Czym różni się sFlow od netFlow i jak każdy z nich jest obsługiwany przez różnych dostawców?
Czym różni się sFlow od netFlow i jak każdy z nich jest obsługiwany przez różnych dostawców?
Odpowiedzi:
NetFlow to protokół służący do eksportowania sumarycznych przepływów IP. Jako taki dobrze nadaje się do rozliczania ruchu IP na routerach internetowych. Dzięki Netflow V9 (AKA IPFIX może również sprawdzać ruch w warstwie 2)
sFlow to technologia systemu pomiaru ruchu w sieci ogólnego przeznaczenia. sFlow został zaprojektowany do wbudowania w dowolne urządzenie sieciowe i zapewnia ciągłą statystykę dowolnego protokołu (L2, L3, L4 i do L7), dzięki czemu cały ruch w sieci może być dokładnie scharakteryzowany i monitorowany. Statystyki te są niezbędne do kontroli zatorów, rozwiązywania problemów, nadzoru bezpieczeństwa, planowania sieci itp. Mogą być również wykorzystywane do celów rozliczania IP.
Netflow odzwierciedla cały ruch i obciąża procesor, gdy jest wykorzystywany.
SFlow to technologia próbkowania pakietów, w której przełącznik przechwytuje każdy setny pakiet (konfigurowalny) na interfejs i wysyła go do kolektora. sFlow jest wbudowany w układ ASIC i minimalizuje obciążenie procesora.
Netflow obsługiwany przez Cisco, Juniper, Alcatel Lucent, Huawei, Enterasys, Nortel, VMWare
sFlow obsługiwany przez Alaxala, Alcatel Lucent, Allied Telesis, Arista Networks, Brocade, Cisco, Dell, D-Link, Enterasys, Extreme, Fortinet, Hewlett-Packard, Hitachi, Huawei, IBM, Juniper, LG-Ericsson, Mellanox, MRV, NEC, Netgear, Proxim Wireless, Quanta Computer, Vyatta, ZTE i ZyXEL ( patrz link sFlow )
Jedyna różnica polega na tym, że „NetFlow jest własnością Cisco, a sFlow nie” nie jest do końca poprawna.
Początkowo NetFlow działał jako firma Cisco, ale w pewnym sensie działał tak samo jak GRE lub EIGRP. Od wersji NetFlow v5 została zaimplementowana i obsługiwana na sprzęcie innych dostawców.
Główną różnicą między NetFlow i sFlow jest to, że NetFlow jest ograniczony tylko do IP, podczas gdy sFlow ma możliwość próbkowania wszystkiego (niezależnie od warstwy sieci).
EDYCJA: Powyższe wydaje się być niepoprawne (przynajmniej zgodnie ze standardem IPFIX). Znalazłem następujący post na blogu (ostrzeżenie: wydaje się, że jest to adres URL specyficzny dla „sflow”, więc weź go z odrobiną soli, jeśli chcesz), dość dobrze zarysowuje różnice między specyfikacją IPFIX a sFlow
Urządzenia Cisco próbują agregować przepływy (można je traktować jako konwersacje), a następnie eksportować informacje o nich do kolektora. Wymaga to pamięci do ich buforowania.
sFlow ma dwa główne komponenty: jeden, w którym okresowo eksportuje statystyki, takie jak liczniki interfejsów i użycie procesora do kolektora, i jeden, w którym losowo przechwytuje 1 w N (konfigurowalne, zwykle 512 do 32768) ramki, które przechodzą przez router, oraz wyeksportuj pierwsze 256 bajtów. Następnie możesz przeprowadzić analizę statystyczną ruchu przepływającego przez sieć.
Próbki pakietów sFlow są wzbogacone o informacje z tabeli routingu, takie jak ścieżki AS. Jest także agnostyczny v4 i v6, w przeciwieństwie do NetFlow, co zmusza cię do niewygodnego kompromisu w zależności od rodzaju danych, które chcesz otrzymać.
NetFlow cierpi z powodu czasów, w których routing oparty na przepływie nie był jeszcze uważany za żart; sFlow cierpi z powodu braku formatu TLV, więc implementacja rozszerzeń dostawców w przenośny sposób jest prawie niemożliwa.
Netflow jest zastrzeżonym protokołem Cisco i jako taki nie jest obsługiwany przez nic innego niż urządzenia Cisco.
sFlow to standard IETF służący do robienia prawie tego samego, ale w standardzie, który nie jest własnością jednego konkretnego producenta.