Chociaż projekt roboczy IETF sFlow dostępny jest już od lat, niewielu dostawców zdecydowało się na jego implementację. Jednak pojawienie się ruchu sieciowego o szybkości gigabitowej może sprawić, iż zainteresowanie sFlow będzie większe - być może stanie się on bardziej znaczącą technologią, pozwalającą na śledzenie wydajności sieci i zapewniającą większe bezpieczeństwo.

SFlow, którą IETF zatwierdziła jako standard roboczy w roku 2001, jest technologią stosująca dla zapewnienia szczegółowego oglądu w czasie rzeczywistym – wydajności ruchu sieciowego, trendów i problemów - losowe próbkowanie pakietów danych LAN i WAN w całej sieci.

Zazwyczaj monitorowanie sieci związane jest z rozmieszczeniem w jej segmentach sond zbierających dane ( PC z oprogramowaniem sondującym lub specjalizowanych urządzeń). Sondy te są często dołączane do portów lustrzanych w przełącznikach LAN – portów powielających ruch z innych portów roboczych w przełącznikach. Takie sondy są zdolne do zbierania danych o ruchu wyłącznie na lustrzanym porcie.

SFlow jest wdrażany w oparciu o sieciową MIB (Management Information Base) – w formie agentów sprzętowych lub programowych, pracujących na przełącznikach i ruterach w sieci. Pozwala to na uzyskanie szerszego obrazu wydajności sieci. Monitorowanie przeprowadzane jest na każdym porcie każdego przełącznika, obsługującego sFlow, a nie tylko na segmentach sieci i portach z zainstalowana sondą. Projektanci sFlow sądzą, że technologia ta pozwoli na szersze monitorowanie sieci, ponieważ technika monitorowania portów lustrzanych jest kłopotliwa - zarówno dla personelu sieciowego, jak i przepustowości sieci – połowa przełączników musi być dedykowana jako lustrzane porty do monitorowania aktywności.

Zamiast przechwytywać i rejestrować każdy pakiet na porcie przełącznika lub rutera, MIB sFlow pobiera losowe próbki ruchu pakietów przechodzących przez port. Te próbki, nazywane datagramami sFlow, są ekspediowane następnie do serwera zbiorczego sFlow. W serwerze tym datagramy są przepuszczane przez algorytm, który - w oparciu o te próbki danych - generuje kompletny model ruchu sieciowego.

Technologia sFlow została zaprojektowana wspólnie przez specjalistów firmy InMon, zajmującej się oprogramowaniem monitorującym dla przełączników, oraz Hewlett-Packard i Foundry Nerworks. Dostawcy, którzy zaimplementowali tę technologię w swoich przełącznikach to HP, Foundry Nerworks i Extreme Nerworks. Oprogramowanie obsługujące sFlow zawarte jest w produktach HP OpenView, nGenius Performance Manager NetScout firmy NetScout System oraz Traffic Server firmy InMon.

Poza migawkami czasu rzeczywistego, dotyczącymi wydajności ruchu, sFlow może być także używany jako narzędzie ochronne sieci.

Jako przykład można podać wykrywanie nieautoryzowanych urządzeń sieciowych działających jako translatory adresów sieciowych (NAT). Dotyczy to zwłaszcza ruterów bezprzewodowych NAT. Chociaż urządzenia NAT podłączone do sieci mogą być legalnymi węzłami sieci, to jednak należy pamiętać, że mogą one służyć za ‘tylne furtki’ dopuszczające nieautoryzowany ruch z urządzeń bezprzewodowych.

Ponieważ sFlow próbkuje ruch na każdym porcie w sieci, analizator danych sFlow może identyfikować węzły działające jako usługa NAT porównując dane w podsieciach leżących pomiędzy przełącznikami i urządzeniami NAT.