O NetFlow da Cisco e o sFlow da inMon são duas tecnologias de monitoramento semelhantes, porém diferentes, que podem fornecer uma visão qualitativa do tráfego de sua rede. Enquanto as ferramentas de monitoramento de largura de banda apenas informam quanto tráfego passa por um ponto específico, as ferramentas de análise de fluxo informam quais são esses dados, de onde estão vindo e para onde estão indo e algumas outras informações úteis. Hoje, compararemos as duas tecnologias e veremos algumas das melhores ferramentas disponíveis para cada uma. Analisaremos alguns dos melhores analisadores e coletores NetFlow e sFlow que pudemos encontrar.
Começaremos descrevendo o NetFlow. Faremos o possível para explicar o que é e como funciona, mantendo nossa discussão o mais não técnica possível. Faremos o mesmo exercício com o sFlow e faremos o possível para explicar a tecnologia. Depois disso, veremos como as duas tecnologias diferem. Assim como antes, ficaremos longe dos detalhes técnicos hard-core. Em seguida, tentaremos responder à pergunta principal: qual devo usar? Como você verá, não há uma resposta clara e definitiva. Por fim, revisaremos algumas das melhores ferramentas de análise de fluxo que encontramos.
últimas postagens
NetFlow – A Tecnologia Original de Análise de Fluxo
Desenvolvida pela Cisco Systems, a tecnologia NetFlow foi introduzida em seus roteadores para fornecer a capacidade de coletar dados sobre o tráfego de rede à medida que entra ou sai de uma interface. Esses dados podem ser analisados por aplicativos especializados para extrair a origem e o destino do tráfego, sua classe de serviço e, por extensão, as causas do congestionamento.
Uma configuração típica de monitoramento do NetFlow consiste em três componentes principais:
O exportador de fluxo agrega pacotes em fluxos e exporta registros de fluxo para um ou mais coletores de fluxo.
O coletor de fluxo é responsável pela recepção, armazenamento e pré-processamento dos dados de fluxo recebidos de um exportador de fluxo.
O analisador de fluxo, ou aplicativo de análise de fluxo, é usado para analisar os dados de fluxo recebidos. A análise pode ser usada para criação de perfil de tráfego ou para solução de problemas de rede.
Como funciona o NetFlow
Os dispositivos de rede que suportam NetFlow geram registros de fluxo e os enviam para um coletor NetFlow. Um fluxo, neste contexto, é uma conversa completa no sentido de IP. O dispositivo que prepara os registros de fluxo normalmente os envia ao coletor quando determina que o fluxo foi concluído por envelhecimento – quando não houve nenhum tráfego dentro de um tempo limite específico – ou quando ele vê uma sessão TCP encerrada.
O fluxo registra informações sobre o fluxo, como as interfaces de entrada e saída, os carimbos de data e hora de início e término do fluxo, o número de bytes e pacotes que ele contém, os cabeçalhos da camada 3, o endereço IP de origem e destino e o número da porta, o protocolo IP e o valor TOS. Os registros de fluxo não contêm os dados reais que compuseram o fluxo, eles contêm apenas informações sobre o fluxo. Este é um importante recurso de segurança desta tecnologia.
Exceto em grandes ambientes multi-site, os coletores de fluxo para onde os registros são enviados também são os analisadores de fluxo. Eles usam as informações contidas nos registros de fluxo para apresentar dados sobre o tráfego de rede de uma maneira útil para os administradores de rede. Diferentes coletores e analisadores do NetFlow terão diferentes maneiras de apresentar dados.
sFlow – Um Relativo Distante
O “s” em sFlow significa “amostragem”. Isso é crucial para sua operação e é onde se diferencia de outros sistemas de análise de fluxo. Essa tecnologia funciona apenas com dispositivos habilitados para sFlow, assim como o NetFlow. Felizmente, esses dispositivos são bastante comuns entre os principais fabricantes de equipamentos de rede.
O padrão sFlow é mantido pelo consórcio sFlow.org, mas é uma criação da corporação inMon que ainda exerce controle quase absoluto sobre sua evolução e desenvolvimento. Os principais fabricantes de equipamentos, como Alcatel-Lucent, Aruba, Brocade, Cisco, Dell, Hewlett Packard, IBM e muitos outros—mais de 300—incluem suporte sFlow em muitos de seus produtos.
sFlow é um protocolo de amostragem de pacotes sem estado. A parte “Flow” do nome do protocolo pode ser enganosa, pois o sFlow na verdade não tem noção de agregar pacotes de dados em fluxos de alto nível como o NetFlow faz. Ele só funciona em termos de pacotes.
A amostragem geral de pacotes do sFlow abrange camadas até 7. Executado no dispositivo de rede, o exportador sFlow coleta prefixos de um subconjunto de todos os pacotes que passam pela interface monitorada. Os administradores podem optar por amostrar um pacote a cada N pacote, mas o exportador também seleciona pacotes aleatórios e os inclui em seu registro. O exportador então monta os bytes iniciais de cada pacote amostrado junto com os contadores de dispositivo e os envia para o coletor sFlow. O dispositivo não armazena em cache nenhum dado ou pacote de amostra, reduzindo o uso de recursos e facilitando a escalabilidade para redes de alta velocidade.
NetFlow e sFlow – Qual é a diferença?
Apesar de terem nomes, propósitos e objetivos semelhantes, NetFlow e sFlow são bastante diferentes, principalmente na forma como cada um realiza sua tarefa.
Avi Freedman, cofundador e CEO da Kentik, resume a diferença entre NetFlow e sFlow com uma analogia: “… estão apenas tirando fotos de qualquer carro ou ônibus que esteja passando naquele momento específico.” Não deixe que essa analogia simplista o leve cegamente a acreditar que o NetFlow fornece mais informações do que o sFlow e, portanto, é uma tecnologia melhor.
Embora você provavelmente obtenha mais informações do NetFlow do que do sFlow, isso não o torna necessariamente um protocolo melhor. Por exemplo, o uso de recursos do NetFlow é muito maior que o do sFlow. Isso tenderia a tornar o sFlow uma opção mais interessante para dispositivos de baixo custo. E embora o NetFlow possa coletar mais informações, você realmente precisa delas e seu analisador é capaz de usá-las?
Qual deles devo usar?
A maioria dos coletores e analisadores lidará com informações de NetFlow e sFlow e muitos dispositivos de rede também suportam ambos. O principal fator decisivo provavelmente deve ser o que seu equipamento suporta. Se alguns de seus equipamentos suportam um, mas não o outro, este é o que você deve escolher. Se você possui principalmente equipamentos Cisco, por que não optar pelo NetFlow, pois é o próprio protocolo da Cisco?
Você não tem que escolher lados, no entanto. Tanto o NetFlow quanto o sFlow são tecnologias excelentes. Por que não usar ambos com um coletor e um analisador que possa suportar ambos? Você poderá obter dados de fluxo de seus dispositivos habilitados para sFlow e Netflow.
Algumas das melhores ferramentas de monitoramento do NetFlow
Aqui estão algumas das melhores ferramentas de coletor e analisador do NetFlow que pudemos encontrar. Incluímos uma combinação de ferramentas para que você tenha uma ideia melhor da variedade de ferramentas disponíveis. Todos eles suportam o monitoramento NetFlow e todas as suas variantes, como J-flow ou IPFIX, só para citar alguns.
1- Analisador de tráfego SolarWinds NetFlow (avaliação gratuita)
A SolarWinds é um dos fabricantes mais conhecidos de ferramentas de administração de rede e sistema. Seu principal produto, chamado de monitor de desempenho de rede, é visto por muitos como as melhores ferramentas de monitoramento de largura de banda de rede. Da mesma forma, o SolarWinds NetFlow Traffic Analyzer — que é instalado sobre o Network Performance Monitor — é um dos melhores coletores e analisadores de IPFIX que você pode encontrar.
Alguns dos melhores recursos do SolarWinds NetFlow Traffic Analyzer incluem:
Monitorando o uso da largura de banda por aplicativo, por protocolo e por grupo de endereços IP.
Monitoramento de dados de fluxo IPFIX, Cisco NetFlow, Juniper J-Flow, sFlow e Huawei NetStream, permitindo identificar quais dispositivos, aplicativos e protocolos são os maiores consumidores de largura de banda.
Coletar dados de tráfego, correlacioná-los em um formato utilizável e apresentá-los ao usuário por meio de uma interface baseada na Web para monitorar o tráfego de rede.
Identificar quais aplicativos e categorias consomem mais largura de banda para melhor visibilidade do tráfego de rede (incluindo suporte Cisco NBAR2).
O SolarWinds NetFlow Traffic Analyzer é um complemento do monitor de largura de banda de rede. Você pode economizar adquirindo ambos ao mesmo tempo que o SolarWinds Network Bandwidth Analyzer Pack. Os preços do pacote começam em US$ 4.910 para monitorar até 100 elementos e variam de acordo com o número de dispositivos monitorados. Embora isso possa parecer um pouco caro, lembre-se de que você está recebendo não uma, mas duas das melhores ferramentas de monitoramento disponíveis. Se você preferir experimentar o produto antes de comprá-lo, uma avaliação gratuita de 30 dias pode ser baixada da SolarWinds.
2- Monitor de Rede PRTG
O PRTG Network Monitor da Paessler AG é uma solução completa cujo objetivo principal é monitorar a utilização da largura de banda. Também é usado para monitorar a disponibilidade e a integridade de diferentes recursos de rede. Esses recursos o tornam uma ferramenta útil para administradores de rede. A ferramenta pode monitorar dispositivos em vários sites e pode monitorar LAN, WAN, VPN e Cloud Services.
A instalação deste produto é rápida e fácil. Depois de executar o instalador, o processo de descoberta automática descobre os dispositivos e configura os sensores. Paessler afirma que você pode começar a monitorar dentro de dois minutos após iniciar a instalação. Embora isso possa ser um pequeno exagero, ficamos impressionados com a facilidade e a velocidade da instalação. Embora o servidor seja executado apenas no Windows, a interface do usuário é baseada na Web e pode ser acessada de qualquer navegador. Além disso, há um aplicativo móvel que você pode instalar em seu smartphone ou tablet.
O PRTG Network Monitor pode monitorar praticamente qualquer coisa, graças à sua arquitetura baseada em sensores. Você pode pensar nos sensores como complementos integrados ao produto, cada um com uma finalidade específica. Existem sensores para HTTP e SMTP/POP3 (e-mail). Há também sensores específicos de hardware para switches, roteadores e servidores. Ao todo, a ferramenta possui mais de 200 diferentes sensores predefinidos.
O PRTG Network Monitor oferece uma seleção de interfaces de usuário. Você tem a opção de uma interface da Web baseada em Ajax ou um console corporativo do Windows, bem como aplicativos móveis para Android e iOS. Um bom recurso dos aplicativos móveis é que eles podem receber alertas por meio de notificação por push. Também estão disponíveis notificações padrão por SMS ou e-mail.
O PRTG Network Monitor é oferecido em duas versões. Existe uma versão gratuita com todos os recursos, mas limitará sua capacidade de monitoramento a 100 sensores, com cada parâmetro monitorado contando como um sensor. Por exemplo, para monitorar cada porta de um switch de 48 portas, você precisará de 48 sensores. Para mais de 100 sensores, você precisa adquirir uma licença. Eles começam em US$ 1.600 por 500 sensores. Você também pode obter uma versão de avaliação de 30 dias gratuita, ilimitada e com todos os recursos.
3- Escrutinador
O Scrutinizer da Plixer é outro ótimo NetFlow Analyzer. Na verdade, é ainda mais do que isso e muitos o veem como um sistema completo de resposta a incidentes. Com sua capacidade de monitorar diferentes tipos de fluxo, como NetFlow, J-flow, NetStream, sFlow e IPFIX, você não está limitado a monitorar apenas dispositivos Cisco.
Com seu design hierárquico, o Scrutinizer oferece coleta de dados simplificada e eficiente e permite que você comece pequeno e dimensione facilmente até muitos milhões de fluxos por segundo. A rede geralmente é a primeira culpada sempre que algo dá errado. Com o Scrutinizer, você pode encontrar rapidamente a causa real da maioria dos problemas de rede. O Scrutinizer funciona em ambientes físicos e virtuais e vem com recursos avançados de relatórios.
O Scrutinizer vem em quatro níveis de licença que vão desde a versão básica gratuita até o nível SCR completo, que pode ser dimensionado para mais de 10 milhões de fluxos por segundo. A versão gratuita é limitada a 10 mil fluxos por segundo e manterá apenas os dados brutos de fluxo por 5 horas, mas deve ser mais do que suficiente para solucionar problemas de rede. Você também pode experimentar qualquer nível de licença por 30 dias, após os quais ele será revertido para a versão gratuita.
4- ManageEngine NetFlow Analyzer
O ManageEngine NetFlow Analyzer oferece ao administrador de rede uma visão detalhada da utilização da largura de banda da rede, bem como dos padrões de tráfego. O produto é controlado por uma interface baseada na web e oferece um número impressionante de visualizações diferentes em sua rede.
Você pode, por exemplo, visualizar o tráfego por aplicativo, por conversa, por protocolo e várias outras opções. Você também pode definir alertas para avisá-lo sobre possíveis problemas. Por exemplo, você pode definir um limite de tráfego em uma interface específica e ser alertado sempre que o tráfego o ultrapassar.
Mas a maior parte da força do produto vem de seus relatórios e painel. A ferramenta vem com vários relatórios pré-criados muito úteis que são especificamente adaptados para fins específicos, como solução de problemas, planejamento de capacidade ou faturamento. Mas você não está preso a relatórios integrados, pois a ferramenta também permite que os administradores criem relatórios personalizados ao seu gosto.
Quanto ao painel da ferramenta que mencionamos, é tão impressionante quanto seus relatórios. Ele inclui vários gráficos de pizza com itens como principais aplicativos, principais protocolos ou principais conversas. Ele também pode exibir um mapa de calor com o status das interfaces monitoradas. E, como você deve ter adivinhado, os painéis podem ser personalizados para incluir apenas as informações que você achar úteis. O painel também é onde os alertas são exibidos na forma de pop-ups. E para o administrador de rede em movimento, há um aplicativo de smartphone que permite acessar o painel e os relatórios.
O ManageEngine NetFlow Analyzer suporta a maioria das tecnologias de fluxo, incluindo NetFlow (é claro), IPFIX, J-flow, NetStream e algumas outras. Como bônus, também possui excelente integração com dispositivos Cisco, com suporte para ajuste de modelagem de tráfego e/ou políticas de QoS diretamente da ferramenta.
Como muitos produtos concorrentes, o ManageEngine NetFlow Analyzer vem em duas versões. A versão gratuita será idêntica à paga nos primeiros 30 dias, mas depois voltará a monitorar apenas duas interfaces de fluxos. Embora isso não seja muito, pode ser tudo o que você precisa. Se você quiser a versão paga, as licenças estão disponíveis em vários tamanhos de 100 a 2.500 interfaces ou fluxos com preços variando entre cerca de US$ 600 a mais de US$ 50 mil mais taxas de manutenção anuais.
E quanto às ferramentas de monitoramento S-Flow?
Todos os produtos que acabamos de analisar coletam e analisam dados sFlow além do NetFlow. Para ambientes híbridos, todos eles seriam ótimas escolhas. Mas se você tiver apenas equipamentos sFLow, talvez prefira optar por uma ferramenta que suporte apenas essa tecnologia.
5- inMon sFlowTrend
O sFlowTrend é uma ferramenta de monitoramento gratuita da inMon, a empresa por trás da tecnologia sFlow. Esta versão gratuita do software permite coletar dados de até cinco dispositivos habilitados para sFlow e manterá os dados do histórico na RAM por até uma hora. E se você quiser acelerar as coisas, você pode atualizar para a versão pro – a um custo, é claro – que remove o limite do número de dispositivos e armazena dados de histórico ilimitados em disco.
O sFlowTrend Dashboard fornece uma visão rápida do estado atual dos dispositivos e redes monitorados, inclui limites de nível superior e interfaces com possíveis erros. Quando alguém clica na guia Rede, o sflowTrend revela estatísticas de desempenho resumidas e tráfego detalhado no nível da rede ou do dispositivo. Os limites de alerta podem ser definidos. Ele permite que você receba alertas quando ocorrer um uso de largura de banda acima do normal ou um erro de rede. Existe até uma guia de causa raiz onde você pode detalhar a causa de um problema, como uma violação de limite.
A guia Hosts é onde você encontrará informações mais detalhadas sobre cada dispositivo. Ele fornece dados de desempenho na rede, CPU, disco, etc., para servidores habilitados para sFlow – incluindo os virtuais. Na guia Serviços, você encontrará dados de desempenho para aplicativos (incluindo vários servidores da Web) que exportam dados do sFlow. Na guia Eventos, você encontrará um log de eventos como limites excedidos ou erros detectados. E, finalmente, a guia Relatórios fornece vários relatórios predefinidos, mas também suporta a criação de relatórios personalizados. É aqui que você irá executar relatórios e visualizar seus resultados.
O sFlowTrend é escrito em Java e vem com uma interface de usuário baseada em Java ou baseada na web. Está disponível para Windows, Macintosh e Linux. Há também ajuda on-line disponível para ajudá-lo a configurar e usar a ferramenta. É uma ótima ferramenta, especialmente para organizações menores com equipamentos habilitados para sFlow. E o caminho de atualização para a versão pro torna uma escolha igualmente válida para redes maiores.