智簡園區(qū)交換機流量采樣技術(shù)白皮書

1、華為智簡園區(qū)交換機流量采樣技術(shù)白皮書華為智簡園區(qū)交換機流量采樣技術(shù)白皮書前言前言摘要Internet 網(wǎng)絡(luò)的高速發(fā)展為用戶提供了更高的帶寬，支持的業(yè)務(wù)和應(yīng)用日漸增多，同時企業(yè)級網(wǎng)絡(luò)具有規(guī)模相對較小、組網(wǎng)靈活、易受攻擊等特點，傳統(tǒng)流量統(tǒng)計如 SNMP、端口鏡像等，由于統(tǒng)計流量方式不靈活或是需要投資專用服務(wù)器成本高等原因，無法滿足對網(wǎng)絡(luò)進行更細致的管理，需要一種新技術(shù)來更好的支持網(wǎng)絡(luò)流量統(tǒng)計，NetStream 是一種基于網(wǎng)絡(luò)流信息的統(tǒng)計技術(shù)，采樣流 sFlow（Sampled Flow）是一種基于報文采樣的網(wǎng)絡(luò)流量監(jiān)控技術(shù)，兩種技術(shù)均可以對網(wǎng)絡(luò)中的業(yè)務(wù)流量情況進行統(tǒng)計和分析。關(guān)鍵詞NetStea

2、m、sFlow、精細管控華為智簡園區(qū)交換機流量采樣技術(shù)白皮書目錄目錄 HYPERLINK l _bookmark0 前言i HYPERLINK l _bookmark1 概述1 HYPERLINK l _bookmark2 產(chǎn)生背景1 HYPERLINK l _bookmark3 技術(shù)實現(xiàn)1 HYPERLINK l _bookmark4 客戶價值1 HYPERLINK l _bookmark5 方案原理3 HYPERLINK l _bookmark6 NetStream 原理描述3 HYPERLINK l _bookmark7 基本原理3 HYPERLINK l _bookmark10 Net

3、Stream 采樣5 HYPERLINK l _bookmark11 NetStream 流5 HYPERLINK l _bookmark12 NetStream 流老化5 HYPERLINK l _bookmark13 NetStream 流輸出6 HYPERLINK l _bookmark14 流輸出方式7 HYPERLINK l _bookmark16 輸出報文的版本格式8 HYPERLINK l _bookmark17 流輸出方式與報文版本格式對應(yīng)關(guān)系8 HYPERLINK l _bookmark19 sFlow 原理描述9 HYPERLINK l _bookmark20 sFlow

4、系統(tǒng)組成9 HYPERLINK l _bookmark22 sFlow 報文10 HYPERLINK l _bookmark23 sFlow 采樣10 HYPERLINK l _bookmark25 典型組網(wǎng)應(yīng)用12 HYPERLINK l _bookmark26 NetStream 的典型應(yīng)用12 HYPERLINK l _bookmark28 sFlow 的典型應(yīng)用13 HYPERLINK l _bookmark30 A 縮 略語14華為智簡園區(qū)交換機流量采樣技術(shù)白皮書1 概述 1 概 述產(chǎn)生背景Internet 網(wǎng)絡(luò)的高速發(fā)展為用戶提供了更高的帶寬，支持的業(yè)務(wù)和應(yīng)用日漸增多，同時企業(yè)級網(wǎng)

5、絡(luò)具有規(guī)模相對較小、組網(wǎng)靈活、易受攻擊等特點，因此企業(yè)級網(wǎng)絡(luò)更容易出 現(xiàn)由組網(wǎng)或者攻擊導(dǎo)致的流量業(yè)務(wù)異常，于是企業(yè)用戶更需要一種以設(shè)備接口為基本采 樣單元的流量監(jiān)控技術(shù)來實時監(jiān)控流量狀況，及時發(fā)現(xiàn)異常流量以及攻擊流量的源頭， 從而保證企業(yè)網(wǎng)絡(luò)的正常穩(wěn)定運行。企業(yè)客戶也需要對網(wǎng)絡(luò)進行更加細致的管理和計費， 這樣就對流量統(tǒng)計分析提出了更高的要求。在這樣的背景下，NetStream 和 sFlow 應(yīng)運而生。技術(shù)實現(xiàn)通過 NetStream 可以對網(wǎng)絡(luò)中的業(yè)務(wù)流量和資源使用情況進行分類統(tǒng)計，并將統(tǒng)計信息發(fā)送至服務(wù)器（可以是專用的服務(wù)器，也可以是安裝有 NetStream 網(wǎng)管軟件的網(wǎng)管系統(tǒng)）進行更為

6、詳盡的統(tǒng)計分析。通過 sFlow 實現(xiàn)基于端口的流量分析，sFlow 按照一定的采樣比從特定端口上采集報文，由 Agent 設(shè)備對報文進行分析（包括報文內(nèi)容、報文轉(zhuǎn)發(fā)規(guī)則信息等等），并將分析結(jié)果以及原始報文通告給 Collector 進行統(tǒng)一分析（Flow 采樣）；并且支持周期性統(tǒng)計端口的流量計數(shù)以及設(shè)備 CPU、內(nèi)存等信息（Counter 采樣）。sFlow 關(guān)注的是接口的流量情況、轉(zhuǎn)發(fā)情況以及設(shè)備整體運行狀況，因此適合于網(wǎng)絡(luò)異常監(jiān)控以及網(wǎng)絡(luò)異常定位，通過 Collector 可以以報表的方式將情況反應(yīng)出來， 特別適合于企業(yè)網(wǎng)用戶。為企業(yè)用戶（特別是未設(shè)置專職網(wǎng)絡(luò)管理員的企業(yè)用戶）的日常巡檢

7、維護提供了極大的方便?？蛻魞r值針對 NetStream 有如下好處：計費：NetStream 為基于資源（如線路、帶寬、時段等）占用情況的計費提供了精細的數(shù)據(jù)，這些數(shù)據(jù)包括IP 地址、包數(shù)、字節(jié)數(shù)、時間、ToS 和應(yīng)用類型等。企業(yè)客戶可以使用這些信息計算部門費用或分配成本，以便有效利用資源。網(wǎng)絡(luò)監(jiān)控：通過在連接 Internet 的接口部署 NetStream，可以對網(wǎng)絡(luò)出口進行實時的流量監(jiān)控，分析各種業(yè)務(wù)占用出口帶寬的情況。網(wǎng)管人員可以根據(jù)這些信息判斷網(wǎng)絡(luò)的運行情況，盡早發(fā)現(xiàn)不合理的網(wǎng)絡(luò)結(jié)構(gòu)或是網(wǎng)絡(luò)中的性能瓶頸，方便企業(yè)客戶規(guī)劃和分配網(wǎng)絡(luò)資源。用戶監(jiān)控和分析：通過 NetStream 可以獲

8、得用戶網(wǎng)絡(luò)資源利用的詳細情況，進而用于高效地規(guī)劃以及分配網(wǎng)絡(luò)資源，并保障網(wǎng)絡(luò)的安全運行。NetStream 是一種基于網(wǎng)絡(luò)流信息的統(tǒng)計技術(shù)，網(wǎng)絡(luò)設(shè)備自身需要對網(wǎng)絡(luò)流進行初步的統(tǒng)計分析，并把統(tǒng)計信息儲存在緩存區(qū)，當緩存區(qū)滿或者流統(tǒng)計信息老化后輸出統(tǒng)計信息。與 NetStream 相比，sFlow 不需要緩存區(qū)，網(wǎng)絡(luò)設(shè)備僅進行報文的采樣工作， 網(wǎng)絡(luò)流的統(tǒng)計分析工作由遠端的采集器完成。因此 sFlow 與NetStream 比較具有以下優(yōu)勢：節(jié)省資源、降低成本：由于不需要緩存區(qū)，對網(wǎng)絡(luò)設(shè)備的資源占用少，實現(xiàn)成本低。采集器靈活、隨需的部署：由于網(wǎng)絡(luò)流的分析和統(tǒng)計工作由采集器完成，采集器可以靈活的配置網(wǎng)

9、絡(luò)流特征進行統(tǒng)計分析，實現(xiàn)靈活、隨需的部署。華為智簡園區(qū)交換機流量采樣技術(shù)白皮書2 方案原理 2 方案原理NetStream 原理描述基本原理NetStream 系統(tǒng)的組成一個典型的 NetStream 系統(tǒng)由流量輸出器 NDE（NetStream Data Exporter）、網(wǎng)絡(luò)流 數(shù)據(jù)收集器NSC（NetStream Collector）和流量分析器NDA（NetStream Data Analyzer）三部分組成。如 HYPERLINK l _bookmark8 圖 2-1 所示：圖2-1 NetStream 系統(tǒng)組成圖NDENDE 負責對網(wǎng)絡(luò)流進行分析處理，提取符合條件的流進行統(tǒng)計，

10、并將統(tǒng)計信息輸出給NSC。輸出前也可對數(shù)據(jù)進行一些處理，比如聚合。配置了 NetStream 功能的交換機設(shè)備在 NetStream 系統(tǒng)中擔當 NDE 角色。NSCNSC 通常為運行于 Unix 或者 Windows 上的一個應(yīng)用程序，負責解析來自 NDE 的報文，把統(tǒng)計數(shù)據(jù)收集到數(shù)據(jù)庫中，可供 NDA 進行解析。NSC 可以采集多個 NDE 設(shè)備輸出的數(shù)據(jù)，對數(shù)據(jù)進行進一步的過濾和聚合。NDANDA 是一個網(wǎng)絡(luò)流量分析工具，它從 NSC 中提取統(tǒng)計數(shù)據(jù)，進行進一步的加工處理后生成報表，為各種業(yè)務(wù)提供依據(jù)（比如流量計費、網(wǎng)絡(luò)規(guī)劃、攻擊監(jiān)測）。通常，NDA 具有圖形化用戶界面，使用戶可以方便地

11、獲取、顯示和分析收集到的數(shù)據(jù)。NetStream 工作機制NetStream 系統(tǒng)的整體功能的工作過程如下：1、 NDE 把采集到的關(guān)于流的詳細信息定期發(fā)送給 NSC；2、 信息由 NSC 初步處理后發(fā)送給 NDA；3、 NDA 對數(shù)據(jù)進行分析，以用于計費、網(wǎng)絡(luò)規(guī)劃等應(yīng)用。通常情況下，數(shù)通產(chǎn)品在 NetStream 系統(tǒng)中擔任 NDE 角色，所以本文檔接下來的內(nèi)容重點介紹 NDE 的實現(xiàn)。圖2-2 NetStream 功能原理圖 HYPERLINK l _bookmark9 如圖 2-2 所示，配置了 NetStream 功能的交換機設(shè)備（即 NDE）業(yè)務(wù)流量正常轉(zhuǎn)發(fā)。設(shè)備的 NetStrea

12、m 模塊按一定的采樣方式進行 NetStream 采樣，接下來對采樣數(shù)據(jù)建立 NetStream 流，接著按一定的老化方式對流進行 NetStream 流老化處理，最后按一定的輸出方式以及相應(yīng)的版本進行 NetStream 流輸出。至此，就完成了 NDE 設(shè)備最主要功能：把采集到的關(guān)于流的詳細信息定期發(fā)送給 NSC。NetStream 采樣可以對接口出/入方向的流量進行NetStream 采樣后再分析。通過設(shè)定適當?shù)牟蓸娱g隔， 只針對樣本報文進行流信息統(tǒng)計分析，收集到的統(tǒng)計信息也可以基本正確地反映整個網(wǎng)絡(luò)流的狀況，同時也能降低使能 NetStream 功能對設(shè)備性能的影響。NetStream

13、采樣有四種方式：隨機報文間隔采樣：在此模式下，報文在配置數(shù)目間隔內(nèi)被隨機采樣。即，如果報文間隔數(shù)配置為 100，則每 100 個報文隨機采樣 1 個報文。適用于有規(guī)律的流量。固定報文間隔采樣：在此模式下，報文在配置數(shù)目間隔內(nèi)被周期采樣。即，如果報文間隔配置數(shù)為 100，假設(shè)在第 5 個報文被采樣后，則每隔 100 個報文都會再次采樣，如第 105 個報文會再采集一次，以此類推采樣下去。適用于網(wǎng)絡(luò)流量統(tǒng)計計費。隨機時間間隔采樣：在此模式下，報文在配置時間間隔內(nèi)被隨機采樣。即，如果報文間隔時間配置為 100， 則每 100 毫秒隨機采樣 1 個報文。適用于有規(guī)律的流量。固定時間間隔采樣：在此模式下

14、，報文在配置時間間隔內(nèi)被周期采樣。即，如果報文間隔時間配置為 100， 假設(shè)在第 5 毫秒進行第一次采樣后，則每隔 100 毫秒都會再次采樣，如第 105 毫秒時會再采集一次，以此類推采樣下去。適用于網(wǎng)絡(luò)流量較大的情況。NetStream 流NetStream 是一項基于“流”來提供報文統(tǒng)計的技術(shù)。NetStream 流就是 NetStream 支持 IP 報文（UDP、TCP、ICMP 報文）的統(tǒng)計。對于 IPv4 報文，IPv4 NetStream 會根據(jù) IPv4 報文的目的 IP 地址、源 IP 地址、目的端口號、源端口號、協(xié)議號、ToS（Type of Service，服務(wù)類型）、輸

15、入接口或輸出接口來定義流，相同的七元組標識為同一條流。對于 IPv6 報文，IPv6 NetStream 會根據(jù) IPv6 報文的目的 IP 地址、源 IP 地址、目的端口號、源端口號、協(xié)議號、流量分類、流標簽、輸入接口或輸出接口來定義流，相同的八元組標識為同一條流。NetStream 流老化NetStream 流老化是設(shè)備向 NSC 輸出流統(tǒng)計信息的前提。設(shè)備啟用 NetStream 功能后，流統(tǒng)計信息首先會被存儲在設(shè)備的 NetStream 緩存區(qū)中。當存儲在設(shè)備上的NetStream 流信息老化后， 設(shè)備會把緩存區(qū)中的流統(tǒng)計信息通過指定版本的NetStream 輸出報文發(fā)送給 NSC。N

16、etStream 流老化的分類：按時老化活躍流的老化從第一個報文開始，一條流在指定的時間內(nèi)一直能被采集到。流活躍時間超過設(shè)定的時長后，需要輸出該流的統(tǒng)計信息，這種老化稱為活躍流的老化。該種老化方式主要用于持續(xù)時間較長的流量，定期輸出統(tǒng)計信息。不活躍流的老化從最后一個報文開始，一條流在指定的時間內(nèi)沒有被采集到（即在設(shè)定時長內(nèi)統(tǒng)計到的報文數(shù)目沒有增加），那么設(shè)備會向 NetStream 服務(wù)器輸出該流的統(tǒng)計信息，這種老化稱為不活躍的流老化。通過這種老化，可以清除設(shè)備上NetStream 緩存區(qū)中的無用表項，充分利用統(tǒng)計表項資源。該種老化方式主用于短時流量，流量停止則立即輸出統(tǒng)計信息，節(jié)省內(nèi)存空間。

17、由 TCP 連接的 FIN 和 RST 報文觸發(fā)老化對于 TCP 連接，當有標志為 FIN 或 RST 的報文發(fā)送時，表示一次會話結(jié)束。因此當一條已經(jīng)存在的 TCP 協(xié)議 NetStream 流中流過一條標志為 FIN 或 RST 的報文時，可以立即把相應(yīng)的 NetStream 流老化掉。統(tǒng)計字節(jié)超過限制時老化NetStream 緩存區(qū)中的流需要記錄流過的報文字節(jié)數(shù)，當字節(jié)數(shù)量超過定義的變量上限時，該流就會溢出。所以系統(tǒng)在檢測到某條流的字節(jié)統(tǒng)計超過限制（硬件的字節(jié)計數(shù)器是 64 比特，最大計數(shù)值為 4294967295，約為 3.9G 字節(jié)）時，為了避免計數(shù)錯誤， 系統(tǒng)會立即自動把該流老化掉。

18、該老化方式設(shè)備上缺省開啟，無需手動配置，也不能夠去使能。強制老化用戶可以通過執(zhí)行命令強制將 NetStream 緩存區(qū)中所有流老化。該功能主要用于老化條件尚未滿足，但又需要最新的統(tǒng)計信息?；蛘?NetStream 業(yè)務(wù)發(fā)生異常，導(dǎo)致流緩存區(qū)中某些流始終不老化。NetStream 流輸出NetStream 流輸出是指儲存緩存區(qū)里面的流老化后把流統(tǒng)計信息輸出到指定的 NSC， 以便進行后續(xù)更為詳盡的分析。NetStream 流輸出具有原始流、聚合流和靈活流的三種流輸出方式，以及三種輸出報文的版本格式，分別是 V5、V8 和 V9。流輸出方式原始流輸出方式原始流輸出是指所有流的統(tǒng)計信息都要被統(tǒng)計。在

19、流老化時間超時后，每條流的統(tǒng)計信息都要輸出到 NetStream 服務(wù)器。原始流的優(yōu)點是：NetStream 服務(wù)器可以得到每條流的詳細統(tǒng)計信息。正因為這樣，其缺點是：增加了網(wǎng)絡(luò)帶寬和設(shè)備的 CPU 占有率，而且為了存儲這些信息，需要占用大量的存儲介質(zhì)空間，增加了設(shè)備的開銷。在完成 NetStream 采樣以及 NetStream 老化后，原始流輸出的配置只需要配置NetStream 輸出報文的屬性（源地址和目的地址以及目的 UDP 端口號）即可。聚合流輸出方式聚合流輸出是指采用聚合流輸出功能后，設(shè)備對與聚合關(guān)鍵項完全相同的流統(tǒng)計信息進行匯總，從而得到對應(yīng)的聚合流統(tǒng)計信息，并且將該聚合統(tǒng)計信息

20、發(fā)送到相應(yīng)的接收聚合統(tǒng)計信息的 NetStream 服務(wù)器。通過對原始流進行聚合后輸出，可以明顯減少網(wǎng)絡(luò)帶寬。支持 HYPERLINK l _bookmark15 如表 2-1 所示的聚合方式。例如：現(xiàn)有四條 TCP 原始流，其目的地址相同、源地址不同，源端口、目的端口均相同， HYPERLINK l _bookmark15 選擇表 2-1 中的“protocol-port（協(xié)議-端口聚合）”方式，該聚合方式依據(jù)“協(xié)議號、源端口、目的端口”的聚合關(guān)鍵項進行聚合。因為這四條 TCP 流的源端口、目的端口和協(xié)議號相同，所以在聚合流統(tǒng)計表項中只會記錄一條聚合流統(tǒng)計信息。設(shè)備只將聚合統(tǒng)計信息發(fā)送給相應(yīng)

21、的接收聚合統(tǒng)計信息的 NetStream 服務(wù)器。表2-1 聚合方式列表聚合方式聚合關(guān)鍵項as（自治系統(tǒng)聚合）源自治系統(tǒng)號、目的自治系統(tǒng)號、輸入接口索引、輸出接口索引as-tos（自治系統(tǒng)-ToS聚合）源自治系統(tǒng)號、目的自治系統(tǒng)號、輸入接口索引、輸出接口索引、ToSprotocol-port（協(xié)議-端口聚合）協(xié)議號、源端口、目的端口protocol-port-tos(協(xié)議-端口- ToS聚合）協(xié)議號、源端口、目的端口、ToS、輸入接口索引、輸出接口索引source-prefix（源前綴聚合）源自治系統(tǒng)號、源掩碼長度、源前綴、輸入接口索引source-prefix-tos(源前綴- ToS聚合)

22、源自治系統(tǒng)號、源掩碼長度、源前綴、ToS、輸入接口索引destination-prefix(目的前綴聚合)目的自治系統(tǒng)號、目的掩碼長度、目的前綴、輸出接口索引destination-prefix-tos(目的前綴-ToS聚合)目的自治系統(tǒng)號、目的掩碼長度、目的前綴、ToS、輸出接口索引在完成 NetStream 采樣以及 NetStream 老化后，聚合流輸出的配置不僅需要配置NetStream 輸出報文的屬性，還需要配置聚合關(guān)鍵項，并在聚合視圖下使能聚合功能。靈活流輸出方式對于靈活流輸出，與聚合流類似，其輸出信息也是按某一類關(guān)鍵項進行聚合后才輸出。區(qū)別在于，靈活流是基于硬件實現(xiàn)，對于匹配關(guān)鍵

23、項的流直接聚合，而聚合流輸出是對原始流的一個聚合。靈活流的建立條件是按照自定義的條件設(shè)置。根據(jù)自身需要，用戶可以對報文按照協(xié)議類型、DSCP 優(yōu)先級、源 IP 地址、目的 IP 地址、源端口號、目的端口號或流標簽的七種關(guān)鍵項進行分類統(tǒng)計，從而將分類統(tǒng)計信息發(fā)送給 NetStream 服務(wù)器。靈活流方式相比原始流方式可減少流量的占用?？梢詾橛脩籼峁┮环N自由的NetStream 流量統(tǒng)計方式。在完成 NetStream 采樣以及 NetStream 老化后，靈活流輸出的配置不僅需要配置NetStream 輸出報文的屬性，還需要配置靈活流統(tǒng)計模板，并把模板綁定在接口上。輸出報文的版本格式NetStr

24、eam 輸出的報文主要有 V5、V8、V9 三個版本，其他的版本處于實驗階段，沒有商用。所有版本的報文都是通過 UDP 協(xié)議傳遞統(tǒng)計信息。版本 5：根據(jù)七元組產(chǎn)生原始的數(shù)據(jù)流，但報文格式固定，不易擴展。版本 8：支持聚合輸出格式，但報文格式固定，不易擴展。版本 9：基于模板方式，使統(tǒng)計信息的輸出更為靈活，可以靈活輸出各種組合格式的數(shù)據(jù)。僅版本 9 支持對IPv6 流量和 BGP 下一跳統(tǒng)計輸出。正因為版本 9 是基于模板方式，輸出靈活，易擴展，支持 IPv6 和 BGP 下一跳統(tǒng)計輸出， 因此在配置 NetStream 輸出報文時建議配置為版本 9。對于原始流與靈活流輸出方式，可以使用如下命令

25、配置 NetStream 輸出報文的版本為版本 9。流輸出方式與報文版本格式對應(yīng)關(guān)系NetStream 流輸出是按一定的流輸出方式與一定的報文版本格式組合而成，某種流輸出方式均有其相對應(yīng)的報文版本格式，具體的對應(yīng)關(guān)系見 HYPERLINK l _bookmark18 表 2-2。表2-2 流輸出方式與報文版本格式對應(yīng)關(guān)系表流輸出方式報文版本格式原始流輸出方式V5、V9缺省情況下，IPv4輸出版本號為V5，IPv6輸出版本號為V9。聚合流輸出方式V8、V9缺省情況下，IPV4聚合流輸出版本為V8。靈活流輸出方式V9sFlow 原理描述sFlow 系統(tǒng)組成 HYPERLINK l _bookmar

26、k21 如圖 2-3 所示，sFlow 系統(tǒng)包含一個嵌入在設(shè)備中的 sFlow Agent 和遠端的 sFlow Collector。其中，sFlow Agent 通過 sFlow 采樣獲取本設(shè)備上的接口統(tǒng)計信息和數(shù)據(jù)信息，將信息封裝成 sFlow 報文，當 sFlow 報文緩沖區(qū)滿或是在 sFlow 報文緩存時間（緩存時間為 1 秒）超時后，sFlow Agent 會將 sFlow 報文發(fā)送到指定的 sFlow Collector。sFlow Collector 對 sFlow 報文進行分析，并顯示分析結(jié)果。圖2-3 sFlow 系統(tǒng)示意圖sFlow Collector 可以是 PC 或者服

27、務(wù)器，負責接收 sFlow Agent 發(fā)送的 sFlow 報文， 對硬件和操作系統(tǒng)沒有特殊要求。在 sFlow Collector 上需要安裝針對 sFlow 報文進行分析的客戶端軟件。sFlow Trend 是一款免費的針對 sFlow 報文流量分析的客服端軟件，可以登錄 網(wǎng)站進行在線安裝以及下載軟件使用指南。sFlow 報文sFlow 的報文格式 HYPERLINK l _bookmark21 如圖 2-3 中 sFlow 報文所示，采用 UDP 封裝，缺省目的端口號為知名端口 6343。sFlow 報文共有 4 種報文頭格式，分別為 Flow sample、Expa

28、nded Flow sample、Counter sample、Expanded Counter sample。其中 Expanded Flow sample 和Expanded Counter sample 是sFlow version 5 新增內(nèi)容，是Flow sample 和Counter sample 的擴展，但不前向兼容。所有的 Extended 的采樣內(nèi)容必須使用 Expanded 采樣報文頭封裝。sFlow 采樣sFlow Agent 提供了兩種采樣方式供用戶從不同的角度分析網(wǎng)絡(luò)流量狀況，分別為 Flow采樣以及 Counter 采樣。Flow 采樣Counter 采樣Flow

29、采樣是 sFlow Agent 設(shè)備在指定端口上按照特定的采樣方向和采樣比對報文進行采樣分析，用于獲取報文數(shù)據(jù)內(nèi)容的相關(guān)信息，F(xiàn)low 采樣支持獲取的采樣信息如 HYPERLINK l _bookmark24 表 2-4 所示。該采樣方式主要是關(guān)注流量的細節(jié)，這樣就可以監(jiān)控和分析網(wǎng)絡(luò)上的流行為。Flow 采樣是針對接口上報文的采樣方式，目前僅支持報文隨機采樣模式。隨機采樣模式是指針對每一個接口處理的報文給一個隨機值（假定隨機數(shù)的取值范圍為 0N），設(shè)置一個閾值 n（n 屬于 0N，范圍包含 0 和 N），當報文的隨機值小于這個閾值時，報文采樣，這樣實際的采樣比為 n/(N+1)。表2-3 Fl

30、ow 采樣報文中主要字段信息說明字段內(nèi)容說明Generic Interface Counters通用接口統(tǒng)計信息，包括接口的基本信息，通用的接口流量統(tǒng)計。Ethernet Interface Counters針對于 Ethernet 接口，用于統(tǒng)計 Ethernet 相關(guān)的流量統(tǒng)計信息。Processor Information用于統(tǒng)計設(shè)備 CPU 占用率，內(nèi)存使用情況。Counter 采樣是 sFlow Agent 設(shè)備周期性的獲取接口上的流量統(tǒng)計信息，Counter 采樣支持獲取的采樣信息如 HYPERLINK l _bookmark24 表 2-4 所示。與Flow 采樣相比，Count

31、er 采樣只關(guān)注接口上流量的量，而不關(guān)注流量的詳細信息。表2-4 Counter 采樣報文中主要字段信息說明字段內(nèi)容說明Raw packet截取原始報文全部或者一部分報文頭（具體截取多長的長度由配置決定），將這部分原始報文封裝到sFlow報文中發(fā)送給Collector。Ethernet Frame Data針對Ethernet報文，解析報文的Ethernet頭信息，將解析數(shù)據(jù)封裝到sFlow報文中發(fā)送給Collector。IPv4 Data針對IPv4報文，解析報文的IPv4頭信息，將解析數(shù)據(jù)封裝到sFlow報文中發(fā)送給Collector。IPv6 Data針對IPv6報文，解析報文的IPv6

32、頭信息，將解析數(shù)據(jù)封裝到sFlow報文中發(fā)送給Collector。Extended Switch Data針對二層轉(zhuǎn)發(fā)的Ethernet報文，記錄報文的VLAN轉(zhuǎn)換以及VLAN 優(yōu)先級的轉(zhuǎn)換，將轉(zhuǎn)發(fā)信息封裝到sFlow報文中發(fā)送給 Collector。VLAN ID為0時表示無效VLAN。Flow 采樣和 Counter 采樣是兩種相互獨立的采樣，兩者互相沒有影響。但是由于采樣的方式不一樣，獲取的信息維度也不一樣，F(xiàn)low 方式更聚焦于具體的流的分析，可以搜集具體業(yè)務(wù)的相關(guān)數(shù)據(jù)。而 Counter 方式更聚焦于接口的統(tǒng)計信息，對于整體的網(wǎng)絡(luò)狀態(tài)監(jiān)控比較有意義。在應(yīng)用時可以根據(jù)需要進行配置，一般情況下建議都配置。華為智簡園區(qū)交換機流量采樣技術(shù)白皮書3 典型組網(wǎng)應(yīng)用 3 典型組網(wǎng)應(yīng)用NetStream 的典型應(yīng)用 HYPERLINK l _bookmark27 如圖 3-1 所示的組網(wǎng)中，SwitchA 作為下游網(wǎng)絡(luò)連接 Internet 網(wǎng)絡(luò)的出口，設(shè)備上存在大量