NetFlow還是sFlow.doc

NetFlow還是sFlow？大多數(shù)網(wǎng)絡(luò)管理員將流量分析列入他們的10大職責(zé)清單當(dāng)中，但他們并沒有太多地使用數(shù)據(jù)包分析器。這是NetFlow和sFlow帶來的好處，可以在無須部署探測(cè)器的情況下提供他們通常尋找的大多數(shù)信息。事實(shí)上，當(dāng)前可利用SNMP管理的交換機(jī)和路由器大多數(shù)都支持NetFlow或sFlow當(dāng)中的一種。但同時(shí)也出現(xiàn)了一個(gè)問題：NetFlow和sFlow兩種監(jiān)測(cè)技術(shù)哪個(gè)更好？畢竟，目前多數(shù)網(wǎng)絡(luò)廠商的設(shè)備只支持其中一種技術(shù)。 NetFlow流行v5“支持NetFlow提供更好的網(wǎng)絡(luò)可見性依然是我們廣域數(shù)據(jù)服務(wù)戰(zhàn)略的組成部分?！盧iverbed Technology公司產(chǎn)品營銷副總裁Alan SaldichNetFlow（或者名為NetStream、IPFIX或Jflow的變種）最初是由思科公司開發(fā)的一種專有技術(shù)，它被應(yīng)用在思科的互聯(lián)網(wǎng)操作系統(tǒng)（IOS）中，目前部署最多的版本是v5。不過，v7和v9正在變得越來越普及。最近，Internet工程任務(wù)組發(fā)布了一項(xiàng)叫做“IP Flow Information eXport（IPFIX）”的標(biāo)準(zhǔn)，這項(xiàng)標(biāo)準(zhǔn)基于NetFlow v9的數(shù)據(jù)輸出格式。支持NetFlow的廠商包括思科、Enterasys Networks、Juniper Networks、Nortel、Riverstone Networks (已被Lucent收購)、Riverbed、Packeteer以及其他許多廠商。NetFlow是路由器用來跟蹤每個(gè)開啟NetFlow功能接口上的所有進(jìn)入會(huì)話的技術(shù)。它根據(jù)7個(gè)關(guān)鍵標(biāo)準(zhǔn)分析數(shù)據(jù)包，如果兩個(gè)包在所有7個(gè)判斷標(biāo)準(zhǔn)上都匹配的話，就把它們歸類為相同的流量或會(huì)話。一旦會(huì)話結(jié)束或被匯總，就被傳送給采集器。NetFlow將主機(jī)之間可能由成千上萬個(gè)數(shù)據(jù)包組成的會(huì)話（即傳輸流）匯集為一個(gè)NetFlow v5數(shù)據(jù)包中的一個(gè)條目（最多可包括30個(gè)會(huì)話）。換句話說，一個(gè)NetFlow包可以描述30臺(tái)主機(jī)之間的數(shù)萬個(gè)數(shù)據(jù)包。如果NetFlow配置恰當(dāng)并且硬件沒有過載的話，這種技術(shù)可以以接近100%的準(zhǔn)確性來描述誰經(jīng)過設(shè)備進(jìn)行通信，并且對(duì)設(shè)備CPU的影響非常小。不過，大多數(shù)數(shù)據(jù)域在匯集的過程中丟失，只有源與目的IP地址、協(xié)議、類型、QoS、自控系統(tǒng)和其他一些域被保存下來。數(shù)據(jù)包的其余信息在NetFlow v5（該版本目前占據(jù)80%以上的市場(chǎng)份額）中被丟棄。雖然NetFlow v9可以保存數(shù)據(jù)包的前1200個(gè)字節(jié)，但是目前基本沒有采集器可以直觀地報(bào)告這些數(shù)據(jù)。挑戰(zhàn)者sFlow“我們的許多客戶正運(yùn)行在混合的硬件環(huán)境上，雖然NetFlow更為普及，但我們幾年前決定同時(shí)也支持sFlow?！盤lixer International公司首席技術(shù)官M(fèi)arc Bilodeau同NetFlow一樣，sFlow是一種向采集器發(fā)送報(bào)告的推送技術(shù)。所不同的是，NetFlow是一種基于軟件的技術(shù)，而sFlow則采用內(nèi)置在硬件中的專用芯片。這種做法消除了路由器或交換機(jī)的CPU和內(nèi)存的負(fù)擔(dān)。最初由InMon Corporation開發(fā)的sFlow產(chǎn)品自2002年起就在市場(chǎng)上銷售。如圖所示，sFlow系統(tǒng)的基本原理為：分布在網(wǎng)絡(luò)不同位置的sFlow代理把sFlow數(shù)據(jù)報(bào)源源不斷地傳送給中央sFlow采集器，采集器對(duì)sFlow數(shù)據(jù)報(bào)進(jìn)行分析并生成豐富的、實(shí)時(shí)的、全網(wǎng)范圍的傳輸流視圖。Alcatel、Allied Telesis、D-Link、Extreme Networks、Foundry Networks、HP ProCurve、Hitachi、NEC和其他一些廠商推出了采用sFlow芯片的設(shè)備。sFlow的應(yīng)用不如NetFlow那樣廣，因此可供使用的采集器比較少。該產(chǎn)品的最新版本是v5，但目前v2和v4的版本采用的最多。sFlow是一種純數(shù)據(jù)包采樣技術(shù)，即每一個(gè)被采樣的X包的長度被記錄下來，而大部分的包則被丟棄，只留下樣本被傳送給采集器。由于這項(xiàng)技術(shù)是基于樣本的，如果沒有復(fù)雜的算法來嘗試推測(cè)準(zhǔn)確的會(huì)話字節(jié)量，那么幾乎不可能獲得每臺(tái)主機(jī)流量100%的準(zhǔn)確值。在使用這項(xiàng)技術(shù)時(shí)，交換機(jī)每隔100個(gè)數(shù)據(jù)包（可配置）對(duì)每個(gè)接口采一次樣，然后將它傳送給采集器。sFlow的規(guī)格也支持1比1的采樣率，即對(duì)每一個(gè)數(shù)據(jù)包都進(jìn)行“采樣”。對(duì)數(shù)據(jù)包最大采樣頻率的限制取決于具體的芯片廠商和sFlow實(shí)現(xiàn)情況。比如Foundry Networks就提供一款每隔一個(gè)數(shù)據(jù)包采樣一次的交換機(jī)。與NetFlow限制在采樣數(shù)據(jù)包的前1200個(gè)字節(jié)不同，sFlow可以輸出采樣數(shù)據(jù)包的任何數(shù)量的字節(jié)，這個(gè)數(shù)量取決于具體實(shí)現(xiàn)的硬件限制。但由于sFlow采用UDP協(xié)議，其數(shù)據(jù)報(bào)可能超過2層的最大傳輸單元（MTU），需要在IP層處理數(shù)據(jù)包的分段和重新組裝。NetFlow和sFlow誰更好？“NetFlow的美麗之處是因?yàn)樗菢?biāo)準(zhǔn)的，你可以采集來自不同廠商產(chǎn)品的數(shù)據(jù)，對(duì)這些數(shù)據(jù)進(jìn)行正確的取證或流量分析?！彼伎乒竟芾砑夹g(shù)部高級(jí)副總裁Cliff Meltzer“將sFlow技術(shù)集成在我們的無線平臺(tái)中，企業(yè)用戶可以更容易地監(jiān)測(cè)網(wǎng)絡(luò)設(shè)備、執(zhí)行安全措施，并分析有線和無線基礎(chǔ)設(shè)施上的傳輸流?！盚P ProCurve公司首席技術(shù)官Paul GongdonNetFlow更多的是在路由器上得到支持，而sFlow則在交換機(jī)上更加流行。兩者都是開放標(biāo)準(zhǔn)，但在非常大的流量傳輸環(huán)境中，sFlow采樣架構(gòu)可能要優(yōu)于NetFlows匯集方式。在路由器和交換機(jī)上實(shí)現(xiàn)NetFlow的處理能力并不是問題。問題在于NetFlow產(chǎn)生的數(shù)據(jù)包數(shù)量會(huì)非常巨大，采集器可能會(huì)變得不堪重負(fù)。服務(wù)提供商使用的多數(shù)路由器每秒可傳送0.5個(gè)50個(gè)NetFlow包。雖然世界上有很多每秒傳送數(shù)百個(gè)NetFlow包的路由器，但它們不是主流。即使如此，一些傳輸流采集器仍可以實(shí)現(xiàn)每秒處理1000個(gè)以上的數(shù)據(jù)包。在路由器廠商中，NetFlow v5似乎比sFlow更受歡迎。而除思科和Enterasys之外，多數(shù)交換機(jī)廠商采用sFlow（Enterasys因其開發(fā)的一種專門芯片而在其交換機(jī)上支持NetFlow v9）。sFlow僅僅提供采樣數(shù)據(jù)，那么在測(cè)量主機(jī)之間的IP傳輸流時(shí)，為什么多數(shù)交換機(jī)廠商選擇支持sFlow，而不支持NetFlow更為準(zhǔn)確的匯集方式呢？這是因?yàn)閟Flow部署在芯片上，所以人們相信s