问题描述

企业网用户对于接口的流量情况、整体设备运行情况有明确的需求。企业用户更需要一种以设备接口为基本采样单元的流量监控技术来实时监控流量状况，及时发现异常流量以及攻击流量的源头，从而保证企业网络的正常稳定运行。

解决方案

采样流 sFlow（Sampled Flow）是一种基于报文采样的网络流量监控技术，基于Flow采样可以截取原始报文的全部，也可以截取一部分报头。

原理简述

sFlow系统包含一个嵌入在设备中的sFlow Agent和远端的sFlow Collector。

其中，sFlow Agent通过sFlow采样获取接口统计信息和数据信息，将信息封装成sFlow报文发送到指定的sFlow Collector。sFlow Collector对sFlow报文进行分析，并显示分析结果。

如图所示，只需要在支持sFlow Agent的设备上进行部署，远端连接一个sFlow Collector，就可以对流量进行基于接口的搜集和详细的分析。

特性说明

sFlow关注的是接口的流量情况、转发情况以及设备整体运行状况，适合于网络异常监控以及网络异常定位，特别适合于企业网用户。

sFlow 与 NetStream 比较具有以下优势：
节省资源、降低成本：由于不需要缓存区，对网络设备的资源占用少，实现成本低。
采集器灵活、随需的部署：由于网络流的分析和统计工作由采集器完成，采集器可以灵活的配置网络流特征进行统计分析，实现灵活、随需的部署。

仅采样：使用 NetStream 也可以对网络流量进行统计分析， 而 NetStream 是一种基于网络流信息的统计技术，网络设备自身需要对网络流进行初步的统计分析，并把统计信息储存在缓存区，当缓存区满或者流统计信息老化后输出统计信息。与 NetStream 相比， sFlow不需要缓存区，网络设备仅进行报文的采样工作，网络流的统计分析工作由远端的采集器完成。

应用场景

系统角色

sFlow Collector，sFlow Agent：

采样方式

Flow 采样，是sFlow Agent设备在指定接口上按照特定的采样方向和采样比对报文进行采样分析，用于获取报文数据内容的相关信息。该采样方式主要是关注流量的细节，这样就可以监控和分析网络上的流行为。Flow采样可以截取原始报文的全部，也可以截取一部分报头。

Counter 采样，是sFlow Agent设备周期性的获取接口上的流量统计信息，Counter采样支持获取的采样信息。与Flow采样相比，Counter采样只关注接口上流量的数量，而不关注流量的详细信息。