sFlow
sFlow , förkortning för "samplet flow", är en industristandard för paketexport på Layer 2 av OSI-modellen . sFlow utvecklades ursprungligen av InMon Corp. Det tillhandahåller ett sätt att exportera trunkerade paket, tillsammans med gränssnittsräknare för nätverksövervakning. Underhåll av protokollet utförs av sFlow.org-konsortiet, den auktoritativa källan till sFlow-protokollspecifikationerna. Den nuvarande versionen av sFlow är v5.
Drift
sFlow använder obligatorisk sampling för att uppnå skalbarhet och är av denna anledning tillämpbar på höghastighetsnätverk ( hastigheter gigabit per sekund och högre). sFlow stöds av flera tillverkare av nätverksenheter och leverantörer av nätverkshanteringsprogram .
Ett sFlow-system består av flera enheter som utför två typer av sampling: slumpmässig sampling av paket eller applikationslageroperationer och tidsbaserad sampling av räknare. Den samplade paket-/drifts- och räknarinformationen, hänvisad till som flödessampel respektive räknarsampel , skickas som sFlow-datagram till en central server som kör mjukvara som analyserar och rapporterar om nätverkstrafik; sFlow -samlaren .
Flödesprover
Baserat på en definierad samplingsfrekvens, samplas ett genomsnitt av 1 av n paket/operationer slumpmässigt. Denna typ av provtagning ger inte ett 100 % korrekt resultat, men det ger ett resultat med kvantifierbar noggrannhet.
Motprover
Ett avfrågningsintervall definierar hur ofta nätverksenheten skickar gränssnittsräknare. sFlödesräknarsampling är effektivare än SNMP- polling vid övervakning av ett stort antal gränssnitt.
sFlow datagram
Samplade data skickas som ett UDP- paket till den angivna värden och porten. Det officiella portnumret för sFlow är port 6343. Bristen på tillförlitlighet i UDP-transportmekanismen påverkar inte nämnvärt noggrannheten hos mätningarna som erhålls från en sFlow-agent. Om räknarprover går förlorade kommer nya värden att skickas när nästa avfrågningsintervall har passerat. Förlusten av paketflödessampel resulterar i en liten minskning av den effektiva samplingshastigheten.
UDP-nyttolasten innehåller sFlow-datagrammet . Varje datagram ger information om sFlow-versionen, ursprungsenhetens IP-adress , ett sekvensnummer, antalet prover som det innehåller och ett eller flera flödes- och/eller räknarprover.
sFlow-versioner
| Version | Kommentar |
|---|---|
| v1 | Första versionen |
| v2 | (Okänd) |
| v3 | Lägger till stöd för extended_url- information. |
| v4 | Lägger till stöd för BGP-gemenskaper. |
| v5 | Flera protokollförbättringar. Detta är den nuvarande versionen som stöds globalt. |
Relaterade tekniker
Ett välkänt alternativ är NetFlow (se nedan). Beroende på tillgängliga IT-resurser kan det dessutom vara möjligt att utföra fullständiga paketfångningar med hjälp av dedikerade nätverkskran (som sedan analyseras).
NetFlow, IPFIX
- NetFlow och IPFIX är flödesexportprotokoll som syftar till att aggregera paket till flöden . Därefter skickas flödesjournaler till en uppsamlingsplats för lagring och analys. sFlow har dock ingen uppfattning om flöden eller paketaggregation alls.
- sFlow tillåter export av paketdatabitar och gränssnittsräknare, som är icke-typiska egenskaper för flödesexportprotokoll. Observera dock att (senaste) IPFIX -utvecklingen ger ett sätt att exportera SNMP MIB- variabler och paketdatabitar.
- Även om flödesexport kan utföras med 1:1-sampling ( dvs. med tanke på varje paket), är detta vanligtvis inte möjligt med sFlow, eftersom det inte var designat för att göra det. Sampling är en integrerad del av sFlow, som syftar till att ge skalbarhet för nätverksomfattande övervakning.