sFlow原理描述
sFlow系统组成
如图12-1所示,sFlow系统包含一个嵌入在设备中的sFlow Agent和远端的sFlow Collector。其中,sFlow Agent通过sFlow采样获取接口统计信息和数据信息,将信息封装成sFlow报文,当sFlow报文缓冲区满或是在sFlow报文缓存时间(缓存时间为1秒)超时后,sFlow Agent会将sFlow报文发送到指定的sFlow Collector。sFlow Collector对sFlow报文进行分析,并显示分析结果。
sFlow采样
sFlow Agent提供了两种采样方式供用户从不同的角度分析网络流量状况,分别为Flow采样以及Counter采样。
Flow采样
Flow采样是sFlow Agent设备在指定接口上按照特定的采样方向和采样比对报文进行采样分析,用于获取报文数据内容的相关信息。该采样方式主要是关注流量的细节,这样就可以监控和分析网络上的流行为。
字段内容 |
说明 |
|---|---|
Raw packet |
截取原始报文全部或者一部分报文头(具体截取多长的长度由配置决定),将这部分原始报文封装到sFlow报文中发送给Collector。 |
Ethernet Frame Data |
针对Ethernet报文,解析报文的Ethernet头信息,将解析数据封装到sFlow报文中发送给Collector。 |
IPv4 Data |
针对三层转发的IPv4报文,解析报文的IPv4头信息,将解析数据封装到sFlow报文中发送给Collector。 |
IPv6 Data |
针对三层转发的IPv6报文,解析报文的IPv6头信息,将解析数据封装到sFlow报文中发送给Collector。 |
Extended Switch Data |
针对转发的Ethernet报文,记录报文的VLAN转换以及VLAN优先级的转换,将转发信息封装到sFlow报文中发送给Collector。VLAN ID为0时表示无效VLAN。 |
Extended Router Data |
针对路由转发的报文,记录报文的路由转发信息,将转发信息封装到sFlow报文中发送给Collector。 |
Counter采样
Counter采样是sFlow Agent设备周期性的获取接口上的流量统计信息,Counter采样支持获取的采样信息如表12-2所示。与Flow采样相比,Counter采样只关注接口上流量的数量,而不关注流量的详细信息。
sFlow报文
sFlow报文采用UDP封装,缺省目的端口号为知名端口6343。sFlow报文共有4种报文头格式,分别为Flow sample、Expanded Flow sample、Counter sample、Expanded Counter sample。其中Expanded Flow sample和Expanded Counter sample是sFlow version 5新增内容,是Flow sample和Counter sample的扩展,但不前向兼容。所有的Extended的采样内容必须使用Expanded采样报文头封装。
