sflow

完全的網路管理一直是從小到大各種規模的公司長期追求的目標。努力理解所有可能的傳輸流量、頻寬需求、性能含義、安全威脅和計費分配僅僅是當今網路管理人員所面臨的挑戰中的很小一部分。隨著網路在規模、速度和容量方面的發展，採用基於RMON或NetFlow計數器和統計的傳統工具進行監視和管理變得越來越困難。

sFlow是基於標準的最新網路導出協定（RFC 3176），能夠解決當前網路管理人員面臨的很多問題。通過將sFlow技術嵌入到網路路由器和交換機ASIC晶片中，sFlow已經成為一項線速運行的“一直線上”技術。與使用鏡像連線埠、探針和旁路監測技術的傳統網路監視解決方案相比，sFlow能夠大大降低實施費用，採用它，一種面向每一個連線埠的全網路監視解決方案成為可能。

與數據包採樣技術如RMON不同，sFlow是一種導出格式，它增加了關於被監視數據包的更多信息，並使用嵌入到網路設備中的sFlow代理轉發被採樣數據包，因此在功能和性能上都超越了當前使用的RMON、RMON II和NetFlow技術。接收sFlow數據包的設備稱為採集器（Collector）。sFlow技術之所以如此獨特，主要在於它能夠在整個網路中以連續實時的方式完全監視每一個連線埠，但不需要鏡像監視連線埠，對整個網路性能的影響也非常小。

sFlow使擁有高速千兆和萬兆連線埠的現代網路能夠得到精確的監視，同時，經過擴展，可以在一個採集點上管理數萬個連線埠。因為sFlow代理嵌入在網路路由器和交換機ASIC中，所以與傳統的網路監視解決方案相比，這種方法的實施成本要低得多。而且，也不需要購買額外的探針和旁路器就能全面監視整個網路。

與那些需要鏡像連線埠或網路旁路器來監視傳輸流量的解決方案不同，在 sFlow 的解決方案中，並不是每一個數據包都傳送到採集器。 sFlow使用兩種獨立的採樣方法來獲取數據 — 針對交換數據流的基於數據包的統計採樣方法和基於時間的採樣的針對網路接口統計數據（類似RMON的輪詢）。而且，sFlow還能使用不同的採樣率對整個交換機或僅對其中一些連線埠實施監視，這樣保證了在設計管理方案時的靈活性。與以前的網路監視技術，如RMON、RMON II和NetFlow相比，sFlow的主要優勢在於：

Ø 更低的全網路監視成本

Ø 具有實時分析能力的一直線上技術

Ø 嵌入到ASIC中的強勁技術

Ø 可看到設備或連線埠配置的全網路視圖

Ø 用戶可自行配置的採樣速率

Ø 對設備性能沒有影響

Ø 對網路頻寬的影響很小

Ø 完整的數據包頭信息

Ø 完整的第2-7層詳細信息

Ø 支持多種協定（IP、MAC、Appletalk、IPX、BGP等）

sFlow帶來的好處

Ø 準確識別那些非常難以診斷和校正的性能問題的原因，有時候，性能差的原因並不在於網路阻塞，而在於主機或網路配置問題。

Ø sFlow的“一直線上”技術使網路性能保持在一個正常使用水平上，當出現異常使用情況或增大趨勢時，能夠非常快速、方便地發現。另外，對高性價比升級的預先規劃以及頻寬整形和速率限制的使用都可以幫助控制保持網路的性能，避免購買多餘的網路設備。

Ø 流量監視為防範安全威脅提供了更多機會。沒有對流量的充分理解，就不可能確定流量劃分策略和防火牆配置。sFlow提供的對整個網路流量的可視化能力為防火牆的有效配置和審計打下了基礎。

Ø sFlow將建立一個正常網路使用的基準，當發現網路活動明顯偏離基準時，就會發出告警信息，從而做到有效地識別訪問策略破壞和入侵現象。

Ø 判斷那些成為問題根源的主機，可能發生的問題包括廣播風暴、頻寬的過度使用或套用的不正確使用。

Ø 確定正在使用哪些協定，每個協定在網路中使用了多少頻寬。這可以幫助識別網路中行為不正常的配置不當的主機或套用。

Ø 確定在網上運行的所有套用，判斷出哪些套用最耗費頻寬，或是網路或性能問題的根源。

Ø 通過快速識別和解決根源問題，減少網路停用時間。

Ø 從實時使用統計數據中快速確定部門或客戶計費信息，以提供給計費系統使用。計費的確定可以根據不同主機、部門、地理位置或套用所使用的頻寬來進行。

Ø 增加收入、降低成本、提高客戶滿意度。

Ø 充分利用信息，建立綜合的SLA。

Ø 利用sFlow提供的大量信息，拓展其他的數據挖掘機會。

sFlow的安全套用

傳統的網路安全解決方案要實現整個企業的安全越來越需要耗費大量資源。現代網路中的千兆、幾千兆和萬兆乙太網鏈路使防火牆和IDS越來越難以承擔監視和控制流量的任務，將防火牆和IDS放置在關鍵網路如伺服器群組和擁有大量知識資產的部門的入口點，將會帶來以下幾個問題：

Ø 檢查點的增加勢必引起性能下降。

Ø 鏡像連線埠不能轉發幾千兆上行鏈路的所有流量。

Ø 適應千兆速度的防火牆和IDS系統非常昂貴。

Ø 捕獲數據的集中管理和觀察非常耗費資源。

Ø 沒有足夠的IT資源來安裝所有防火牆和IDS系統，並維護和執行所要求的操作。

Ø 在大流量攻擊面前，依賴鏡像連線埠或旁路器的傳統安全部件會不堪負荷——削減了總體效能。

一個非常好的類似例子是賭場的安全監視攝像機，安全監視系統使賭場的保全部門能夠連續監視整個賭場的每個角落，而不僅僅是前門。sFlow技術的作用與其類似，它使IT和安全部門的人員能夠時刻監視整個校園網路，而對網路基礎設施不造成任何開銷。

雖然sFlow並不是轉發所有的數據包進行安全分析的完全“鏡像連線埠”或“網路旁路”技術，但它可以提供適合安全監視和策略執行的大量信息，其優勢在於能夠向安全採集器提供實時的採樣數據進行分析，從而提供整個網路的連續監視能力。利用從第2到第7層的完整、詳細的信息，安全威脅能夠被識別出來，並得到良好的控制。通過在網路設備的ASIC晶片中實現數據收集技術，即使是網路在受到大量的拒絕服務攻擊時也不會影響性能。在遭到拒絕服務攻擊時，惡意流量急劇增加，而被採樣的數據包也將與惡意流量成比例的增加，這樣可以快速判斷出攻擊行為，從而保障採集器不會由於攻擊數據包的增加而過載。

採樣數據可以用於創建進行流量比較的正常使用基準。這些基準可用於顯示出：

Ø 使用連線埠映射和使用ping和連線埠掃描進行探測的偵察行為。

Ø 消耗計算機資源或網路頻寬以阻止主機通信的拒絕服務攻擊。如採用ICMP的Smurf攻擊或SYN flood攻擊。

Ø 採用重複登錄或TCP劫持對網路上的主機造成威脅的行為。

Ø 以不正確的方式使用系統的錯誤使用行為。使用企業策略禁止的服務和套用。

sFlow在發現流量出現以下情況時就懷疑安全可能有問題：

Ø 判斷出擁有可疑流量的超級頻寬占用者。

Ø 發現與使用新的服務或套用相關的傳輸流量模式的變化。

Ø 對話雙方不正常或與外部主機有過多的通信行為。

Ø 識別出不常使用的協定。

Ø 一個主機試圖使用大量服務連線埠連線大範圍的地址。

Ø 到某個主機的流量在很短的時間內異常增大。

Ø 某個主機發出異常數量的登錄流量。

Ø 通過對外部主機的監視發現異常傳輸流量或使用的服務類型連線埠異常。

Ø 與傳統的流量監視和僅傳遞數據包信息的IDS信息不同，sFlow除傳送所有的傳統數據包頭和協定信息外，還傳送物理傳輸信息，如交換機/連線埠接口信息、RMON統計信息和部分數據包有效載荷來進行監視。這樣，使用sFlow實現網路安全的可能性就大大增加，而與安全相關的套用如全企業IDS、套用識別和流量監視就成為可能。