·采样流sFlow（Sampled Flow）是一种基于报文采样的网络流量监控技术，基于Flow采样可以截取原始报文的全部，也可以截取一部分报头。

·sFlow系统包含一个嵌入在设备中的sFlow Agent和远端的sFlow Collector。其中，sFlow Agent通过sFlow采样获取接口统计信息和数据信息，将信息封装成sFlow报文发送到指定的sFlow Collector。sFlow Collector对sFlow报文进行分析，并显示分析结果。

·Flow采样是sFlow Agent设备在指定接口上按照特定的采样方向和采样比对报文进行采样分析，用于获取报文数据内容的相关信息。该采样方式主要是关注流量的细节，这样就可以监控和分析网络上的流行为。

Flow采样可以截取原始报文的全部，也可以截取一部分报头。

·Counter采样是sFlow Agent设备周期性的获取接口上的流量统计信息，Counter采样支持获取的采样信息。与Flow采样相比，Counter采样只关注接口上流量的数量，而不关注流量的详细信息。

企业网用户对于接口的流量情况、整体设备运行情况有明确的需求。企业用户更需要一种以设备接口为基本采样单元的流量监控技术来实时监控流量状况，及时发现异常流量以及攻击流量的源头，从而保证企业网络的正常稳定运行。sFlow关注的是接口的流量情况、转发情况以及设备整体运行状况，适合于网络异常监控以及网络异常定位，特别适合于企业网用户。

如图所示，只需要在支持sFlow Agent的设备上进行部署，远端连接一个sFlow Collector，就可以对流量进行基于接口的搜集和详细的分析。

使用 NetStream 也可以对网络流量进行统计分析， 而 NetStream 是一种基于网络流信息的统计技术，网络设备自身需要对网络流进行初步的统计分析，并把统计信息储存在缓存区，当缓存区满或者流统计信息老化后输出统计信息。与 NetStream 相比， sFlow不需要缓存区，网络设备仅进行报文的采样工作，网络流的统计分析工作由远端的采集器完成。 

sFlow 与 NetStream 比较具有以下优势：

▫节省资源、降低成本：由于不需要缓存区，对网络设备的资源占用少，实现成本低。

▫采集器灵活、随需的部署：由于网络流的分析和统计工作由采集器完成，采集器可以灵活的配置网络流特征进行统计分析，实现灵活、随需的部署。

·Telemetry优势：

• 支持多种实现方式，满足用户的不同需求。

• 采集数据的精度高，且类型十分丰富，充分反映网络状况。

• 一次订阅，持续上报。

• 故障定位更快速、精准。

·随着网络的普及和新技术的涌现，网络规模日益增大，部署的复杂度逐步提升，用户对业务的质量要求也不断提高。为了满足用户需求，网络运维务必更加精细化、智能化。

当今网络的运维面临着如下挑战：

• 超大规模：管理的设备数目众多，监控的信息数量非常庞大。
  

• 快速定位：在复杂的网络中，能够快速地定位故障，达到秒级、甚至亚秒级的故障定位速。

• 精细监控：监控的数据类型更多，且监控粒度更细，以便完整、准确地反应网络状况，据此预估可能发生的故障，并为网络优化提供有力的数据依据。网络运维不仅需要监控接口上的流量统计信息、每条流上的丢包情况、 CPU 和内存占用情况，还需要监控每条流的时延抖动、每个报文在传输路径上的时延、每台设备上的缓冲区占用情况等。

·采集器、分析器和控制器都位于网管侧。

• 采集器用于接收和存储网络设备上报的监控数据。

• 分析器用于分析采集器接收到的监控数据，并对数据进行处理，例如以图形化界面的形式展现给用户。

• 控制器通过 NETCONF 等方式向设备下发配置，实现对网络设备的管理。控制器可以根据分析器提供的分析数据，为网络设备下发配置，对网络设备的转发行为进行调整；也可以控制网络设备对哪些数据进行采样和上报 。 

·gRPC（Google Remote Procedure Call， Google 远程过程调用） 是 Google 发布的基于 HTTP 2.0传输层协议承载的高性能开源软件框架，提供了支持多种编程语言的、 对网络设备进行配置和管理的方法。

·传统的网络监控手段（SNMP、CLI、日志）已无法满足网络需要：

·SNMP 和 CLI 主要采用“拉模式”获取数据，即发送请求来获取设备上的数据，限制了可以监控的网络设备数量，且无法快速获取数据。

·SNMP Trap 和日志虽然采用“推模式”获取数据，即设备主动将数据上报给监控设备，但仅上报事件和告警，监控的数据内容极其有限，无法准确地反映网络状况。 

·Telemetry 是一项监控设备性能和故障的远程数据采集技术。它采用“推模式”及时获取丰富的监控数据，可以实现网络故障的快速定位，从而解决上述网络运维问题。

·Syslog协议提供了一种通过IP网络传送事件消息的机制，它允许主机将事件消息通过IP网络传输到接收消息的主机上，这些主机通常称为syslog server。

·该协议从最初的加州大学伯克利分校软件中心整理，后来由于其操作管理的实用性迅速成为很多网络设备操作管理协议的一部分。现在已经有相应的RFC3164,RFC3195进行通用的定义。前者定义的是使用UDP形式传输，后者定义的是使用TCP形式传输。

·几乎所有的网络设备都可以通过syslog protocol将日志信息以UDP方式传送到远端服务器，远端接收日志服务器必须通过syslogd来监听UDP Port 514，并且根据syslog.conf中的配置来处理本机和接收访问系统的日志信息，把指定的事件写入特定档案中，供后台数据库管理和响应之用。

·角色分类 

1. 发送者 sender：产生syslog message的网元；

2. 中继 relay：能接收到后进行转发syslog message的网元或其他设备；

3. 收集者 collector：接收了不再转发syslog message的syslog server；

·LLDP是一种邻近发现协议。它为以太网网络设备，如交换机、路由器和无线局域网接入点定义了一种标准的方法，使其可以向网络中其他节点公告自身的存在，并保存各个邻近设备的发现信息。例如设备配置和设备识别等详细信息都可以用该协议进行公告。

·LLDP信息是定期传输的，并且只在一定的期限内保留。IEEE已经定义了一个建议的传输频率，即每30秒传输一次。LLDP设备在收到邻近网络设备发出的LLDP信息后，将把LLDP信息存储在一个IEEE定义的简单网络管理协议（SNMP）管理信息库（MIB）中，并且在一定的时限内保持有效。定义该时限的LLDP“生存时间”（TTL）值就包含在所收到的数据包内。

·该协议使网络管理系统能够精确地发现和模拟物理网络拓扑结构。由于LLDP设备发送和接收公告，这些设备将会把自己发现的邻近设备信息存储下来。公告数据，如邻近设备的管理地址、设备类型和端口号，都有助于确定邻近设备到底属于什么类型，以及它们通过哪些端口实现互联。

·单邻居组网模式：

单邻居组网模式是指交换机设备的接口之间直接相连，而且接口只有一个邻居设备的情况。

·链路聚合组网模式：

链路聚合组网模式是指交换机设备的接口之间存在链路聚合，接口之间是直接相连，链路聚合之间的每个接口只有一个邻居设备。

 ·Eth-Trunk以太网链路聚合，简称链路聚合，它通过将多条以太网物理链路捆绑在一起成为一条逻辑链路，从而实现增加链路带宽的目的。

·在网络维护的过程中会遇到需要对报文进行获取和分析的情况，比如怀疑有攻击报文，此时需要在不影响报文转发的情况下，对报文进行获取和分析。镜像可以在不影响报文正常处理流程的情况下，将镜像端口的报文复制一份到观察端口，用户利用数据监控设备来分析复制到观察端口的报文，进行网络监控和故障排除。

·基本概念：

• 镜像端口是被监控的端口，从镜像端口流经的所有报文或匹配流分类规则的报文将被复制到观察端口。

• 观察端口是连接监控设备的端口，用于输出从镜像端口复制过来的报文。

• 观察端口组是连接多个监控设备的一组端口。观察端口组中的多个成员端口分别连接多个监控设备，当使用观察端口组镜像报文时，镜像到观察端口组的报文将被复制到所有的成员端口。

·端口镜像：

是指设备复制一份从镜像端口流经的报文，并将此报文传送到指定的观察端口进行分析和监控 

·流镜像：

是将镜像端口上特定业务流的报文复制到观察端口进行分析和监控。在流镜像中，镜像端口应用了包含流镜像行为的流策略。如果从镜像端口流经的报文匹配流分类规则，则将被复制到观察端口。

·在某些场景中，我们可能需要监控交换机特定端口的入站或出站报文，或者需要针对特定的流量进行分析，例如上图中，GE0/0/2口上承载了许多流量，基于某种需求，我需要对接口的收发报文进行分析从而进行网络的故障定位。那么我可以在交换机的GE0/0/3口接一个PC，在PC上安装协议分析软件，然后部署端口镜像，将GE0/0/2的入、出站流量镜像到GE0/0/3口上来，接下来我只要在PC上通过协议分析软件查看报文即可。 

·注意到，如果没有端口镜像技术，除非数据包的目的地是监控PC（所连接的端口），否则报文是不会发向该端口的。因此事实上端口镜像就是将某个特定端口的流量拷贝到某个监控端口。