Standard IETF o nazwie sFlow ma ułatwić szczegółowe monitorowanie ruchu w sieciach.

Dotychczasowe metody pomiaru i wizualizacji ruchu nie przystają do potrzeb współczesnych gigabitowych sieci. Architektura istniejących narzędzi monitorujących zmusza administratorów do rozstrzygania kompromisów między jakością i aktualnością danych uzyskiwanych z sond a wydajnością urządzeń, na których sondy pracują. Lokalna analiza wymaga lokalnego buforowania danych, co zmniejsza ilość pamięci potrzebnej przy normalnej pracy urządzenia i w efekcie obniża jego wydajność. To zaś prowadzi do podwyższenia kosztów utrzymania sieci. Dlatego konieczne było opracowanie nowych narzędzi monitorujących. W odpowiedzi na to zapotrzebowanie IETF (Internet Engineering Task Force) opublikował nowy standard RFC 3176, zwany też sFlow, mający uwolnić administratorów od ograniczeń tradycyjnego modelu monitorowania i analizy ruchu.

Szybki raport do centrali

U podstaw architektury sFlow leży koncepcja łącząca rozproszone próbkowanie pakietów na urządzeniach aktywnych z ich scentralizowaną analizą na dedykowanym serwerze. Dane są przechwytywane przez specjalnego agenta programowego wspomaganego przez układ ASIC umieszczony w routerze bądź przełączniku. Pozyskane dane są formatowane i wysyłane do centralnego serwera sFlow Collection Server, na którym odbywa się właściwa analiza. W datagramie pakietu wysyłanego do serwera można umieścić szczegółową mapę "wędrówki" pakietów przez sieć, źródło I/O, źródłowe i docelowe adresy sieciowe, a także statystyki dotyczące badanego portu.

Wykorzystanie specjalizowanych procesorów ASIC znacznie przyspiesza próbkowanie i przygotowanie danych do wysyłki. Agent sFlow wykonuje wprawdzie raptem kilka prostych zapytań, jednak porządkowanie danych i kolejkowanie ich do transmisji to wyzwanie. Wydajność rozwiązań opartych na sFlow jest imponująca - pojedynczy serwer analityczny sFlow może otrzymywać i analizować w czasie zbliżonym do rzeczywistego dane z ponad 20 tys. portów, przy pełnej szczegółowości analizy warstw 2-7. Dla wydajności urządzeń istotne jest to, że dane nie są przechowywane lokalnie, lecz natychmiast wysyłane "na zewnątrz".

Drogocenne szczegóły

Zmniejszone wymagania co do pamięci i oprogramowania pozwalają implementować standard sFlow w dowolnych urządzeniach - od standardowych do bardzo zaawansowanych. Standard sFlow nie jest przy tym związany z konkretnym medium (może działać zarówno w sieciach przewodowych, jak i radiowych), topologią (LAN, WAN) czy protokołem (ATM, Frame Relay, IP, Fibre Channel). Może więc być stosowany jako uniwersalne rozwiązanie dla całego centrum danych, a nawet całej firmy.

Zbudowanie systemów monitorowania sieci zgodnie z RFC 3176 umożliwia administratorom obserwowanie ruchu w sieci prawie w czasie rzeczywistym, z dużą szczegółowością i nie kosztem wydajności monitorowanych urządzeń. Pewne jest, że spotka się z uznaniem operatorów zarządzających tysiącami urządzeń. Gromadzone w jednym miejscu dane o dużym stopniu szczegółowości mogą być wykorzystane przez wiele różnych narzędzi analitycznych, np. system IDS. Więcej informacji na stronie:http://www.sflow.org .

Na podstawie tłumaczenia artykułu Soni Panchen i Adama Steina, który ukazał się w wydawanym przez IDG tygodniku Network World.