12 sflow日志采集.pdf

sFlowsFlow日志采集日志采集
日期:
杭州华三通信技术有限公司版权所有,未经授权不得使用与传播
引入
�随着互联网的发展,网络规模日益扩大,应用日趋复
杂。为了能够及时了解网络带宽的负载和业务的占用
情况,为发现和检测异常流量,审计用户的上网行
为,以及为将来的网络优化、扩容提供分析数据的支
撑,网络流量采集与分析势在必行。
课程目标
学****完本课程,您应该能够:
�掌握sFlow基本原理
�掌握iMC UNBA的相关应用
目录
� sFlow原理
� iMC UNBA典型应用
sFlow概述
� sFlow技术通过对流经网络设备的数据包进行
周期性采样来获取网络信息,并将样本信息按
照固定的格式发送至流量分析服务器
网络设备
sFlow采样数据
sFlow Agent sFlow Collector
sFlow报文格式
� sFlow报文采用UDP封装,基本结构由首部和
多组采样数据构成
�采样数据分为流数据和统计数据两种
IP首部 UDP首部 sFlow Datagram
公共sFlow首部 Flow Sample Counter Sample ……
Flow Sample首部 Flow Record Flow Record Flow Record
公共sFlow首部
�公共sFlow首部格式如下
0 8 16 24 32
0
sFlow version
1
IP version of the Agent/Switch
2
Agent IP address
3
sub agent id
4
datagram sequence number
5
switch uptime in ms
6
n samples in datagram
7
n samples N
采样数据格式
�采样数据包括以下四种格式
� Flow Sample
� Counter Sample
� Expanded Flow Sample
� Expanded Counter Sample
0 8 16 24 32
0
data format sample data
1
sample length byte
2
sample data
N
扩展流数据格式
�扩展流数据格式
0 8 16 24 32
0
sample sequence number
1
source id type 2
source id index 3
sampling rate 4
sample pool 5
drops 6
input interface format 7
input interface value 8
output interface format 9
output interface value 10
n flow records 11
flow record
N

流记录格式
� sFlow V5定义了16种不同类型的流记录
格式
0 8 16 24 32
0
data format flow data
1
flow data length
2
flow data
N