Razumevanje sFlow-a: Vodič za Analizu Mrežnog Saobraćaja
Analiza tokova predstavlja novu eru u monitoringu mreže. Administratorima i menadžerima pruža dublji uvid, ne samo u količinu saobraćaja, već i u njegovu prirodu. Ova vidljivost je ključna pri rešavanju uskih grla, usporenja i drugih mrežnih problema, kao i za planiranje kapaciteta. U ovom članku, fokusiramo se na najbolje besplatne sFlow kolektere i analizatore. sFlow, iako sličan Cisco-ovom NetFlow-u ili njegovom open-source pandanu IPFIX-u, ima svoje specifičnosti i nudi detaljan pogled na mrežne aktivnosti.
Postoji više metoda za praćenje aktivnosti na mreži. Simple Network Management Protocol (SNMP) omogućava čitanje brojila na uređajima i izračunavanje iskorišćenosti propusnog opsega po interfejsu. Za manje mreže, ovo može biti dovoljno. Pored toga, ping, traceroute i netstat alati pomažu u osnovnom rešavanju problema. Međutim, za sveobuhvatnu analizu, analiza tokova je nezamenjiva.
U ovom članku ćemo se baviti sFlow-om, njegovim funkcionisanjem i prednostima, poredeći ga sa NetFlow-om, njegovim dalekim rođakom. Iako se sFlow i NetFlow kolekteri i analizatori često koriste zajedno, oni su po svojoj prirodi različiti. Zatim ćemo predstaviti pet najboljih besplatnih sFlow kolektera i analizatora dostupnih na tržištu.
Šta je sFlow?
„S“ u nazivu sFlow označava „uzorkovanje“. Ovo je ključna karakteristika njegovog rada i glavna razlika u odnosu na druge sisteme za analizu protoka. Većina sFlow procesa odvija se unutar samih nadziranih uređaja. Zato je sFlow efikasan samo na kompatibilnim uređajima, kojih je, srećom, mnogo, naročito kod vodećih proizvođača mrežne opreme.
Iako standard sada održava sFlow.org konzorcijum, sFlow je originalno delo inMon korporacije, koja i dalje ima kontrolu nad razvojem sistema. Glavni proizvođači opreme kao što su Alcatel-Lucent, Brocade, Aruba, Cisco, Dell, Hewlett Packard, IBM i drugi, ugrađuju sFlow podršku u svoju mrežnu opremu. Zapravo, preko 300 proizvođača uključuje sFlow u svoje proizvode.
Primarni cilj sFlow-a je nadzor mreža visokih brzina. To je protokol za uzorkovanje paketa bez stanja. Iako naziv protokola može da zbuni, sFlow zapravo ne agregira pakete podataka u tokove višeg nivoa, već se bavi isključivo paketima.
U osnovi, sFlow vrši opšte uzorkovanje paketa koje obuhvata sve slojeve do 7. Uređaj sa sFlow izvoznikom prikuplja prefikse iz podskupa svih paketa koji prolaze kroz interfejs. Podešavanje brzine uzorkovanja omogućava menadžerima da odaberu uzorkovanje jednog paketa na svakih N paketa. Izvoznik takođe bira nasumične pakete. Izvoznik zatim sastavlja početne bajtove svakog uzorkovanog paketa zajedno sa brojilima uređaja i šalje ga sFlow kolektoru kao sFlow datagram koristeći UDP. Uređaj ne kešira podatke ili uzorkovane pakete, što smanjuje potrošnju resursa i olakšava prilagođavanje mrežama velike brzine.
sFlow vs. NetFlow: Ključne Razlike
Iako su im nazivi slični i mnogi kolektori i analizatori rade sa oba protokola, NetFlow i sFlow se značajno razlikuju, posebno u načinu na koji izvršavaju svoje zadatke.
Avi Freedman, suosnivač i izvršni direktor kompanije Kentik, pravi analogiju sa praćenjem saobraćaja na putevima da objasni razliku: „Dok se NetFlow može opisati kao praćenje obrazaca saobraćaja (‘Koliko je autobusa prešlo odavde do tamo?’), sa sFlow-om samo pravite snimke svih automobila ili autobusa koji prolaze u datom trenutku.“ Ova analogija je korisna, ali je i pomalo zavaravajuća jer može da navede nekoga da pomisli da NetFlow pruža više informacija od sFlow-a i da je stoga bolji.
Iako je verovatno tačno da se dobija više informacija od NetFlow-a, to ne znači nužno da je on bolji protokol. NetFlow zahteva više resursa (memorije i CPU) od sFlow-a, što sFlow čini atraktivnijom opcijom za uređaje nižeg ranga. Takođe, postavlja se pitanje da li je previše informacija zaista korisno. NetFlow može da prikupi više informacija, ali da li su one zaista neophodne i da li ih vaš analizator može iskoristiti?
Koji protokol odabrati: NetFlow ili sFlow?
Odgovor na ovo pitanje nije jednostavan. Mnogi kolektori i analizatori podržavaju oba protokola, kao i mnogi mrežni uređaji, što otežava odluku. Glavni faktor bi trebalo da bude podrška opreme koju koristite.
Međutim, zašto ne biste koristili oba? I NetFlow i sFlow su izvanredni sistemi. Možete koristiti kolektor i analizator koji podržavaju oba protokola. Tako ćete dobiti detaljne podatke o protoku sa svih uređaja, bez obzira na protokol koji podržavaju.
Šta je sa uređajima koji podržavaju oba protokola? U takvim situacijama, preporučujem korišćenje sFlow-a zbog manje potrošnje resursa, osim ako su vam dodatne informacije koje nudi NetFlow zaista neophodne.
Najbolji Besplatni Kolektori i Analizatori Protokola
Istražili smo tržište u potrazi za najboljim besplatnim sFlow kolektorima i analizatorima. Neki od njih su potpuno besplatni, dok drugi nude besplatne probne ili smanjene verzije. Neki podržavaju samo sFlow, dok drugi rade i sa NetFlow-om, što ih čini još raznovrsnijim. U nastavku su naši nalazi o pet najboljih paketa:
| SolarWinds sFlow Collector and Analyzer |
| inMon sFlowTrend |
| ManageEngine NetFlow Analyzer |
| ntopng i nProbe |
| Plixer Scrutinizer |
1. SolarWinds sFlow Collector and Analyzer (Besplatna probna verzija)
SolarWinds je poznato ime u upravljanju mrežom. Njihov vodeći proizvod je Network Performance Monitor.
SolarWinds je takođe poznat po svojim besplatnim i korisnim alatima. Jedan od tih proizvoda, SolarWinds Real-Time Netflow Analyzer, je već bio predstavljen.
Iako SolarWinds nema besplatan sFlow ekvivalent svom NetFlow analizatoru u realnom vremenu, on ima sFlow kolektor i analizator kao deo svog NetFlow Traffic Analyzer-a (NTA), koji je modul monitora mrežnih performansi (NPM). Iako NTA i NPM nisu besplatni, dostupna je besplatna 30-dnevna probna verzija.
Link za preuzimanje: https://www.solarwinds.com/netflow-traffic-analyzer
SolarWinds NetFlow Traffic Analyzer, uprkos svom imenu, obrađuje i NetFlow i sFlow podatke, što ga čini idealnim za raznovrsna okruženja. NTA prikuplja sve sFlow podatke sa nadziranih uređaja.
NPM i NTA imaju impresivan niz funkcionalnosti, uključujući praćenje propusnog opsega sa SNMP-om, analizu saobraćaja, analizu performansi, upozorenja, izveštavanje, optimizaciju politike i još mnogo toga.
Podrazumevana stranica sa rezimeom NetFlow Traffic Analyzer-a prikazuje 5 najboljih aplikacija, 5 najboljih krajnjih tačaka, 5 najboljih razgovora ili 10 najboljih izvora prema iskorišćenosti propusnog opsega. On može da identifikuje korisnike, aplikacije i protokole koji troše najviše propusnog opsega i omogućava vam da sortirate rezultate prema različitim kriterijumima. Takođe omogućava pregled obrazaca saobraćaja u minutima, danima ili mesecima.
NTA i NPM su softveri za preduzeća i dizajnirani su za skaliranje do veoma velikih mreža, ali zahtevaju značajne resurse. Preporučuje se instalacija na namenskom hardveru. Ako upravljate takvom mrežom, vredi isprobati NTA sFlow prikupljanje i analizu.
2. inMon sFlowTrend
inMon, kompanija koja stoji iza sFlow-a, nudi svoj besplatan alat za praćenje, sFlowTrend softver. To je osnovni i donekle ograničen, ali vrlo sposoban alat. Besplatna verzija omogućava prikupljanje podataka sa do pet prekidača, rutera ili hostova sa omogućenim sFlow-om i čuva istorijske podatke u RAM-u do sat vremena. Za većinu problema sa mrežom, to bi trebalo biti dovoljno. Pro verzija uklanja ograničenje broja uređaja i čuva istorijske podatke na disku.
sFlowTrend Dashboard pruža brzi pregled stanja nadgledanih uređaja i mreža, uključuje pragove najvišeg nivoa i interfejse sa potencijalnim greškama. Kartica Network otkriva zbirnu statistiku učinka i detaljan saobraćaj na nivou mreže ili uređaja. Mogu se definisati pragovi upozorenja. Kartica Root Cause omogućava detaljnije istraživanje uzroka problema.
Kartica Hosts nudi detaljne informacije o svakom uređaju, uključujući podatke o mrežnim performansama, CPU-u, disku itd. Kartica Services prikazuje podatke o performansama aplikacija koje izvoze sFlow podatke. Kartica Events sadrži zapise događaja, a kartica Reports nudi nekoliko unapred definisanih izveštaja, kao i mogućnost kreiranja prilagođenih izveštaja.
sFlowTrend je napisan u Javi i dostupan je za Windows, Macintosh i Linux. Poseduje korisnički interfejs zasnovan na Javi ili vebu. To je odličan alat, posebno za manje organizacije, a mogućnost nadogradnje na pro verziju ga čini odličnim izborom i za veće mreže.
3. ManageEngine NetFlow Analyzer
Iako je prvenstveno NetFlow kolektor i analizator, ManageEngine NetFlow Analyzer će obrađivati i sFlow datagrame. To je još jedan kvalitetan softver koji pruža vidljivost saobraćaja i propusnog opsega po aplikaciji, razgovoru ili protokolu. Takođe možete podešavati upozorenja na osnovu pragova saobraćaja.
ManageEngine NetFlow Analyzer dolazi sa velikim brojem unapred definisanih izveštaja za rešavanje problema, planiranje kapaciteta, ili za potrebe naplate. Naravno, postoji i mogućnost kreiranja prilagođenih izveštaja.
Jedinstvena karakteristika kontrolne table je toplotna mapa koja prikazuje status nadgledanih interfejsa, kao i kružne grafikone u realnom vremenu.
Besplatna verzija omogućava neograničeno praćenje tokom 30 dana, a zatim se vraća na praćenje samo dva interfejsa. Možete nadograditi na plaćenu verziju da biste uklonili ograničenje. ManageEngine takođe nudi dodatne proizvode koji se mogu integrisati za sveobuhvatnu analizu saobraćaja.
4. ntopng i nProbe
ntopng je moćan open-source alat za analizu saobraćaja. On pasivno nadgleda mreže na osnovu podataka protoka i hvatanja paketa. ntopng, kao analizator, oslanja se na nProbe – kolekator – za prikupljanje podataka o toku sa uređaja i hostova. nProbe podržava različite tipove podataka o toku, uključujući NetFlow i sFlow. Zajedno, ovi alati čine moćan duo za praćenje i rešavanje problema.
ntopng ima korisnički interfejs zasnovan na vebu, gde su informacije predstavljene na nekoliko načina, kao što su saobraćaj, tokovi, hostovi, uređaji i interfejsi. Prikaz toka je posebno koristan jer prikazuje protokole aplikacija i može da prikaže kašnjenje ili druge TCP statistike. Takođe možete da podešavate upozorenja na osnovu različitih pragova i kriterijuma.
ntopng je dostupan u tri verzije: Community, Professional i Enterprise. Community verzija je besplatna. nProbe je besplatan za upotrebu, ali je ograničen na 25000 izvezenih tokova. Ograničenje se može ukloniti kupovinom licence.
5. Plixer Scrutinizer
Scrutinizer iz Plixer-a je sofisticiran „Sistem za reagovanje na incidente“. Međutim, on je pre svega odličan sistem za praćenje mreže. Veoma je detaljan i radi sa sFlow i NetFlow podacima.
Scrutinizer nudi jedno od najskalabilnijih rešenja na tržištu, sa brzim izveštavanjem i bogatim kontekstom podataka. Dizajniran je za visoke performanse i skalabilnost, od malih do veoma velikih okruženja. Nudi širok spektar funkcija za analizu i izveštavanje.
Scrutinizer se može instalirati kao namenski uređaj, virtuelni server ili softver kao servis u oblaku. To je veliki sistem koji zahteva značajne resurse (na primer, 16 GB RAM-a).
Scrutinizer je dostupan na četiri različita nivoa licenciranja. Besplatna verzija podržava do 10 hiljada tokova u sekundi, čuva podatke o toku 5 sati i istorijske skupne podatke nedelju dana. Viši nivoi plaćenih verzija nude podršku za veći broj tokova i duže čuvanje istorijskih podataka, kao i dodatne funkcije.
Zaključak
Ako se vaša mreža sastoji od uređaja koji podržavaju sFlow, na raspolaganju su vam odlični alati za sticanje uvida u ponašanje vaše mreže. Ako imate i uređaje koji podržavaju sFlow i NetFlow, odaberite alat koji podržava oba protokola. Konačni izbor zavisiće od veličine vaše mreže, podržanih protokola i očekivanog razvoja mreže. Pravi izbor od samog početka može vas poštedeti komplikovane zamene u budućnosti.