數(shù)據(jù)中心里各種設(shè)備是固定死的，但數(shù)據(jù)是流動(dòng)的，形成了各種各樣四通八達(dá)的流量。對(duì)數(shù)據(jù)中心流量進(jìn)行監(jiān)控對(duì)于業(yè)務(wù)評(píng)估、故障分析、日常運(yùn)維、擴(kuò)容等都非常有用，要用好這些數(shù)據(jù)流量?，F(xiàn)在總被提及的大數(shù)據(jù)、云計(jì)算，就是充分利用數(shù)據(jù)進(jìn)行商業(yè)用途的應(yīng)用。所以，數(shù)據(jù)流量對(duì)于數(shù)據(jù)中心非常重要，如何管理好它，并用好它，需要有正確的方法。本文就來(lái)說(shuō)一說(shuō)數(shù)據(jù)中心流量監(jiān)控的幾種主流方法，通過(guò)利用這些方法可以很好地掌握整個(gè)數(shù)據(jù)中心的流量走向和特征。

SFLOW SFLOW

采用數(shù)據(jù)流隨機(jī)采樣技術(shù)，可提供完成的第二層到第四層的流量信息，讓用戶詳細(xì)、實(shí)時(shí)地分析網(wǎng)絡(luò)傳輸流的性能、趨勢(shì)和存在的問(wèn)題。SFLOW通過(guò)設(shè)定的采樣比采集端口數(shù)據(jù)，采樣比越大，收集的數(shù)據(jù)量越少，采樣比越小，收集的數(shù)據(jù)量越多越詳細(xì)。當(dāng)然，如果采樣比設(shè)置過(guò)小，大量SFLOW報(bào)文會(huì)沖擊網(wǎng)絡(luò)設(shè)備的CPU，很多設(shè)備都會(huì)扛不住，所以要根據(jù)端口數(shù)量設(shè)置合理的采樣比，一般推薦大于10000：1，即端口上每一萬(wàn)個(gè)報(bào)文里采樣一個(gè)報(bào)文，發(fā)向SFLOW的監(jiān)控設(shè)備，這樣的采樣比是比較安全的數(shù)值。SFLOW的缺點(diǎn)也是很明顯的，采集的流量在端口流量比較小的情況下，反映網(wǎng)絡(luò)狀況不是很準(zhǔn)確，尤其是在端口各種流量比較豐富的情況下，就可能會(huì)漏掉部分流量。比如端口受到ARP報(bào)文攻擊，如果這時(shí)端口其它轉(zhuǎn)發(fā)流量也比較大，通過(guò)SFLOW的監(jiān)控就很難發(fā)現(xiàn)這類(lèi)攻擊，和普通流量相比，ARP攻擊報(bào)文的數(shù)量還是太少，通過(guò)萬(wàn)分之一的采樣比很難捕捉到這類(lèi)攻擊的異常網(wǎng)絡(luò)情況。SFLOW的好處是可以看到網(wǎng)絡(luò)設(shè)備各個(gè)端口上出入方向流量的具體報(bào)文內(nèi)容，這個(gè)報(bào)文對(duì)于網(wǎng)絡(luò)分析非常重要。

SNMP SNMP

是使用廣泛、最古老的一種網(wǎng)絡(luò)監(jiān)控技術(shù)，SNMP設(shè)計(jì)了一些公用節(jié)點(diǎn)，管理軟件或者網(wǎng)絡(luò)管理設(shè)備可以通過(guò)這些公用節(jié)點(diǎn)，訪問(wèn)網(wǎng)絡(luò)設(shè)備，從而獲取網(wǎng)絡(luò)設(shè)備各個(gè)端口上的流量信息，實(shí)施監(jiān)控。當(dāng)發(fā)現(xiàn)端口錯(cuò)誤報(bào)文比較多，或者流量比較大的時(shí)候可以給出自動(dòng)告警。SNMP需要網(wǎng)絡(luò)設(shè)備支持端口流量節(jié)點(diǎn)的處理，當(dāng)SNMP網(wǎng)管向設(shè)備發(fā)出端口流量請(qǐng)求時(shí)，設(shè)備可以很快地將端口流量信息發(fā)給網(wǎng)管。SNMP可以掌握網(wǎng)絡(luò)設(shè)備所有端口的流量大小和主要特征（比如是單播、多播還是廣播），但對(duì)報(bào)文內(nèi)容無(wú)法獲知。還有對(duì)于端口數(shù)量比較多的高端網(wǎng)絡(luò)設(shè)備，SNMP輪詢一次設(shè)備上的所有端口就要花費(fèi)幾十秒的時(shí)間，如果每次輪詢的時(shí)間都設(shè)置得很小，網(wǎng)絡(luò)設(shè)備就會(huì)一直在處理SNMP的請(qǐng)求，設(shè)備性能會(huì)受到很大影響。設(shè)置過(guò)大，流量的實(shí)時(shí)性又得不到保證。一般SNMP會(huì)設(shè)置獲取流量的時(shí)間間隔在三分鐘或者五分鐘，絕大多數(shù)的網(wǎng)絡(luò)設(shè)備都能承受得住（現(xiàn)在網(wǎng)絡(luò)設(shè)備都支持虛擬化，有的支持四框，有的甚至支持10框，這樣一個(gè)虛擬化設(shè)備擁有的端口數(shù)量輕松上千，這給SNMP帶來(lái)不小的挑戰(zhàn)，需要網(wǎng)絡(luò)設(shè)備的CPU處理能力很強(qiáng)才行）。

Netstream Netstream

可以提供報(bào)文統(tǒng)計(jì)功能，可以對(duì)網(wǎng)絡(luò)設(shè)備每個(gè)端口上出入方向的報(bào)文流量進(jìn)行統(tǒng)計(jì)，區(qū)分源和目的IP地址、源和目的端口號(hào)、協(xié)議號(hào)等。根據(jù)設(shè)定的老化時(shí)間，對(duì)一定時(shí)間內(nèi)的流量進(jìn)行統(tǒng)計(jì)。 通過(guò)Netstream可以看到老化時(shí)間周期內(nèi)，端口上的所有流量的特征，這對(duì)于分析問(wèn)題特別有用。Netstream收集的流量可以在網(wǎng)絡(luò)設(shè)備上直接顯示，也可以發(fā)向流量采集裝置，把統(tǒng)計(jì)數(shù)據(jù)收集到數(shù)據(jù)庫(kù)中，以便對(duì)數(shù)據(jù)進(jìn)行進(jìn)一步的過(guò)濾和聚合。不過(guò)，Netstream也無(wú)法看到流量報(bào)文的全貌，只具有流量統(tǒng)計(jì)的功能，可以很快掌握網(wǎng)絡(luò)中都有哪些類(lèi)型、哪些地址的訪問(wèn)流量，但是并不知道這些報(bào)文更詳細(xì)的內(nèi)容。并不是所有的網(wǎng)絡(luò)設(shè)備都能支持Netstream，Netstream對(duì)網(wǎng)絡(luò)設(shè)備性能要求較高，一般只有在高端網(wǎng)絡(luò)設(shè)備上才實(shí)現(xiàn)，需要轉(zhuǎn)發(fā)芯片支持才可以，同時(shí)還要求CPU的處理能力較強(qiáng)，如果老化的時(shí)間設(shè)置得比較長(zhǎng)，需要CPU能夠處理大量的Netstream報(bào)文統(tǒng)計(jì)。市面上還有單獨(dú)的專(zhuān)門(mén)做Netstream的網(wǎng)絡(luò)設(shè)備，這類(lèi)設(shè)備只做流量分析一件事，這樣設(shè)備的Netstream處理能力強(qiáng)。

Mirror Mirror

鏡像是一種應(yīng)用非常廣泛的流量監(jiān)控功能，包括端口鏡像、流鏡像、遠(yuǎn)程鏡像、基于VLAN的鏡像等，鏡像不僅可以看到具體的流量?jī)?nèi)容，還可以根據(jù)自己需要對(duì)特定流量進(jìn)行鏡像。不過(guò)鏡像流量本身要占用網(wǎng)絡(luò)設(shè)備內(nèi)部的帶寬，如果鏡像的端口數(shù)量過(guò)多，會(huì)導(dǎo)致鏡像流量占用過(guò)多的網(wǎng)絡(luò)設(shè)備內(nèi)部帶寬，造成業(yè)務(wù)異常，所以鏡像功能雖好，但不要使用過(guò)度。Mirror會(huì)濾去物理層錯(cuò)誤，影響某些類(lèi)型的分析，同時(shí)還可能改變數(shù)據(jù)報(bào)文交互時(shí)序變更響應(yīng)時(shí)間，鏡像數(shù)據(jù)的優(yōu)先級(jí)也比正常端口之間的數(shù)據(jù)優(yōu)先級(jí)低。有些數(shù)據(jù)中心業(yè)務(wù)非常重要，為了消除鏡像帶來(lái)的影響，避免鏡像流量的不準(zhǔn)確，往往可以在原有網(wǎng)絡(luò)基礎(chǔ)上再增加一套監(jiān)控網(wǎng)絡(luò)設(shè)備，這個(gè)監(jiān)控設(shè)備專(zhuān)門(mén)做鏡像流量的轉(zhuǎn)發(fā)，就可以解決鏡像流量過(guò)大的問(wèn)題，也避免暴露了鏡像技術(shù)的缺陷。

經(jīng)過(guò)以上介紹，相信大家對(duì)數(shù)據(jù)中心流量監(jiān)控的方法已經(jīng)掌握，這幾種方法各有各的特點(diǎn)，也各自有使用上的缺陷，適用于不同的數(shù)據(jù)中心用戶。這幾種方法均在數(shù)據(jù)中心中有廣泛應(yīng)用，這幾種方法不是互斥的，在同一個(gè)數(shù)據(jù)中心里可以同時(shí)部署多個(gè)流量監(jiān)控方法，幾種方法可以共用。掌握好這些流量監(jiān)控方法，對(duì)于數(shù)據(jù)中心開(kāi)展各項(xiàng)運(yùn)維工作和故障事后分析都非常有幫助，充分利用這些流量監(jiān)控技術(shù)，可大幅提升數(shù)據(jù)中心的運(yùn)營(yíng)效率。