当前位置: 首页 > 路由交换 > 网络管理与监控配置 > sFlow
cjhcjh sFlow   此文章访问量   755

采样流sFlow(Sampled Flow)(Flow采样与Counter采样)

采样流sFlow(Sampled Flow)(Flow采样与Counter采样)

sFlow简介
定义
采样流sFlow(Sampled Flow)是一种基于报文采样的网络流量监控技术,主要用于对网络流量进行统计分析。
目的
相对于电信级网络,企业级网络通常具有规模相对较小、组网灵活、易受攻击等特点,因此企业级网络更容易出现由组网或者攻击导致的流量业务异常。于是企业用户更需要一种以设备接口为基本采样单元的流量监控技术来实时监控流量状况,及时发现异常流量以及攻击流量的源头,从而保证企业网络的正常稳定运行。
这样的背景下,sFlow应运而生。sFlow提供基于接口的流量分析,为企业用户的日常巡检维护提供了极大的方便。
使用NetStream也可以对网络流量进行统计分析,而NetStream是一种基于网络流信息的统计技术,网络设备自身需要对网络流进行初步的统计分析,并把统计信息储存在缓存区,当缓存区满或者流统计信息老化后输出统计信息。与NetStream相比,sFlow不需要缓存区,网络设备仅进行报文的采样工作,网络流的统计分析工作由远端的采集器完成。

sFlow原理描述
sFlow系统组成
如图所示,sFlow系统包含一个嵌入在设备中的sFlow Agent和远端的sFlow Collector。其中,sFlow Agent通过sFlow采样获取接口统计信息和数据信息,将信息封装成sFlow报文,当sFlow报文缓冲区满或是在sFlow报文缓存时间(缓存时间为1秒)超时后,sFlow Agent会将sFlow报文发送到指定的sFlow Collector。sFlow Collector对sFlow报文进行分析,并显示分析结果。
sFlow系统示意图

1.gif

sFlow采样: Flow采样与Counter采样
sFlow Agent提供了两种采样方式供用户从不同的角度分析网络流量状况,分别为Flow采样以及Counter采样。
Flow采样
Flow采样是sFlow Agent设备在指定接口上按照特定的采样方向和采样比对报文进行采样分析,用于获取报文数据内容的相关信息。该采样方式主要是关注流量的细节,这样就可以监控和分析网络上的流行为。
表1 Flow采样信息说明

字段内容

说明

Raw packet

截取原始报文全部或者一部分报文头(具体截取多长的长度由配置决定),将这部分原始报文封装到sFlow报文中发送给Collector。

Ethernet Frame Data

针对Ethernet报文,解析报文的Ethernet头信息,将解析数据封装到sFlow报文中发送给Collector。

IPv4 Data

针对三层转发的IPv4报文,解析报文的IPv4头信息,将解析数据封装到sFlow报文中发送给Collector。

IPv6 Data

针对三层转发的IPv6报文,解析报文的IPv6头信息,将解析数据封装到sFlow报文中发送给Collector。

Extended Switch Data

针对转发的Ethernet报文,记录报文的VLAN转换以及VLAN优先级的转换,将转发信息封装到sFlow报文中发送给Collector。VLAN ID为0时表示无效VLAN。

Extended Router Data

针对路由转发的报文,记录报文的路由转发信息,将转发信息封装到sFlow报文中发送给Collector。

Counter采样

Counter采样是sFlow Agent设备周期性的获取接口上的流量统计信息,Counter采样支持获取的采样信息如表2所示。与Flow采样相比,Counter采样只关注接口上流量的数量,而不关注流量的详细信息。

表2 Counter采样信息说明

字段内容

说明

Generic Interface Counters

通用接口统计信息,包括接口的基本信息,通用的接口流量统计。

Ethernet Interface Counters

针对于Ethernet接口,用于统计Ethernet相关的流量统计信息。

Processor Information

用于统计设备CPU占用率,内存使用情况。

sFlow报文
sFlow报文采用UDP封装,缺省目的端口号为知名端口6343。sFlow报文共有4种报文头格式,分别为Flow sample、Expanded Flow sample、Counter sample、Expanded Counter sample。其中Expanded Flow sample和Expanded Counter sample是sFlow version 5新增内容,是Flow sample和Counter sample的扩展,但不前向兼容。所有的Extended的采样内容必须使用Expanded采样报文头封装。

sFlow应用场景
企业网用户对于接口的流量情况、整体设备运行情况有明确的需求。企业用户更需要一种以设备接口为基本采样单元的流量监控技术来实时监控流量状况,及时发现异常流量以及攻击流量的源头,从而保证企业网络的正常稳定运行。sFlow关注的是接口的流量情况、转发情况以及设备整体运行状况,适合于网络异常监控以及网络异常定位,特别适合于企业网用户。
如图所示,只需要在支持sFlow Agent的设备上进行部署,远端连接一个sFlow Collector,就可以对流量进行基于接口的搜集和详细的分析。

图片.png


1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » 采样流sFlow(Sampled Flow)(Flow采样与Counter采样)

作者: cjh


手机扫一扫,手机上查看此文章:

相关推荐

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!