sFlow란? (sample Flow 샘플 플로우)

- sFlow (sample Flow)

sample 패킷을 이용해 L2-L7 Flow에 대한 Network 모니터링을 수행하는 기능, Network 자원에 대한 가시성, Traffic 분석, 보안 위협에 대한 방어를 제공한다.

​

- sFlow agent

Interface에서 처리되는 패킷을 분석한 flow sample, interface별 MIB 정보를 수집한 counter sample, 2가지를 sFlow datagram으로 패키지화 한 뒤 sFlow collector에게 전송한다. sFlow agent는 switch/router가 수행한다.

​

- sFlow collector

​sFlow datagram을 받아 소프트웨어로 해석하여 L2-L7 flow 정보를 차트, 그래프로 보여줍니다.

​

- sFlow datagram

Interface에서 처리되는 패킷을 분석한 flow sample, interface별 MIB 정보를 수집한 counter sample, 2가지가 패키지화된 sFlow 패킷

​

​

- Flow sample

Flow sample은 n개의 패킷 중 1개를 선정하여 샘플링 한다. 포함하고 있는 정보는 다음과 같다.

1) Sample rate : n개의 패킷을 정의 할 수 있다.

예) 1 out of 5000 packet

2) Sample pool : sFlow가 설정되고 난 후의 total packet을 보여준다

3) Input interface : 어떤 interface에서 샘플링 된지 나타내준다.

4) IPv4 data : 샘플링된 패킷의 src, dst IP주소 등의 정보를 포함하고 있다.

5) Extended switch data : 샘플링된 패킷이 유입되거나 나간 VLAN 정보를 포함하고 있다.

6) Row packet header : 샘플링된 패킷의 내용을 포함하고 있다.

예) Ethernet II, Src: Performa_00:00:02 (00:10:94:00:00:02), Dst: Performa_00:00:01 (00:10:94:00:00:01)

802.1Q Virtual LAN, PRI: 0, CFI: 0, ID: 2

Internet Protocol Version 4, Src: 10.1.1.2, Dst: 10.1.1.2

Data (90 bytes)

​

- Interface counters (Counter sample)

Interface에 대한 MIB 정보를 Polling interval에 따라 수집한다. 포함하고 있는 정보는 다음과 같다.

1) Generic interface counters : 어떤 Interface인지 interface속도나 interface가 full-duplex인지 half-duplex도 나타낸다. 또한 input/output (octets, input packets, Bcast packet, Mcast packet, Ucast packet, Erros, discarded packet)을 나타낸다.

​

​

이 내용들은 구글링과 국내 벤더사들의 sFlow 패킷을 확인하며 작성한 내용입니다.

부족할수 있으니 틀린 내용이 있으면 리플 달아주시면 감사합니다.