Apa perbedaan antara netFlow dan sFlow?

22

Bagaimana sFlow berbeda dari netFlow, dan bagaimana masing-masing didukung oleh vendor yang berbeda?

monitoring netflow sflow Benjamin A.
sumber

Jawaban:

22

NetFlow adalah protokol untuk mengekspor total aliran IP agregat. Karena itu sangat cocok untuk akuntansi lalu lintas IP pada router Internet. Dengan Netflow V9 (AKA IPFIX dapat melihat lalu lintas Layer 2 juga)

sFlow adalah teknologi sistem pengukuran lalu lintas jaringan tujuan umum. sFlow dirancang untuk tertanam dalam perangkat jaringan apa pun dan untuk menyediakan statistik berkelanjutan tentang protokol apa pun (L2, L3, L4, dan hingga L7), sehingga semua lalu lintas di seluruh jaringan dapat secara akurat dikarakterisasi dan dipantau. Statistik ini sangat penting untuk kontrol kemacetan, pemecahan masalah, pengawasan keamanan, perencanaan jaringan dll. Statistik ini juga dapat digunakan untuk tujuan akuntansi IP.

Netflow mencerminkan semua lalu lintas, dan menempatkan beban pada CPU saat digunakan.

SFlow adalah teknologi pengambilan sampel paket di mana sakelar menangkap setiap paket ke-100 (dapat dikonfigurasi) per antarmuka dan mengirimkannya ke kolektor. sFlow dibangun ke dalam ASIC, dan menempatkan beban minimal pada CPU.

Netflow didukung oleh Cisco, Juniper, Alcatel Lucent, Huawei, Enterasys, Nortel, VMWare

sFlow didukung oleh Alaxala, Alcatel Lucent, Allied Telesis, Arista Networks, Brocade, Cisco, Dell, D-Link, Enterasys, Extreme, Fortinet, Hewlett-Packard, Hitachi, Huawei, IBM, Juniper, LG-Ericsson, Mellanox, MRV, NEC, Netgear, Proxim Wireless, Quanta Computer, Vyatta, ZTE dan ZyXEL ( lihat tautan sFlow )

Jez
sumber
1
Konsep pengambilan sampel berlaku untuk netflow / ipfix seperti halnya dengan sflow
Brad Hein
Sampling samping, bagaimana dua paket dari lalu lintas yang sama berbeda di Netflow dan sFlow. Mungkin membandingkannya dengan paket mentah dari katakanlah, tcpdump? Perbedaannya masih belum jelas bagi saya.
Nagev
7

Satu-satunya perbedaan adalah "NetFlow adalah milik Cisco, sFlow tidak" tidak sepenuhnya benar.

NetFlow awalnya dimulai sebagai hak milik Cisco, tetapi jenis berjalan dengan cara yang sama seperti GRE atau EIGRP. Sejak NetFlow v5 telah diimplementasikan dan didukung pada perangkat keras vendor lain.

Perbedaan utama antara NetFlow dan sFlow adalah bahwa NetFlow terbatas hanya untuk IP, sedangkan sFlow memiliki kemampuan sampel segalanya (lapisan jaringan independen).

EDIT: Yang di atas tampaknya tidak lagi benar (setidaknya pada standar IPFIX). Saya telah menemukan posting blog berikut (peringatan: tampaknya menjadi URL "sflow" khusus, jadi bawa dengan sebutir garam jika Anda mau) melakukan pekerjaan yang cukup baik untuk menguraikan perbedaan antara spesifikasi IPFIX dan sFlow

John Jensen
sumber
4
NetFlow v9 dan v10 (IPFIX) mengirim pesan templat secara berkala yang memberi tahu cara membaca sampel, templat ini sangat fleksibel dan dapat diperpanjang secara sewenang-wenang. iana.org/assignments/ipfix/ipfix.xml menunjukkan apa yang didukung standar hari ini, dan ethertype, dmac, smac dll sudah ada. sFlow otoh statis, jika sFlow5 tidak mendukung apa yang ingin Anda lakukan, Anda memerlukan protokol sFlow yang sama sekali baru, sementara di IPFIX Anda tidak perlu mengubah protokol sama sekali.
ytti
Sangat menarik! Terima kasih untuk tautannya. Menunjukkan seberapa banyak saya mengikuti NetFlow. :-) Saya ingin tahu apa sFlow telah turun. Akan tampak seperti "penggemar sFlow" hanya akan mengatakan "apa pun melalui Ethernet" sebagai argumen balasan untuk harus mendefinisikan bidang IPFIX baru. Ada juga banyak algoritma pengambilan sampel yang digunakan NetFlow / IPFIX vs sFlow saja.
John Jensen
1
Sebagai FYI, L2 netflow tersedia di sejumlah platform Cisco dengan penggunaan v9 atau, baru-baru ini, IPFIX.
rnxrx
Terima kasih tetapi ini sudah ditunjukkan dalam komentar di atas. :-)
John Jensen
1
Vendor independen dengan pengetahuan mendalam tentang hal ini mengatakan ini: plixer.com/blog/netflow/… . Anda juga harus mempertimbangkan apakah platform yang diberikan menjalankan NetFlow / sFlow dalam perangkat keras atau perangkat lunak.
generalnetworkerror
2

Perangkat Cisco mencoba untuk menyatukan arus (Anda dapat menganggapnya sebagai percakapan) dan kemudian mengekspor informasi tentangnya ke seorang kolektor. Ini membutuhkan memori untuk menyimpan ini.

sFlow memiliki dua komponen utama: satu di mana ia akan mengekspor statistik secara berkala seperti penghitung antarmuka dan penggunaan CPU ke seorang kolektor, dan satu di mana ia akan secara acak menangkap frame 1 dalam N (dapat dikonfigurasi, biasanya 512 hingga 32768) yang melewati router, dan ekspor 256 byte pertama. Anda kemudian dapat melakukan analisis statistik tentang lalu lintas yang mengalir melalui jaringan Anda.

Sampel paket sFlow ditingkatkan dengan informasi dari tabel routing seperti jalur AS. Ini juga agnostik v4 dan v6, tidak seperti NetFlow, yang memaksa Anda melakukan kompromi yang tidak nyaman tergantung pada tipe data apa yang ingin Anda terima.

NetFlow menderita dating kembali ke era di mana routing berbasis aliran belum dianggap sebagai lelucon; sFlow menderita karena tidak menjadi format TLV sehingga mengimplementasikan ekstensi vendor dengan cara portabel hampir tidak mungkin.

Niels
sumber
Beberapa komentar yang menyesatkan di sini ... NetFlow menggunakan cache, dan dapat dikumpulkan / tidak diagregasi, disampel atau tidak - itu adalah karakteristik data yang Anda kumpulkan dan terserah Anda untuk mendefinisikannya. Data NetFlow juga dapat berisi data "seperti sebagai jalur AS "dan itu bukan pembeda sFlow dan tidak pernah ada. NetFlow hanya prototipe sebagai solusi pengalihan aliran, itu hampir segera beralih ke mekanisme pengumpulan informasi. Dalam hal perbedaan nyata, ada perbedaan besar dalam pengambilan sampel: dalam pengambilan sampel sFlow adalah dilakukan per-paket, bukan per-aliran, Anda segera kehilangan keakuratan. Lihat di cisco-nsp @ arsip.
Łukasz Bromirski
0

Netflow adalah protokol milik Cisco dan karenanya tidak didukung oleh apa pun selain perangkat Cisco.

sFlow adalah standar IETF untuk melakukan hal yang hampir sama tetapi dalam standar yang tidak dimiliki oleh satu produsen tertentu.

David Rothera
sumber
2
AFAIK sFlow bukan lagi IETF tetapi produk 'sFlow konsorsium'. IPFIX adalah IETF netflow v9 standar (nomor versi yang dikaitkan dengan v10 dan perubahan kecil). Saya kira perbedaan utamanya adalah sflow mengekspor paket tunggal (dengan metodologi pengambilan sampel yang terdefinisi dengan baik) dan Anda akan melakukan ekstrapolasi, sementara IPFIX / netflow dapat melakukan banyak hal lain, termasuk itu, tetapi juga dapat mengumpulkan data untuk Anda. Saya akan mengatakan netflow / IPFIX jauh lebih fleksibel, yang juga berarti Anda dapat mengimplementasikan netflow / IPFIX di gigi Anda dengan cara yang akan membuatnya tidak berguna, sementara sflow cukup ketat dalam bagaimana itu harus diimplementasikan.
ytti