WhatsUpGold Blogs

Was ist Ihr Flow? Die Unterschiede zwischen J-Flow, NetFlow und mehr

Colin Barry | Posted on | Monitoring

Um IP-Datenverkehrsströme zu verfolgen und Metadaten aufzuzeichnen, verwenden IT-Experten Protokolle zur Überwachung von Netzwerkströmen und unterstützende Lösungen zur Erfassung und Analyse von Daten. Das gebräuchlichste dieser Protokolle ist NetFlow, ein Industriestandardprotokoll, das Eingaben von einem IP-Gerät abtastet, was gemeinhin als "Flow" bezeichnet wird. Datenpakete gelangen durch einen Router oder Switch, und ein IP-Sampler protokolliert einen neuen Datenfluss, wenn die Pakete Informationen wie Quell-/Zieladresse, Quell-/Zielport und die vom Netzwerk verwendeten Protokolle enthalten.

IT-Fachleute verwenden den Begriff NetFlow oft ganz allgemein, um die verschiedenen Flowaufzeichnungen im Netzwerk zu beschreiben. Obwohl dies technisch gesehen richtig ist, gibt es verschiedene Varianten von NetFlow: J-Flow, sFlow und Internet Protocol Flow Information Export (IPFIX).

Für den Buchstaben J in unserer ABCs of ITIM-Serie behandeln wir J-Flow und andere Arten von IP-Samplern. Die Leser lernen die Unterschiede zwischen J-Flow, NetFlow und anderen Protokollen kennen und erfahren, wie IT-Experten Datenflüsse analysieren können.

Juniper Networks und J-Flow erklärt

Wir werden diesen Blog nicht in eine Geschichtsstunde verwandeln, wir sollten dennoch Juniper Networks ansprechen, das Unternehmen, das J-flow seinen Namensgeber gab.

Das 1996 gegründete Unternehmen Juniper Networks begann mit der Entwicklung von Routern, die auf Datenpaketen basieren und für den Internetverkehr optimiert sind. Die Idee dazu hatte Firmengründer Pradeep Sindhu während eines Urlaubs von seiner früheren Tätigkeit als Forscher bei Xerox. Da es sich um die Anfänge des World Wide Web handelte, war Juniper Networks am richtigen Ort, um Lösungen für die Schnittstelle zwischen Internet und Unternehmensnetzwerken zu entwickeln.

Wo kommt nun J-Flow ins Spiel? Es ist zwar schwer zu sagen, wann es eingeführt wurde, aber einige Quellen besagen, dass es 1996 war - im selben Jahr, in dem Cisco NetFlow erstmals der Öffentlichkeit vorstellte. Wichtiger ist es jedoch, zu erörtern, was J-Flow ist.

J-Flow ist das Flow-Monitoring-Protokoll von Juniper Networks. J-Flow ist ein proprietäres Netzwerkprotokoll, was bedeutet, dass es möglicherweise nur mit bestimmten Juniper-Produkten funktioniert. Im Allgemeinen ist J-Flow jedoch mit NetFlow kompatibel. Das Hauptunterscheidungsmerkmal von NetFlow besteht darin, dass die Zeitstempel des exportierten Datenflusses für die gesamte Netzwerksitzung beibehalten werden, was auf der Collector-Seite eine etwas andere Handhabung erfordert.

Was sind NetFlow, sFlow und andere Arten von Network-Flows?

NetFlow und seine zahlreichen Varianten und Aktualisierungen (mehr dazu weiter unten) sind der Netzwerkstandard für die Erfassung von IP-Verkehrsinformationen und die Überwachung von Telemetriedaten. NetFlow ermöglicht es den Exporteuren, d. h. Routern und Switches, aggregierte Verkehrsstatistiken zu erstellen, die eine Momentaufnahme der Bandbreitennutzung, der Kommunikationspartner und der Client-Aktivitäten darstellen. Eine weitere Version von NetFlow ist Flexible NetFlow, das eine flexible Konfiguration des Flow-Exports und die Anpassung wichtiger Felder ermöglicht.

sFlow

Sampled Flow oder sFlow ist eine Industriestandardtechnologie zur Überwachung von Hochgeschwindigkeits-Switching-Netzwerken. Der Unterschied zwischen sFlow und NetFlow besteht darin, dass sFlow nicht mit dem Konzept des Flow-Cache und der Aggregation von Metadaten, die aus Paketen extrahiert werden, zu Flows arbeitet. sFlow-Daten werden schnell erzeugt und sind mit vielen Enterprise-Switches der Einstiegsklasse kompatibel. Die abgetasteten Paket-Header werden in ein NetFlow-ähnliches Format kodiert und an den Collector exportiert. Da die Abtastraten hoch sind, müssen sFlow-Daten in der Regel genauer sein, um bei der Fehlerbehebung oder bei der netzwerkbasierten Erkennung von Anomalien eingesetzt werden zu können.

IPFIXs

IPFIX (oder NetFlow V10) ist ein unabhängiger internationaler Standard, der es den Anbietern von flow-basierten Überwachungswerkzeugen ermöglicht, ihre eigenen Protokollerweiterungen zu definieren, um beliebige Informationen von Schicht 2 bis Schicht 7 zu exportieren. IPFIX ist entscheidend für eine außergewöhnliche Netzwerktransparenz, ohne dass eine kontinuierliche Paketerfassung erforderlich ist.

NEL und NSEL

Network Event Logging (NEL) bezieht sich auf die Protokolle der Netzwerkadressübersetzung. Network Security Event Logging (NSEL) bezieht sich auf Firewall-Protokolle, die von Cisco ASA erzeugt werden. NetFlow v9 transportiert diese Protokolle an den Collector, aber diese Daten können nicht als echtes NetFlow betrachtet werden, da die in NEL oder NSEL bereitgestellten Informationen kein genaues Netzwerkverkehrsdiagramm rekonstruieren können.

FlowLogs

Öffentliche Cloud-Plattformen bieten eine neue Technologie namens FlowLogs an, die die Überwachung des Netzwerkverkehrs ermöglicht und einen flussbasierten Ansatz verwendet. Normalerweise werden FlowLogs über spezielle APIs bereitgestellt, die von Cloud-Plattformen im CSV- oder JSON-Format bereitgestellt werden. Diese Datenflüsse müssen in herkömmliche Datenflussformate konvertiert werden, um sie auf Standardplattformen zur Verkehrsüberwachung zu sammeln und weiter zu verarbeiten. Bei Amazon AWS werden FlowLogs in der Regel als VPC FlowLogs bezeichnet; bei Microsoft Azure sind sie als NSG FlowLogs bekannt.

Wie funktioniert ein J-Flow Traffic Analyzer?

Wie andere Verkehrsflussüberwachungsprotokolle umfasst die J-Flow-Überwachung die Sammlung von Verkehrsflussdaten durch Überwachung und Unterstützung bei der Fehlersuche und -auswertung.

Die J-Flow-Verkehrsanalysetools beginnen mit der Überwachung von Datenpaketen, die durch ein Netzwerk laufen. Diese Datenpakete, die durch den Datenstrom kommen, können abgetastet werden, wenn sie auf einer Schnittstelle aktiviert sind. J-Flow zeichnet die Netzwerkaktivität von den konfigurierten Geräten auf und speichert die Informationen, damit ein Administrator sie analysieren kann.

 

Was sind die Vorteile der Verwendung eines J-Flow-Überwachungstools?

Mit einem IT-Überwachungstool können Netzwerkadministratoren verschiedene Probleme entschärfen und einen besseren Einblick in das Netzwerk gewinnen. Die Vorteile umfassen:

  • Überwachen Sie, wer das Netzwerk nutzt und wann: Sie können jederzeit leicht erkennen, wer mit dem Netzwerk verbunden ist.
  • Verstehen der Auswirkungen potenzieller Anwendungen und des Netzwerkverkehrs: J-Flow-Statistiken können verwendet werden, um zu messen, wie sich Anwendungs- und Richtlinienänderungen auf den Datenverkehr auswirken.
  • Verstehen Sie Netzwerkprobleme und beheben Sie Probleme: J-Flow-Analysen können eine langsame Netzwerkleistung diagnostizieren, erkennen, wer die meiste Bandbreite nutzt, und die Bandbreitenauslastung schnell über die Darstellung von Traffic-Summen und Traffic-Details charakterisieren.
  • Erkennen Sie nicht autorisierten WAN-Datenverkehr (Wide Area Network): Mit der J-Flow-Analyse können Netzwerkadministratoren die Anwendungen identifizieren, die einen Verkehrsstau verursachen, die Legitimität überprüfen und die Bereitstellungsrichtlinien anpassen. Durch die Beobachtung des WAN kann die IT-Abteilung Datenverkehrsmuster und -lasten verstehen, den Betrieb optimieren und teure Upgrades vermeiden.
  • Einfache Erkennung von DDoS- und Sicherheitsanomalien: Administratoren und Netzwerktechniker können J-Flow verwenden, um DoS/DDoS und andere Arten von Anomalien des Netzwerkverhaltens zu erkennen.
  • Validierung der Parameter der Servicequalität: Die J-Flow-Analyse kann bestätigen, dass jeder Class of Service (CoS) eine angemessene Bandbreite zugewiesen ist und dass keine CoS über- oder unterbelegt ist.

So unterstützt Progress WhatsUp Gold J-Flow-, NetFlow- und sFlow-Daten von Routern und Switches

Network flows are a hidden network administrator’s secret. Network flow monitoring is often the best way to resolve intermittent network performance problems and ensure Quality of Service (QoS) for key applications and services. Also referred to as network traffic analysis, bandwidth utilization analysis or bandwidth monitoring, network flow monitoring gives you visibility essential to effective network and infrastructure management.

Die NTA-Funktion (Network Traffic Analysis) von WhatsUp Gold überwacht den Netzwerkfluss und bietet IT-Teams einen besseren Überblick darüber, wer und was Bandbreite verbraucht und wer sich mit verdächtigen Netzwerkports verbindet. NTA sammelt auch NetFlow-, sFlow- und J-Flow-Datensätze von Routern und Switches und wandelt sie in Berichte für Ihr Team um.

Die IT-Abteilung kann Flow-Daten von mehreren Geräten und Ports auf der Grundlage von Geschäftsfunktionen zusammenführen und kategorisieren. Von dort aus generiert WhatsUp Gold Berichte nach Geschäftseinheit oder Funktion anstelle der einzelnen Ports, von denen der Datenverkehr kommt. Die Reporting- und Schwellenwert-Alarmierungs-Engines können diese Funktionalität nutzen, indem sie schnelle Reaktionsmöglichkeiten auf Verkehrsengpässe bieten.

Mithilfe des Simple Network Management Protocol (SNMP) ermittelt WhatsUp Gold, welche mit dem Netzwerk verbundenen Geräte "flowfähig" sind. Es kann diese Geräte automatisch so konfigurieren, dass sie Datensätze mit allen entsprechenden Timeouts und konfigurierten Flow Collector-Parametern weiterleiten. Diese Funktion ermöglicht es IT- und Netzwerkteams, selbst zu "Flow-Experten" zu werden und sich auf die Analyse der Berichtsergebnisse zu konzentrieren, ohne zusätzliche Konfigurationen vornehmen zu müssen.

Die IT-Abteilung kann zwar versuchen, ein langsames Netzwerk zu diagnostizieren, ohne einen vollständigen Überblick über die QoS zu haben, aber das ist alles andere als ideal. Mit WhatsUp Gold verfügen Sie über eine vollständige Echtzeittransparenz, um die Bandbreitennutzung zu verwalten und eine optimale Netzwerkleistung sicherzustellen. Beispielsweise bietet ein Bericht zur netzwerkbasierten Anwendungserkennung (NBAR) einen vollständigen Überblick über den NBAR-Verkehr, sodass jeder IT-Experte Probleme mit der Anwendungsleistung und Bandbreitenbeschränkungen genau diagnostizieren kann, ohne tiefer in die Datenverkehrsströme eindringen zu müssen.

Schließlich können Sie mehrere konfigurierbare Schwellenwerte einrichten und Folgendes verfolgen: Verkehrsaufkommen zwischen Gesprächspaaren, fehlgeschlagene Verbindungen pro Host, wichtigste Absender und Empfänger sowie bestimmte Schnittstellen im Zeitverlauf. Mit den individuell konfigurierbaren Schwellenwerten von WhatsUp Gold kann die IT-Abteilung Verkehrsprobleme frühzeitig erkennen. Wenn die konfigurierten Punkte ihre Grenzen überschreiten, erhalten Administratoren Warnmeldungen, die Netzwerkmanager bei der proaktiven Fehlerbehebung, der Behebung von Leistungsengpässen und der Beseitigung von bösartigem Netzwerkverhalten unterstützen.

Weitere Informationen zu Flow-Arten

Ob J-Flow, NetFlow oder eines der anderen Protokolle, die Verfolgung und Analyse dieser Netzwerkflussprotokolle macht den entscheidenden Unterschied aus, wenn es darum geht, zu wissen, wann und woher der Datenverkehr kommt.

Alle ABCs der Infrastrukturüberwachung anzeigen

Möchten Sie mit den Grundlagen der Überwachung der IT-Infrastruktur beginnen? Unser alphabetischer Index ist ein ausgezeichneter Ort, um Ihre Ausbildung zu beginnen oder zu erweitern. Sehen Sie sich alle unsere aktuellen Themen an.

Get Started with WhatsUpGold

Free Trial Price Quote Live Demo

Subscribe to our mailing list

Get our latest blog posts delivered in a weekly email.

Subscribe