Analiza fluxului reprezintă o abordare modernă în monitorizarea rețelelor, oferind administratorilor și managerilor o perspectivă detaliată nu doar asupra volumului traficului, ci și asupra naturii acestuia. Această vizibilitate este crucială în identificarea și remedierea blocajelor, încetinirilor și a altor probleme de rețea. Mai mult, analiza fluxului este esențială pentru planificarea capacității rețelei. În acest articol, vom explora cele mai bune instrumente gratuite de colectare și analiză sFlow disponibile pe piață. SFlow, un protocol flexibil și independent de furnizor, asemănător cu Cisco NetFlow sau cu varianta sa open-source IPFIX, oferă administratorilor de rețea o vedere amănunțită asupra activității din rețelele lor.
Există mai multe metode de a obține o anumită claritate asupra evenimentelor din rețeaua dumneavoastră. Protocolul SNMP (Simple Network Management Protocol) permite citirea contoarelor de pe dispozitive și calcularea utilizării lățimii de bandă pentru fiecare interfață. Această abordare poate fi suficientă pentru rețele mai mici. Instrumente precum ping, traceroute (sau tracert), nmap și netstat pot fi utile în depanarea de bază, dar pentru o imagine completă, analiza fluxului este superioară.
În acest material, vom începe cu o explicație detaliată a sFlow, a modului său de funcționare și a avantajelor sale. Vom compara, de asemenea, sFlow cu NetFlow, un protocol similar, dar diferit. Deși instrumentele de colectare și analiză sFlow și NetFlow sunt adesea combinate, vom evidenția distincțiile esențiale dintre ele. În final, vom prezenta o listă cu cele mai bune cinci instrumente gratuite de colectare și analiză sFlow.
Ce este sFlow?
Litera „s” din sFlow simbolizează „eșantionarea”, un aspect central în modul său de funcționare și principalul element diferențiator față de alte sisteme de analiză a fluxului. Majoritatea operațiunilor sFlow se desfășoară în interiorul dispozitivelor monitorizate. Din acest motiv, sFlow este funcțional doar pe echipamentele compatibile. Din fericire, multe dispozitive, în special cele de la producătorii mari, oferă suport pentru sFlow.
Deși standardul este menținut de consorțiul sFlow.org, protocolul sFlow este creația companiei inMon, care deține încă un control semnificativ asupra evoluției sale. Producători importanți precum Alcatel-Lucent, Brocade, Aruba, Cisco, Dell, Hewlett Packard, IBM și alții includ suport sFlow în multe dintre echipamentele lor. De fapt, peste 300 de producători integrează sFlow în produsele lor.
Scopul principal al sFlow este monitorizarea rețelelor de mare viteză. Este un protocol de eșantionare a pachetelor fără stocare a stării. Deși denumirea conține „Flow”, sFlow nu agregă datele în fluxuri de nivel înalt. Operațiunile sale se concentrează exclusiv pe pachete.
În esență, sFlow realizează o eșantionare generală a pachetelor, care acoperă straturile până la nivelul 7. Exportatorul sFlow, funcționând în cadrul dispozitivului de rețea, colectează fragmente dintr-un subset al pachetelor care trec printr-o interfață. Prin ajustarea ratei de eșantionare, administratorii pot alege să eșantioneze un pachet la fiecare N pachete. În plus, exportatorul selectează aleatoriu anumite pachete pentru a le include. Exportatorul asamblează octeții inițiali ai fiecărui pachet eșantionat, împreună cu contoarele dispozitivului, și le transmite colectorului sFlow sub forma unei datagrame UDP. Dispozitivul nu memorează datele sau pachetele eșantionate, reducând consumul de resurse și facilitând scalarea în rețelele de mare viteză.
sFlow vs NetFlow: Care este diferența?
În ciuda numelor similare și a faptului că multe instrumente de colectare și analiză pot funcționa atât cu NetFlow, cât și cu sFlow, cele două protocoale sunt foarte diferite, în special în abordarea lor fundamentală.
Avi Freedman, cofondator și CEO al Kentik, a oferit o analogie sugestivă cu monitorizarea traficului rutier, care evidențiază diferența dintre NetFlow și sFlow: „NetFlow poate fi comparat cu observarea tiparelor de trafic, cum ar fi ‘Câte autobuze au trecut dintr-un loc în altul?’, în timp ce sFlow este similar cu realizarea unor instantanee ale mașinilor sau autobuzelor care trec într-un anumit moment.” Deși această analogie este pertinentă, poate crea o impresie eronată, sugerând că NetFlow oferă mai multe informații decât sFlow și, implicit, este superior.
Deși este adevărat că NetFlow colectează mai multe informații decât sFlow, acest lucru nu îl face neapărat un protocol mai bun. Pentru început, NetFlow consumă mai multe resurse (memorie și CPU) decât sFlow, ceea ce face ca sFlow să fie o opțiune mai atractivă pentru dispozitivele high-end. De asemenea, se pune problema cantității de informații necesare. Deși NetFlow poate colecta mai multe date, aveți cu adevărat nevoie de ele? Și, în plus, este instrumentul dumneavoastră de analiză capabil să le proceseze eficient?
Întrebarea crucială: Ar trebui să folosesc NetFlow sau sFlow?
Formularea întrebării este simplă, dar oferirea unui răspuns concis este dificilă. Așa cum am menționat anterior, multe instrumente de colectare și analiză pot gestiona atât datele NetFlow, cât și cele sFlow. Mai mult, numeroase dispozitive de rețea acceptă ambele protocoale, ceea ce face alegerea și mai complicată. Factorul decisiv ar trebui să fie compatibilitatea echipamentului dumneavoastră.
Dar este absolut necesar să alegeți? Atât NetFlow, cât și sFlow sunt sisteme eficiente. De ce să nu le utilizați pe amândouă, folosind un instrument de colectare și analiză compatibil? Astfel, puteți beneficia de date detaliate despre flux de la dispozitivele compatibile cu sFlow și de la cele compatibile cu NetFlow.
Ce facem, însă, cu dispozitivele care acceptă ambele protocoale? Multe dispozitive Cisco, de exemplu, permit utilizarea oricărui protocol. În aceste cazuri, recomandarea mea este de a utiliza sFlow, datorită consumului redus de resurse. Desigur, această recomandare nu se aplică dacă aveți nevoie de informații suplimentare pe care doar NetFlow le poate furniza.
Cele mai bune instrumente gratuite de colectare și analiză sFlow
Am efectuat o cercetare amănunțită pentru a identifica cele mai bune instrumente gratuite de colectare și analiză sFlow. Am găsit o varietate de opțiuni, unele fiind complet gratuite, în timp ce altele sunt software-uri comerciale care oferă versiuni de încercare gratuite sau versiuni gratuite limitate. Unele instrumente se concentrează exclusiv pe sFlow, în timp ce altele funcționează atât cu sFlow, cât și cu NetFlow, oferind o flexibilitate mai mare. Am evaluat fiecare dintre cele mai bune cinci instrumente și vă prezentăm descoperirile noastre. Iată lista celor mai bune cinci instrumente:
Colector și analizor SolarWinds sFlow
inMon sFlowTrend
ManageEngine NetFlow Analyzer
ntopng și nProbe
Plixer Scrutinizer
1. Colector și analizor SolarWinds sFlow (VERSIUNE DE ÎNCERCARE GRATUITĂ)
SolarWinds este un nume consacrat în domeniul managementului rețelelor. Compania dezvoltă unele dintre cele mai bune software-uri care ajută administratorii de rețea să obțină o vizibilitate sporită asupra activității echipamentelor lor. Produsul lor de bază este Network Performance Monitor.
SolarWinds este, de asemenea, recunoscută pentru crearea unei game extinse de instrumente gratuite și utile. Acestea includ calculatoare de adrese IP, care ajută începătorii să înțeleagă subrețelele și adresele de gazdă, precum și sisteme de monitorizare, deși limitate. Un astfel de produs, SolarWinds Real-Time Netflow Analyzer, a fost prezentat într-un articol anterior. Dacă doriți detalii suplimentare, vă recomand să îl consultați.
Cu toate acestea, articolul nostru de astăzi se concentrează pe sFlow, nu pe NetFlow. Deși SolarWinds nu oferă o variantă sFlow gratuită echivalentă cu analizorul NetFlow în timp real, oferă un colector și analizor sFlow ca parte a modulului său NetFlow Traffic Analyzer (NTA). NTA este un modul al Network Performance Monitor (NPM). Deși nici NTA, nici NPM nu sunt gratuite, este disponibilă o versiune de încercare gratuită de 3 zile. De fapt, SolarWinds oferă o perioadă de încercare de 30 de zile pentru majoritatea produselor sale, permițându-vă să le testați fără riscuri.
Link de descărcare: https://www.solarwinds.com/netflow-traffic-analyzer
Astfel, în ciuda denumirii sale, SolarWinds NetFlow Traffic Analyzer gestionează atât datele NetFlow, cât și datele sFlow. Acest aspect îl face o alegere excelentă pentru medii diverse, în care unele dispozitive acceptă un protocol, iar altele, un protocol diferit. Ca și colector sFlow, NTA va colecta orice date sFlow de la dispozitivele pe care le monitorizează.
Împreună, NPM și NTA oferă o gamă extinsă de funcționalități care ajută administratorii în gestionarea rețelelor cu mai mulți furnizori. Beneficiați de monitorizarea lățimii de bandă utilizând SNMP, analiza traficului, analiza performanței, alerte, raportare, optimizarea politicilor și multe altele.
În mod implicit, pagina de rezumat a NetFlow Traffic Analyzer afișează mai multe secțiuni, cum ar fi cele mai importante 5 aplicații, cele mai importante 5 puncte finale, cele mai importante 5 conversații sau cele mai importante 10 surse, ordonate în funcție de procentul de utilizare a lățimii de bandă. Ca analizor de flux, NTA poate identifica utilizatorii, aplicațiile și protocoalele care consumă cea mai mare lățime de bandă, permițând administratorilor să localizeze rapid cauza oricărei congestii. În plus, puteți sorta rezultatele în funcție de criterii diverse, cum ar fi portul, sursa, destinația, protocolul etc. De asemenea, aveți posibilitatea de a vizualiza modelele de trafic pe minute, zile sau luni.
Atât NTA, cât și NPM sunt software-uri de nivel enterprise, concepute pentru a se scala la rețele foarte mari, cu sute, chiar mii de dispozitive. Prin urmare, necesită resurse considerabile pe sistemul dumneavoastră și ar trebui instalate pe hardware dedicat. Cu toate acestea, dacă gestionați o astfel de rețea cu numeroase dispozitive compatibile cu sFlow, colectarea și analiza sFlow folosind NTA merită efortul. Deși configurarea inițială necesită timp și efort, beneficiile ulterioare sunt substanțiale.
2. inMon sFlowTrend
inMon, compania din spatele sFlow, oferă propriul instrument de monitorizare gratuit, denumit sFlowTrend. Este un instrument de bază, cu anumite limitări, dar capabil. Versiunea gratuită a software-ului vă permite să colectați date de la până la cinci comutatoare, routere sau gazde compatibile cu sFlow și păstrează datele istorice în RAM timp de până la o oră. Acesta ar trebui să fie un interval suficient pentru depanarea majorității problemelor de rețea. Dacă doriți funcții extinse, puteți face upgrade la versiunea Pro, care elimină limita de dispozitive și stochează datele istorice pe disc, desigur, la un cost suplimentar.
Fila sFlowTrend Dashboard oferă o prezentare generală a stării curente a dispozitivelor și rețelelor monitorizate, incluzând praguri de nivel superior și interfețe cu potențiale probleme. Când faceți clic pe fila Rețea, sFlowTrend afișează statistici de performanță rezumate și detalii despre trafic la nivel de rețea sau dispozitiv. Puteți defini praguri de alertare și puteți primi notificări atunci când este depășită utilizarea normală a lățimii de bandă sau când apare o eroare în rețea. Există, de asemenea, o filă dedicată analizei cauzei rădăcină, unde puteți investiga cauza unei probleme, cum ar fi o depășire a unui prag.
Fila Gazde conține informații detaliate despre fiecare dispozitiv, inclusiv date despre performanța rețelei, CPU, disc etc. pentru serverele sFlow, inclusiv cele virtuale. Sub fila Servicii, puteți găsi informații despre performanța aplicațiilor (inclusiv diferite servere web) care exportă date sFlow. Fila Evenimente oferă un jurnal al evenimentelor, cum ar fi pragurile depășite sau erorile detectate. În final, fila Rapoarte vă permite să accesați rapoarte predefinite și să creați rapoarte personalizate. Această filă este locul unde veți rula rapoartele și veți analiza rezultatele.
sFlowTrend este dezvoltat în Java și oferă o interfață de utilizator bazată atât pe Java, cât și pe web. Este disponibil pentru Windows, Macintosh și Linux. Există, de asemenea, o documentație online care vă ajută în configurarea și utilizarea instrumentului. sFlowTrend este o opțiune excelentă, în special pentru organizațiile mai mici care dispun de echipamente compatibile cu sFlow. Posibilitatea de a face upgrade la versiunea Pro îl face o alegere viabilă și pentru rețelele mai mari.
3. ManageEngine NetFlow Analyzer
Deși este în principal un colector și analizor NetFlow, ManageEngine NetFlow Analyzer poate gestiona și datagramele sFlow pe care dispozitivele dumneavoastră compatibile le trimit. Este un alt instrument excelent, dezvoltat de o companie renumită pentru instrumentele sale de management de înaltă calitate. Instrumentul vă oferă vizibilitate asupra traficului și lățimii de bandă în funcție de aplicație, conversație sau protocol. De asemenea, puteți seta alerte bazate pe pragurile de trafic.
ManageEngine NetFlow Analyzer oferă o gamă variată de rapoarte predefinite, utile pentru depanarea problemelor, planificarea capacității sau chiar facturarea, pentru organizațiile care își revând infrastructura. Evident, există și opțiunea de a crea rapoarte personalizate.
O caracteristică remarcabilă a tabloului de bord bazat pe web este o hartă termică care indică rapid starea interfețelor monitorizate, alături de diagrame circulare în timp real care evidențiază cele mai importante aplicații, protocoale și conversații, alarme recente și multe altele.
Versiunea gratuită vine cu limitări semnificative. De exemplu, deși permite monitorizarea nelimitată timp de 30 de zile, ulterior revine la monitorizarea a doar două interfețe. Deși acest lucru nu este mult, poate fi suficient pentru o sesiune rapidă de depanare, cu condiția să știți exact unde să căutați. Desigur, puteți face upgrade la versiunea plătită pentru a elimina restricția celor două interfețe. ManageEngine oferă, de asemenea, o serie de produse similare care pot fi integrate pentru a extinde analiza de bază a traficului într-o suită completă de gestionare a rețelei.
4. ntopng și nProbe
ntopng este un instrument open-source de analiză a traficului. Acesta monitorizează pasiv rețelele pe baza datelor de flux și a captării pachetelor. Fiind doar un analizor, ntopng se bazează pe nProbe (un colector) pentru a colecta date de flux de la dispozitivele și gazdele care le exportă. nProbe acceptă diverse tipuri de date de flux, inclusiv NetFlow și sFlow. Împreună, formează un duo puternic pentru monitorizare și depanare.
ntopng oferă o interfață web unde informațiile sunt prezentate în moduri diferite, cum ar fi traficul (de exemplu, cei mai mari consumatori), fluxurile, gazdele, dispozitivele și interfețele. Afișarea fluxurilor este deosebit de utilă, deoarece prezintă protocoalele de aplicație și poate afișa latența sau alte statistici TCP, cum ar fi pierderile de pachete. De asemenea, puteți utiliza ntopng pentru a seta alerte bazate pe mai multe praguri și criterii.
ntopng este disponibil în trei versiuni: Community, Professional și Enterprise. Versiunea Community este gratuită, în timp ce versiunile Professional și Enterprise oferă caracteristici suplimentare și sunt disponibile pentru achiziție.
În ceea ce privește nProbe, acesta poate fi utilizat gratuit, dar este limitat la 25.000 de fluxuri exportate. Deși acest număr poate părea mare, veți ajunge rapid la această limită. Puteți elimina restricțiile prin achiziționarea unei licențe.
5. Plixer Scrutinizer
Scrutinizer de la Plixer este un „Sistem de răspuns la incident” foarte sofisticat, conform site-ului web al Plixer. Dar dincolo de numele fantezist, Scrutinizer este, în esență, un sistem excelent de monitorizare a rețelei. Este foarte detaliat și cuprinzător și, foarte important pentru acest articol, gestionează atât datele sFlow, cât și NetFlow.
Scrutinizer oferă una dintre cele mai scalabile soluții de pe piață. Este recunoscut pentru viteza sa de raportare și pentru contextul bogat al datelor furnizate. Oferă acces bazat pe roluri, astfel încât diferitele echipe să aibă acces doar la datele relevante. Scrutinizer este proiectat pentru performanță ridicată și scalabilitate, de la medii mici la medii foarte mari, oferind o gamă largă de funcții de analiză și raportare.
Scrutinizer poate fi configurat în mai multe moduri. Îl puteți instala ca un echipament dedicat sau ca un server virtual. De asemenea, poate fi utilizat ca software ca serviciu, rulând în cloud, fie în cloud-ul public al Plixer, fie într-unul privat. Este un sistem extins care necesită resurse semnificative. Instalarea ar trebui făcută pe un server robust, cu cel puțin 16 GB de RAM.
Scrutinizer este disponibil în patru niveluri diferite de licență. Există versiunea gratuită (care nu este o versiune de încercare, ci o versiune gratuită reală) care suportă până la 10.000 de fluxuri pe secundă și păstrează datele de flux timp de 5 ore și datele istorice timp de o săptămână. Ulterior, există trei versiuni plătite, care diferă în funcție de numărul de fluxuri pe secundă acceptate și de durata de stocare a datelor istorice. În plus, fiecare nivel superior oferă funcții suplimentare, pe lângă setul deja generos de caracteristici.
Concluzie
Dacă rețeaua dumneavoastră este formată în principal din dispozitive compatibile cu sFlow, există o serie de instrumente excelente care vă pot oferi o perspectivă prețioasă asupra comportamentului rețelei. Dacă aveți atât dispozitive sFlow, cât și dispozitive NetFlow, există instrumente care acceptă ambele protocoale. Alegerea finală va depinde de dimensiunea rețelei, de protocoalele acceptate de dispozitivele dumneavoastră și de evoluția estimată a rețelei. Configurate corect, aceste instrumente vă oferă o vizibilitate esențială și vă ajută să gestionați performanța rețelei în mod eficient.