引言　

    　随着校园网规模的越来越大、越来越复杂，任何一个在网络上的病毒的传播都有可能造成对网络性能或状态的极大的影响。这将直接对教学、研究、办公等造成极大的影响。

　　完整的网络管理一直是各个网络管理人员一直追求的目标。试图理解所有可能的数据流、带宽需要、性能蕴含、安全威胁和计费安排仅仅是网络管理员面对现代网络的一部分挑战。当网络在规模、速度和容量各方面成长时，利用基于RMON和NetFlow的计数与统计方法的这些传统工具来监控和管理网络变得越来越困难。在2001年IETF提出的草拟标准sFlow技术（RFC 3176）作为网络导出协议为面对日益增加挑战的网络管理员提供了一个良好的解决方案。

　　sFlow介绍

　　sFlow是一种导出性协议，目前仅仅被美国惠普（HP）和网捷（Foundry）这两家公司应用到其各类网络设备中。

　　sFlow被部署在运行于网络中实际的交换机和路由器上的ASIC中。网捷公司的交换机或路由器通过内嵌在 JetCore ASIC中的sFlow代理可以在交换机或路由器的每一个端口，以不同的速率— 10Mbps，100Mbps，千兆或者万兆全线速地抽样。SFlow抽样可以在机箱的每一个端口或者单个端口改变抽样和轮询率，而不是捕获和记录交换机或路由器端口上的每一个数据包。这些sFlow数据包样本被转发给网络上的一台sFlow采集服务器。在这台服务器上，利用算法对样本数据包进行分析处理，从而建立网络传输流的完整模型。用户可以通过一台管理工作站非常方便的、直观的来察看、分析网络各种流量信息，以此判断网络上各种各样的情况，从而有效的管理着越来越复杂的校园网络。

　　由于sFlow技术被内嵌到网络路由器或交换机的ASIC中，同以前的网络监控技术如RMON、RMONⅡ、NetFlow等相比由很大的不同，具有以下一些优点：

　　1、 sFlow技术被内嵌到网络路由器或交换机的ASIC中，因此它变为一个线速性能的“永远在线”的技术。

　　2、 通过sFlow对网络进行监控将不需要镜像监控端口，这样就大大节约了网络资源的消耗，降低了网络监控成本。

　　3、 只要具备内嵌sFlow代理的网络设备覆盖全网，那么网络管理员就可以对整个网络进行监控。

　　4、 sFlow数据包可以包括完整的从二层到七层的详细信息，从而能够更清晰的、全面的了解你的网络，管理你的网络。

　　5、 sFlow代理仅仅被用于选择、封装和转发数据包，而且所有的分析流量被发送到采集服务器，数据流样本也是随机或定时地采集，使得对CPU和带宽需求都不高。

　　sFlow的应用

　　我校采用美国网捷公司的Foundry系列交换机作为校园网核心设备以及各级汇聚设备，应此可以很方便地利用sFlow技术对整个校园网进行管理、监控，探测校内网络上的病毒传播情况。

　　通过在校园网上安装一台sFlow数据采集服务器（这里以Windows 2000Server上安装IronView管理软件为例），然后将Foundry系列交换机的sFlow功能打开。Foundry交换机可以自动地、随机地将端口上的数据包捕捉下来并上传到数据采集服务器上。IronView将对交换机上传的数据包进行汇总、分析，通过划分各种数据包的协议类型、判断数据源及目的地址、数据包大小及内容等各方面的信息，从而获得各种有价值的信息来判断网络的健康与否以及发现网络故障节点。

　　以BigIron 8000为例，打开sFlow功能需要做以下配置：

　　1、 sflow enable

　　在全局模式下打开sFlow功能，使交换机能够随机的采集sFlow数据包；

　　2、 sflow destination A.B.C.D decimal

　　其中A.B.C.D代表采集服务器IP地址，交换机将采集到的sFlow数据包发往该IP地址所指向的服务器；decimal 代表数据包传输的UDP端口号，默认端口号为6343；

　　3、 sflow sample decimal

　　定义了sflow的采集样本的大小；

　　4、 sflow forwarding

　　在需要进行监控的端口上打开sflow包转发功能。

　　管理员通过管理工作站使用浏览器登陆sFlow采集服务器，sFlow采集服务器将分析的结果以图表的方式反映出来，这样就可以简单、清晰地察看网络上的各种流量信息。

　　源地址为202.121.63.67的计算机有许多TCP端口为139的连接数据包（以黄线划圈部分）。通过一段时间的观察，发现该计算机上不断产生TCP端口为139的连接数据包。我们知道该特性与名为W32.Mumu.B.Worm的一种网络共享传播的蠕虫病毒十分相似，因此我们专门检查了该计算机。结果同我们的预计相吻合，该计算机的确已经中了该病毒，而且该计算机上还有其他品种的病毒在网络中散播。

　　通过将sflow数据包内容与病毒特征作对比，我们可以很方便地、及时地发现网络上的各种异常流量信息，并且可以追查出这些信息产生的源头地址和目标地址等等各方面的信息。这样对于及时地发现网络上的安全隐患、详细了解网络网络故障节点及原因、快速排除网络安全问题提供了极大的保障，使得网络的管理更简单、有效。

　　结束语

　　其实sFlow数据包包含的信息远远大于SNMP、RMON-1、RMON-2、SMON等网络协议的数据包所包含的信息，它包含了从二层到七层的更多的详细信息，不仅仅在监控网络安全上发挥极大的作用，还可以在网络计费、流量分析等方面帮助网络管理人员更有效的管理校园网络。

本文选自：《中国教育网络》