文章目录
- 为什么需要sFlow
- sFlow与NetStream的区别
- sFlow应用场景
- sFlow是如何工作的
sFlow(Sampled Flow)是一种基于报文采样的网络流量监控技术,主要用于网络流量的统计分析。sFlow提供基于接口的流量分析,可以实时监控流量状况,及时发现异常流量以及攻击流量的源头,为企业用户的日常巡检维护提供了极大的方便。
为什么需要sFlow
相对于电信级网络,企业级网络通常具有规模相对较小、组网灵活、易受攻击等特点,因此企业级网络更容易出现由组网或者攻击导致的流量业务异常。故而企业用户更需要一种以设备接口为基本采样单元的流量监控技术来实时监控流量状况,及时发现异常流量以及攻击流量的源头,从而保证企业网络的正常稳定运行。在这样的背景下,sFlow应运而生。
sFlow与NetStream的区别
NetStream也可以对网络流量进行统计分析,但NetStream是一种基于网络流信息的统计技术。使用NetStream的网络设备自身需要对网络流进行初步的统计分析,并把统计信息储存在缓存区。当缓存区满或者流统计信息老化后再输出统计信息。与NetStream相比,sFlow不需要缓存区,网络设备仅进行报文的采样工作,网络流的统计分析工作由远端的sFlow采集器完成。
sFlow与NetStream相比具有以下优势:
- 节省资源、降低成本:由于不需要建立流表,对网络设备的资源占用少,实现成本低。
- 采集器灵活、随需的部署:由于网络流的分析和统计工作由采集器完成,采集器可以灵活的配置网络流特征进行统计分析,实现灵活、随需的部署。
sFlow应用场景
企业网用户对于接口的流量情况、整体设备运行情况有明确的需求。企业用户更需要一种以设备接口为基本采样单元的流量监控技术来实时监控流量状况,及时发现异常流量以及攻击流量的源头,从而保证企业网络的正常稳定运行。sFlow关注的是接口的流量情况、转发情况以及设备整体运行状况,适合于网络异常监控以及网络异常定位,特别适合于企业网用户。
如下图所示,只需要在支持sFlow Agent的设备上进行部署,远端连接一个sFlow Collector,就可以对流量进行基于接口的搜集和详细的分析。
sFlow典型应用组网图
sFlow是如何工作的
sFlow系统组成
如下图所示,sFlow系统包含一个嵌入在设备中的sFlow Agent和远端的sFlow Collector。其中,sFlow Agent通过sFlow采样获取接口统计信息和数据信息,将信息封装成sFlow报文,当sFlow报文缓冲区满或是在sFlow报文缓存时间(缓存时间为1秒)超时后,sFlow Agent会将sFlow报文发送到指定的sFlow Collector。sFlow Collector对sFlow报文进行分析,并显示分析结果。
sFlow系统示意图
sFlow报文
sFlow报文采用UDP封装,缺省目的端口号为知名端口6343。sFlow报文共有4种报文头格式,分别为Flow sample、Expanded Flow sample、Counter sample、Expanded Counter sample。其中Expanded Flow sample和Expanded Counter sample是sFlow version 5新增内容,是Flow sample和Counter sample的扩展,但不前向兼容。所有的Extended的采样内容必须使用Expanded采样报文头封装。
sFlow采样方式
sFlow Agent提供了两种采样方式供用户从不同的角度分析网络流量状况,分别为Flow采样以及Counter采样。
Flow采样
Flow采样是sFlow Agent设备在指定接口上按照特定的采样方向和采样比对报文进行采样分析,用于获取报文数据内容的相关信息。该采样方式主要是关注流量的细节,这样就可以监控和分析网络上的流行为。
表1-1 Flow采样信息说明
Counter采样
Counter采样是sFlow Agent设备周期性的获取接口上的流量统计信息,Counter采样支持获取的采样信息如下表所示。与Flow采样相比,Counter采样只关注接口上流量的数量,而不关注流量的详细信息。
表1-2 Counter采样信息说明
