Аналіз потоку – це нова хвиля моніторингу мережі. Це дозволяє адміністраторам та менеджерам мати чітке уявлення не лише про обсяг трафіку, але й про те, який саме трафік. І під час налагодження вузьких місць, уповільнення або всіляких проблем з мережею наявність такої видимості дуже важливо. І це стосується не тільки налагодження, чітка видимість також важлива для планування потужності. Сьогодні ми розглянемо найкращі безкоштовні колектори та аналізатори sFlow на ринку. Подібний до NetFlow від Cisco або його відкритого нащадка IPFIX, але в той же час дуже інший, sFlow – (майже) незалежний від виробника протокол – може надати адміністраторам мережі детальне уявлення про те, що відбувається в їхніх мережах.
Є кілька способів отримати певний рівень видимості про те, що відбувається у вашій мережі. Simple Network Management Protocol або SNMP можна використовувати для зчитування лічильників на пристроях і обчислення використання пропускної здатності кожного інтерфейсу. Цього може бути достатньо для невеликих мереж. Ping, traceroute (або tracert), nmap і netstat можуть допомогти з основним усуненням несправностей, але для повної картини ніщо не краще аналізу потоку.
У цій статті ми почнемо з обговорення того, що таке sFlow, як він працює і чим може бути корисним. Ми також порівняємо його з NetFlow, який є свого роду далеким родичем sFlow. Хоча колектори та аналізатори sFlow і NetFlow часто є одним і тим же, ви побачите, що насправді вони дуже різні. Потім ми розглянемо п’ять найкращих безкоштовних колекторів та аналізаторів потоку.
Що таке sFlow
«S» в sFlow означає «вибірка». Це має вирішальне значення для його роботи і, як ми скоро побачимо, чим вона відрізняється від інших систем аналізу потоків. Більшість магії sFlow відбувається в самих контрольованих пристроях. Ось чому він працюватиме лише на пристроях із підтримкою sFlow. На щастя, таких пристроїв багато, особливо серед великих виробників мережевого обладнання.
Хоча консорціум sFlow.org зараз підтримує стандарт, sFlow є дітищем корпорації inMon, яка досі здійснює майже абсолютний контроль над еволюцією системи. Основні виробники обладнання, такі як Alcatel-Lucent, Brocade, Aruba, Cisco, Dell, Hewlett Packard, IBM та багато інших, включають підтримку sFlow — це багато з їх комутаційного обладнання. Фактично, понад 300 виробників включають sFlow у свою продукцію.
Основною метою sFlow є моніторинг високошвидкісних мереж. це протокол вибірки пакетів без стану. частина “Flow” назви протоколу може вводити в оману, оскільки sFlow насправді не має поняття об’єднання пакетів даних у потоки високого рівня. Це працює лише з точки зору пакетів.
У своєму корені sFlow виконує загальну вибірку пакетів, яка охоплює рівні від 7. Запущений у мережевому пристрої, експортер sFlow збирає префікси з підмножини всіх пакетів, що проходять через інтерфейс. Налаштування частоти дискретизації дозволяє менеджерам вибирати один пакет на кожний N пакет. Експортер також вибирає випадкові пакети та включає їх. Експортер збирає початкові байти кожного вибіркового пакета разом із лічильниками пристроїв і надсилає його колектору sFlow у вигляді дейтаграми sFlow за допомогою UDP. Пристрій не кешує жодних даних або вибіркових пакетів, тим самим зменшуючи використання ресурсів і полегшуючи масштабування до високошвидкісних мереж.
sFlow проти Netflow, в чому різниця?
Незважаючи на подібні назви, і незважаючи на те, що багато колекторів і аналізаторів можуть працювати як з NetFlow, так і з sFlow, вони насправді дуже різні, особливо в тому, як кожен виконує своє завдання.
Аві Фрідман, співзасновник і генеральний директор Kentik, проводить таку аналогію з моніторингом дорожнього руху, яка досить добре підсумовує різницю між NetFlow і sFlow: «… в той час як NetFlow можна описати як спостереження за моделями руху («Скільки автобусів відійшло звідси до там?’), за допомогою sFlow ви просто робите знімки будь-яких автомобілів чи автобусів, які проїжджають у цей конкретний момент». Хоча це чудова аналогія, вона також дещо вводить в оману, оскільки може наштовхнути на думку, що NetFlow надає більше інформації, ніж sFlow, і тому краще.
Хоча це, ймовірно, правда, що ви отримуєте більше інформації від NetFlow, ніж від sFlow, це не обов’язково робить його кращим протоколом. Для початку, використання ресурсів NetFlow – пам’яті та ЦП – набагато вище, ніж у sFlow. Це могло б зробити sFlow більш цікавим варіантом для пристроїв нижчого класу. Існує також весь аспект того, наскільки багато інформації є забагато інформації. Так, NetFlow може збирати більше інформації, але чи потрібна вона вам? І чи здатний ваш аналізатор його використовувати?
Велике питання: чи використовувати NetFlow чи sFlow?
Поставити запитання легко, але дати хорошу відповідь майже неможливо. Як ми вже говорили раніше, багато збирачів та аналізаторів оброблятимуть як інформацію NetFlow, так і інформацію sFlow. І існує велика кількість мережевих пристроїв, які також підтримують обидва протоколи, що робить вибір одного над іншим ще важчим. Основним вирішальним фактором, ймовірно, має бути те, що підтримує ваше обладнання.
Але чи справді потрібно вибирати сторони? І NetFlow, і sFlow — чудові системи. Чому б тоді не використовувати обидва з колектором і аналізатором, які підтримують обидва? Ви зможете отримувати детальні дані про потік з ваших пристроїв із підтримкою sFlow і пристроїв із підтримкою Netflow.
А як щодо пристроїв, які мають вбудовані обидва протоколи? Багато пристроїв Cisco, наприклад, можуть використовувати обидва. У таких ситуаціях у мене буде спокуса рекомендувати використання sFlow, оскільки його використання ресурсів нижче. Якщо, звичайно, вам не знадобиться додаткова інформація, яку може надати NetFlow.
Найкращі безкоштовні колектори та аналізатори потоку
Ми шукали в Інтернеті найкращі безкоштовні колектори та аналізатори sFlow. Серед тих, які ми знайшли, деякі є дійсно безкоштовними пакетами. Інші є комерційним програмним забезпеченням, яке пропонує або безкоштовну пробну версію, або зменшену безкоштовну версію. Крім того, деякі з них підтримують лише sFlow, а інші також працюватимуть як із sFlow, так і з NetFlow, що робить їх ще більш універсальними. Ми переглянули кожен із п’яти найкращих пакетів і представляємо наші висновки. Ось список наших 5 найкращих пакетів.
Колектор і аналізатор потоку SolarWinds
inMon sFlowTrend
ManageEngine NetFlow Analyzer
ntopng і nProbe
Plixer Scrutinizer
1. Колектор і аналізатор потоку SolarWinds (БЕЗКОШТОВНА ПРОБНА ОПЕРАЦІЯ)
SolarWinds — добре відоме ім’я на арені управління мережами. Компанія виробляє одні з найкращих програм, які допомагають адміністраторам мережі краще бачити, що відбувається з їх обладнанням. Їхній флагманський продукт називається Network Performance Monitor.
SolarWinds також відомий тим, що виготовляє широкий асортимент безкоштовних і корисних продуктів. Вони варіюються від калькуляторів IP-адрес, щоб допомогти новачкам визначити підмережі та адреси хостів, до завершити, хоча й обмежені, системи моніторингу різних видів. Один із таких продуктів, SolarWinds Real-Time Netflow Analyzer, був представлений у попередній статті. Ви можете прочитати його, щоб дізнатися більше.
Але сьогоднішня стаття про sFlow, а не про NetFlow. І хоча SolarWinds не має безкоштовного еквіваленту потоку потоку, еквівалентного їхньому аналізатору NetFlow в реальному часі, у нього є колектор і аналізатор потоків як функція аналізатора трафіку NetFlow або NTA. Останній є модулем Network Performance Monitor або NPM. І хоча як NTA, так і NPM не є безкоштовними продуктами, доступна безкоштовна 3-денна пробна версія. Фактично SolarWinds як 30-денна пробна версія більшості своїх продуктів. Тому ви можете спробувати будь-який з них без ризику.
Посилання для завантаження: https://www.solarwinds.com/netflow-traffic-analyzer
Таким чином, незважаючи на свою дещо оманливу назву, SolarWinds NetFlow Traffic Analyzer оброблятиме дані як NetFlow, так і sFlow. Це робить його ідеальним вибором у різноманітному середовищі, де деякі пристрої підтримують один протокол, тоді як інші підтримують інший. І як збирач sFlow, NTA буде збирати будь-які дані sFlow з пристроїв, які він відстежує.
Об’єднані разом, NPM і NTA мають вражаючий набір функцій, які допомагають будь-якому адміністратору керувати мережами кількох постачальників. Ви отримуєте моніторинг пропускної здатності за допомогою SNMP, аналіз трафіку, аналіз продуктивності, попередження, звіти, оптимізацію політики та багато іншого.
За замовчуванням на підсумковій сторінці NetFlow Traffic Analyzer відображатиметься кілька розділів, наприклад 5 найкращих програм, 5 найпопулярніших кінцевих точок, 5 найпопулярніших розмов або 10 найкращих джерел за відсотком використання пропускної спроможності. І як аналізатор потоку, він може ідентифікувати користувачів, програми та протоколи, які споживають найбільшу пропускну здатність, дозволяючи адміністраторам швидко знаходити джерело будь-яких спостережуваних перевантажень. І ви можете сортувати відображені результати за кількома критеріями, такими як порт, джерело, призначення, протокол тощо. Це також дозволяє переглядати моделі трафіку за хвилини, дні або місяці.
І NTA, і NPM — це програмне забезпечення корпоративного рівня, розроблене для масштабування до дуже великих мереж із сотнями, якщо не тисячами пристроїв. Таким чином, вони будуть споживати значні ресурси у вашій системі і повинні бути встановлені на спеціальному обладнанні. Але якщо ви керуєте такою мережею з численними пристроями з підтримкою sFlow, варто спробувати збір і аналіз sFlow від NTA. Вам потрібно буде докласти певних зусиль, щоб втілити це на місце, але вони будуть добре винагороджені.
2. inMon sFlowTrend
inMon, компанія, що стоїть за sFlow, має свій власний безкоштовний інструмент моніторингу у вигляді його Програмне забезпечення sFlowTrend. Це базовий і дещо обмежений, але дуже дієвий інструмент. Безкоштовна версія програмного забезпечення дозволяє збирати дані до п’яти комутаторів, маршрутизаторів або хостів з підтримкою sFlow і зберігатиме дані історії в ОЗП протягом години. Цього має бути достатньо, щоб усунути більшість проблем з мережею. І якщо ви хочете прискорити роботу, ви можете оновитися до професійної версії — звичайно, за плату — що знімає обмеження на кількість пристроїв і зберігає дані історії на диску.
Вкладка sFlowTrend Dashboard забезпечує швидкий перегляд поточного стану пристроїв і мереж, що відстежуються, включає пороги верхнього рівня та інтерфейси з потенційними помилками. Коли ви натискаєте вкладку «Мережа», sflowTrend розкриває підсумовану статистику продуктивності та детальний трафік на рівні мережі або пристрою. Можна визначити пороги попередження. Він дає змогу отримувати сповіщення, коли відбувається використання пропускної спроможності вище, ніж зазвичай, або помилка мережі. Існує навіть вкладка першопричини, де ви можете детально розглянути причину проблеми, наприклад порушення порогового значення.
На вкладці «Хости» ви знайдете більш детальну інформацію про кожен пристрій. Він надає дані про продуктивність мережі, процесора, диска тощо для серверів із підтримкою sFlow, включаючи віртуальні. На вкладці Служби ви знайдете дані про продуктивність програм (включаючи різні веб-сервери), які експортують дані sFlow. На вкладці Події ви знайдете журнал подій, як-от перевищення порогових значень або виявлені помилки. І, нарешті, вкладка Звіти містить декілька попередньо визначених звітів, але також підтримує створення спеціальних звітів. Тут ви зможете запустити звіти, а потім переглянути їх результати.
sFlowTrend написаний на Java і постачається як на основі Java, так і на основі веб-інтерфейсу користувача. Він доступний для Windows, Macintosh і Linux. Існує також онлайн-довідка, яка допоможе вам налаштувати та використовувати інструмент. Це чудовий інструмент, особливо для невеликих організацій з обладнанням, що підтримує sFlow. А шлях оновлення до професійної версії робить його не менш дійсним вибором для великих мереж.
3. ManageEngine NetFlow Analyzer
Будучи головним чином колектором і аналізатором NetFlow, ManageEngine NetFlow Analyzer також оброблятиме дейтаграми sFlow, які ваші пристрої з підтримкою sFlow надсилатимуть йому. Це ще одне чудове програмне забезпечення від компанії, яка, як відомо, забезпечує високоякісні інструменти управління. Інструмент надає вам видимість трафіку та пропускної здатності за програмою, розмовою або протоколом. Ви також можете встановити сповіщення на основі порогових значень трафіку.
ManageEngine NetFlow Analyzer постачається з великою різноманітністю корисних попередньо визначених звітів. Деякі з них допоможуть у вирішенні проблем, інші — у плануванні потужності, а деякі можна використовувати для цілей виставлення рахунків для тих організацій, які перепродають свою інфраструктуру. І, звичайно, є також можливість створення користувацьких звітів.
Однією з унікальних властивостей веб-приладової панелі є теплова карта, яка з одного погляду показує статус контрольованих інтерфейсів, а також кругові діаграми в режимі реального часу, які показують найпопулярніші програми, протоколи та розмови, останні нагадування тощо.
Безкоштовна версія має важливі обмеження. Наприклад, хоча він дозволить необмежений моніторинг протягом 30 днів, він повернеться до моніторингу лише двох інтерфейсів. Це не так багато, але цього може бути достатньо для швидкого вирішення проблем, якщо ви точно знаєте, де шукати. Звичайно, ви можете перейти до платної версії, щоб зняти обмеження на два інтерфейси. Крім того, ManageEngine пропонує кілька пов’язаних продуктів, які працюють разом, щоб розширити базовий аналіз трафіку до повного пакету керування мережею.
4. ntopng і nProbe
ntopng це справжній інструмент аналізу трафіку з відкритим кодом. Він пасивно відстежує мережі на основі даних потоку та захоплення пакетів. Просто аналізатор, ntopng покладається на nProbe – колектор – для збору даних потоку з пристроїв і хостів, які їх експортують. nProbe підтримує кілька різних типів потокових даних, включаючи NetFlow і sFlow. Разом вони утворюють дуже потужний дует моніторингу та усунення несправностей.
ntopng постачається з веб-інтерфейсом користувача, де інформація представлена кількома різними способами, такими як трафік (наприклад, головні розмовники), потоки, хости, пристрої та інтерфейси. Дисплей потоку, ймовірно, є одним із найцікавіших, оскільки він представляє протоколи програм і може відображати затримку або іншу статистику TCP, наприклад втрату пакетів. Ви також можете використовувати ntopng для встановлення сповіщень на основі кількох різних порогових значень і критеріїв.
ntopng доступний у трьох версіях: Community, Professional та Enterprise. Версія спільноти безкоштовна для використання. Professional і Enterprise пропонують деякі додаткові функції і доступні для покупки
Що стосується nProbe, то його можна використовувати безкоштовно, але він обмежений до 25000 експортованих потоків. Хоча це може здатися великим, ви швидко досягнете цього числа. Ви, звичайно, можете зняти обмеження, купивши ліцензії.
5. Plixer Scrutinizer
Scrutinizer від Plixer це дуже складна «Система реагування на інциденти», як зазначено на веб-сайті Plixer. Однак не дозволяйте химерній назві ввести вас в оману. Більше за все Scrutinizer — це чудова система моніторингу мережі. Він дуже ретельний і повний і, що представляє особливий інтерес в контексті цієї статті, він оброблятиме дані sFlow, а також NetFlow.
Scrutinizer пропонує одне з найбільш масштабованих рішень на ринку. Кажуть, що він має найшвидшу звітність і надає найбагатший контекст даних, доступний будь-де. Він має доступ на основі ролей, щоб представити різним командам лише необхідні дані. Розроблено для високої продуктивності та масштабованості від малих до дуже великих середовищ. Він надає широкий спектр функцій аналізу та звітності.
Існує кілька способів налаштування Scrutinizer. Ви можете встановити його як спеціальний прилад. Ви також можете використовувати як віртуальний сервер. І його також можна запускати в програмному забезпеченні як сервіс, де він буде працювати в хмарі. У цьому режимі ви можете вибрати або використовувати публічну хмару Plixer, або приватну. Це велика система, і вона потребує ресурсів. Вам потрібно буде налаштувати його на потужному сервері – наприклад, із 16 ГБ оперативної пам’яті.
Scrutinizer доступний на чотирьох різних рівнях ліцензування. Існує безкоштовна версія — це не пробна, а справжня безкоштовна версія — яка підтримуватиме до 10 тисяч потоків на секунду, зберігатиме дані про потоки протягом 5 годин і історичні згортання протягом тижня. Тоді у вас є три рівні платних версій, які відрізняються від кількості потоків за секунду, які вони підтримують, та історії, яку вони зберігають. Крім того, кожен вищий рівень додає кілька додаткових функцій до вже багатого набору функцій.
У висновку
Якщо ваша мережа в основному складається з пристроїв з підтримкою sFlow, є кілька чудових інструментів, які дадуть вам неоціненне уявлення про поведінку вашої мережі. І якщо у вас є пристрої з підтримкою sFlow і NetFlow, деякі з них підтримуватимуть будь-який протокол. Ваш остаточний вибір буде залежати, перш за все, від поточного розміру вашої мережі, протоколу, який підтримують ваші пристрої, та очікуваного розвитку мережі. Налаштування цих інструментів займає деякий час, і ви хочете вибрати правильний з самого початку. Це може врятувати вас від складної заміни.