Network Visibility 101 — NetFlow / sFlow / SNMP เลือกอะไรในงบ SMB
เปรียบเทียบ 3 Protocol ที่ใช้วัด Network จริง พร้อมกรอบการตัดสินใจและเครื่องมือที่ SMB ใช้ได้ภายใน 1 วัน
1. ทำไม SMB ต้อง Network Visibility — ปัญหาที่มอง "ขาด"#
Internet ช้า แต่ไม่รู้ว่าใครกิน Bandwidth. Server ล่มแล้วรู้ทีหลัง. Firewall log เยอะจนอ่านไม่ไหว. นี่คือปัญหาที่ Network Admin ในองค์กร SMB เจอซ้ำแล้วซ้ำเล่า ไม่ใช่เพราะ Network แย่ แต่เพราะขาด Network Visibility — การมองเห็นว่าเกิดอะไรขึ้นในระบบจริง
การลงทุนใน Enterprise Monitoring Suite อาจแพงเกินงบ SMB แต่จริงๆ แล้ว Open-source Tool สมัยนี้รองรับ Protocol ระดับ Enterprise ครบ ทั้ง SNMP, NetFlow, และ sFlow การเลือก Protocol ให้ถูกกับงานคือจุดเริ่มต้นที่สำคัญที่สุด
2. SNMP — Polling แบบ Classic ที่ยังไม่ตาย#
SNMP (Simple Network Management Protocol) คือ Protocol เก่าแก่ที่ฝังอยู่ใน Router, Switch, Firewall แทบทุกยี่ห้อ หลักการทำงานคือ Monitoring System จะ Poll ถามค่าจากอุปกรณ์ตามรอบเวลา เช่น ทุก 1 หรือ 5 นาที โดยดึงข้อมูลผ่าน OID (Object Identifier) ซึ่งเป็น Address ของค่าแต่ละตัวใน MIB (Management Information Base) — ฐานข้อมูลที่บอกว่า Router/Switch นั้นรายงานอะไรได้บ้าง
ข้อดี:
- รองรับทุกอุปกรณ์ ตั้งแต่ Switch ราคาถูกจนถึง Enterprise Firewall
- ตั้งค่าง่าย ใช้ Community String หรือ SNMPv3 Credential เพียงอย่างเดียว
- แสดง Interface Utilization, CPU, Memory, Error Counter ได้ครบ
ข้อจำกัด:
- SNMP บอกได้แค่ว่า Bandwidth ถูกใช้ไปเท่าไหร่ แต่ ไม่บอกว่าใครใช้
- Polling Interval ทำให้ตรวจจับ Spike สั้น ๆ ไม่ได้
- SNMPv1/v2c ส่ง Community String เป็น Plaintext — ควรใช้ SNMPv3 เสมอ
- เมื่อ Device จำนวนมากขึ้น Scalability เริ่มเป็นปัญหา เพราะทุก Poll สร้าง Connection แยก
SNMP เหมาะสุดสำหรับ Health Monitoring — รู้ว่าอุปกรณ์ Up/Down, CPU พุ่ง, Port Error. แต่ถ้าต้องการรู้ว่า User คนไหนโหลด YouTube ทั้งวัน ต้องใช้ Flow Protocol
3. NetFlow / IPFIX — การวัด Traffic ระดับ Flow#
NetFlow พัฒนาโดย Cisco แต่ปัจจุบัน IETF ได้ Standardize เป็น IPFIX (IP Flow Information Export) ซึ่งรองรับโดยอุปกรณ์หลายยี่ห้อ หลักการคือ Router หรือ Firewall จะสร้าง Flow Record ทุกครั้งที่มี TCP/UDP Session เกิดขึ้น โดยบันทึก Source IP, Destination IP, Port, Protocol, Byte Count และ Packet Count แล้วส่งไปยัง Collector
ข้อดี:
- รู้ได้ว่า IP ไหน คุยกับ IP ไหน บน Port อะไร และใช้ Bandwidth เท่าไหร่
- เหมาะสำหรับ Bandwidth Accounting, Top Talker Analysis และ Security Anomaly Detection
- IPFIX รองรับ Custom Field ทำให้ Vendor ขยาย Format ได้ตามต้องการ
ข้อจำกัด:
- Router/Firewall ต้องรองรับ NetFlow/IPFIX และต้องเปิดใช้งาน — อุปกรณ์บางรุ่นโดยเฉพาะ Switch ราคาประหยัด ไม่รองรับ
- การ Export Flow ใช้ CPU บน Device พอสมควร โดยเฉพาะ Traffic ที่สูง
- ต้องมี Collector แยกเพื่อรับและวิเคราะห์ข้อมูล
NetFlow/IPFIX เป็นตัวเลือกที่ดีที่สุดสำหรับ SMB ที่มี Router/Firewall รุ่นกลาง-บน เช่น Cisco ISR, Fortinet FortiGate, MikroTik (รองรับ Flow Export ผ่าน Traffic Flow)
4. sFlow — Packet Sampling ที่ Switch รักษ์#
sFlow (Sampled Flow) ต่างจาก NetFlow ตรงที่ไม่ได้บันทึกทุก Flow แต่ใช้การ Sampling — เช่น สุ่มเก็บ 1 ใน 1,000 Packet แล้วส่งข้อมูลของ Packet นั้นพร้อม Header ไปยัง Collector หลักการนี้ทำให้ sFlow ใช้ CPU น้อยมากบน Switch และรองรับ High-speed Interface ได้ดี
ข้อดี:
- Switch ราคาประหยัดหลายยี่ห้อ (HP ProCurve, Allied Telesis, D-Link บางรุ่น) รองรับ sFlow แต่ไม่รองรับ NetFlow
- ข้อมูล Sampling ทำให้รู้ Protocol Mix, Top Application และ Endpoint ที่ Active
- Overhead บน Switch ต่ำมาก เหมาะกับ Access Layer ที่มี Port จำนวนมาก
ข้อจำกัด:
- เพราะเป็นการ Sampling ตัวเลข Bandwidth ที่ได้เป็นการ ประมาณ ไม่ใช่ค่าจริง
- Accuracy ขึ้นกับ Sampling Rate — Rate ต่ำเกินไปทำให้ Short Burst หายไป
- ไม่เหมาะสำหรับ Exact Billing หรือ SLA Measurement ที่ต้องการความแม่นยำสูง
อย่าใช้ sFlow เป็นแหล่งข้อมูลเดียวสำหรับ Capacity Planning ที่ต้องการตัวเลข Exact — ใช้คู่กับ SNMP Polling เพื่อ Cross-check Interface Utilization จริง
5. กรอบการตัดสินใจ — Protocol ไหน ตอบคำถามอะไร#
| คำถาม | SNMP | NetFlow/IPFIX | sFlow |
|---|---|---|---|
| Interface Up/Down? | ✅ | ❌ | ❌ |
| CPU/Memory อุปกรณ์? | ✅ | ❌ | ❌ |
| Total Bandwidth ต่อ Interface? | ✅ | ✅ | ✅ (ประมาณ) |
| IP ไหนกิน Bandwidth มากสุด? | ❌ | ✅ | ✅ |
| Application/Port ที่ใช้? | ❌ | ✅ | ✅ |
| Security Anomaly (Port Scan, DDoS)? | ❌ | ✅ | ✅ |
| รองรับ Switch ราคาประหยัด? | ✅ | บางรุ่น | ✅ |
| Setup ง่าย? | ✅ | ปานกลาง | ปานกลาง |
แนวทางเลือก Protocol ตาม Use Case:
- ต้องการ Health + Alert เท่านั้น งบน้อย → SNMP อย่างเดียวก็พอ
- มี Router/Firewall ที่รองรับ Flow + ต้องการรู้ว่าใครกิน Bandwidth → NetFlow/IPFIX
- Network มี Switch Layer 2 เยอะ, Router ไม่รองรับ NetFlow → sFlow
- ต้องการ Visibility ครบสุด → SNMP + NetFlow/IPFIX หรือ SNMP + sFlow
6. เครื่องมือที่แนะนำสำหรับ SMB#
SNMP Monitoring#
LibreNMS คือตัวเลือกอันดับหนึ่งสำหรับ SMB — ติดตั้งง่าย Auto-discover อุปกรณ์ผ่าน SNMP ได้เองโดยอัตโนมัติ รองรับ Alert Rule, Syslog, และมี Dashboard พร้อมใช้ ฟรี 100%
Zabbix เหมาะถ้าต้องการ Monitoring ที่ยืดหยุ่นกว่า รองรับ SNMP Trap, ICMP, Agent และเชื่อมต่อกับระบบอื่นผ่าน Webhook ได้ครบ แต่ Learning Curve สูงกว่า LibreNMS
NetFlow / sFlow Collector#
ntopng (Community Edition ฟรี) รับ NetFlow และ sFlow ได้ทั้งคู่ มี Web UI แสดง Top Talker, Flow Table, และ Application Detection ผ่าน nDPI
Akvorado เป็นตัวเลือกใหม่ที่ออกแบบมาเพื่อ NetFlow/sFlow โดยเฉพาะ เก็บข้อมูลใน ClickHouse ทำให้ Query ข้อมูลย้อนหลังได้เร็วมาก เหมาะสำหรับทีมที่ต้องการ Historical Analysis
Dashboard#
Grafana เชื่อมต่อกับ InfluxDB, Prometheus หรือ ClickHouse เพื่อสร้าง Dashboard แบบ Custom ได้ทุก Metric ทั้งจาก LibreNMS, Zabbix และ ntopng พร้อม Plugin จาก Community Dashboard ให้ Import ได้หลายร้อยรายการ
7. ตัวอย่างการ Deploy ใน 1 วัน#
BOM (สำหรับ Server 1 เครื่อง — Ubuntu 22.04 LTS)#
| Component | Software | ขนาด VM แนะนำ |
|---|---|---|
| SNMP Collector | LibreNMS | 2 vCPU, 4 GB RAM |
| Flow Collector | ntopng Community | รวมกับ LibreNMS ได้ |
| Dashboard | Grafana (optional) | 1 vCPU, 2 GB RAM |
ขั้นตอนหลัก#
ติดตั้ง LibreNMS ตาม Official Install Script:
# ติดตั้ง Dependencies และ LibreNMS
curl -L https://raw.githubusercontent.com/librenms/librenms-install/master/install.sh | bash
เปิด SNMP บน Switch/Router — ตัวอย่าง Cisco IOS:
snmp-server community C9READ ro
snmp-server location Bangkok-HQ
snmp-server contact noc@company.local
เปิด NetFlow บน Router — ตัวอย่าง Cisco IOS:
ip flow-export destination 192.168.1.10 9995
ip flow-export version 9
interface GigabitEthernet0/0
ip flow ingress
ip flow egress
ติดตั้ง ntopng สำหรับ Flow Collection:
apt install ntopng
# แก้ /etc/ntopng/ntopng.conf
# -i=eth0 -w=3000 --community
systemctl enable --now ntopng
หลังจาก Deploy ครบ — เปิด LibreNMS แล้วกด Add Device ใส่ IP ของ Router/Switch พร้อม Community String ระบบจะ Auto-discover Interface ทั้งหมดภายใน 5 นาที
เปิด Alert Rule ใน LibreNMS สำหรับ Interface Down และ Bandwidth > 80% ก่อนเป็นอันดับแรก — Rule เหล่านี้ช่วยได้ทันทีโดยไม่ต้องปรับแต่งอะไรเพิ่ม
8. สรุป + Action Priority#
Network Visibility ไม่ใช่เรื่องที่ต้องรอ Budget ใหญ่ — Open-source Tool สมัยนี้มีความสามารถที่เคยมีเฉพาะใน Enterprise Platform โดยไม่มีค่าใช้จ่าย License
Action Priority สำหรับ SMB:
- วันนี้ — เปิด SNMPv3 บนทุก Router, Switch, Firewall ในระบบ
- สัปดาห์นี้ — ติดตั้ง LibreNMS, เพิ่มอุปกรณ์ทั้งหมด, ตั้ง Alert พื้นฐาน
- เดือนนี้ — เปิด NetFlow/sFlow บน Uplink Interface, ติดตั้ง ntopng เพื่อดู Top Talker
- ไตรมาสนี้ — ผนวก Grafana Dashboard เพื่อ Report ประจำเดือนให้ Management
การมองเห็น Network ที่ดีทำให้แก้ปัญหาได้เร็วขึ้น วางแผน Capacity ได้แม่นขึ้น และลด Downtime ได้จริง
C9NETWORK ให้บริการ Monitoring Deploy แบบครบวงจร ตั้งแต่ออกแบบ Tool Stack ให้เหมาะกับโครงสร้างเครือข่ายของคุณ ติดตั้ง LibreNMS/Zabbix/ntopng พร้อม Grafana Dashboard จนถึง Managed Monitoring สำหรับทีมที่ต้องการผู้ดูแลระบบแทน ติดต่อทีมงานเพื่อรับ Assessment ฟรีสำหรับ Network ของคุณ