NetFlow VS sFlow:未来谁会将占上风?

    随着网络流量监视需求的增加，越来越多的系统管理员正转向流量监测。这里就出现了一个问题，sFlow和NetFlow哪个更好？现在大部分的厂商生产的交换机设备，都只支持其中的一种标准。

关于NetFlow

   NetFlow是思科公司作为一项专有技术最先开始研发的。它包括在思科嵌入网络硬件的互联网操作系统（IOS）。目前最广泛应用的第5版，不过V7和V9版本也正在日益普及。

    最近，互联网工程任务组公布了一份拟议中的称为“IP流信息进出口（IPFIX）”的标准，这项标准就是基于NetFlow v9版本的数据输出格式的。支持NetFlow的厂商包括Cisco、Enterasys网络公司、Juniper网络公司，Riverstone网络公司（最近被朗讯收购）等。

    “支持NetFlow以提供更好的网络能见度仍然是我们广域数据服务策略的一部分。”Riverbed技术产品营销副总裁Alan Saldich表示。

    NetFlow是一项使路由器记录每个被激活的接口所有数据交换记录的技术。它通过检测基于七个关键领域的数据包，如果有两个数据包符合所有的七项准则，则标记为相同的数据流。一旦通信结束，就发送给采集器。

    一个单个的NetFlow封包可能会非常巨大，可以包含来自24-30个通话的通话细节。如果NetFlow被正确地配置并硬件没有超载，这项技术可以百分之百确定谁正在使用设备进行通信，同时CPU占用率很小。

挑战者sFlow

    sFlow最早由英蒙公司开发，从2002年起开始使用。和NetFlow一样，sFlow发送报告给采集器。不同的是，NetFlow是一个基于软件的技术，而sFlow采用了内建硬件的专用芯片。这种方法在一定程度上减轻了路由器或交换机的CPU和记忆体的负荷。

sFlow代理和采集器

sFlow系统的基本组成

    整个网络的sFlow代理不断地发送sFlow数据报给中央sFlow采集器，采集器对这些数据报进行分析，从而产生丰富，实时性和网络性的交通流量。

    阿尔卡特，Allied Telesis公司，Dlink，HP，日立，NEC等一些其他公司都拥有sFlow芯片的设备。目前，sFlow的应用没有NetFlow那样多。最新版本是第5版，但是第2版和第4版也还在广泛的被采用。

    sFlow是一项基于样本的技术，所以不能百分之百保证每个接口数据的准确性。所以研发者提出了复杂的算法统计所收集到的资料以保证总流量的概率精度。

软件采集器

    sFlow和NetFlow设备产生的数据都需要一个采集器。Google的一项对调查结果显示，大部分采集器都支持sFlow和NetFlow。

    现在也有一些免费的软件，如ntop，网络流量探头可以显示网络使用情况。另外一种比较流行的采集器是Plixer International的Scrutinizer流分析器，它同时支持sFlow和NetFlow。

    “我们的许多客户正在运行一个混合的硬件环境。虽然现在NetFlow更流行，但是我们相信几年后sFlow一样会被广泛采用。”Plixer International技术总监Marc Bilodeau表示。

两种都要采用

    那么你应该采用sFlow还是NetFlow呢？答案是两种标准都要。

    如果你有一个纯粹的思科网络，你将需要支持的是NetFlow；如果你同时拥有HP ProCurve交换机和思科路由器，那么你的交换机需要使用sFlow而路由器需要NetFlow。现在使用sFlow的局域网和使用NetFlow的互联网都不少见。

    使用NetFlow还是sFlow命令主要看厂商所使用的标准，而通常厂商在出售采集器的时候会列出必要的配置。