您的位置: 今年八九月间的一天,华东电力信息工程技术公司系统运行部经理陈小潮突然发现,由某服务器监控的两个网络端口的流量突然增加。虽然不清楚指标异常的原因是什么,但陈小潮决定,为保险起见,停掉这两个端口。后来才知道,是蠕虫病毒在攻击网络。国电华东公司的网络采用了sFlow解决方案防范了灾难。可见,实时的网络监控系统,避免了很多问题,甚至是重大事故的发生。
完全的网络管理一直是从小到大各种规模的公司长期追求的目标。努力理解所有可能的传输流量、带宽需求、性能含义、安全威胁和计费分配等,仅仅是当今网络管理人员所面临的挑战中的很小一部分。随着网络在规模、速度和容量方面的发展,采用传统工具进行监视和管理越来越困难。
sFlow的不同之处
与数据包采样技术(如RMON)不同的是,sFlow是一种导出格式,它增加了关于被监视数据包的更多信息,并使用嵌入到网络设备中的sFlow代理转发被采样数据包,接收sFlow数据包的设备称为采集器(Collector)。sFlow技术之所以如此独特,主要在于它能够在整个网络中以连续实时的方式完全监视每一个端口,但不需要镜像监视端口,对整个网络性能的影响也非常小。
sFlow使拥有高速千兆和万兆端口的现代网络能够得到精确的监视,同时,经过扩展,可以在一个采集点上管理数万个端口。因为sFlow代理嵌入在网络路由器和交换机ASIC中,所以与传统的网络监视解决方案相比,这种方法的实施成本要低得多; 而且,也不需要购买额外的探针和旁路器。
与那些需要镜像端口或网络旁路器来监视传输流量的解决方案不同,在sFlow的解决方案中,并不是每一个数据包都发送到采集器。sFlow使用两种独立的采样方法来获取数据: 针对交换数据流的基于数据包的统计采样方法和基于时间的针对网络接口统计数据(类似RMON的轮询)采样。sFlow还能使用不同的采样率对整个交换机或仅对其中一些端口实施监视,这就保证了在设计管理方案时的灵活性。
sFlow的安全应用
传统的网络安全解决方案要实现整个企业的安全越来越需要耗费大量资源。现代网络中的千兆、几千兆和万兆以太网链路使防火墙和IDS越来越难以承担监视和控制流量的任务,将防火墙和IDS放置在关键网络,如服务器群组和拥有大量知识资产的部门的入口点,将会带来以下几个问题:
● 由于检查点增加引起性能下降;
● 镜像端口无法转发几千兆上行链路的所有流量;
● 适应千兆速度的防火墙和IDS系统非常昂贵;
● 捕获数据所进行的集中管理和观察非常耗费资源;
● 没有足够的IT资源来安装所有防火墙、IDS系统,以及维护和执行所要求的操作;
● 在大流量攻击面前,依赖镜像端口或旁路器的传统安全部件会不堪负荷,总体效能降低。
在JetCore ASIC中
实施sFlow
文章最前面提到的国电华东公司的例子,就是采用了网捷网络公司的sFlow解决方案。国电华东公司本部的网络是由非实时性生产网络和实时调度生产网络两部分组成的。网捷网络的解决方案包括Biglron三层交换机、Fastlron第二、三层边缘交换机,以及“永远在线”的sFlow流量监控技术。
网捷公司是业界第一家将sFlow流量采样集成到ASIC芯片的厂商,在其JetCore ASIC芯片中实施sFlow,嵌入在ASIC中的代理就允许交换机或路由器中的每一个端口可以全线速进行采样,而无需考虑端口速度。另外,sFlow采样可以为设备中的每一个端口打开,或者按照不同的端口改变采样和轮询速率。这样就可以做到对接近主机或最终用户的端口进行频繁采样,而对接近核心的设备和端口采样频率稍低一些,从而更有效地创建一个完全可视化的网络。
本次配置的所有设备,支持基于硬件的线速流量采集,这样使所有的网络设备能以线速进行全面的流量采集和统计,而且不影响交换性能。
从边缘或接入端获取的sFlow数据可以:
● 提供对客户流量的准确统计;
● 通过主动监视边缘的入侵和策略破坏行为,保证网络更加安全;
● 完全可视化地监视网络流量和应用的使用情况。
从核心获取的sFlow数据可以:
● 提供适用于容量规划的准确数据;
● 确认穿过核心的网络应用流量的优先级;
● 识别来自于远程站点的网络应用流量,确定它对服务器的影响;
● JetCore ASIC采用数据包采样技术,其处理过程全部由硬件完成,这样可以在不影响设备CPU工作的情况下以线速进行网络监视。
由于所有用于分析的流量都发送到采集器,所以对网络设备的影响就非常小。而sFlow代理只是简单地选择、封装和转发数据包,以保证对网捷网络设备的处理和CPU的要求最小化。每一个网捷网络设备允许指定最多4个独立采集器,这为网络管理人员创建一种综合的网络监视拓扑结构提供了充分的自由。所使用的采集器用来搜集信息,进行网络流量分析、趋势分析、安全分析、应用分析和计费分析等。 (晓今)
