ความแตกต่างระหว่าง netFlow และ sFlow คืออะไร?

22

sFlow แตกต่างจาก netFlow อย่างไรและแต่ละรายการได้รับการสนับสนุนโดยผู้ขายที่แตกต่างกันอย่างไร

monitoring netflow sflow

22

NetFlowเป็นโปรโตคอลสำหรับการส่งออกการไหลของผลรวม IP ดังนั้นจึงเหมาะสำหรับการบัญชี IP traffic บนเราเตอร์อินเทอร์เน็ต ด้วย Netflow V9 (AKA IPFIX สามารถดูการรับส่งข้อมูลของเลเยอร์ 2 ได้เช่นกัน)

sFlowเป็นเทคโนโลยีระบบวัดปริมาณการใช้งานเครือข่ายทั่วไป sFlow ได้รับการออกแบบให้ฝังในอุปกรณ์เครือข่ายใด ๆ และจัดทำสถิติอย่างต่อเนื่องในโปรโตคอลใด ๆ (L2, L3, L4 และสูงถึง L7) เพื่อให้การรับส่งข้อมูลทั้งหมดในเครือข่ายสามารถระบุและตรวจสอบได้อย่างถูกต้อง สถิติเหล่านี้จำเป็นสำหรับการควบคุมความแออัดการแก้ไขปัญหาการเฝ้าระวังความปลอดภัยการวางแผนเครือข่ายและอื่น ๆ นอกจากนี้ยังสามารถนำมาใช้เพื่อวัตถุประสงค์ด้านการบัญชี IP

Netflowสะท้อนการรับส่งข้อมูลทั้งหมดและวางภาระบน CPU เมื่อใช้งาน

SFlowเป็นเทคโนโลยีการสุ่มตัวอย่างแพ็คเก็ตที่สวิตช์จับทุก 100 แพ็คเก็ต (กำหนดค่าได้) ต่ออินเตอร์เฟสและส่งออกไปยังตัวสะสม sFlow สร้างขึ้นใน ASIC และวางโหลดบน CPU น้อยที่สุด

Netflowสนับสนุนโดย Cisco, Juniper, Alcatel Lucent, Huawei, Enterasys, Nortel, VMWare

sFlowสนับสนุนโดย Alaxala, Alcatel Lucent, ฝ่ายพันธมิตร, Arista Networks, Brocade, Cisco, Dell, D-Link, Enterasys, Extreme, Fortinet, Hewlett-Packard, ฮิตาชิ, ไอบีเอ็ม, จูนิเปอร์, LG-Ericsson, Mellanox, MRV, NEC, Netgear, Proxim Wireless, Quanta Computer, Vyatta, ZTE และ ZyXEL ( ดูลิงก์ sFlow )

— Jez
แหล่งที่มา

1

แนวคิดการสุ่มตัวอย่างนำไปใช้กับ netflow / ipfix เช่นเดียวกับที่มีกับ sflow

— Brad Hein

สุ่มตัวอย่างกันสองแพ็กเก็ตจากปริมาณการใช้งานเดียวกันจะแตกต่างกันอย่างไรใน Netflow และ sFlow อาจเปรียบเทียบกับแพ็คเก็ตดิบจากพูด tcpdump? ความแตกต่างยังไม่ชัดเจนสำหรับฉัน

— Nagev

7

ความแตกต่างเพียงอย่างเดียวคือ "NetFlow เป็นกรรมสิทธิ์ของ Cisco แต่ sFlow ไม่ได้" นั้นไม่ถูกต้อง

NetFlow เริ่มต้นจากการเป็นเจ้าของ Cisco แต่ก็เป็นไปในลักษณะเดียวกันกับ GRE หรือ EIGRP ตั้งแต่ NetFlow v5 มันได้รับการติดตั้งและสนับสนุนบนฮาร์ดแวร์ของผู้ค้ารายอื่น

ความแตกต่างที่สำคัญระหว่าง NetFlow และ sFlow คือ NetFlow ถูก จำกัด ไว้ที่ IP เท่านั้นในขณะที่ sFlow มีความสามารถในการสุ่มตัวอย่างทุกอย่าง (เครือข่ายเลเยอร์อิสระ)

แก้ไข: ข้างต้นดูเหมือนจะไม่ถูกต้องอีกต่อไป (อย่างน้อยเป็นมาตรฐาน IPFIX) ฉันพบบล็อกโพสต์ต่อไปนี้ (คำเตือน: น่าจะเป็น URL เฉพาะ "sflow" ดังนั้นให้ใช้เกลือเม็ดเล็ก ๆ ถ้าคุณต้องการ) ทำหน้าที่ค่อนข้างดีในการสรุปความแตกต่างระหว่างข้อมูลจำเพาะ IPFIX และ sFlow

— จอห์นเซ่น
แหล่งที่มา

4

NetFlow v9 และ v10 (IPFIX) ส่งข้อความเทมเพลตเป็นระยะซึ่งบอกวิธีการอ่านตัวอย่างเทมเพลตนี้มีความยืดหยุ่นสูงและสามารถขยายได้ตามอำเภอใจ iana.org/assignments/ipfix/ipfix.xmlแสดงให้เห็นถึงสิ่งที่รองรับมาตรฐานในวันนี้และ ethertype, dmac, smac ฯลฯ มีอยู่แล้ว sFlow otoh เป็นแบบสแตติกถ้า sFlow5 ไม่สนับสนุนสิ่งที่คุณต้องการคุณต้องใช้โปรโตคอล sFlow ใหม่ทั้งหมดในขณะที่ IPFIX คุณไม่จำเป็นต้องเปลี่ยนโปรโตคอลเลย

— ytti

น่าสนใจมาก! ขอบคุณสำหรับลิงค์ แสดงให้เห็นว่าฉันติดตาม NetFlow มามากแค่ไหน :-) ฉันสงสัยว่าสิ่งที่ sFlow ได้มาถึงหอก ดูเหมือนว่า "แฟน ๆ ของ sFlow" จะพูดว่า "Anything over Ethernet" ในฐานะที่เป็นข้อโต้แย้งว่าต้องกำหนดเขตข้อมูล IPFIX ใหม่ นอกจากนี้ยังมีอัลกอริทึมการสุ่มตัวอย่างมากมายที่ NetFlow / IPFIX ใช้เทียบกับ sFlow เพียงอันเดียว

— John Jensen

1

ในฐานะที่เป็น FYI นั้น L2 netflow นั้นมีอยู่ในแพลตฟอร์มของ Cisco จำนวนหนึ่งซึ่งมีการใช้ v9 หรือ IPFIX เมื่อเร็ว ๆ นี้

— rnxrx

ขอบคุณ แต่สิ่งนี้ชี้ให้เห็นแล้วในความคิดเห็นด้านบน :-)

— John Jensen

1

ผู้จำหน่ายอิสระที่มีความรู้ลึกในเรื่องนี้กล่าวว่า: plixer.com/blog/netflow/... คุณควรพิจารณาด้วยว่าแพลตฟอร์มที่กำหนดรัน NetFlow / sFlow ในฮาร์ดแวร์หรือซอฟต์แวร์

— generalnetworkerror

2

อุปกรณ์ของ Cisco พยายามรวมโฟลว์ (คุณสามารถนึกได้ว่าเป็นบทสนทนา) จากนั้นส่งออกข้อมูลเกี่ยวกับพวกเขาไปยังตัวสะสม ต้องการหน่วยความจำแคชเหล่านี้

sFlow มีสององค์ประกอบหลัก: หนึ่งที่มันจะส่งออกสถิติเป็นระยะเช่นอินเทอร์เฟซเคาน์เตอร์และการใช้งาน CPU ไปยังตัวสะสมและหนึ่งที่มันจะสุ่มจับ 1 ใน N (กำหนดค่าปกติ 512 ถึง 32768) เฟรมที่ผ่านเราเตอร์และ ส่งออก 256 ไบต์แรก จากนั้นคุณสามารถทำการวิเคราะห์ทางสถิติเกี่ยวกับทราฟฟิกที่ไหลผ่านเครือข่ายของคุณ

ตัวอย่างแพ็คเก็ต sFlow ได้รับการปรับปรุงด้วยข้อมูลจากตารางเส้นทางเช่นเส้นทาง AS นอกจากนี้ยังเป็นผู้ไม่เชื่อเรื่องพระเจ้า v4 และ v6 ซึ่งแตกต่างจาก NetFlow ซึ่งบังคับให้คุณประนีประนอมอย่างไม่สบายใจขึ้นอยู่กับประเภทของข้อมูลที่คุณต้องการรับ

NetFlow ได้รับความทุกข์ทรมานจากการย้อนหลังไปถึงยุคที่การกำหนดเส้นทางแบบไหลนั้นยังไม่ถือว่าเป็นเรื่องตลก sFlow ไม่ได้อยู่ในรูปแบบ TLV ดังนั้นการติดตั้งส่วนขยายของผู้ขายในแบบพกพานั้นใกล้จะเป็นไปไม่ได้

— นีลส์
แหล่งที่มา

ความคิดเห็นที่ทำให้เข้าใจผิดบางอย่างที่นี่ ... NetFlow ใช้แคชและสามารถรวม / ไม่รวมสุ่มตัวอย่างหรือไม่ - นั่นคือลักษณะของข้อมูลที่คุณรวบรวมและขึ้นอยู่กับคุณที่จะกำหนดมันข้อมูล NetFlow ยังมีข้อมูล "เช่น ในฐานะที่เป็นเส้นทาง AS "และมันไม่ใช่ sFlow differentiator และไม่เคยเป็นมา NetFlow เป็นเพียงต้นแบบในการแก้ปัญหาการไหลของกระแสมันก็เกือบจะเปลี่ยนเป็นกลไกการรวบรวมข้อมูลในเกือบจะทันทีในแง่ของความแตกต่างที่แท้จริง ทำต่อแพ็คเก็ตไม่ใช่ต่อการไหลคุณสูญเสียความแม่นยำทันทีดูใน cisco-nsp @ archives

— Łukasz Bromirski

0

Netflow เป็นโปรโตคอลที่เป็นกรรมสิทธิ์ของ Cisco และไม่รองรับสิ่งอื่นนอกเหนือจากอุปกรณ์ของ Cisco

sFlow เป็นมาตรฐาน IETF สำหรับการทำสิ่งเดียวกัน แต่ในมาตรฐานที่ไม่ได้เป็นของผู้ผลิตรายใดรายหนึ่ง

— David Rothera
แหล่งที่มา

2

AFAIK sFlow ไม่ได้เป็น IETF อีกต่อไป แต่เป็นผลิตภัณฑ์ 'sFlow consortium' IPFIX เป็น netet มาตรฐาน IETF มาตรฐาน v9 (หมายเลขเวอร์ชันชนกับ v10 และการเปลี่ยนแปลงเล็กน้อย) ฉันเดาว่าความแตกต่างที่สำคัญคือ sflow ส่งออกแพ็กเก็ตเดียว (ด้วยวิธีการสุ่มตัวอย่างที่กำหนดไว้อย่างดี) และคุณจะทำการคาดการณ์ในขณะที่ IPFIX / netflow สามารถทำสิ่งอื่น ๆ ได้มากมายรวมถึงสิ่งนั้น แต่ยังสามารถรวบรวมข้อมูลให้คุณได้ ฉันจะบอกว่า netflow / IPFIX มีความยืดหยุ่นมากกว่าซึ่งหมายความว่าคุณสามารถใช้ netflow / IPFIX ในอุปกรณ์ของคุณในแบบที่จะทำให้มันไร้ประโยชน์ในขณะที่ sflow ค่อนข้างเข้มงวดในการใช้งาน

— ytti