sFlow – Guida definitiva agli analizzatori sFlow e sFlow

sFlow è un protocollo di campionamento dei pacchetti senza stato che ha lo scopo di monitorare le reti ad alta velocità. La "s" nel nome è significativa: campionamento. Tuttavia, la parte "Flow" può essere fuorviante: sFlow funziona solo in termini di pacchetti, non ha alcuna idea di aggregare pacchetti in "flussi" di livello superiore.

Ecco la nostra lista di i migliori collettori e analizzatori sFlow:

1. Collettore e analizzatore di SolarWinds sFlow (PROVA GRATUITA) - Un monitor sFlow che fa parte dell'analizzatore di traffico Netwlow di Solarwinds. Funziona su Windows Server.
2. Paessler PRTG Network Monitor (PROVA GRATUITA) - Uno strumento di analisi del traffico che fa parte di un sistema di monitoraggio della rete molto più ampio. Funziona su Windows Server.
3. inMon sFlowTrend - Nelle versioni gratuite ea pagamento, questi strumenti di monitoraggio della rete sono prodotti dai creatori dello standard sFlow.
4. ManageEngine NetFlow Analyzer - Un sistema di monitoraggio del traffico che copre gli standard NetFlow e IPFIX. Funziona su Windows Server e Linux.
5. ntopng e nProbe - Due strumenti di analisi del traffico di rete che utilizzano gli standard NetFlow e sFlow.
6. Scrutinizer Plixer - Un analizzatore del flusso di traffico incentrato su problemi di sicurezza. Disponibile per l'accesso online o l'installazione locale.

Lo standard sFlow è stato creato da InMon Corporation ed è stato reso pubblico nel 2001 attraverso la pubblicazione di RFC 3176. InMon ha consegnato la gestione dello standard a un consorzio industriale, chiamato sFlow.org nel 2003. Oggi molti fornitori supportano sFlow nei propri dispositivi . sFlow fornisce campionamenti di pacchetti per scopi generici, che vanno dai livelli 2 a 7, ed è progettato per essere integrato in qualsiasi dispositivo di rete. Un esportatore di sFlow raccoglie semplicemente i prefissi di un sottoinsieme dei pacchetti che passano attraverso il dispositivo. L'esportatore campiona uno su ogni n pacchetti, dove "n" è la frequenza di campionamento scelta; seleziona anche alcuni pacchetti casuali da includere. Raccoglie i byte iniziali di tutti i pacchetti campionati in datagrammi sFlow, insieme ai contatori di dispositivi, e invia i datagrammi UDP risultanti al raccoglitore. Non esiste quindi alcuna cache di flusso sul dispositivo. Una caratteristica chiave di sFlow è che la strategia di campionamento è scalabile in reti ad alta velocità; più su quello qui sotto.

Utilizzo di sFlow per il monitoraggio del traffico di rete

Quando la rete della tua organizzazione si comporta in modo strano, come fai a sapere cosa sta succedendo al suo interno? Se hai solo pochi segmenti collegati da una manciata di switch o router - come una semplice rete SOHO (Small Office / Home Office) - potresti andare bene con strumenti di monitoraggio della rete di base, come quelli più semplici tra i nostri elenchi dei migliori sniffer di pacchetti e analizzatori di rete e il miglior software gratuito di monitoraggio della larghezza di banda. Quando la tua organizzazione fa affidamento e sviluppa una complessa rete ad alte prestazioni, hai bisogno di un aiuto più potente.

In che modo sFlow è diverso da NetFlow?

Lo standard di messaggistica di rete sFlow è gestito e sviluppato da un'organizzazione indipendente senza fini di lucro, controllata da numerosi produttori di apparecchiature di rete e software. L'etica alla base di questa amministrazione mira a rompere il dominio di un fornitore di apparecchiature di rete e creare uno standard universale: NetFlow è di proprietà di Cisco Systems. Il sistema di messaggistica sFlow è simile a NetFlow in quanto crea un formato per le notifiche generate dalle apparecchiature di rete e che possono essere rilevate dal software di monitoraggio.

Perché usare uno strumento sFlow?

Quando sei responsabile del mantenimento della rete e del buon funzionamento, non può essere una scatola nera per te. Hai bisogno di visibilità. Se la tua rete sta diventando più grande o più complessa, potresti aver bisogno di strumenti per il monitoraggio della rete e l'analisi del traffico. Gli strumenti di monitoraggio e analisi aiutano a diagnosticare e risolvere i problemi. Ti forniscono avvisi tempestivi di problemi e forniscono la visibilità e le informazioni storiche necessarie per la pianificazione della rete. I dispositivi di rete di livello aziendale, così come molti sistemi operativi host, dispongono di strutture di monitoraggio della rete integrate che raccolgono le metriche chiave per te e le inoltrano agli strumenti di analisi. I protocolli più comuni per questo sono Flusso netto e sFlow. Guardiamo i migliori analizzatori e collezionisti NetFlow gratuiti in un altro post. In questo post, esamineremo i migliori collettori e analizzatori sFlow gratuiti. Correlati: NetFlow - Guida definitiva agli analizzatori NetFlow e NetFlow

Cosa fa un analizzatore sFlow?

Il componente di monitoraggio di sFlow si concentra sul campionamento dei pacchetti di rete piuttosto che sulla raccolta di tutto il traffico in transito per un certo periodo. La logica alla base di questa strategia è che qualsiasi traffico eccessivo sarà visibile a intervalli regolari come in una copia continua del traffico di rete. L'amministratore seleziona la frequenza di campionamento. Se un'applicazione sta generando il 50 percento di tutto il traffico di rete, tale statistica verrà comunque derivata se si raccoglie solo ogni decimo o ogni centesimo pacchetto. I dati raccolti da sFlow occupano meno spazio di archiviazione, utilizzano meno memoria ed è più veloce da ordinare rispetto ai dump di dati utilizzati per NetFlow. La tecnica sFlow è preferibile per le reti ad alta velocità. Oltre a copiare le versioni troncate dei pacchetti che viaggiano sulla rete, un analizzatore sFlow raccoglie contatori e dati statistici generati dalle apparecchiature di rete.

Tipi ed estensioni di sFlow

sFlow v5 aggiunge la possibilità di esportare i dati relativi all'host e all'applicazione insieme ai prefissi e ai contatori dei pacchetti. Tutte le estensioni dipendono dall'avere hardware che le supporti, dal software di sistema corretto e dalle console dell'analizzatore che funzioneranno con esse.

I migliori collettori e analizzatori sFlow

1. Collettore e analizzatore di SolarWinds sFlow (PROVA GRATUITA)

SolarWinds produce una suite di prodotti per il monitoraggio e la gestione completi della rete. Per NetFlow offrono uno strumento gratuito, l'analizzatore di traffico NetFlow in tempo reale, che abbiamo esaminato come parte dei migliori analizzatori NetFlow gratuiti. SolarWinds non offre uno strumento sFlow libero parallelo. SolarWinds sFlow Collector and Analyzer è una funzionalità di NetFlow Traffic Analyzer (NTA) che è un modulo in Network Performance Monitor (NPM). NTA e NPM non sono gratuiti, ma entrambi sono disponibili in una prova completamente funzionale di 30 giorni. LINK: PROVA GRATUITA PER IL MONITOR DELLE PRESTAZIONI DELLA RETE SOLARWINDS Una volta installati, NPM e NTA offrono una vasta gamma di servizi sofisticati per la gestione di reti multi-vendor: monitoraggio della larghezza di banda, analisi del traffico di rete, analisi delle prestazioni, avvisi, report personalizzabili, ottimizzazione delle policy, ecc.. I display di NetFlow Traffic Analyzer sono elencati in Dashboard. Nonostante il nome, NetFlow Traffic Analyzer è in grado di gestire sia NetFlow che sFlow. Come raccoglitore sFlow, raccoglie i dati di flusso esportati dai dispositivi abilitati sFlow monitorati dal software di monitoraggio della rete SolarWinds.

Riepilogo predefinito NTA.

Il riepilogo predefinito di NetFlow Traffic Analyzer ha più sezioni simili Le 5 migliori applicazioni, Primi 5 endpoint, Le 5 migliori conversazioni, Primi 10 fonti per% di utilizzo, eccetera.

Osservando i modelli di traffico nel tempo.

Come analizzatore sFlow, NTA identifica gli utenti, le applicazioni e i protocolli che consumano più larghezza di banda. È possibile ordinare per porte, origine, destinazione e protocolli e visualizzare i modelli di traffico di rete in minuti, giorni o mesi. NTA e NPM sono pacchetti di livello aziendale, quindi anche la prova gratuita consumerà considerevoli risorse sul tuo sistema. Se disponi di una rete sofisticata con dispositivi abilitati per sFlow, vale la pena esplorare le funzionalità sFlow di NTA. ULTERIORI INFORMAZIONI SUL SITO UFFICIALE SOLARWINDS: www.solarwinds.com/netflow-traffic-analyzer/ SolarWinds NetFlow Traffic Analyzer Scarica la versione di prova GRATUITA di 30 giorni su SolarWinds.com

2. Paessler PRTG Network Monitor (PROVA GRATUITA)

Paessler PRTG Network Monitor è una soluzione "batterie incluse" che monitora il traffico di rete, l'utilizzo della larghezza di banda, la disponibilità e l'integrità dei dispositivi sulla rete e altro ancora. La versione gratuita fornisce sensori illimitati per un mese, e successivamente è limitata a 100 sensori; un sensore è un flusso di dati individuale, quindi ogni dispositivo sulla rete richiederà in genere diversi sensori.

La struttura ad albero dei dispositivi di PRTG

Nell'interfaccia utente di PRTG, una vista principale è l'albero dei dispositivi che mostra tutti i dispositivi e i sensori che monitorano ciascuno. I dispositivi includono firewall, router, punti di accesso, server, workstation, server virtuali, archiviazione, ecc. L'albero dei dispositivi è integrato da visualizzazioni di tabelle di sensori, registri e allarmi, nonché da vari grafici e diagrammi per la larghezza di banda, ecc. Le tabelle possono essere ordinati e filtrati. Il drill-down nella visualizzazione ad albero rivela indicatori e metriche a tutti i livelli. Gli avvisi possono essere impostati a tutti i livelli, in modo da poter organizzare la notifica di eventi e le transizioni di soglia di un determinato dispositivo critico, oppure arrotolarli da un aspetto generale della rete. Gli avvisi possono essere trasmessi in più modi, inclusi e-mail SMTP e messaggi di testo SMS. Sensore sFlow Le strutture di analisi del traffico includono il supporto NetFlow integrato. Per i protocolli di flusso, PRTG supporta NetFlow, sFlow e J-Flow. Altri protocolli / meccanismi utilizzati includono SNMP, WMI e sniffing dei pacchetti.

Esempio di mappa personalizzata per i dati di flusso.

L'astrazione di dispositivi e sensori modella anche i cruscotti e i report. È possibile creare dashboard personalizzate, incluse mappe interattive. Esiste una gamma di report predefiniti e strutture per la progettazione di report personalizzati; i rapporti possono anche essere programmati. L'installazione è semplice. Esiste una procedura guidata di installazione e un video che fornisce istruzioni dettagliate. Al momento dell'installazione, il probe locale del server principale esegue il rilevamento automatico per identificare i dispositivi e impostare i sensori. Sebbene PRTG sia all-in-one, quindi non hai bisogno di più prodotti e licenze per ottenere un monitoraggio completo, una domanda chiave da valutare è di quanti sensori ha bisogno la tua rete e quale sarà il costo a lungo termine del sensore basato modello di licenza man mano che cresci. PRTG Network Monitor di Paessler Scarica la versione di prova GRATUITA di 30 giorni su Paessler.com

3. inMon sFlowTrend

sFlowTrend è uno strumento di monitoraggio di rete e server di base ma capace di inMon, i creatori di sFlow. La versione gratuita di sFlowTrend accetta i dati sFlow da un massimo di cinque switch / router o host e mantiene solo un'ora di cronologia nella RAM. La versione pro non limita il numero di host e switch monitorati e memorizza la cronologia su disco. Lo strumento è implementato in Java e fornisce un'interfaccia utente basata su Java o Web. La guida in linea fornisce istruzioni dettagliate per la configurazione dello strumento.

Cruscotto di sFlowTrend con schede chiave.

Il Pannello di controllo La scheda offre una panoramica dello stato corrente della rete e degli host monitorati, comprese le soglie di livello superiore e le interfacce con potenziali errori. Sul Rete scheda, sflowTrend mostra le statistiche delle prestazioni come riepiloghi e dettagli del traffico a livello di rete o dispositivo. Puoi definire soglie per ricevere avvisi quando si verificano livelli anomali di traffico di rete o errori. Sul Rete > Causa ultima scheda è possibile esplorare la causa di un'anomalia del traffico come una violazione della soglia. Il host La scheda fornisce dati di prestazioni tabulari e grafici su rete, CPU, disco, ecc., per server - inclusi server virtuali - che esportano dati sFlow. Il Servizi La scheda fornisce le metriche delle prestazioni per le applicazioni (inclusi vari server Web) che esportano i dati di sFlow.

La visualizzazione dell'host può mostrare le prestazioni della rete.

Il eventi scheda fornisce un registro di eventi quali soglie attraversate o errori rilevati. Il Rapporti La scheda consente di accedere a report predefiniti, supporta la definizione di report personalizzati e consente di eseguire report e visualizzare i risultati. sFlowTrend è uno strumento semplice che offre molto alle organizzazioni più piccole i cui dispositivi di rete, host e servizi sono abilitati per sFlow.

4. ManageEngine NetFlow Analyzer

Abbiamo già analizzato in dettaglio le funzionalità di NetFlow Analyzer di ManageEngine. NetFlow Analyzer offre visibilità sul traffico di rete e larghezza di banda per applicazione, conversazione, protocollo, ecc .; ti consente di impostare avvisi basati sulle soglie del traffico di rete; e ha una varietà di utili rapporti fissi, che vanno dal supporto per la risoluzione dei problemi alla pianificazione della capacità e fatturazione, nonché alle strutture per la creazione di rapporti personalizzati. ManageEngine NetFlow Analyzer può anche gestire sFlow. È possibile abilitare sFlow sulle interfacce dei dispositivi abilitati per sFlow e NetFlow Analyzer raccoglierà e analizzerà le informazioni di sFlow. La dashboard predefinita basata sul web include una mappa di calore che mostra lo stato delle interfacce monitorate e diversi grafici a torta in tempo reale che riepilogano le applicazioni principali, i protocolli principali, le conversazioni principali, gli allarmi recenti, il QoS principale e altro ancora. Sono state rilevate specifiche visualizzazioni delle anomalie di sicurezza.

Cruscotto dell'analizzatore ManageEngine NetFlow.

La versione gratuita consente un monitoraggio illimitato per 30 giorni, ma torna al monitoraggio solo di due interfacce. È possibile passare a una varietà di prodotti correlati per espandersi oltre l'analisi del traffico in una suite di gestione della rete completa.

5. ntopng e nProbe

Lo strumento di analisi del traffico di rete open source ntopng esegue un monitoraggio passivo della rete basato su dati di flusso e acquisizione di pacchetti; utilizza nProbe per la raccolta di dati di flusso da dispositivi e host che li esportano. In precedenza abbiamo esaminato le funzionalità di ntopng e nProbe per il monitoraggio e l'analisi di NetFlow. Possono anche gestire sFlow. L'interfaccia utente basata su Web di ntopng effettua il rollup dei dati nel traffico di rete (ad esempio, i migliori oratori), i flussi, gli host, i dispositivi e le interfacce. Il display del flusso mostra i protocolli applicativi (ad es. Facebook, YouTube) e può elencare le latenze e le statistiche TCP (ad es. Perdita di pacchetti). È possibile impostare avvisi in base a numerosi criteri.

visualizzazione di ntopng dei flussi attuali.

nProbe può essere testato gratuitamente ma è limitato a 25000 flussi esportati. Puoi ottenere le versioni meno limitate di ntopng e nProbe acquistando le licenze. Le organizzazioni educative e no profit possono beneficiare di licenze gratuite.

6. Scrutinizer Plixer

Plixer Scrutinizer (R) è un sofisticato sistema di analisi del traffico di rete orientato al flusso, con particolare attenzione alla sicurezza forense (si chiama "Scrutinizer Incident Response System"). Supporta sia NetFlow che sFlow. Scrutinizer può essere installato come dispositivo fisico dedicato, come macchina virtuale in esecuzione su un server o come soluzione SaaS in esecuzione nel cloud (pubblica o ibrida). È un sistema sofisticato, quindi anche la versione di prova gratuita su una macchina virtuale richiede risorse considerevoli (ad esempio, 16 GB di RAM dedicati).

Dashboard scrutinizer.

Scrutinizer è progettato per prestazioni elevate e scalabilità da ambienti piccoli a molto grandi. Fornisce una vasta gamma di funzionalità di analisi e reportistica. La versione di prova include l'accesso completo per 30 giorni. Successivamente, la versione gratuita ha un limite di 10.000 flussi raccolti al secondo, cinque ore di flussi non elaborati e una settimana di riepiloghi storici mantenuti. La versione a pagamento include notifiche, personalizzazione della dashboard, report personalizzati, report e-mail pianificati e supporto. Il prezzo della licenza dipende dalla piattaforma scelta e dal numero di esportatori di flussi da supportare.

Conclusione

Se i dispositivi installati supportano principalmente sFlow, esistono diversi strumenti eccellenti per il monitoraggio della rete e l'analisi del traffico, comprese le opzioni gratuite. Come al solito, la tua scelta finale dipende dalle dimensioni e dalla complessità della tua rete e da come prevedi che si evolverà in futuro.