sflow

美国网捷（Foundry）网络公司亚太区技术经理 黄明泰

实现完善的网络管理一直是各种规模公司长期追求的目标。努力理解所有可能的传输流量、带宽需求、性能含义、安全威胁和计费分配，仅仅是当今网络管理人员所面临挑战中的一部分。

　　随着网络在规模、速度和容量方面的发展，采用基于RMON或NetFlow计数器和统计的传统工具，进行监视和管理变得越来越困难。


　　sFlow“永远在线”


 
 
　　sFlow（RFC 3176）是基于标准的最新网络导出协议，能够解决当前网络管理人员面临的很多问题。sFlow已经成为一项线速运行的“永远在线”技术，可以将sFlow技术嵌入到网络路由器和交换机ASIC芯片中。与使用镜像端口、探针和旁路监测技术的传统网络监视解决方案相比，sFlow能够明显地降低实施费用，同时可以使面向每一个端口的全企业网络监视解决方案成为可能。

　　与数据包采样技术（如RMON）不同，sFlow是一种导出格式，它增加了关于被监视数据包的更多信息，并使用嵌入到网络设备中的sFlow代理转发被采样数据包，因此在功能和性能上都超越了当前使用的RMON、RMON II和NetFlow技术。

　　sFlow技术独特之处在于它能够在整个网络中，以连续实时的方式监视每一个端口，但不需要镜像监视端口，对整个网络性能的影响也非常小。

　　sFlow使拥有高速千兆和万兆端口的网络能够得到精确的监视，同时经过扩展，可以在一个采集点上管理数万个端口。因为sFlow代理嵌入在网络路由器和交换机ASIC中，所以与传统的网络监视解决方案相比，这种方法的实施成本要低得多，而且也不需要购买额外的探针和旁路器，就能全面监视整个网络。

　　与那些需要镜像端口或网络旁路器，来监视传输流量的解决方案不同，在 sFlow 的解决方案中，并不是每一个数据包都发送到采集器（接收sFlow数据包的设备）。 

　　sFlow使用两种独立的采样方法来获取数据—针对交换数据流的基于数据包统计采样方法和基于时间采样的针对网络接口统计数据。

　　sFlow还能使用不同的采样率，对交换机或仅对其中一些端口实施监视，这样保证了在设计管理方案时的灵活性。


　　应用sFlow的益处


　　用户群体的扩大使得对计算和应用需求、网络带宽、性能和可预测服务质量的要求都相应的提高。为了在竞争中始终保持领先一步，用户的IT、MIS和安全部门经理们，都必须长期不断地在网络和系统的基础设施方面进行实际投资，而IT人员则需要充分了解自己的资源如何使用，才能对网络进行有效的管理。

　　通过对企业范围内监测网络流量的实时统计采样，IT、MIS和安全部门的经理们，能够对这些数据流的产生环境进行详细分析，并从sFlow中得到很多益处。

　　准确找到那些难以诊断和校正的有关性能问题的原因，有时候，性能差的原因并不在于网络阻塞，而在于主机或网络配置问题。

　　sFlow的“永远在线”技术，使网络性能保持在一个正常使用水平上。当出现异常使用情况或增大趋势时，能够非常快速、方便地发现。另外，对高性价比升级的预先规划以及带宽整形和速率限制的使用，都可以帮助控制保持网络的性能，避免购买多余的网络设备。

　　流量监视为防范安全威胁提供了更多机会。没有对流量的充分理解，就不可能确定流量划分策略和防火墙配置。sFlow提供的对整个网络流量的可视化能力，为防火墙的有效配置和审计打下了基础。

　　sFlow将建立一个正常网络使用的基准，当发现网络活动明显偏离基准时，就会发出告警信息，从而做到有效地识别访问策略破坏和入侵现象。

　　判断那些成为问题根源的主机，可能发生的问题包括广播风暴、带宽的过度使用或应用的不正确使用。

　　确定正在使用哪些协议，每个协议在企业网络中使用了多少带宽。这可以帮助识别网络中配置不当的主机或应用。

　　确定在企业局域网上运行的所有应用，判断出哪些应用最耗费带宽，或是网络或性能问题的根源。

　　通过快速识别和解决根源问题，减少网络停用时间。

　　从实时使用统计数据中快速确定部门或客户计费信息，以提供给计费系统使用。计费的确定，可以根据不同主机、部门、地理位置或应用所使用的带宽来进行。

　　增加收入、降低成本、提高客户满意度。

　　充分利用信息，建立综合的SLA。

　　利用sFlow提供的大量信息，拓展其它的数据挖掘机会。


　　sFlow“查处”安全隐患


　　传统的网络安全解决方案，要实现整个企业的安全，越来越多地需要耗费大量资源。在现代网络中的千兆、几千兆和万兆以太网链路，使防火墙和IDS越来越难以承担监视和控制流量的任务。将防火墙和IDS放置在关键网络（如 服务器 群组和拥有大量知识资产的部门）的入口点，有可能将会出现多种问题。

　　像检查点的增加势必引起性能下降。镜像端口不能转发几千兆上行链路的所有流量，适应千兆速度的防火墙和IDS系统非常昂贵，捕获数据的集中管理和观察非常耗费资源，没有足够的IT资源来安装所有防火墙和IDS系统，并维护和执行所要求的操作等。以及在大流量攻击面前，依赖镜像端口或旁路器的传统安全部件会不堪负荷——削减了总体效能。

　　一个非常好的类似例子，就是一些特殊场合的安全监视摄像机。安全监视系统使特殊场合的保安部门，能够连续监视到每个角落，而不仅仅是前门入口。sFlow技术的作用与其类似，它使IT和安全部门人员，能够时刻监视到整个企业网络，而不会增加网络基础设施的负担。

　　虽然sFlow并不是一项对所有转发数据包进行安全分析的完全“镜像端口”或“网络旁路”技术，但是它可以提供适合安全监视和策略执行的大量信息。sFlow的优势在于能够对安全采集器提供的实时采样数据进行分析，从而提供整个网络的连续监视能力。

　　通过网络设备ASIC芯片实现数据收集技术，即使是网络在受到大量拒绝服务攻击时也不会影响性能。在遭到拒绝服务攻击时，恶意流量急剧增加，而被采样的数据包也将与恶意流量成比例地增加，这样可以快速判断出攻击行为，从而保障采集器不会因攻击数据包的增加而过载。

　　采样数据可以用于创建比较流量的正常使用基准。这些基准可用于显示出使用端口映射、使用ping和端口扫描进行探测的侦察行为；显示出消耗计算机资源或网络带宽，以阻止主机通信的拒绝服务攻击，如采用ICMP的Smurf攻击或SYN flood攻击；显示出采用重复登录或TCP劫持，对网络上的主机造成威胁的行为；显示出以不正确的方式使用系统的错误使用行为，以及使用企业策略禁止的服务和应用。


　　sFlow“看透”网络


　　Foundry在JetCore ASIC芯片中，实施了sFlow技术，这样嵌入在ASIC芯片中的代理，就允许交换机或路由器中的每一个端口以全线速采样，而无需考虑端口速度——无论是十兆、百兆、千兆，还是万兆。

　　另外，sFlow采样可以为设备中的每一个端口打开，或者按照不同的端口改变采样和轮询速率。这样，就可以做到对接近主机或最终用户的端口进行频繁采样，而对接近核心的设备和端口采样频率稍低一些，从而更有效地创建一个完全可视化的网络。

　　从边缘或接入端获取的sFlow数据，可以提供对客户流量的准确统计，通过主动监视边缘的入侵和策略破坏行为，保证网络更加安全，完全可视化地监视网络流量和应用的使用情况。

　　从核心获取的sFlow数据，可以提供适用于容量规划的准确数据，确认穿过核心的网络应用流量的优先级；同时，识别来自于远程站点的网络应用流量，确定它对 服务器 的影响。

　　JetCore ASIC芯片采用数据包采样技术，它的处理过程全部由硬件完成，这样可以在不影响CPU工作的情况下，以线速进行网络监视。被采样数据包转发到驻留在处理器上，并由管理处理器管理的sFlow代理，由sFlow代理执行三项工作：处理数据包，确保转发的数据包头信息保存在sFlow数据报中；从转发表中获取保存在sFlow数据报中的其它信息；向运行（如IronView网络管理器或InMon流量 服务器 应用）的某个主机转发sFlow数据报，以搜集和显示sFlow信息。

　　由于所有用于分析的流量都发送到采集器，所以对网络设备的影响就非常小。而sFlow代理只是简单地选择、封装和转发数据包，以保证对网络设备的处理和CPU要求的最小化。

　　每一个网络设备允许指定最多4个独立采集器，这为网络管理人员提供了充分的自由，来创建一种综合的网络监视拓扑结构。其中，所使用的采集器是用来搜集信息，进行网络流量分析、趋势分析、安全分析、应用分析和计费分析等。


　　sFlow转发信息“ 拿手”


　　sFlow数据包中包含有大量的宝贵信息，这些信息可以用于网络监视、流量分析和安全分析等。根据RFC 3176规定，可以为每一个数据包转发最少256字节的信息。Foundry sFlow代理能够转发多种信息（见图2）。

　　所有IP、TCP和UDP包头的相关信息，都与部分数据包有效载荷一起转发到采集器，以进行监视分析。

　　同时，它采集的数据包头信息包括IPv4-IP包头信息（无选项集，有版本、TOS、字节长度、ID域、 碎片偏移量、TTL、协议、包头校验和、源IP地址、目标IP地址），IPv4 -TCP包头信息（无选项集，有源端口、目标端口、序列号、确认号、数据偏移量、保留域、控制位、窗口、校验和、紧急指针）和IPv4-UDP包头信息（源端口、目标端口、长度、校验和）。

　　除了数据包头信息外，Foundry sFlow代理还能够与每个被采样数据包一起转发数据包发出的端口，下一跳的网关地址，BGP信息，用于认证（例如802.1x）的用户ID信息，接口统计信息（RFC 1573、RFC 2233和RFC 2358）和有效载荷信息（如URL）。


　　sFlow技术深入应用


　　国电华东公司

　　国家电力公司华东公司在构建公司本部的办公业务网络和实时调度生产网络时，选择了Foundry sFlow 解决方案。

　　这套方案包括Biglron第三层交换机、Fastlron第二/三层边缘交换机，以及“永远在线”的sFlow （RFC 3176）流量监控技术，不仅实现了传统的办公自动化，为公务人员提供收发文件、上传下达的便捷，而且实现了包括传输、视频会议等多种应用。同时，为将来向IP电话的过渡做好了准备。

　　迈阿密大学

　　迈阿密大学需要对国际互联网流量、学生园区网流量和与其他学院连接的流量进行实时的流量监视，以制定实施速率限制策略的正确方法，并适应把园区间带宽使用计费包含进来的未来方案。他们选择了网捷网络的BigIron JetCore技术。

　　在网络核心使用sFlow提供的实时流量监视能力来解决上述问题。因为可以采用实时监视系统，如InMon的流量 服务器 ，在整个网络范围内监视带宽的使用情况，所以迈阿密大学就可以智能化地对自己的网络流量进行整形和速率限制。

　　Sun Microsystems

　　Sun Mocirosystems需要主动的实时流量监视和容量规划能力，来了解自己网络应用的模式和管理广域网链路的费用。他们选择了嵌入sFlow技术的BigIron、NetIron和FastIron系列产品。这样，他们具有了有效获取和分析第二～七层流量的能力。另外，再配合使用InMon的流量 服务器 ，使得对传输流量的实时收集、管理和报告成为可能。

　　Cox通信公司

　　Cox通信公司需要一种功能强大的统计和计费解决方案，来实现网络使用的收费，并需要一套按应用计费的方案。因此，采用了JetCore技术的NetIron、FastIron和FastIron工作组交换机与InMon的流量 服务器 一起提供数据收集、统计和计费解决方案。

　　sFlow的十大优势

　　sFlow与以往的RMON、RMON II和NetFlow网络监视技术相比较，sFlow的主要优势在于：

　　◆ 更低的全网络监视成本；

　　◆ 具有实时分析能力的永远在线技术；

　　◆ 嵌入到ASIC中的强劲技术；

　　◆ 可看到设备或端口配置的全网络视图；

　　◆ 用户可自行配置的采样速率；

　　◆ 对设备性能没有影响；

　　◆ 对网络带宽的影响很小；

　　◆ 完整的数据包头信息；

　　◆ 完整的第二～七层详细信息;

　　◆ 支持多种协议（IP、MAC、Appletalk、IPX、BGP等）。

　　SFlow技术对安全隐患的判断

　　sFlow在发现流量出现以下情况时，就会怀疑有可能出现的安全问题。

　　◆ 判断出拥有可疑流量的超级带宽占用者；

　　◆ 发现与使用新的服务或应用相关的传输流量模式的变化；

　　◆ 对话双方不正常或与外部主机有过多的通信行为；

　　◆ 识别出不常使用的协议；

　　◆ 一个主机试图使用大量服务端口连接大范围的地址；

　　◆ 到某个主机的流量，在很短的时间内异常增大；

　　◆ 某个主机发出异常数量的登录流量；

　　◆ 通过对外部主机的监视，发现异常传输流量或使用的服务类型端口异常；

　　◆ sFlow除发送所有的传统数据包头和协议信息外，还发送物理传输信息，如交换机/端口接口信息、RMON统计信息和部分数据包有效载荷来进行监视。这样，使用sFlow实现网络安全的可能性就明显增加，而与安全相关的应用，如全企业IDS、应用识别和流量监视，就会成为可能。

　　sFlow解决方案四大好处

　　◆ 降低了实施和拥有成本——无需购买任何探针；

　　◆ 获取数据包进行分析时，无需使用镜像端口或网络旁路器；

　　◆ 可以在整个网络的每一个端口上，观察第2-4层流量，而网络性能没有什么明显变化；

　　◆ “永远在线”技术保证了用户能够自行配置采样速率