sFlow 是由InMon、HP 和FoundryNetworks 于2001 年联合开发的一种网络监测技术，它采用数据流随机采样技术，可提供完整的第二层到第四层，甚至全网络范围内的流量信息，可以适应超大网络流量(如大于10Gbit/s)环境下的流量分析，让用户详细、实时地分析网络传输流的性能、趋势和存在的问题。

完全的网络管理一直是从小到大各种规模的公司长期追求的目标。努力理解所有可能的传输流量、带宽需求、性能含义、安全威胁和计费分配仅仅是当今网络管理人员所面临的挑战中的很小一部分。随着网络在规模、速度和容量方面的发展，采用基于RMON或NetFlow计数器和统计的传统工具进行监视和管理变得越来越困难。

sFlow是基于标准的最新网络导出协议（RFC 3176），能够解决当前网络管理人员面临的很多问题。通过将sFlow技术嵌入到网络路由器和交换机ASIC芯片中，sFlow已经成为一项线速运行的“一直在线”技术。与使用镜像端口、探针和旁路监测技术的传统网络监视解决方案相比，sFlow能够大大降低实施费用，采用它，一种面向每一个端口的全网络监视解决方案成为可能。

sFlow（RFC 3176）标准介绍

与数据包采样技术如RMON不同，sFlow是一种导出格式，它增加了关于被监视数据包的更多信息，并使用嵌入到网络设备中的sFlow代理转发被采样数据包，因此在功能和性能上都超越了当前使用的RMON、RMON II和NetFlow技术。接收sFlow数据包的设备称为采集器（Collector）。sFlow技术之所以如此独特，主要在于它能够在整个网络中以连续实时的方式完全监视每一个端口，但不需要镜像监视端口，对整个网络性能的影响也非常小。

sFlow使拥有高速千兆和万兆端口的现代网络能够得到精确的监视，同时，经过扩展，可以在一个采集点上管理数万个端口。因为sFlow代理嵌入在网络路由器和交换机ASIC中，所以与传统的网络监视解决方案相比，这种方法的实施成本要低得多。而且，也不需要购买额外的探针和旁路器就能全面监视整个网络。

与那些需要镜像端口或网络旁路器来监视传输流量的解决方案不同，在 sFlow 的解决方案中，并不是每一个数据包都发送到采集器。 sFlow使用两种独立的采样方法来获取数据 — 针对交换数据流的基于数据包的统计采样方法和基于时间的采样的针对网络接口统计数据（类似RMON的轮询）。而且，sFlow还能使用不同的采样率对整个交换机或仅对其中一些端口实施监视，这样保证了在设计管理方案时的灵活性。与以前的网络监视技术，如RMON、RMON II和NetFlow相比，sFlow的主要优势在于：

Ø 更低的全网络监视成本

Ø 具有实时分析能力的一直在线技术

Ø 嵌入到ASIC中的强劲技术

Ø 可看到设备或端口配置的全网络视图

Ø 用户可自行配置的采样速率

Ø 对设备性能没有影响

Ø 对网络带宽的影响很小

Ø 完整的数据包头信息

Ø 完整的第2-7层详细信息

Ø 支持多种协议（IP、MAC、Appletalk、IPX、BGP等）

sFlow带来的好处

Ø 准确识别那些非常难以诊断和校正的性能问题的原因，有时候，性能差的原因并不在于网络阻塞，而在于主机或网络配置问题。

Ø sFlow的“一直在线”技术使网络性能保持在一个正常使用水平上，当出现异常使用情况或增大趋势时，能够非常快速、方便地发现。另外，对高性价比升级的预先规划以及带宽整形和速率限制的使用都可以帮助控制保持网络的性能，避免购买多余的网络设备。

Ø 流量监视为防范安全威胁提供了更多机会。没有对流量的充分理解，就不可能确定流量划分策略和防火墙配置。sFlow提供的对整个网络流量的可视化能力为防火墙的有效配置和审计打下了基础。

Ø sFlow将建立一个正常网络使用的基准，当发现网络活动明显偏离基准时，就会发出告警信息，从而做到有效地识别访问策略破坏和入侵现象。

Ø 判断那些成为问题根源的主机，可能发生的问题包括广播风暴、带宽的过度使用或应用的不正确使用。

Ø 确定正在使用哪些协议，每个协议在网络中使用了多少带宽。这可以帮助识别网络中行为不正常的配置不当的主机或应用。

Ø 确定在网上运行的所有应用，判断出哪些应用最耗费带宽，或是网络或性能问题的根源。

Ø 通过快速识别和解决根源问题，减少网络停用时间。

Ø 从实时使用统计数据中快速确定部门或客户计费信息，以提供给计费系统使用。计费的确定可以根据不同主机、部门、地理位置或应用所使用的带宽来进行。

Ø 增加收入、降低成本、提高客户满意度。

Ø 充分利用信息，建立综合的SLA。

Ø 利用sFlow提供的大量信息，拓展其他的数据挖掘机会。

sFlow的安全应用

传统的网络安全解决方案要实现整个企业的安全越来越需要耗费大量资源。现代网络中的千兆、几千兆和万兆以太网链路使防火墙和IDS越来越难以承担监视和控制流量的任务，将防火墙和IDS放置在关键网络如服务器群组和拥有大量知识资产的部门的入口点，将会带来以下几个问题：

Ø 检查点的增加势必引起性能下降。

Ø 镜像端口不能转发几千兆上行链路的所有流量。

Ø 适应千兆速度的防火墙和IDS系统非常昂贵。

Ø 捕获数据的集中管理和观察非常耗费资源。

Ø 没有足够的IT资源来安装所有防火墙和IDS系统，并维护和执行所要求的操作。

Ø 在大流量攻击面前，依赖镜像端口或旁路器的传统安全部件会不堪负荷——削减了总体效能。

一个非常好的类似例子是赌场的安全监视摄像机，安全监视系统使赌场的保安部门能够连续监视整个赌场的每个角落，而不仅仅是前门。sFlow技术的作用与其类似，它使IT和安全部门的人员能够时刻监视整个校园网络，而对网络基础设施不造成任何开销。

虽然sFlow并不是转发所有的数据包进行安全分析的完全“镜像端口”或“网络旁路”技术，但它可以提供适合安全监视和策略执行的大量信息，其优势在于能够向安全采集器提供实时的采样数据进行分析，从而提供整个网络的连续监视能力。利用从第2到第7层的完整、详细的信息，安全威胁能够被识别出来，并得到良好的控制。通过在网络设备的ASIC芯片中实现数据收集技术，即使是网络在受到大量的拒绝服务攻击时也不会影响性能。在遭到拒绝服务攻击时，恶意流量急剧增加，而被采样的数据包也将与恶意流量成比例的增加，这样可以快速判断出攻击行为，从而保障采集器不会由于攻击数据包的增加而过载。

采样数据可以用于创建进行流量比较的正常使用基准。这些基准可用于显示出：

Ø 使用端口映射和使用ping和端口扫描进行探测的侦察行为。

Ø 消耗计算机资源或网络带宽以阻止主机通信的拒绝服务攻击。如采用ICMP的Smurf攻击或SYN flood攻击。

Ø 采用重复登录或TCP劫持对网络上的主机造成威胁的行为。

Ø 以不正确的方式使用系统的错误使用行为。使用企业策略禁止的服务和应用。

sFlow在发现流量出现以下情况时就怀疑安全可能有问题：

Ø 判断出拥有可疑流量的超级带宽占用者。

Ø 发现与使用新的服务或应用相关的传输流量模式的变化。

Ø 对话双方不正常或与外部主机有过多的通信行为。

Ø 识别出不常使用的协议。

Ø 一个主机试图使用大量服务端口连接大范围的地址。

Ø 到某个主机的流量在很短的时间内异常增大。

Ø 某个主机发出异常数量的登录流量。

Ø 通过对外部主机的监视发现异常传输流量或使用的服务类型端口异常。

Ø 与传统的流量监视和仅传递数据包信息的IDS信息不同，sFlow除发送所有的传统数据包头和协议信息外，还发送物理传输信息，如交换机/端口接口信息、RMON统计信息和部分数据包有效载荷来进行监视。这样，使用sFlow实现网络安全的可能性就大大增加，而与安全相关的应用如全企业IDS、应用识别和流量监视就成为可能。