потоків за секунду, які вони підтримують, та історією, яку вони зберігають. Крім того, кожен вищий рівень додає кілька додаткових функцій до вже багатого набору можливостей.
Висновки
Якщо ваша мережа здебільшого складається з пристроїв, що підтримують sFlow, існує декілька чудових інструментів, які нададуть вам безцінне уявлення про поведінку вашої мережі. Якщо у вас є пристрої, що підтримують як sFlow, так і NetFlow, деякі з цих інструментів підтримуватимуть обидва протоколи. Ваш остаточний вибір залежатиме від поточного розміру вашої мережі, протоколу, який підтримують ваші пристрої, та очікуваного розвитку мережі. Налаштування цих інструментів займає деякий час, і важливо правильно вибрати інструмент з самого початку, щоб уникнути складної заміни в майбутньому.