首先來說一說NetStream。NetStream是一種基于網(wǎng)絡(luò)流信息的統(tǒng)計與發(fā)布技術(shù)，可以對網(wǎng)絡(luò)中的通信量和資源使用情況進(jìn)行分類和統(tǒng)計，基于各種業(yè)務(wù)和不同QoS進(jìn)行管理和計費。NetStream可以根據(jù)業(yè)務(wù)需要部署在接入層、匯聚層、核心層，一般用于了解網(wǎng)絡(luò)中承載的業(yè)務(wù)，及時掌握網(wǎng)絡(luò)流量特征，洞察網(wǎng)絡(luò)運行狀況，盡早發(fā)現(xiàn)不合理的網(wǎng)絡(luò)結(jié)構(gòu)或是網(wǎng)絡(luò)中的性能瓶頸。

NetStream基于“流”進(jìn)行流量采集和聚合，可以為基于資源（如線路、帶寬、時段等）占用情況的計費提供了精細(xì)的數(shù)據(jù)，可以為先進(jìn)的網(wǎng)絡(luò)管理工具提供關(guān)鍵信息，以便優(yōu)化網(wǎng)絡(luò)設(shè)計和規(guī)劃，實現(xiàn)以最小的網(wǎng)絡(luò)運營成本達(dá)到最佳的網(wǎng)絡(luò)性能和可靠性。能夠?qū)崿F(xiàn)近于實時的網(wǎng)絡(luò)監(jiān)控功能和全網(wǎng)范圍內(nèi)的流量模式，并提供預(yù)先故障檢測、高效故障排除和快速問題解決功能，提供安全監(jiān)控等應(yīng)用和分析。NetStream實現(xiàn)了三大功能：計費、網(wǎng)絡(luò)規(guī)劃和分析、網(wǎng)絡(luò)監(jiān)控，這些功能實現(xiàn)的基礎(chǔ)都是要從網(wǎng)絡(luò)設(shè)備上采集流量。通過NetStream進(jìn)行網(wǎng)絡(luò)監(jiān)控，一般只能看到流量的IP、MAC、PORT這些特征的統(tǒng)計信息，無法看到報文的全貌，這是NetStream使用的主要局限，不過這并不影響其對流量進(jìn)行計費。

 

其次來說一說sFlow。sFlow是基于標(biāo)準(zhǔn)的最新網(wǎng)絡(luò)RFC3176協(xié)議，實現(xiàn)流量采樣功能。sFlow是由InMon、HP和FoundryNetworks聯(lián)合開發(fā)的一種網(wǎng)絡(luò)監(jiān)測技術(shù)，采用隨機(jī)采樣技術(shù)，提供流量完整的信息，讓用戶可以詳細(xì)、實時地分析網(wǎng)絡(luò)傳輸流的性能、趨勢和存在的問題。sFlow可以根據(jù)業(yè)務(wù)需要部署在網(wǎng)絡(luò)的接入層、匯聚和核心層，一般用于實時地分析數(shù)據(jù)中心網(wǎng)絡(luò)傳輸情況，及時發(fā)現(xiàn)異常流量以及攻擊流量的源頭。sFlow技術(shù)之所以如此獨特，主要在于它能夠在整個網(wǎng)絡(luò)中以連續(xù)實時的方式完全監(jiān)視每一個端口，但不需要鏡像監(jiān)視端口，對整個網(wǎng)絡(luò)性能的影響非常小。sFlow已經(jīng)成為一項線速運行的“一直在線”技術(shù)，它使用嵌入到網(wǎng)絡(luò)設(shè)備中的sFlow代理轉(zhuǎn)發(fā)被采樣數(shù)據(jù)包，與使用鏡像端口、探針和旁路監(jiān)測技術(shù)的傳統(tǒng)網(wǎng)絡(luò)監(jiān)視解決方案相比，sFlow能夠大大降低實施費用。

 

最后來說一說Mirror鏡像，這種方法最為簡單，但是比較消耗網(wǎng)絡(luò)資源，但卻可以將所有的網(wǎng)絡(luò)流量全部都抓出來，獲得的流量信息最為完整。鏡像一般部署在數(shù)據(jù)中心網(wǎng)絡(luò)的三層網(wǎng)關(guān)處，用來對流量進(jìn)行監(jiān)控，盡可能提早發(fā)現(xiàn)網(wǎng)絡(luò)中存在的攻擊行為，部署在接入層、匯聚層和核心層，一般用來故障定位?，F(xiàn)在的鏡像技術(shù)實現(xiàn)也較為靈活，不僅可以實現(xiàn)指定端口的報文鏡像到目的端口，還可以只將符合指定規(guī)則的報文復(fù)制到目的端口，還可能實現(xiàn)跨設(shè)備、跨廣域網(wǎng)的鏡像，多份流量的復(fù)制。鏡像不僅可以作為網(wǎng)絡(luò)監(jiān)控、故障診斷的重要手段，還可以在一些業(yè)務(wù)中部署，比如IP電話系統(tǒng)的錄音，通過鏡像將所有端口的IP流量鏡像到存儲音頻設(shè)備；可實現(xiàn)業(yè)務(wù)數(shù)據(jù)的備份，通過鏡像將流量鏡像到備份設(shè)備上，將所有業(yè)務(wù)過程數(shù)據(jù)都存留下來。

 

NetStream和Mirror都是比較傳統(tǒng)的技術(shù)，sFlow則是近些年提出來的新的網(wǎng)絡(luò)流量監(jiān)控技術(shù)，主要是因為Mirror需要占用太多的端口和帶寬資源，甚至要部署單獨的一套鏡像網(wǎng)絡(luò)環(huán)境，還需要容量特別大的存儲設(shè)備，而實際上，絕大多數(shù)鏡像出來的數(shù)據(jù)是無用的，占用了過多的資源。NetStream并不是專門干網(wǎng)絡(luò)監(jiān)控活的功能，這使得網(wǎng)絡(luò)監(jiān)控并不是它的強項，Netstream如果是采用的軟件實現(xiàn)方式效率會比較低，一般都采用單獨的硬件設(shè)備完成，而這樣的投入成本又過高，而且只能監(jiān)控到網(wǎng)絡(luò)流量的五元素，不是流量的全貌。在這樣的現(xiàn)狀下，sFlow被推出來了。sFlow具有成本低的優(yōu)勢，并且能將網(wǎng)絡(luò)流量中的關(guān)鍵流量采集出來，達(dá)到分析的目的，所以sFlow逐漸獲得了廣泛認(rèn)可，不過sFlow需要網(wǎng)絡(luò)芯片支持此功能才行，還好較新的網(wǎng)絡(luò)芯片都具有了這樣的能力，一些老的網(wǎng)絡(luò)設(shè)備仍無法具有這樣的功能。sFlow需要占用網(wǎng)絡(luò)設(shè)備的CPU資源，如果采樣率設(shè)置得過小，如果端口流量過大時，容易將CPU打死，影響到網(wǎng)絡(luò)設(shè)備的運行，這是sFlow最大的限制，一定程度上制約了sFlow的普及，很多網(wǎng)絡(luò)設(shè)備對sFlow做了防攻擊處理，當(dāng)sFlow 采樣流量過大時主動自動降低采樣率，可以緩解CPU的占用率，部分規(guī)避了sFlow的這個功能弱點。

 

可以說，NetStream、sFlow和Mirror三種技術(shù)都是網(wǎng)絡(luò)流量監(jiān)控的好手，各有各的優(yōu)缺點，不好說孰好孰壞，只是最新sFlow的風(fēng)頭更勁些。在表1列出了三種技術(shù)的對比特點，可以根據(jù)每一種技術(shù)的特點，部署到不同的數(shù)據(jù)中心網(wǎng)絡(luò)中。