|
sFlow ·采样流sFlow(Sampled Flow)是一种基于报文采样的网络流量监控技术,基于Flow采样可以截取原始报文的全部,也可以截取一部分报头。 ·sFlow系统包含一个嵌入在设备中的sFlow Agent和远端的sFlow Collector。其中,sFlow Agent通过sFlow采样获取接口统计信息和数据信息,将信息封装成sFlow报文发送到指定的sFlow Collector。sFlow Collector对sFlow报文进行分析,并显示分析结果。  ·Flow采样是sFlow Agent设备在指定接口上按照特定的采样方向和采样比对报文进行采样分析,用于获取报文数据内容的相关信息。该采样方式主要是关注流量的细节,这样就可以监控和分析网络上的流行为。 Flow采样可以截取原始报文的全部,也可以截取一部分报头。 ·Counter采样是sFlow Agent设备周期性的获取接口上的流量统计信息,Counter采样支持获取的采样信息。与Flow采样相比,Counter采样只关注接口上流量的数量,而不关注流量的详细信息。 sFlow的应用场景  企业网用户对于接口的流量情况、整体设备运行情况有明确的需求。企业用户更需要一种以设备接口为基本采样单元的流量监控技术来实时监控流量状况,及时发现异常流量以及攻击流量的源头,从而保证企业网络的正常稳定运行。sFlow关注的是接口的流量情况、转发情况以及设备整体运行状况,适合于网络异常监控以及网络异常定位,特别适合于企业网用户。 如图所示,只需要在支持sFlow Agent的设备上进行部署,远端连接一个sFlow Collector,就可以对流量进行基于接口的搜集和详细的分析。 使用 NetStream 也可以对网络流量进行统计分析, 而 NetStream 是一种基于网络流信息的统计技术,网络设备自身需要对网络流进行初步的统计分析,并把统计信息储存在缓存区,当缓存区满或者流统计信息老化后输出统计信息。与 NetStream 相比, sFlow不需要缓存区,网络设备仅进行报文的采样工作,网络流的统计分析工作由远端的采集器完成。 sFlow 与 NetStream 比较具有以下优势: ▫节省资源、降低成本:由于不需要缓存区,对网络设备的资源占用少,实现成本低。 ▫采集器灵活、随需的部署:由于网络流的分析和统计工作由采集器完成,采集器可以灵活的配置网络流特征进行统计分析,实现灵活、随需的部署。 Telemetry ·Telemetry,也称为Network Telemetry,即网络遥测技术。主要用于监控网络,包括报文检查和分析,安全侵入和攻击检测,智能收集数据,应用的性能管理等。 ·Telemetry优势:
 ·随着网络的普及和新技术的涌现,网络规模日益增大,部署的复杂度逐步提升,用户对业务的质量要求也不断提高。为了满足用户需求,网络运维务必更加精细化、智能化。 当今网络的运维面临着如下挑战:
·采集器、分析器和控制器都位于网管侧。
Telemetry的应用场景  ·gRPC(Google Remote Procedure Call, Google 远程过程调用) 是 Google 发布的基于 HTTP 2.0传输层协议承载的高性能开源软件框架,提供了支持多种编程语言的、 对网络设备进行配置和管理的方法。 ·传统的网络监控手段(SNMP、CLI、日志)已无法满足网络需要: ·SNMP 和 CLI 主要采用“拉模式”获取数据,即发送请求来获取设备上的数据,限制了可以监控的网络设备数量,且无法快速获取数据。 ·SNMP Trap 和日志虽然采用“推模式”获取数据,即设备主动将数据上报给监控设备,但仅上报事件和告警,监控的数据内容极其有限,无法准确地反映网络状况。 ·Telemetry 是一项监控设备性能和故障的远程数据采集技术。它采用“推模式”及时获取丰富的监控数据,可以实现网络故障的快速定位,从而解决上述网络运维问题。 Syslog ·Syslog是一种工业标准的协议,可用来记录设备的日志。在UNIX系统,路由器、交换机等网络设备中,系统日志(System Log)记录系统中任何时间发生的大小事件。管理者可以通过查看系统记录,随时掌握系统状况。 ·Syslog协议提供了一种通过IP网络传送事件消息的机制,它允许主机将事件消息通过IP网络传输到接收消息的主机上,这些主机通常称为syslog server。  ·该协议从最初的加州大学伯克利分校软件中心整理,后来由于其操作管理的实用性迅速成为很多网络设备操作管理协议的一部分。现在已经有相应的RFC3164,RFC3195进行通用的定义。前者定义的是使用UDP形式传输,后者定义的是使用TCP形式传输。 ·几乎所有的网络设备都可以通过syslog protocol将日志信息以UDP方式传送到远端服务器,远端接收日志服务器必须通过syslogd来监听UDP Port 514,并且根据syslog.conf中的配置来处理本机和接收访问系统的日志信息,把指定的事件写入特定档案中,供后台数据库管理和响应之用。 ·角色分类
其他-LLDP LLDP(Link Layer Discovery Protocol)是IEEE 802.1ab中定义的链路层发现协议,可以将本端设备的管理地址、设备标识、接口标识等信息组织起来,并发布给自己的邻居设备,邻居设备收到这些信息后将其以标准的管理信息库MIB(Management Information Base)的形式保存起来,以供网络管理系统查询及判断链路的通信状况。  ·LLDP是一种邻近发现协议。它为以太网网络设备,如交换机、路由器和无线局域网接入点定义了一种标准的方法,使其可以向网络中其他节点公告自身的存在,并保存各个邻近设备的发现信息。例如设备配置和设备识别等详细信息都可以用该协议进行公告。 ·LLDP信息是定期传输的,并且只在一定的期限内保留。IEEE已经定义了一个建议的传输频率,即每30秒传输一次。LLDP设备在收到邻近网络设备发出的LLDP信息后,将把LLDP信息存储在一个IEEE定义的简单网络管理协议(SNMP)管理信息库(MIB)中,并且在一定的时限内保持有效。定义该时限的LLDP“生存时间”(TTL)值就包含在所收到的数据包内。 ·该协议使网络管理系统能够精确地发现和模拟物理网络拓扑结构。由于LLDP设备发送和接收公告,这些设备将会把自己发现的邻近设备信息存储下来。公告数据,如邻近设备的管理地址、设备类型和端口号,都有助于确定邻近设备到底属于什么类型,以及它们通过哪些端口实现互联。 ·单邻居组网模式: 单邻居组网模式是指交换机设备的接口之间直接相连,而且接口只有一个邻居设备的情况。 ·链路聚合组网模式: 链路聚合组网模式是指交换机设备的接口之间存在链路聚合,接口之间是直接相连,链路聚合之间的每个接口只有一个邻居设备。 LLDP的应用场景 ·Eth-Trunk以太网链路聚合,简称链路聚合,它通过将多条以太网物理链路捆绑在一起成为一条逻辑链路,从而实现增加链路带宽的目的。 其他-镜像 镜像是指将镜像端口(源端口)的报文复制到观察端口(目的端口)。  ·在网络维护的过程中会遇到需要对报文进行获取和分析的情况,比如怀疑有攻击报文,此时需要在不影响报文转发的情况下,对报文进行获取和分析。镜像可以在不影响报文正常处理流程的情况下,将镜像端口的报文复制一份到观察端口,用户利用数据监控设备来分析复制到观察端口的报文,进行网络监控和故障排除。 ·基本概念:
·端口镜像: 是指设备复制一份从镜像端口流经的报文,并将此报文传送到指定的观察端口进行分析和监控 ·流镜像: 是将镜像端口上特定业务流的报文复制到观察端口进行分析和监控。在流镜像中,镜像端口应用了包含流镜像行为的流策略。如果从镜像端口流经的报文匹配流分类规则,则将被复制到观察端口。 镜像的应用场景  ·在某些场景中,我们可能需要监控交换机特定端口的入站或出站报文,或者需要针对特定的流量进行分析,例如上图中,GE0/0/2口上承载了许多流量,基于某种需求,我需要对接口的收发报文进行分析从而进行网络的故障定位。那么我可以在交换机的GE0/0/3口接一个PC,在PC上安装协议分析软件,然后部署端口镜像,将GE0/0/2的入、出站流量镜像到GE0/0/3口上来,接下来我只要在PC上通过协议分析软件查看报文即可。 ·注意到,如果没有端口镜像技术,除非数据包的目的地是监控PC(所连接的端口),否则报文是不会发向该端口的。因此事实上端口镜像就是将某个特定端口的流量拷贝到某个监控端口。 |
|
|
