NetFlow là một giao thức được phát triển bởi Cisco sử dụng để thu thập thông tin về lưu lượng truy cập qua các thiết bị trên mạng. Các thông tin được thu thập từ lưu lượng IP của NetFlow để xác định một flow (luồng) bao gồm:
- Địa chỉ IP nguồn
- Địa chỉ IP đích
- Cổng nguồn
- Cổng đích
- Giao thức Layer 3
- Class of Service (CoS) – cách quản lý lưu lượng trong mạng bằng cách nhóm các loại lưu lượng tương tự (ví dụ e-mail, truyền trực tuyến video, truyền file tài liệu lớn, v.v…) với nhau và coi mỗi nhóm là một lớp với mức độ ưu tiên riêng.
- Interface Ingress
Bằng cách thu thập những thông tin này và phân tích nó, người dùng có thể thu được nhiều thông tin chuyên sâu về mạng và sử dụng cho một số mục đích khác, bao gồm giám sát băng thông, xử lý sự cố hiệu suất mạng và phát hiện những điểm bất thường.
Tìm hiểu về việc phân tích và thu thập NetFlow
- Các thành phần NetFlow
- NetFlow và các đối tác
- Danh sách các công cụ phân tích và thu thập NetFlow hàng đầu hiện nay
Các thành phần NetFlow
Khi NetFlow được triển khai trên mạng, thường có hai thành phần chính là Flow Exporter và Flow Collector. Flow Exporter lưu giữ thông tin về flow để gửi đến Flow Collector. Flow Exporter thường được cấu hình trên một thiết bị như router hoặc switch và trong một số trường hợp, có thể có nhiều exporter cho các flow khác nhau. Mặt khác, Flow Collector nhận các bản ghi lưu lượng từ Flow Exporter, xử lý chúng và có thể phân tích thông tin này để trình bày cho người dùng ở dạng phù hợp.
Lưu ý: Trong một số trường hợp, Flow Collector không thực hiện việc phân tích các bản ghi. Thay vào đó, Flow Collector chỉ nhận các bản ghi và một ứng dụng khác sẽ thực hiện việc phân tích này.
NetFlow và các đối tác
Điều quan trọng cần nhấn mạnh ở đây là mặc dù NetFlow được phát triển bởi Cisco, nhưng nó cũng được hỗ trợ bởi các nhà cung cấp khác. Đồng thời, các nhà cung cấp khác cũng có các phiên bản NetFlow của riêng họ, bao gồm J-Flow của Juniper và NetStream của Huawei. Ngoài ra, còn có một giao thức IETF để truyền thông tin IP flow qua mạng – IP Flow Information Export (IPFIX) – dựa trên phiên bản NetFlow 9 của Cisco.
Lưu ý: Có một số phiên bản của NetFlow đã trở nên lỗi thời. NetFlow phiên bản 5, 7 và 9 là các phiên bản thường được sử dụng nhiều nhất.
Dưới đây, danh sách các công cụ phân tích và thu thập NetFlow hàng đầu hiện nay.
(Như đã đề cập trước đó, các Flow Collector nhận các bản ghi từ Flow Exporter và phân tích các bản ghi này để tạo ra thông tin hợp lý. Thông chi tiết hơn sẽ có ở phần sau).
Danh sách các công cụ phân tích và thu thập NetFlow hàng đầu hiện nay
1. Solarwinds NetFlow Traffic Analyzer
Solarwinds NetFlow Traffic Analyzer (NTA) là một công cụ phân tích băng thông và lưu lượng mạng, hỗ trợ các công nghệ flow khác nhau bao gồm NetFlow, J-Flow, IPFIX và NetStream.
Solarwinds NTA có thể cung cấp cái nhìn sâu sắc về việc sử dụng băng thông trên mạng, như địa chỉ IP hoặc ứng dụng nào đang tiêu thụ nhiều băng thông nhất tại một thời điểm nhất định. Nó có thể phân tích các mẫu trong lưu lượng truy cập ở một khoảng thời gian nhất định, do đó nó có khả năng thực hiện điều tra lưu lượng mạng.
Solarwinds NTA có giá khởi điểm là $1.875 (43.500.000VND), theo dõi được 100 yếu tố (có bản dùng thử miễn phí trong 30 ngày). Một lưu ý khác là Solarwinds NTA cần tích hợp với Solarwinds Network Performance Monitor (NPM) để thực hiện chức năng của mình.
Điều này có nghĩa là phải tính cả chi phí (và những yêu cầu cần thiết) của Solarwinds NPM cùng với chi phí của Solarwinds NTA. Solarwinds NPM cũng có bản dùng thử miễn phí trong 30 ngày và chi phí để mua giấy phép có giá từ $2.895(67.150.000VND), theo dõi được 100 yếu tố.
Tải xuống bản dùng thử miễn phí Solarwinds NetFlow Traffic Analyzer trong 30 ngày.
2. PRTG Network Monitor
PRTG Network Monitor là một giải pháp giám sát mạng tất cả trong một, bao gồm giám sát hiệu suất, băng thông, ứng dụng và máy chủ, v.v… Điểm cộng lớn nhất là tính năng theo dõi NetFlow được bật theo mặc định trong công cụ – không yêu cầu cài đặt add-on hoặc nâng cấp. PRTG Network Monitor có thể phân tích các phiên bản NetFlow khác nhau (v5, v9), tiêu chuẩn công nghiệp (Internet Protocol Flow Information Export – IPFIX) và các công nghệ khác như sFlow hay J-Flow.
Một trong những ứng dụng giám sát NetFlow có sẵn từ PRTG Network Monitor là phân tích việc sử dụng băng thông. Ví dụ, người dùng có thể xác định lượng băng thông đang được sử dụng bởi các máy chủ, giao thức và ứng dụng khác. Điều này có thể rất hữu ích trong việc xử lý sự cố liên quan đến hiệu suất mạng.
Trong thiết lập PRTG NetFlow, Flow Collector khác với phần mềm phân tích. Flow Collector có thể là bất kỳ máy tính nào nhận được báo cáo flow từ các exporter và có một đầu dò PRTG được cài đặt trên đó. Phần mềm phân tích là PRTG Network Monitor, nơi Flow Collector (hệ thống có đầu dò PRTG) được thiết lập làm sensor.
PRTG Network Monitor có sẵn trong hai phiên bản: Freeware và Commercial. Phiên bản Freeware là một PRTG Network Monitor đầy đủ chức năng, cho phép người dùng giám sát tới 100 sensor. Nếu muốn giám sát hơn 100 sensor, bạn sẽ cần phải mua giấy phép cho phiên bản Commercial ( giá khởi điểm là từ $1600, tương đương 37.112.000VND) để giám sát 500 sensor. Bạn có thể tham khảo công cụ này tại paessler.com.
3. Scrutinizer
Không chỉ là một công cụ phân tích NetFlow, Scrutinizer là một hệ thống ứng phó sự cố đầy đủ chức năng, có thể được sử dụng để phân tích lưu lượng mạng và báo cáo về các sự cố bảo mật. Nó có thể thu thập và phân tích dữ liệu từ các loại flow khác nhau bao gồm NetFlow, J-Flow, NetStream và IPFIX. Điều này có nghĩa là Scrutinizer có thể được sử dụng cho các thiết bị mạng của Cisco và các nhà cung cấp khác.
Scrutinizer có thể cung cấp khả năng hiển thị trong cả môi trường vật lý và môi trường ảo. Nó cũng có các tính năng báo cáo nhanh và nâng cao, hỗ trợ nhiều người dùng và có thể mở rộng do cấu trúc kiểu phân tán của nó.
Scrutinizer có 3 tùy chọn triển khai: Hardware, Virtual Machine và Software as a Service (SaaS). Bạn có thể dùng thử Scrutinizer miễn phí trong 30 ngày, sau đó sản phẩm hạ cấp xuống phiên bản miễn phí. Phiên bản miễn phí cho phép thu thập dữ liệu tối đa trong 5 giờ từ các thiết bị không giới hạn trước khi reset lại, tức là dữ liệu lịch sử sẽ bị mất và mọi thứ bắt đầu lại từ đầu.
4. ManageEngine NetFlow Analyzer
ManageEngine có một công cụ phân tích và thu thập NetFlow tương tự như các giải pháp khác mà bài viết đã thảo luận trước đây. NetFlow Analyzer cũng hỗ trợ nhiều công nghệ flow như NetFlow, J-Flow và NetStream, với mục tiêu chính là phân tích lưu lượng mạng và giám sát băng thông.
ManageEngine NetFlow Analyzer tích hợp một số tính năng thú vị như các dashboard có thể tùy chỉnh, ứng dụng iPhone để theo dõi mọi lúc, mọi nơi và khả năng báo cáo trên Cisco Medianet và Cisco WAAS.
ManageEngine cung cấp bản demo trực tuyến cho công cụ NetFlow Analyzer. Điều này rất hữu ích vì người dùng có thể dùng thử trước khi quyết định có nên tải xuống hoặc mua giấy phép không. NetFlow Analyzer có hai phiên bản: Essential và Distributed. Cả hai phiên bản đều được dùng thử miễn phí trong 30 ngày. Giá giấy phép thấp nhất cho phiên bản Essential là $495 (11.482.000VND), theo dõi được 10 interface. Ngoài ra còn có một phiên bản miễn phí, được sử dụng để giám sát 2 interface mà không cần bất kỳ giấy phép nào.
Tải phiên bản miễn phí tại đây.
5. nProbe and ntopng
ntopng là một công cụ mã nguồn mở để giám sát lưu lượng mạng. Nó hoạt động bằng cách thu thập các gói ra khỏi một interface và phân tích nó để cung cấp thông tin hữu ích như các Top X talker – host và ứng dụng tiêu tốn nhiều băng thông nhất.
ntopng có thể kết nối với nProbe, một trình thu thập NetFlow/IPFIX. Theo cách này, nProbe đóng vai trò là Flow Collector, nhận bản ghi từ các Flow Exporter và gửi thông tin này đến ntopng để phân tích thông tin, sau đó trình bày ở định dạng mà người dùng có thể đọc được.
Mặc dù ntopng có phiên bản miễn phí (phiên bản Community),cần có giấy phép để sử dụng nProbe (trừ khi người dùng là tổ chức phi chính phủ hoặc tổ chức giáo dục). nProbe có hai phiên bản: Standard và Pro with Plugins. Phiên bản Standard có giá €149,95 (3.950.000VND) còn phiên bản Pro with Plugins có giá €299,95 (7.895.000VND).
Bài viết này đã thảo luận về NetFlow và các công nghệ liên quan đến flow khác. Chúng rất hữu ích trong việc phân tích lưu lượng mạng, xử lý sự cố hiệu suất và giám sát băng thông.
Bài viết cũng đã làm nổi bật một số công cụ có thể được sử dụng để thu thập và phân tích các bản ghi NetFlow bao gồm Scrutinizer, PRTG Network Monitor và ntopng/nProbe. Những công cụ khác mà bài viết chưa đề cập như NFDUMP hay EHNT có mã nguồn mở và miễn phí. Lý do các công cụ đó không được thảo luận trong bài viết này là vì chúng bị giới hạn ở NetFlow (không giống như các công cụ khác có thể hỗ trợ cả NetFlow, J-Flow, NetStream, v.v…)
Tóm lại, nếu đang tìm kiếm một giải pháp thực hiện nghiêm ngặt việc thu thập và phân tích NetFlow, cũng như có khả năng mở rộng sang các nền tảng và giao thức khác nhau, thì bạn nên sử dụng Solarwinds NetFlow Traffic Analyzer (đi kèm với Network Performance Monitor).
Nếu quan tâm hơn đến việc phân tích NetFlow như một tiện ích bổ sung cho giải pháp giám sát mạng, thì hãy thử PRTG Network Monitor hoặc ManageEngine NetFlow Analyzer. Nếu quan tâm đến khả năng mở rộng và phân tích bảo mật, thì Scrutinizer có thể là lựa chọn bạn đang tìm kiếm. Cuối cùng, nếu muốn một giải pháp rẻ tiền với một số tính năng mã nguồn mở, hãy xem xét ntopng hoặc nProbe.
Chúc bạn tìm được lựa chọn phù hợp!
Xem thêm:
