NetFlow ve sFlow arasındaki fark nedir?


Yanıtlar:


22

NetFlow , toplam IP akış toplamlarını dışa aktarmak için bir protokoldür. Bu nedenle, İnternet yönlendiricilerindeki IP trafik muhasebesi için çok uygundur. Netflow V9 ile (AKA IPFIX, ayrıca 2. Katman trafiğine de bakabilir)

sFlow , genel amaçlı bir ağ trafik ölçüm sistemi teknolojisidir. sFlow, herhangi bir ağ cihazına gömülmek ve herhangi bir protokolde (L2, L3, L4 ve L7'ye kadar) sürekli istatistikler sağlamak üzere tasarlanmıştır, böylece bir ağdaki tüm trafiğin doğru bir şekilde karakterize edilmesi ve izlenmesi mümkündür. Bu istatistikler, tıkanıklık kontrolü, sorun giderme, güvenlik gözetimi, ağ planlaması vb. İçin gereklidir. IP muhasebe amacıyla da kullanılabilirler.

Netflow tüm trafiği yansıtır ve kullanıldığında CPU'ya bir yük yerleştirir.

SFlow , anahtarın arayüz başına her 100. paketi (yapılandırılabilir) yakaladığı ve kollektöre gönderdiği bir paket örnekleme teknolojisidir. sFlow, ASIC'in içine yerleştirilmiştir ve CPU'ya minimum yük yerleştirir.

Netflow Cisco, Juniper, Alcatel Lucent, Huawei, Enterasys, Nortel, VMWare tarafından desteklenen

Alaxala , Alcatel Lucent, Müttefik Telesis, Arista Networks, Brocade, Cisco, Dell, D-Link, Enterasys, Extreme, Fortinet, Hewlett-Packard, Hitachi, Huawei, IBM, Ardıç, LG-Ericsson, Mellanox, MRV, NEC, Netgear, Proxim Kablosuz, Quanta Bilgisayar, Vyatta, ZTE ve ZyXEL ( bkz. SFlow bağlantısı )


1
Örnekleme konsepti, netflow / ipfix için aynen akışta olduğu gibi uygulanır
Brad Hein

Örnekleme bir yana, aynı trafikten gelen iki paket Netflow ve sFlow'da nasıl farklı olurdu? Belki de onları ham bir paketle karşılaştır, tcpdump? Aradaki fark hala net değil.
Nagev

7

"NetFlow Cisco'nun tescilli, sFlow değil" olması arasındaki tek fark tam olarak doğru değil.

NetFlow başlangıçta Cisco'ya özel olarak başladı, ancak bir nevi GRE veya EIGRP ile aynı şekilde gitti. NetFlow v5'ten bu yana diğer üreticilerin donanımlarında uygulanmış ve desteklenmiştir.

NetFlow ve sFlow arasındaki temel fark, NetFlow’un yalnızca IP ile sınırlandırılmış olmasıdır, oysa sFlow’un her şeyle ilgili yetenek örneği vardır (ağ katmanı bağımsız).

EDIT: Yukarıdakilerin artık doğru olmadığı görülüyor (en azından IPFIX standardında olduğu gibi). Aşağıdaki blog gönderisini buldum (uyarı: "akış" özel bir URL gibi görünüyor, bu nedenle isterseniz bir tane tuzla alın) IPFIX spec ve sFlow arasındaki farkları ana hatlarıyla açıklamak için oldukça iyi bir iş çıkardı


4
NetFlow v9 ve v10 (IPFIX), numunelerin nasıl okunacağını söyleyen periyodik olarak şablon mesajı gönderir, bu şablon çok esnektir ve isteğe bağlı olarak genişletilebilir. iana.org/assignments/ipfix/ipfix.xml , bugün hangi standartların desteklendiğini gösterir ve ethertype, dmac, smac vb. zaten var. sFlow otoh statiktir, eğer sFlow5 ne yapmak istediğinizi desteklemiyorsa, tamamen yeni sFlow protokolüne ihtiyacınız olur, IPFIX'te ise protokolü değiştirmenize gerek kalmaz.
43'te

Çok ilginç! Bağlantı için teşekkürler. NetFlow ile ne kadar uyduğumu gösterir. :-) sFlow'un pike'den ne geldiğini merak ediyorum. "SFlow hayranları" sadece yeni IPFIX alanlarını tanımlamak için bir argüman olarak "Ethernet üzerinden herhangi bir şey" derdi. NetFlow / IPFIX'in kullandığı çok sayıda örnekleme algoritması ve sFlow'ın sadece bir tanesi.
John Jensen

1
Bir FYI olarak, v2 veya daha yakın bir zamanda IPFIX kullanımıyla birçok Cisco platformunda L2 ağ akışı mevcuttur.
rnxrx

Teşekkürler, ancak bu zaten yukarıdaki yorumlara dikkat çekti. :-)
John Jensen

1
Konuyla ilgili derin bilgiye sahip olan bağımsız bir satıcı şunu söylüyor: plixer.com/blog/netflow/… . Ayrıca belirli bir platformun donanımda veya yazılımda NetFlow / sFlow kullanıp çalıştırmadığını da göz önünde bulundurmalısınız.
generalnetworkerror

2

Cisco aygıtları akışları toplamaya çalışır (bunları sohbet olarak düşünebilirsiniz) ve ardından bunlar hakkındaki bilgileri bir toplayıcıya aktarır. Bu, bunları önbelleğe almak için bellek gerektirir.

sFlow iki ana bileşene sahiptir: biri arayüz sayaçları ve CPU kullanımı gibi istatistikleri bir toplayıcıya düzenli olarak aktaracağı ve bir yönlendiriciden geçen N (yapılandırılabilir, genellikle 512'den 32768'e kadar) kareleri yakalayacağı bir bölüm ve ilk 256 baytı ver. Daha sonra ağınız üzerinden akan trafikle ilgili istatistiksel analiz yapabilirsiniz.

sFlow paket örnekleri, AS yolları gibi yönlendirme tablosundaki bilgilerle geliştirilmiştir. Ayrıca, ne tür bir veri almak istediğinize bağlı olarak sizi rahatsız edici bir uzlaşmaya zorlayan NetFlow'dan farklı olarak v4 ve v6 agnostiğidir.

NetFlow, akış tabanlı yönlendirmenin henüz bir şaka olarak kabul edilmediği bir döneme kadar dayanmaktadır; sFlow, bir TLV formatı olmamasından muzdarip olduğundan, satıcı uzantılarını taşınabilir bir şekilde uygulamak imkansızdır.


Burada bazı yanıltıcı yorumlar ... NetFlow önbellek kullanır ve bunlar toplanabilir / toplanamaz, örneklenemez veya edilmeyebilir - bunlar topladığınız verilerin özellikleridir ve sizin tanımlamanız size bağlıdır. AS yolları "ve sFlow farklılaştırıcısı değil ve asla değildi ..NetFlow sadece akış değiştirme çözümleri olarak prototip edildi, neredeyse anında bilgi toplama mekanizmasına geçildi. Gerçek farklar açısından, örneklemede büyük fark var: paket başına yapılır, akış başına değil, derhal kesinliği kaybedersiniz. Cisco-nsp @ arşivlerine bakın.
asukasz Bromirski

0

Netflow bir Cisco tescilli protokoldür ve Cisco cihazlarından başka hiçbir şey tarafından desteklenmemektedir.

sFlow, hemen hemen aynı şeyi yapmak için bir IETF standardıdır, ancak belirli bir üreticiye ait olmayan bir standarttır.


2
AFAIK sFlow artık IETF değil, 'sFlow konsorsiyum' ürünüdür. IPFIX, IETF standart netflow v9'dur (sürüm numarası v10'a çarptı ve küçük değişiklikler yapıldı). Sanırım en büyük fark, sflow'un tek bir paket (iyi tanımlanmış örnekleme metodolojisine sahip) vermesi ve ekstrapolasyonu yapacağınız ve IPFIX / netflow bunun da dahil olduğu birçok şey yapabilir, ancak sizin için verileri toplayabileceği gibi. Netflow / IPFIX'in çok daha esnek olduğunu söyleyebilirim, bu da netflow / IPFIX'i vitrinize işe yaramaz bir şekilde uygulayabileceğiniz anlamına gelirken, akış nasıl uygulanacağı konusunda oldukça katı.
ytti
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.