នៅក្នុងយុគសម័យនៃបណ្តាញល្បឿនលឿន និងហេដ្ឋារចនាសម្ព័ន្ធដើមលើពពក ការត្រួតពិនិត្យចរាចរណ៍បណ្តាញប្រកបដោយប្រសិទ្ធភាព និងទាន់ពេលវេលាបានក្លាយជាមូលដ្ឋានគ្រឹះនៃប្រតិបត្តិការ IT ដែលអាចទុកចិត្តបាន។ នៅពេលដែលបណ្តាញពង្រីកដើម្បីគាំទ្រតំណភ្ជាប់ 10 Gbps+ កម្មវិធីកុងតឺន័រ និងស្ថាបត្យកម្មចែកចាយ វិធីសាស្ត្រត្រួតពិនិត្យចរាចរណ៍បែបប្រពៃណី ដូចជាការចាប់យកកញ្ចប់ពេញលេញ លែងអាចធ្វើទៅបានទៀតហើយ ដោយសារតែការចំណាយធនធានខ្ពស់របស់វា។ នេះជាកន្លែងដែល sFlow (លំហូរគំរូ) ចូលមកលេង៖ ពិធីការទូរមាត្របណ្តាញទម្ងន់ស្រាល និងស្តង់ដារ ដែលត្រូវបានរចនាឡើងដើម្បីផ្តល់នូវភាពមើលឃើញយ៉ាងទូលំទូលាយទៅក្នុងចរាចរណ៍បណ្តាញដោយមិនចាំបាច់ធ្វើឱ្យឧបករណ៍បណ្តាញខូច។ នៅក្នុងប្លុកនេះ យើងនឹងឆ្លើយសំណួរសំខាន់បំផុតអំពី sFlow ចាប់ពីនិយមន័យជាមូលដ្ឋានរបស់វារហូតដល់ប្រតិបត្តិការជាក់ស្តែងរបស់វានៅក្នុង Network Packet Brokers (NPBs)។
១. តើ sFlow ជាអ្វី?
sFlow គឺជាពិធីការត្រួតពិនិត្យចរាចរណ៍បណ្តាញបើកចំហរ និងស្តង់ដារឧស្សាហកម្ម ដែលបង្កើតឡើងដោយ Inmon Corporation ដែលបានកំណត់នៅក្នុង RFC 3176។ ផ្ទុយពីអ្វីដែលឈ្មោះរបស់វាបានបង្ហាញ sFlow មិនមានតក្កវិជ្ជា "តាមដានលំហូរ" ដែលមាននៅក្នុងខ្លួនទេ - វាគឺជាបច្ចេកវិទ្យាទូរមាត្រដែលមានមូលដ្ឋានលើការយកគំរូ ដែលប្រមូល និងនាំចេញស្ថិតិចរាចរណ៍បណ្តាញទៅកាន់ឧបករណ៍ប្រមូលកណ្តាលសម្រាប់ការវិភាគ។ មិនដូចពិធីការស្ថានភាពដូចជា NetFlow ទេ sFlow មិនរក្សាទុកកំណត់ត្រាលំហូរនៅលើឧបករណ៍បណ្តាញទេ។ ផ្ទុយទៅវិញ វាចាប់យកគំរូតូចៗដែលតំណាងឱ្យចរាចរណ៍ និងឧបករណ៍រាប់ បន្ទាប់មកបញ្ជូនទិន្នន័យនេះភ្លាមៗទៅកាន់ឧបករណ៍ប្រមូលសម្រាប់ដំណើរការ។
នៅក្នុងស្នូលរបស់វា sFlow ត្រូវបានរចនាឡើងសម្រាប់សមត្ថភាពធ្វើមាត្រដ្ឋាន និងការប្រើប្រាស់ធនធានទាប។ វាត្រូវបានបង្កប់នៅក្នុងឧបករណ៍បណ្តាញ (ស្វីច រ៉ោតទ័រ ជញ្ជាំងភ្លើង) ជាភ្នាក់ងារ sFlow ដែលអាចឱ្យត្រួតពិនិត្យតំណភ្ជាប់ល្បឿនលឿន (រហូតដល់ 10 Gbps និងលើសពីនេះ) ក្នុងពេលជាក់ស្តែងដោយមិនធ្វើឱ្យខូចដំណើរការឧបករណ៍ ឬអត្រាបញ្ជូនបណ្តាញ។ ស្តង់ដារភាវូបនីយកម្មរបស់វាធានានូវភាពឆបគ្នានៅទូទាំងអ្នកលក់ ដែលធ្វើឱ្យវាក្លាយជាជម្រើសជាសកលសម្រាប់បរិស្ថានបណ្តាញចម្រុះ។
2. តើ sFlow ដំណើរការយ៉ាងដូចម្តេច?
sFlow ដំណើរការលើស្ថាបត្យកម្មពីរសមាសធាតុសាមញ្ញមួយ៖ sFlow Agent (បង្កប់នៅក្នុងឧបករណ៍បណ្តាញ) និង sFlow Collector (ម៉ាស៊ីនមេកណ្តាលសម្រាប់ការប្រមូលផ្តុំ និងវិភាគទិន្នន័យ)។ លំហូរការងារវិលជុំវិញយន្តការយកគំរូសំខាន់ៗពីរគឺ ការយកគំរូកញ្ចប់ និងការយកគំរូប្រឆាំង និងការនាំចេញទិន្នន័យ ដូចដែលបានរៀបរាប់លម្អិតខាងក្រោម៖
២.១ សមាសធាតុស្នូល
- sFlow Agent៖ ម៉ូឌុលកម្មវិធីទម្ងន់ស្រាលដែលបង្កើតឡើងនៅក្នុងឧបករណ៍បណ្តាញ (ឧទាហរណ៍ កុងតាក់ Cisco រ៉ោតទ័រ Huawei)។ វាទទួលខុសត្រូវក្នុងការប្រមូលគំរូចរាចរណ៍ និងទិន្នន័យរាប់ ដោយរុំព័ទ្ធទិន្នន័យនេះទៅក្នុង sFlow Datagrams ហើយផ្ញើវាទៅឧបករណ៍ប្រមូលតាមរយៈ UDP (ច្រកលំនាំដើម 6343)។
- sFlow Collector៖ ប្រព័ន្ធកណ្តាល (រូបវន្ត ឬនិម្មិត) ដែលទទួល វិភាគ រក្សាទុក និងវិភាគទិន្នន័យ sFlow Datagrams។ មិនដូចឧបករណ៍ប្រមូល NetFlow ទេ ឧបករណ៍ប្រមូល sFlow ត្រូវតែដោះស្រាយបឋមកថាកញ្ចប់ឆៅ (ជាធម្មតា 60–140 បៃក្នុងមួយគំរូ) ហើយវិភាគពួកវាដើម្បីទាញយកព័ត៌មានដែលមានអត្ថន័យ—ភាពបត់បែននេះអនុញ្ញាតឱ្យមានការគាំទ្រសម្រាប់កញ្ចប់មិនស្តង់ដារដូចជា MPLS, VXLAN និង GRE។
២.២ យន្តការយកសំណាកសំខាន់ៗ
sFlow ប្រើប្រាស់វិធីសាស្ត្រយកគំរូបំពេញបន្ថែមពីរដើម្បីធ្វើឱ្យមានតុល្យភាពរវាងភាពមើលឃើញ និងប្រសិទ្ធភាពធនធាន៖
១- ការយកសំណាកកញ្ចប់៖ ភ្នាក់ងារយកសំណាកកញ្ចប់ចូល/ចេញដោយចៃដន្យនៅលើចំណុចប្រទាក់ដែលបានត្រួតពិនិត្យ។ ឧទាហរណ៍ អត្រាយកសំណាក 1:2048 មានន័យថា ភ្នាក់ងារចាប់យកកញ្ចប់ 1 ក្នុងចំណោមកញ្ចប់ 2048 (អត្រាយកសំណាកលំនាំដើមសម្រាប់ឧបករណ៍ភាគច្រើន)។ ជំនួសឱ្យការចាប់យកកញ្ចប់ទាំងមូល វាប្រមូលតែបៃដំបូងៗមួយចំនួននៃបឋមកថាកញ្ចប់ (ជាធម្មតា 60–140 បៃ) ដែលមានព័ត៌មានសំខាន់ៗ (IP ប្រភព/គោលដៅ ច្រក ពិធីការ) ខណៈពេលដែលកាត់បន្ថយការចំណាយលើស។ អត្រាយកសំណាកអាចកំណត់រចនាសម្ព័ន្ធបាន ហើយគួរតែត្រូវបានកែតម្រូវដោយផ្អែកលើបរិមាណចរាចរណ៍បណ្តាញ - អត្រាខ្ពស់ (គំរូច្រើន) ធ្វើអោយប្រសើរឡើងនូវភាពត្រឹមត្រូវ ប៉ុន្តែបង្កើនការប្រើប្រាស់ធនធាន ខណៈពេលដែលអត្រាទាបកាត់បន្ថយការចំណាយលើស ប៉ុន្តែអាចខកខានគំរូចរាចរណ៍ដ៏កម្រ។
២- ការយកសំណាករាប់៖ បន្ថែមពីលើសំណាកកញ្ចប់ ភ្នាក់ងារប្រមូលទិន្នន័យរាប់ជាប្រចាំពីចំណុចប្រទាក់បណ្តាញ (ឧទាហរណ៍ បៃដែលបានបញ្ជូន/ទទួល ការធ្លាក់ចុះកញ្ចប់ អត្រាកំហុស) នៅចន្លោះពេលថេរ (លំនាំដើម៖ ១០ វិនាទី)។ ទិន្នន័យនេះផ្តល់នូវបរិបទអំពីសុខភាពឧបករណ៍ និងតំណភ្ជាប់ ដោយបំពេញបន្ថែមសំណាកកញ្ចប់ ដើម្បីផ្តល់នូវរូបភាពពេញលេញនៃដំណើរការបណ្តាញ។
២.៣ ការនាំចេញ និងការវិភាគទិន្នន័យ
នៅពេលដែលប្រមូលបានហើយ ភ្នាក់ងារនឹងរុំព័ទ្ធគំរូកញ្ចប់ និងទិន្នន័យរាប់ចូលទៅក្នុង sFlow Datagrams (កញ្ចប់ UDP) ហើយផ្ញើវាទៅអ្នកប្រមូល។ អ្នកប្រមូលវិភាគទិន្នន័យទាំងនេះ ប្រមូលផ្តុំទិន្នន័យ និងបង្កើតការមើលឃើញ របាយការណ៍ ឬការជូនដំណឹង។ ឧទាហរណ៍ វាអាចកំណត់អត្តសញ្ញាណអ្នកនិយាយកំពូលៗ រកឃើញគំរូចរាចរណ៍មិនប្រក្រតី (ឧទាហរណ៍ ការវាយប្រហារ DDoS) ឬតាមដានការប្រើប្រាស់កម្រិតបញ្ជូនតាមពេលវេលា។ អត្រាគំរូត្រូវបានរួមបញ្ចូលនៅក្នុងទិន្នន័យនីមួយៗ ដែលអនុញ្ញាតឱ្យអ្នកប្រមូលពង្រីកទិន្នន័យដើម្បីប៉ាន់ស្មានបរិមាណចរាចរណ៍សរុប (ឧទាហរណ៍ គំរូ 1 ក្នុងចំណោម 2048 មានន័យថា ~2048x នៃចរាចរណ៍ដែលបានសង្កេតឃើញ)។
៣. តើតម្លៃស្នូលរបស់ sFlow ជាអ្វី?
តម្លៃរបស់ sFlow បានមកពីការរួមបញ្ចូលគ្នាដ៏ពិសេសរបស់វានៃសមត្ថភាពធ្វើមាត្រដ្ឋាន ការចំណាយទាប និងស្តង់ដារភាវូបនីយកម្ម — ដែលដោះស្រាយចំណុចឈឺចាប់សំខាន់ៗនៃការត្រួតពិនិត្យបណ្តាញទំនើប។ សំណើតម្លៃស្នូលរបស់វាគឺ៖
៣.១ ការចំណាយធនធានទាប
មិនដូចការចាប់យកកញ្ចប់ពេញលេញ (ដែលតម្រូវឱ្យរក្សាទុក និងដំណើរការកញ្ចប់នីមួយៗ) ឬពិធីការស្ថានភាពដូចជា NetFlow (ដែលរក្សាតារាងលំហូរនៅលើឧបករណ៍) sFlow ប្រើប្រាស់ការយកគំរូ និងជៀសវាងការផ្ទុកទិន្នន័យក្នុងស្រុក។ នេះកាត់បន្ថយការប្រើប្រាស់ CPU អង្គចងចាំ និងកម្រិតបញ្ជូននៅលើឧបករណ៍បណ្តាញ ដែលធ្វើឱ្យវាល្អសម្រាប់តំណភ្ជាប់ល្បឿនលឿន និងបរិស្ថានដែលមានការរឹតត្បិតធនធាន (ឧទាហរណ៍ បណ្តាញសហគ្រាសខ្នាតតូច និងមធ្យម)។ វាមិនតម្រូវឱ្យមានការធ្វើឱ្យប្រសើរឡើងនូវផ្នែករឹង ឬការធ្វើឱ្យប្រសើរឡើងនូវអង្គចងចាំបន្ថែមសម្រាប់ឧបករណ៍ភាគច្រើនទេ ដែលកាត់បន្ថយថ្លៃដើមនៃការដាក់ពង្រាយ។
៣.២ សមត្ថភាពធ្វើមាត្រដ្ឋានខ្ពស់
sFlow ត្រូវបានរចនាឡើងដើម្បីធ្វើមាត្រដ្ឋានជាមួយបណ្តាញទំនើបៗ។ ឧបករណ៍ប្រមូលតែមួយអាចត្រួតពិនិត្យចំណុចប្រទាក់រាប់ម៉ឺននៅលើឧបករណ៍រាប់រយ ដោយគាំទ្រតំណភ្ជាប់រហូតដល់ 100 Gbps និងលើសពីនេះ។ យន្តការយកគំរូរបស់វាធានាថា ទោះបីជាបរិមាណចរាចរណ៍កើនឡើងក៏ដោយ ការប្រើប្រាស់ធនធានរបស់ភ្នាក់ងារនៅតែអាចគ្រប់គ្រងបាន — សំខាន់សម្រាប់មជ្ឈមណ្ឌលទិន្នន័យ និងបណ្តាញកម្រិតក្រុមហ៊ុនដឹកជញ្ជូនដែលមានបន្ទុកចរាចរណ៍ច្រើន។
៣.៣ ភាពមើលឃើញបណ្តាញដ៏ទូលំទូលាយ
តាមរយៈការរួមបញ្ចូលគ្នារវាងការយកគំរូកញ្ចប់ (សម្រាប់ខ្លឹមសារចរាចរណ៍) និងការយកគំរូរាប់ (សម្រាប់សុខភាពឧបករណ៍/តំណភ្ជាប់) sFlow ផ្តល់នូវភាពមើលឃើញពីដើមដល់ចប់ទៅក្នុងចរាចរណ៍បណ្តាញ។ វាគាំទ្រចរាចរណ៍ស្រទាប់ទី 2 ដល់ស្រទាប់ទី 7 ដែលអាចឱ្យមានការតាមដានកម្មវិធី (ឧទាហរណ៍ គេហទំព័រ P2P DNS) ពិធីការ (ឧទាហរណ៍ TCP UDP MPLS) និងឥរិយាបថអ្នកប្រើប្រាស់។ ភាពមើលឃើញនេះជួយក្រុម IT រកឃើញចំណុចកកស្ទះ ដោះស្រាយបញ្ហា និងបង្កើនប្រសិទ្ធភាពប្រតិបត្តិការបណ្តាញប្រកបដោយភាពសកម្ម។
៣.៤ ស្តង់ដារភាវូបនីយកម្មអព្យាក្រឹតភាពចំពោះអ្នកលក់
ក្នុងនាមជាស្តង់ដារបើកចំហ (RFC 3176) sFlow ត្រូវបានគាំទ្រដោយអ្នកលក់បណ្តាញសំខាន់ៗទាំងអស់ (Cisco, Huawei, Juniper, Arista) ហើយរួមបញ្ចូលជាមួយឧបករណ៍ត្រួតពិនិត្យដ៏ពេញនិយម (ឧ. PRTG, SolarWinds, sFlow-RT)។ នេះលុបបំបាត់ការចាក់សោរអ្នកលក់ និងអនុញ្ញាតឱ្យអង្គការប្រើប្រាស់ sFlow នៅទូទាំងបរិស្ថានបណ្តាញចម្រុះ (ឧ. ឧបករណ៍ Cisco និង Huawei ចម្រុះ)។
៤. សេណារីយ៉ូកម្មវិធីធម្មតារបស់ sFlow
ភាពបត់បែនរបស់ sFlow ធ្វើឱ្យវាសមស្របសម្រាប់បរិស្ថានបណ្តាញជាច្រើនប្រភេទ ចាប់ពីសហគ្រាសខ្នាតតូចរហូតដល់មជ្ឈមណ្ឌលទិន្នន័យធំៗ។ សេណារីយ៉ូកម្មវិធីទូទៅបំផុតរបស់វារួមមាន៖
៤.១ ការត្រួតពិនិត្យបណ្តាញមជ្ឈមណ្ឌលទិន្នន័យ
មជ្ឈមណ្ឌលទិន្នន័យពឹងផ្អែកលើតំណភ្ជាប់ល្បឿនលឿន (10 Gbps+) និងគាំទ្រម៉ាស៊ីននិម្មិត (VMs) រាប់ពាន់ និងកម្មវិធីកុងតឺន័រ។ sFlow ផ្តល់នូវភាពមើលឃើញជាក់ស្តែងទៅលើចរាចរណ៍បណ្តាញ leaf-spine ដោយជួយក្រុម IT រកឃើញ "លំហូរដំរី" (លំហូរធំៗ និងយូរអង្វែងដែលបណ្តាលឱ្យមានការកកស្ទះ) បង្កើនប្រសិទ្ធភាពការបែងចែកកម្រិតបញ្ជូន និងដោះស្រាយបញ្ហាទំនាក់ទំនងរវាង VM/កុងតឺន័រ។ វាត្រូវបានគេប្រើជាញឹកញាប់ជាមួយ SDN (បណ្តាញកំណត់ដោយកម្មវិធី) ដើម្បីអាចឱ្យវិស្វកម្មចរាចរណ៍ថាមវន្ត។
៤.២ ការគ្រប់គ្រងបណ្តាញបរិវេណសាលាសហគ្រាស
បរិវេណសហគ្រាសតម្រូវឱ្យមានការត្រួតពិនិត្យដែលមានប្រសិទ្ធភាពចំណាយ និងអាចធ្វើមាត្រដ្ឋានបាន ដើម្បីតាមដានចរាចរណ៍បុគ្គលិក អនុវត្តគោលការណ៍កម្រិតបញ្ជូន និងរកឃើញភាពមិនប្រក្រតី (ឧទាហរណ៍ ឧបករណ៍ដែលគ្មានការអនុញ្ញាត ការចែករំលែកឯកសារ P2P)។ ការចំណាយទាបរបស់ sFlow ធ្វើឱ្យវាល្អសម្រាប់កុងតាក់ និងរ៉ោតទ័របរិវេណសាលា ដែលអនុញ្ញាតឱ្យក្រុម IT កំណត់អត្តសញ្ញាណហ្វូងមនុស្សដែលមានកម្រិតបញ្ជូនខ្ពស់ បង្កើនប្រសិទ្ធភាពដំណើរការកម្មវិធី (ឧទាហរណ៍ Microsoft 365, Zoom) និងធានាបាននូវការតភ្ជាប់ដែលអាចទុកចិត្តបានសម្រាប់អ្នកប្រើប្រាស់ចុងក្រោយ។
៤.៣ ប្រតិបត្តិការបណ្តាញកម្រិតក្រុមហ៊ុនដឹកជញ្ជូន
ប្រតិបត្តិករទូរគមនាគមន៍ប្រើប្រាស់ sFlow ដើម្បីតាមដានឆ្អឹងខ្នង និងចូលប្រើបណ្តាញ ដោយតាមដានបរិមាណចរាចរណ៍ ភាពយឺតយ៉ាវ និងអត្រាកំហុសនៅទូទាំងចំណុចប្រទាក់រាប់ពាន់។ វាជួយប្រតិបត្តិករបង្កើនប្រសិទ្ធភាពទំនាក់ទំនង peering រកឃើញការវាយប្រហារ DDoS តាំងពីដំបូង និងគិតប្រាក់អតិថិជនដោយផ្អែកលើការប្រើប្រាស់ bandwidth (គណនេយ្យការប្រើប្រាស់)។
៤.៤ ការត្រួតពិនិត្យសុវត្ថិភាពបណ្តាញ
sFlow គឺជាឧបករណ៍ដ៏មានតម្លៃសម្រាប់ក្រុមសន្តិសុខ ព្រោះវាអាចរកឃើញគំរូចរាចរណ៍មិនប្រក្រតីដែលទាក់ទងនឹងការវាយប្រហារ DDoS ការស្កេនច្រក ឬមេរោគ។ តាមរយៈការវិភាគគំរូកញ្ចប់ អ្នកប្រមូលអាចកំណត់អត្តសញ្ញាណគូ IP ប្រភព/គោលដៅមិនធម្មតា ការប្រើប្រាស់ពិធីការដែលមិននឹកស្មានដល់ ឬការកើនឡើងភ្លាមៗនៃចរាចរណ៍ — ដែលបង្កឱ្យមានការជូនដំណឹងសម្រាប់ការស៊ើបអង្កេតបន្ថែម។ ការគាំទ្ររបស់វាសម្រាប់បឋមកថាកញ្ចប់ឆៅធ្វើឱ្យវាមានប្រសិទ្ធភាពជាពិសេសសម្រាប់ការរកឃើញវ៉ិចទ័រវាយប្រហារមិនស្តង់ដារ (ឧទាហរណ៍ ចរាចរណ៍ DDoS ដែលបានអ៊ិនគ្រីប)។
៤.៥ ការធ្វើផែនការសមត្ថភាព និងការវិភាគនិន្នាការ
តាមរយៈការប្រមូលទិន្នន័យចរាចរណ៍ប្រវត្តិសាស្ត្រ sFlow អនុញ្ញាតឱ្យក្រុម IT កំណត់អត្តសញ្ញាណនិន្នាការ (ឧទាហរណ៍ ការកើនឡើងនៃកម្រិតបញ្ជូនតាមរដូវ ការកើនឡើងនៃការប្រើប្រាស់កម្មវិធី) និងរៀបចំផែនការធ្វើឱ្យប្រសើរឡើងនូវបណ្តាញដោយសកម្ម។ ឧទាហរណ៍ ប្រសិនបើទិន្នន័យ sFlow បង្ហាញថាការប្រើប្រាស់កម្រិតបញ្ជូនកើនឡើង 20% ជារៀងរាល់ឆ្នាំ ក្រុមអាចរៀបចំថវិកាសម្រាប់តំណភ្ជាប់បន្ថែម ឬការធ្វើឱ្យប្រសើរឡើងនូវឧបករណ៍មុនពេលការកកស្ទះកើតឡើង។
៥. ដែនកំណត់នៃ sFlow
ខណៈពេលដែល sFlow គឺជាឧបករណ៍ត្រួតពិនិត្យដ៏មានឥទ្ធិពល វាមានដែនកំណត់ដែលមានស្រាប់ដែលអង្គការនានាត្រូវតែពិចារណានៅពេលដាក់ពង្រាយវា៖
៥.១ ការសម្របសម្រួលភាពត្រឹមត្រូវនៃការយកគំរូ
ដែនកំណត់ធំបំផុតរបស់ sFlow គឺការពឹងផ្អែកលើការយកគំរូ។ អត្រាយកគំរូទាប (ឧទាហរណ៍ 1:10000) អាចខកខានគំរូចរាចរណ៍ដ៏កម្រ ប៉ុន្តែសំខាន់ (ឧទាហរណ៍ លំហូរវាយប្រហាររយៈពេលខ្លី) ខណៈពេលដែលអត្រាយកគំរូខ្ពស់បង្កើនការចំណាយធនធាន។ លើសពីនេះ ការយកគំរូណែនាំពីភាពខុសគ្នាខាងស្ថិតិ - ការប៉ាន់ស្មានបរិមាណចរាចរណ៍សរុបអាចមិនត្រឹមត្រូវ 100% ដែលអាចជាបញ្ហាសម្រាប់ករណីប្រើប្រាស់ដែលត្រូវការការរាប់ចរាចរណ៍ច្បាស់លាស់ (ឧទាហរណ៍ ការគិតថ្លៃសម្រាប់សេវាកម្មសំខាន់ៗ)។
៥.២ គ្មានបរិបទលំហូរពេញលេញ
មិនដូច NetFlow (ដែលចាប់យកកំណត់ត្រាលំហូរពេញលេញ រួមទាំងពេលវេលាចាប់ផ្តើម/បញ្ចប់ និងបៃ/កញ្ចប់សរុបក្នុងមួយលំហូរ) sFlow ចាប់យកតែគំរូកញ្ចប់នីមួយៗប៉ុណ្ណោះ។ នេះធ្វើឱ្យវាពិបាកក្នុងការតាមដានវដ្តជីវិតពេញលេញនៃលំហូរ (ឧទាហរណ៍ ការកំណត់ពេលដែលលំហូរចាប់ផ្តើម រយៈពេលដែលវាមាន ឬការប្រើប្រាស់កម្រិតបញ្ជូនសរុបរបស់វា)។
៥.៣ ការគាំទ្រមានកំណត់សម្រាប់ចំណុចប្រទាក់/របៀបជាក់លាក់
ឧបករណ៍បណ្តាញជាច្រើនគាំទ្រតែ sFlow លើចំណុចប្រទាក់រូបវន្តប៉ុណ្ណោះ - ចំណុចប្រទាក់និម្មិត (ឧទាហរណ៍ ចំណុចប្រទាក់រង VLAN ឆានែលច្រក) ឬរបៀប stack អាចមិនត្រូវបានគាំទ្រទេ។ ឧទាហរណ៍ កុងតាក់ Cisco មិនគាំទ្រ sFlow នៅពេលចាប់ផ្ដើមក្នុងរបៀប stack ដែលកំណត់ការប្រើប្រាស់របស់វានៅក្នុងការដាក់ពង្រាយកុងតាក់ stacked។
៥.៤ ការពឹងផ្អែកលើការអនុវត្តភ្នាក់ងារ
ប្រសិទ្ធភាពរបស់ sFlow អាស្រ័យលើគុណភាពនៃការអនុវត្ត Agent នៅលើឧបករណ៍បណ្តាញ។ ឧបករណ៍កម្រិតទាបមួយចំនួន ឬផ្នែករឹងចាស់ៗអាចមាន Agent ដែលត្រូវបានធ្វើឱ្យប្រសើរឡើងមិនបានល្អ ដែលប្រើប្រាស់ធនធានច្រើនហួសប្រមាណ ឬផ្តល់គំរូមិនត្រឹមត្រូវ។ ឧទាហរណ៍ រ៉ោតទ័រមួយចំនួនមាន CPU ប្លង់ត្រួតពិនិត្យយឺត ដែលរារាំងការកំណត់អត្រាគំរូល្អបំផុត ដែលកាត់បន្ថយភាពត្រឹមត្រូវនៃការរកឃើញសម្រាប់ការវាយប្រហារដូចជា DDoS។
៥.៥ ការយល់ដឹងអំពីចរាចរណ៍ដែលបានអ៊ិនគ្រីបមានកំណត់
sFlow ចាប់យកតែបឋមកថាកញ្ចប់ប៉ុណ្ណោះ—ចរាចរណ៍ដែលបានអ៊ិនគ្រីប (ឧទាហរណ៍ TLS 1.3) លាក់ទិន្នន័យបន្ទុក ដែលធ្វើឱ្យវាមិនអាចកំណត់អត្តសញ្ញាណកម្មវិធី ឬខ្លឹមសារពិតប្រាកដនៃលំហូរបាន។ ខណៈពេលដែល sFlow នៅតែអាចតាមដានម៉ែត្រមូលដ្ឋាន (ឧទាហរណ៍ ប្រភព/គោលដៅ ទំហំកញ្ចប់) វាមិនអាចផ្តល់នូវភាពមើលឃើញស៊ីជម្រៅទៅក្នុងឥរិយាបថចរាចរណ៍ដែលបានអ៊ិនគ្រីបបានទេ (ឧទាហរណ៍ បន្ទុកព្យាបាទដែលលាក់នៅក្នុងចរាចរណ៍ HTTPS)។
៥.៦ ភាពស្មុគស្មាញនៃអ្នកប្រមូល
មិនដូច NetFlow (ដែលផ្តល់នូវកំណត់ត្រាលំហូរដែលបានវិភាគជាមុន) sFlow តម្រូវឱ្យអ្នកប្រមូលវិភាគបឋមកថាកញ្ចប់ឆៅ។ នេះបង្កើនភាពស្មុគស្មាញនៃការដាក់ពង្រាយ និងការគ្រប់គ្រងអ្នកប្រមូល ព្រោះក្រុមត្រូវតែធានាថាអ្នកប្រមូលអាចដោះស្រាយប្រភេទកញ្ចប់ និងពិធីការផ្សេងៗគ្នា (ឧទាហរណ៍ MPLS, VXLAN)។
៦. តើ sFlow ដំណើរការយ៉ាងដូចម្តេចនៅក្នុងឈ្មួញកណ្តាលកញ្ចប់បណ្តាញ (NPB)?
ឧបករណ៍សម្របសម្រួលកញ្ចប់បណ្តាញ (NPB) គឺជាឧបករណ៍ឯកទេសមួយដែលប្រមូលផ្តុំ ត្រង និងចែកចាយចរាចរណ៍បណ្តាញទៅកាន់ឧបករណ៍ត្រួតពិនិត្យ (ឧទាហរណ៍ ឧបករណ៍ប្រមូល sFlow, IDS/IPS, ប្រព័ន្ធចាប់យកកញ្ចប់ពេញលេញ)។ NPB ដើរតួជា "មជ្ឈមណ្ឌលចរាចរណ៍" ដោយធានាថាឧបករណ៍ត្រួតពិនិត្យទទួលបានតែចរាចរណ៍ពាក់ព័ន្ធដែលពួកគេត្រូវការ - ធ្វើអោយប្រសើរឡើងនូវប្រសិទ្ធភាព និងកាត់បន្ថយការផ្ទុកលើសទម្ងន់ឧបករណ៍។ នៅពេលដែលរួមបញ្ចូលជាមួយ sFlow NPB បង្កើនសមត្ថភាពរបស់ sFlow ដោយដោះស្រាយដែនកំណត់របស់វា និងពង្រីកភាពមើលឃើញរបស់វា។
៦.១ តួនាទីរបស់ NPB ក្នុងការដាក់ពង្រាយ sFlow
នៅក្នុងការដាក់ពង្រាយ sFlow បែបប្រពៃណី ឧបករណ៍បណ្តាញនីមួយៗ (ស្វីច រ៉ោតទ័រ) ដំណើរការភ្នាក់ងារ sFlow ដែលផ្ញើគំរូដោយផ្ទាល់ទៅកាន់ឧបករណ៍ប្រមូល។ នេះអាចនាំឱ្យមានការផ្ទុកលើសចំណុះឧបករណ៍ប្រមូលនៅក្នុងបណ្តាញធំៗ (ឧទាហរណ៍ ឧបករណ៍រាប់ពាន់ដែលផ្ញើទិន្នន័យ UDP ក្នុងពេលដំណាលគ្នា) និងធ្វើឱ្យវាពិបាកក្នុងការច្រោះចរាចរណ៍ដែលមិនពាក់ព័ន្ធ។ NPBs ដោះស្រាយបញ្ហានេះដោយដើរតួជាភ្នាក់ងារ sFlow កណ្តាល ឬឧបករណ៍ប្រមូលចរាចរណ៍ ដូចខាងក្រោម៖
៦.២ របៀបរួមបញ្ចូលគ្រាប់ចុច
១- ការយកសំណាក sFlow បែបកណ្តាល៖ NPB ប្រមូលផ្តុំចរាចរណ៍ពីឧបករណ៍បណ្តាញច្រើន (តាមរយៈច្រក SPAN/RSPAN ឬ TAPs) បន្ទាប់មកដំណើរការភ្នាក់ងារ sFlow ដើម្បីយកសំណាកចរាចរណ៍ដែលបានប្រមូលផ្តុំនេះ។ ជំនួសឱ្យឧបករណ៍នីមួយៗផ្ញើសំណាកទៅឧបករណ៍ប្រមូល NPB ផ្ញើស្ទ្រីមសំណាកតែមួយ — កាត់បន្ថយបន្ទុកឧបករណ៍ប្រមូល និងធ្វើឱ្យការគ្រប់គ្រងមានភាពសាមញ្ញ។ របៀបនេះគឺល្អសម្រាប់បណ្តាញធំៗ ព្រោះវាធ្វើមជ្ឈិមកម្មការយកសំណាក និងធានាអត្រាយកសំណាកដែលស៊ីសង្វាក់គ្នានៅទូទាំងបណ្តាញ។
២- ការច្រោះ និងការបង្កើនប្រសិទ្ធភាពចរាចរណ៍៖ NPB អាចច្រោះចរាចរណ៍មុនពេលយកសំណាក ដោយធានាថាមានតែចរាចរណ៍ពាក់ព័ន្ធ (ឧទាហរណ៍ ចរាចរណ៍ពីបណ្តាញរងសំខាន់ៗ កម្មវិធីជាក់លាក់) ប៉ុណ្ណោះដែលត្រូវបានយកសំណាកដោយភ្នាក់ងារ sFlow។ នេះកាត់បន្ថយចំនួនគំរូដែលបានផ្ញើទៅកាន់អ្នកប្រមូល ដែលធ្វើអោយប្រសើរឡើងនូវប្រសិទ្ធភាព និងកាត់បន្ថយតម្រូវការផ្ទុក។ ឧទាហរណ៍ NPB អាចច្រោះចរាចរណ៍គ្រប់គ្រងផ្ទៃក្នុង (ឧទាហរណ៍ SSH, SNMP) ដែលមិនត្រូវការការត្រួតពិនិត្យ ដោយផ្តោតលើ sFlow លើចរាចរណ៍អ្នកប្រើប្រាស់ និងកម្មវិធី។
៣- ការប្រមូលផ្តុំគំរូ និងការជាប់ទាក់ទងគ្នា៖ NPBs អាចប្រមូលផ្តុំគំរូ sFlow ពីឧបករណ៍ច្រើន បន្ទាប់មកភ្ជាប់ទិន្នន័យនេះ (ឧទាហរណ៍ ភ្ជាប់ចរាចរណ៍ពី IP ប្រភពទៅកាន់គោលដៅច្រើន) មុនពេលផ្ញើវាទៅអ្នកប្រមូល។ នេះផ្តល់ឱ្យអ្នកប្រមូលនូវទិដ្ឋភាពពេញលេញជាងមុននៃលំហូរបណ្តាញ ដោយដោះស្រាយដែនកំណត់របស់ sFlow ក្នុងការមិនតាមដានបរិបទលំហូរពេញលេញ។ NPBs កម្រិតខ្ពស់មួយចំនួនក៏គាំទ្រការកែតម្រូវអត្រាគំរូថាមវន្តដោយផ្អែកលើបរិមាណចរាចរណ៍ (ឧទាហរណ៍ បង្កើនអត្រាគំរូក្នុងអំឡុងពេលចរាចរណ៍កើនឡើងដើម្បីបង្កើនភាពត្រឹមត្រូវ)។
៤- ភាពលែងត្រូវការ និងភាពអាចរកបានខ្ពស់៖ NPB អាចផ្តល់ផ្លូវលែងត្រូវការសម្រាប់គំរូ sFlow ដោយធានាថាគ្មានទិន្នន័យណាមួយបាត់បង់ទេ ប្រសិនបើឧបករណ៍ប្រមូលទិន្នន័យបរាជ័យ។ ពួកវាក៏អាចផ្ទុកសំណាកដែលមានតុល្យភាពនៅទូទាំងឧបករណ៍ប្រមូលទិន្នន័យច្រើនផងដែរ ដោយការពារឧបករណ៍ប្រមូលទិន្នន័យតែមួយពីការក្លាយជាចំណុចកកស្ទះ។
៦.៣ អត្ថប្រយោជន៍ជាក់ស្តែងនៃការរួមបញ្ចូល NPB + sFlow
ការរួមបញ្ចូល sFlow ជាមួយ NPB ផ្តល់នូវអត្ថប្រយោជន៍សំខាន់ៗមួយចំនួន៖
- សមត្ថភាពធ្វើមាត្រដ្ឋាន៖ NPBs ដោះស្រាយការប្រមូលផ្តុំចរាចរណ៍ និងការយកគំរូ ដែលអនុញ្ញាតឱ្យឧបករណ៍ប្រមូល sFlow ធ្វើមាត្រដ្ឋានដើម្បីគាំទ្រឧបករណ៍រាប់ពាន់ដោយមិនផ្ទុកលើសទម្ងន់។
- ភាពត្រឹមត្រូវ៖ ការកែតម្រូវអត្រាគំរូថាមវន្ត និងការច្រោះចរាចរណ៍ធ្វើអោយប្រសើរឡើងនូវភាពត្រឹមត្រូវនៃទិន្នន័យ sFlow ដោយកាត់បន្ថយហានិភ័យនៃការខកខានគំរូចរាចរណ៍សំខាន់ៗ។
- ប្រសិទ្ធភាព៖ ការយកគំរូ និងការច្រោះបែបកណ្តាលកាត់បន្ថយចំនួនគំរូដែលបានផ្ញើទៅកាន់ឧបករណ៍ប្រមូល ដែលកាត់បន្ថយការប្រើប្រាស់កម្រិតបញ្ជូន និងការផ្ទុក។
- ការគ្រប់គ្រងសាមញ្ញ៖ NPB ធ្វើមជ្ឈិមនីយកម្មការកំណត់រចនាសម្ព័ន្ធ និងការត្រួតពិនិត្យ sFlow ដោយលុបបំបាត់តម្រូវការក្នុងការកំណត់រចនាសម្ព័ន្ធភ្នាក់ងារនៅលើឧបករណ៍បណ្តាញនីមួយៗ។
សេចក្តីសន្និដ្ឋាន
sFlow គឺជាពិធីការត្រួតពិនិត្យបណ្តាញដែលមានទម្ងន់ស្រាល អាចធ្វើមាត្រដ្ឋានបាន និងមានលក្ខណៈស្តង់ដារ ដែលដោះស្រាយបញ្ហាប្រឈមពិសេសៗនៃបណ្តាញល្បឿនលឿនទំនើប។ តាមរយៈការប្រើប្រាស់ការយកគំរូដើម្បីប្រមូលចរាចរណ៍ និងទិន្នន័យរាប់បញ្ចូល វាផ្តល់នូវភាពមើលឃើញយ៉ាងទូលំទូលាយដោយមិនធ្វើឱ្យខូចប្រសិទ្ធភាពឧបករណ៍ - ដែលធ្វើឱ្យវាល្អសម្រាប់មជ្ឈមណ្ឌលទិន្នន័យ សហគ្រាស និងក្រុមហ៊ុនដឹកជញ្ជូន។ ខណៈពេលដែលវាមានដែនកំណត់ (ឧទាហរណ៍ ភាពត្រឹមត្រូវនៃការយកគំរូ បរិបទលំហូរមានកំណត់) ទាំងនេះអាចត្រូវបានកាត់បន្ថយដោយការរួមបញ្ចូល sFlow ជាមួយ Network Packet Broker ដែលធ្វើមជ្ឈិមកម្មការយកគំរូ ត្រងចរាចរណ៍ និងបង្កើនសមត្ថភាពធ្វើមាត្រដ្ឋាន។
មិនថាអ្នកកំពុងត្រួតពិនិត្យបណ្តាញបរិវេណសាលាតូចមួយ ឬឆ្អឹងខ្នងរបស់ក្រុមហ៊ុនដឹកជញ្ជូនធំនោះទេ sFlow ផ្តល់ជូននូវដំណោះស្រាយដែលមានប្រសិទ្ធភាពចំណាយ និងមិនពឹងផ្អែកលើអ្នកលក់ ដើម្បីទទួលបានការយល់ដឹងដែលអាចអនុវត្តបានអំពីដំណើរការបណ្តាញ។ នៅពេលដែលផ្គូផ្គងជាមួយ NPB វាកាន់តែមានឥទ្ធិពលខ្លាំងឡើង — ដែលអាចឱ្យអង្គការនានាពង្រីកហេដ្ឋារចនាសម្ព័ន្ធត្រួតពិនិត្យរបស់ពួកគេ និងរក្សាភាពមើលឃើញនៅពេលដែលបណ្តាញរបស់ពួកគេរីកចម្រើន។
ពេលវេលាបង្ហោះ៖ ខែកុម្ភៈ-០៥-២០២៦
