A análise de fluxo é a nova onda no monitoramento de rede. Ele permite que administradores e gerentes tenham uma visão mais clara não apenas de quanto tráfego está acontecendo, mas também de que tipo de tráfego. E ao depurar gargalos, lentidão ou todos os tipos de problemas de rede, ter essa visibilidade é essencial. E não é apenas para depuração, ter uma visibilidade clara também é importante para o planejamento de capacidade. Hoje, vamos dar uma olhada nos melhores coletores e analisadores sFlow gratuitos do mercado. Semelhante ao NetFlow da Cisco ou seu IPFIX descendente aberto, mas ao mesmo tempo muito diferente, o sFlow – um protocolo (quase) independente do fornecedor – pode fornecer aos administradores de rede uma visão detalhada do que está acontecendo em suas redes.
Existem várias maneiras de obter algum grau de visibilidade sobre o que está acontecendo em sua rede. O Simple Network Management Protocol ou SNMP pode ser usado para ler o contador nos dispositivos e calcular a utilização da largura de banda de cada interface. Isso pode ser suficiente para redes menores. Ping, traceroute (ou tracert), nmap e netstat podem ajudar na solução de problemas básicos, mas, para uma visão completa, nada supera a análise de fluxo.
Neste artigo, começaremos discutindo o que é sFlow, como funciona e como pode ser útil. Também vamos compará-lo ao NetFlow, que é um primo distante do sFlow. Embora os coletores e analisadores sFlow e NetFlow sejam geralmente a mesma coisa, você verá que eles são realmente muito diferentes. Em seguida, prosseguiremos com nossos cinco melhores coletores e analisadores sFlow gratuitos.
últimas postagens
O que é sFlow
O “S” em sFlow significa “amostragem”. Isso é crucial para o seu funcionamento e, como veremos em breve, é como ele se diferencia de outros sistemas de análise de fluxo. A maior parte da mágica do sFlow acontece dentro dos próprios dispositivos monitorados. É por isso que só funcionará em dispositivos habilitados para sFlow. Felizmente, existem muitos desses dispositivos, especialmente entre os principais fabricantes de equipamentos de rede.
Embora o consórcio sFlow.org agora mantenha o padrão, o sFlow é uma criação da corporação inMon que ainda exerce um controle quase absoluto sobre a evolução do sistema. Os principais fabricantes de equipamentos, como Alcatel-Lucent, Brocade, Aruba, Cisco, Dell, Hewlett Packard, IBM e muitos outros, incluem suporte a sFlow em muitos de seus equipamentos de comutação. Na verdade, mais de 300 fabricantes incluem o sFlow em seus produtos.
O objetivo principal do sFlow é monitorar redes de alta velocidade. é um protocolo de amostragem de pacotes sem estado. a parte “Flow” do nome do protocolo pode ser enganosa, pois o sFlow na verdade não tem noção de agregar pacotes de dados em fluxos de alto nível. Ele só funciona em termos de pacotes.
Em sua raiz, o sFlow faz amostragem geral de pacotes que abrange camadas até 7. Executando dentro do dispositivo de rede, o exportador sFlow coleta prefixos de um subconjunto de todos os pacotes que passam por uma interface. A configuração da taxa de amostragem permite que os gerentes escolham amostrar um pacote a cada N pacotes. O exportador também escolhe pacotes aleatórios e os inclui. O exportador então monta os bytes iniciais de cada pacote amostrado junto com os contadores de dispositivo e os envia para o coletor sFlow como um datagrama sFlow usando UDP. O dispositivo não armazena em cache nenhum dado ou pacote de amostra, reduzindo assim o uso de recursos e facilitando a expansão para redes de alta velocidade.
sFlow vs Netflow, qual é a diferença?
Apesar de seus nomes semelhantes e apesar do fato de que muitos coletores e analisadores podem trabalhar com NetFlow e sFlow, os dois são realmente muito diferentes, especialmente na maneira como cada um realiza sua tarefa.
Avi Freedman, cofundador e CEO da Kentik, faz a seguinte analogia com o monitoramento do tráfego rodoviário que resume muito bem a diferença entre NetFlow e sFlow: “… lá?’), com o sFlow você está apenas tirando fotos de qualquer carro ou ônibus que esteja passando naquele momento específico.” Embora esta seja uma ótima analogia, também é um pouco enganosa, pois pode levar a acreditar que o NetFlow fornece mais informações do que o sFlow e, portanto, é melhor.
Embora seja provavelmente verdade que você obtém mais informações do NetFlow do que do sFlow, isso não o torna necessariamente um protocolo melhor. Para começar, o uso de recursos de memória e CPU do NetFlow é muito maior do que o do sFlow. Isso tenderia a tornar o sFlow uma opção mais interessante para dispositivos de baixo custo. Há também todo o aspecto de quanta informação é muita informação. Sim, o NetFlow pode coletar mais informações, mas você precisa delas? E o seu analisador é capaz de usá-lo?
A grande questão: devo usar o NetFlow ou o sFlow?
Fazer a pergunta é fácil, mas fornecer uma boa resposta é quase impossível. Como dissemos anteriormente, muitos coletores e analisadores lidarão com informações de NetFlow e sFlow. E há um bom número de dispositivos de rede que também suportam ambos os protocolos, tornando a seleção de um sobre o outro ainda mais difícil. O principal fator decisivo provavelmente deve ser o que seu equipamento suporta.
Mas você realmente tem que escolher lados? Tanto o NetFlow quanto o sFlow são sistemas excelentes. Por que não, então, usar ambos com um coletor e um analisador que suporte ambos? Você poderá ter dados de fluxo detalhados de seus dispositivos habilitados para sFlow e seus dispositivos habilitados para Netflow.
E quanto aos dispositivos que possuem ambos os protocolos integrados? Muitos dispositivos Cisco, por exemplo, podem usar ambos. Nessas situações, eu ficaria tentado a recomendar o uso do sFlow, pois seu uso de recursos é menor. A menos, é claro, que você tenha alguma utilidade para as informações extras que o NetFlow pode fornecer.
Os melhores coletores e analisadores de sFlow gratuitos
Pesquisamos na Internet os melhores coletores e analisadores de sFlow gratuitos. Entre os que encontramos, alguns são pacotes realmente gratuitos. Outros são softwares comerciais que oferecem uma versão de avaliação gratuita ou uma versão gratuita reduzida. Além disso, alguns suportarão apenas sFlow, enquanto outros também funcionarão com sFlow e NetFlow, tornando-os ainda mais versáteis. Analisamos cada um dos cinco principais pacotes e apresentamos nossas descobertas. Aqui está a lista dos nossos 5 principais pacotes.
Coletor e analisador SolarWinds sFlow
inMon sFlowTrend
ManageEngine NetFlow Analyzer
ntopng e nProbe
Plixer Scrutinizer
1. Coletor e analisador SolarWinds sFlow (TESTE GRATUITO)
SolarWinds é um nome bem conhecido na área de gerenciamento de rede. A empresa produz alguns dos melhores softwares para ajudar os administradores de rede a obter uma melhor visibilidade sobre o que está acontecendo com seus equipamentos. Seu principal produto é chamado de Monitor de Desempenho de Rede.
A SolarWinds também é conhecida por fabricar uma ampla variedade de produtos gratuitos e úteis. Eles variam de calculadoras de endereço IP para ajudar iniciantes a descobrir sub-redes e endereços de host até sistemas de monitoramento completos, embora limitados, de diferentes tipos. Um desses produtos, o SolarWinds Real-Time Netflow Analyzer, foi apresentado em um artigo anterior. Você pode querer lê-lo para todos os detalhes.
Mas o artigo de hoje é sobre sFlow em vez de NetFlow. E embora a SolarWinds não tenha um sFlow gratuito equivalente ao seu Real-Time NetFlow Analyzer, ele tem o sFlow Collector and Analyzer como um recurso de seu NetFlow Traffic Analyzer ou NTA. O último é um módulo do Network Performance Monitor ou NPM. E embora o NTA ou o NPM não sejam produtos gratuitos, uma versão de avaliação gratuita de 3 dias está disponível. Na verdade, a SolarWinds é uma versão de avaliação de 30 dias da maioria de seus produtos. Você pode, portanto, experimentar qualquer um deles sem riscos.
Link para download: https://www.solarwinds.com/netflow-traffic-analyzer
Portanto, apesar de seu nome um tanto enganoso, o SolarWinds NetFlow Traffic Analyzer lidará com dados NetFlow e sFlow. Isso o torna a escolha ideal em um ambiente diversificado onde alguns dispositivos suportam um protocolo enquanto outros suportam um diferente. E como um coletor de sFlow, o NTA coletará todos os dados de sFlow dos dispositivos que monitora.
Combinados, o NPM e o NTA apresentam uma impressionante variedade de funcionalidades para auxiliar qualquer administrador no gerenciamento de redes de vários fornecedores. Você obtém monitoramento de largura de banda usando SNMP, análise de tráfego, análise de desempenho, alertas, relatórios, otimização de políticas e muito mais.
Por padrão, a página de resumo do NetFlow Traffic Analyzer exibirá várias seções, como os 5 principais aplicativos, os 5 principais pontos de extremidade, as 5 principais conversas ou as 10 principais fontes por porcentagem de utilização de largura de banda. E como analisador de fluxo, ele pode identificar usuários, aplicativos e protocolos que consomem mais largura de banda, permitindo que os administradores encontrem rapidamente a origem de qualquer congestionamento observado. E você pode classificar os resultados exibidos de acordo com vários critérios, como porta, origem, destino, protocolo, etc. Também permite visualizar padrões de tráfego em minutos, dias ou meses.
Tanto o NTA quanto o NPM são softwares de nível empresarial, projetados para escalar até redes muito grandes com centenas, senão milhares, de dispositivos. Eles, portanto, consumirão recursos consideráveis em seu sistema e devem ser instalados em hardware dedicado. Mas se você estiver gerenciando uma rede desse tipo com vários dispositivos habilitados para sFlow, vale a pena tentar a coleta e análise de sFlow do NTA. Você precisará de alguns esforços para colocá-lo em prática, mas eles serão bem recompensados.
2. inMon sFlowTrend
A inMon, empresa por trás do sFlow, possui sua própria ferramenta gratuita de monitoramento na forma de Software sFlowTrend. É uma ferramenta básica e um tanto limitada, mas muito capaz. A versão gratuita do software permite coletar dados de até cinco switches, roteadores ou hosts habilitados para sFlow e manterá os dados do histórico na RAM por até uma hora. Deve ser suficiente para solucionar a maioria dos problemas de rede. E se você quiser acelerar, pode atualizar para a versão pro – a um custo, é claro – que remove o limite do número de dispositivos e armazena os dados do histórico em disco.
A guia sFlowTrend Dashboard fornece uma visão rápida do estado atual dos dispositivos e redes monitorados, inclui limites de nível superior e interfaces com possíveis erros. Quando alguém clica na guia Rede, o sflowTrend revela estatísticas de desempenho resumidas e tráfego detalhado no nível da rede ou do dispositivo. Os limites de alerta podem ser definidos. Ele permite que você receba alertas quando ocorrer um uso de largura de banda acima do normal ou um erro de rede. Existe até uma guia de causa raiz onde você pode detalhar a causa de um problema, como uma violação de limite.
A guia Hosts é onde você encontrará informações mais detalhadas sobre cada dispositivo. Ele fornece dados de desempenho na rede, CPU, disco, etc., para servidores habilitados para sFlow – incluindo os virtuais. Na guia Serviços, você encontrará dados de desempenho para aplicativos (incluindo vários servidores da Web) que exportam dados do sFlow. Na guia Eventos, você encontrará um log de eventos como limites excedidos ou erros detectados. E, finalmente, a guia Relatórios fornece vários relatórios predefinidos, mas também suporta a criação de relatórios personalizados. É aqui que você irá executar relatórios e visualizar seus resultados.
O sFlowTrend é escrito em Java e vem com uma interface de usuário baseada em Java ou baseada na web. Está disponível para Windows, Macintosh e Linux. Há também ajuda on-line disponível para ajudá-lo a configurar e usar a ferramenta. É uma ótima ferramenta, especialmente para organizações menores com equipamentos habilitados para sFlow. E o caminho de atualização para a versão pro torna uma escolha igualmente válida para redes maiores.
3. Analisador de NetFlow do ManageEngine
Embora seja principalmente um coletor e analisador NetFlow, o ManageEngine NetFlow Analyzer também lidará com datagramas sFlow que seus dispositivos habilitados para sFlow lançarão nele. É outro ótimo software de uma empresa conhecida por fornecer ferramentas de gerenciamento de alta qualidade. A ferramenta oferece visibilidade sobre tráfego e largura de banda por aplicativo, conversa ou protocolo. Você também pode definir alertas com base nos limites de tráfego.
O ManageEngine NetFlow Analyzer vem com uma grande variedade de relatórios predefinidos úteis. Alguns ajudarão na solução de problemas, outros no planejamento de capacidade e alguns podem ser usados para fins de cobrança, para as organizações que estão revendendo suas infraestruturas. E claro, há também a possibilidade de criar relatórios personalizados.
Um recurso exclusivo do painel baseado na Web é um mapa de calor que mostra rapidamente o status das interfaces monitoradas, bem como gráficos de pizza em tempo real que mostram os principais aplicativos, protocolos e conversas, alarmes recentes e muito mais.
A versão gratuita vem com limitações importantes. Por exemplo, embora permita monitoramento ilimitado por 30 dias, ele voltará a monitorar apenas duas interfaces. Não é muito, mas pode ser suficiente para uma rápida sessão de solução de problemas, desde que você saiba exatamente onde procurar. Claro, você pode atualizar para a versão paga para remover a limitação de duas interfaces. E o ManageEngine também oferece vários produtos relacionados que trabalham juntos para expandir a análise básica de tráfego em um conjunto completo de gerenciamento de rede.
4. ntopng e nProbe
ntopng é uma verdadeira ferramenta de análise de tráfego de código aberto. Ele monitora passivamente as redes com base em dados de fluxo e captura de pacotes. Apenas um analisador, o ntopng conta com o nProbe – um coletor – para coletar dados de fluxo de dispositivos e hosts que os exportam. O nProbe suporta vários tipos diferentes de dados de fluxo, incluindo NetFlow e sFlow. Juntos, eles formam uma dupla muito potente de monitoramento e solução de problemas.
O ntopng vem com uma interface de usuário baseada na web onde as informações são apresentadas de várias maneiras diferentes, como tráfego (por exemplo, principais locutores), fluxos, hosts, dispositivos e interfaces. A exibição de fluxo é provavelmente uma das mais interessantes, pois apresenta protocolos de aplicação e pode exibir latência ou outras estatísticas TCP, como perda de pacotes. Você também pode usar o ntopng para definir alertas com base em vários limites e critérios diferentes.
O ntopng está disponível em três versões, Community, Professional e Enterprise. A versão da Comunidade é gratuita. O Professional e o Enterprise oferecem alguns recursos extras e estão disponíveis para compra
Quanto ao nProbe, ele pode ser usado gratuitamente, mas está limitado a 25.000 fluxos exportados. Embora possa parecer muito, você alcançará rapidamente esse número. Você pode, é claro, remover restrições comprando licenças.
5. Escrutinador Plixer
Escrutinador da Plixer é um “Sistema de Resposta a Incidentes” muito sofisticado, conforme indicado no site da Plixer. Não deixe o nome fantasia enganar você, no entanto. Mais do que tudo, o Scrutinizer é um excelente sistema de monitoramento de rede. É muito completo e completo e, de particular interesse no contexto deste artigo, lidará com dados sFlow e NetFlow.
O Scrutinizer oferece uma das soluções mais escaláveis do mercado. Diz-se que tem os relatórios mais rápidos e fornece o contexto de dados mais rico disponível em qualquer lugar. Ele tem acesso baseado em função para apresentar a diferentes equipes apenas os dados de que precisam. Projetado para alto desempenho e escalabilidade de ambientes pequenos a muito grandes. Ele fornece uma ampla variedade de recursos de análise e relatórios.
Existem várias maneiras de configurar o Scrutinizer. Você pode instalá-lo como um dispositivo dedicado. Você também pode ser um servidor virtual. E também pode ser executado em uma forma de software como serviço, onde seria executado na nuvem. Nesse modo, você pode optar por usar a nuvem pública ou privada do Plixer. Este é um sistema grande e está com fome de recursos. Você precisará configurá-lo em um servidor robusto – com, por exemplo, 16 GB de RAM.
O Scrutinizer está disponível em quatro níveis de licenciamento diferentes. Existe a versão gratuita – que não é uma versão de teste, mas uma versão realmente gratuita – que suportará até 10 mil fluxos por segundo, manterá os dados de fluxo por 5 horas e roll-ups históricos por uma semana. Então você tem três níveis de versões pagas que variam de acordo com o número de fluxos por segundo que eles suportam e o histórico que eles mantêm. Além disso, cada nível superior adiciona alguns recursos extras a um conjunto de recursos já rico.
Para concluir
Se sua rede é composta principalmente de dispositivos habilitados para sFlow, existem algumas ferramentas excelentes disponíveis que lhe darão uma visão valiosa do comportamento de sua rede. E se você tiver dispositivos habilitados para sFlow e NetFlow, alguns deles suportarão qualquer protocolo. Sua escolha final dependerá, mais do que tudo, do tamanho atual de sua rede, qual protocolo seus dispositivos suportam e da evolução esperada de sua rede. Essas ferramentas demoram um pouco para serem configuradas e você quer escolher a certa desde o início. Isso pode salvá-lo de uma substituição complicada no futuro.