sFlowとは
●ネットワークトラフィックの監視目的としてInMon社が仕様作成した技術。
⇔Ciscoが開発したのがNetflow。
●RFCによって仕様が決められている(RFC 3176が2001年、最新がver5の2005年)。
https://www.ietf.org/rfc/rfc3176.txt
https://sflow.org/sflow_version_5.txt
●一部のパケットを参照してフローデータを作成。
⇔Nwtflowでは全てのパケットを参照してフローデータを作成。ただし、現在ではサンプリングできるようになっている。
●フローコレクターと呼ばれる、フローデータの可視化を実現するツールを使用することでアプリケーション別のトラフィック受信量などを可視化することも可能。
●サンプリングされたパケットのイーサネット・フレームの一部を抜き出し、UDPパケットの中に保持。
●サンプリング感覚に基づいて収集、UDPパケットに追加される。
●UDPパケットのサイズが1500バイトに達すると、フロー・エクスポーターは、サンプリング率とインタフェース・インデックスのような必須情報を付けて、解析ツールに向けてエクスポート。
●レイヤー2でも動作可能。IP以外のプロトコルの補足も可能⇔Ciscoはレイヤ3のみ動作可能。しかし、NetFlowのv9からはMACアドレスが載せられることになった。
●サンプリングレートの目安は帯域の大きさとの関係表があるのでそちらを参照
https://blog.sflow.com/2009/06/sampling-rates.html
●OSS製品で無料で使えるフローコレクターもある。ElastiFlowが最も良いみたい。
https://qiita.com/ConnieWild/items/83a2c00972934ff3f0e6
https://designetwork.daichi703n.com/entry/2019/03/16/elastiflow-netflow
検証
※未定…。いつかします。
参考
コメント