မြန်နှုန်းမြင့်ကွန်ရက်များနှင့် cloud-native အခြေခံအဆောက်အအုံများခေတ်တွင်၊ အချိန်နှင့်တပြေးညီ၊ ထိရောက်သောကွန်ရက်အသွားအလာစောင့်ကြည့်ခြင်းသည် ယုံကြည်စိတ်ချရသော IT လုပ်ငန်းဆောင်တာများ၏ အခြေခံအုတ်မြစ်ဖြစ်လာခဲ့သည်။ ကွန်ရက်များသည် 10 Gbps+ လင့်ခ်များ၊ containerized application များနှင့် distributed architectures များကို ပံ့ပိုးပေးရန် တိုးချဲ့လာသည်နှင့်အမျှ၊ full packet capture ကဲ့သို့သော ရိုးရာအသွားအလာစောင့်ကြည့်နည်းလမ်းများသည် ၎င်းတို့၏ မြင့်မားသော resource overhead ကြောင့် မဖြစ်နိုင်တော့ပါ။ ဤနေရာတွင် sFlow (sampled Flow) သည် အခန်းကဏ္ဍမှ ပါဝင်လာသည်- ကွန်ရက်စက်ပစ္စည်းများကို ပျက်စီးစေခြင်းမရှိဘဲ ကွန်ရက်အသွားအလာကို ပြည့်စုံစွာမြင်သာစေရန် ဒီဇိုင်းထုတ်ထားသော ပေါ့ပါးပြီး စံသတ်မှတ်ထားသော ကွန်ရက် telemetry protocol တစ်ခုဖြစ်သည်။ ဤဘလော့ဂ်တွင်၊ sFlow အကြောင်း ၎င်း၏အခြေခံအဓိပ္ပာယ်ဖွင့်ဆိုချက်မှ Network Packet Brokers (NPBs) တွင် ၎င်း၏လက်တွေ့လုပ်ဆောင်မှုအထိ အရေးကြီးဆုံးမေးခွန်းများကို ကျွန်ုပ်တို့ဖြေကြားပါမည်။
၁။ sFlow ဆိုတာ ဘာလဲ။
sFlow သည် Inmon Corporation မှ တီထွင်ထားသော ပွင့်လင်းသော၊ စက်မှုလုပ်ငန်းစံနှုန်း ကွန်ရက်အသွားအလာ စောင့်ကြည့်ရေး protocol တစ်ခုဖြစ်ပြီး၊ RFC 3176 တွင် သတ်မှတ်ထားသည်။ ၎င်း၏အမည်က အကြံပြုထားသည့်အတိုင်း ဆန့်ကျင်ဘက်အနေဖြင့် sFlow တွင် မွေးရာပါ “flow tracking” logic မရှိပါ။ ၎င်းသည် ကွန်ရက်အသွားအလာ စာရင်းအင်းများကို စုဆောင်းပြီး ခွဲခြမ်းစိတ်ဖြာရန်အတွက် ဗဟို collector သို့ တင်ပို့သည့် sampling-based telemetry နည်းပညာတစ်ခုဖြစ်သည်။ NetFlow ကဲ့သို့သော stateful protocol များနှင့်မတူဘဲ sFlow သည် flow မှတ်တမ်းများကို network devices များတွင် မသိမ်းဆည်းပါ။ ယင်းအစား၊ ၎င်းသည် traffic နှင့် device counters များ၏ ကိုယ်စားပြုနမူနာငယ်များကို ဖမ်းယူပြီးနောက် ဤဒေတာကို collector သို့ ချက်ချင်း စီမံဆောင်ရွက်ရန် ပေးပို့သည်။
၎င်း၏ အဓိကအချက်အနေဖြင့် sFlow ကို တိုးချဲ့နိုင်မှု နှင့် အရင်းအမြစ်သုံးစွဲမှု နည်းပါးစေရန် ဒီဇိုင်းထုတ်ထားသည်။ ၎င်းကို ကွန်ရက်စက်ပစ္စည်းများ (switches၊ routers၊ firewalls) တွင် sFlow Agent အဖြစ် ထည့်သွင်းထားပြီး စက်ပစ္စည်းစွမ်းဆောင်ရည် သို့မဟုတ် ကွန်ရက် throughput ကို လျော့ကျစေခြင်းမရှိဘဲ မြန်နှုန်းမြင့်လင့်ခ်များ (10 Gbps နှင့်အထက်) ကို အချိန်နှင့်တပြေးညီ စောင့်ကြည့်နိုင်စေပါသည်။ ၎င်း၏ စံသတ်မှတ်ချက်သည် ရောင်းချသူများအားလုံးတွင် လိုက်ဖက်ညီမှုကို သေချာစေပြီး မတူညီသော ကွန်ရက်ပတ်ဝန်းကျင်များအတွက် တစ်ကမ္ဘာလုံးဆိုင်ရာ ရွေးချယ်မှုတစ်ခု ဖြစ်စေသည်။
၂။ sFlow ဘယ်လိုအလုပ်လုပ်သလဲ။
sFlow သည် ရိုးရှင်းသော၊ အစိတ်အပိုင်းနှစ်ခုပါ ဗိသုကာပုံစံဖြင့် လုပ်ဆောင်သည်- sFlow Agent (ကွန်ရက်ကိရိယာများတွင် ထည့်သွင်းထားသည်) နှင့် sFlow Collector (ဒေတာစုစည်းခြင်းနှင့် ခွဲခြမ်းစိတ်ဖြာခြင်းအတွက် ဗဟိုချုပ်ကိုင်ထားသော server)။ လုပ်ငန်းစဉ်သည် အောက်တွင်ဖော်ပြထားသည့်အတိုင်း အဓိက နမူနာယူခြင်းယန္တရားနှစ်ခုဖြစ်သည့် packet sampling နှင့် counter sampling နှင့် data export တို့အပေါ် အခြေခံသည်။
၂.၁ အဓိက အစိတ်အပိုင်းများ
- sFlow Agent: ကွန်ရက်ကိရိယာများ (ဥပမာ Cisco switches၊ Huawei routers) တွင် တည်ဆောက်ထားသော ပေါ့ပါးသည့် software module တစ်ခု။ ၎င်းသည် traffic samples များနှင့် counter data များကို စုဆောင်းခြင်း၊ ဤ data များကို sFlow Datagrams များထဲသို့ ထည့်သွင်းခြင်းနှင့် UDP (default port 6343) မှတစ်ဆင့် collector သို့ ပေးပို့ခြင်းအတွက် တာဝန်ရှိသည်။
- sFlow Collector: sFlow Datagram များကို လက်ခံခြင်း၊ parse လုပ်ခြင်း၊ သိမ်းဆည်းခြင်းနှင့် ခွဲခြမ်းစိတ်ဖြာခြင်းတို့ကို ပြုလုပ်ပေးသည့် ဗဟိုချုပ်ကိုင်မှုစနစ် (ရုပ်ပိုင်းဆိုင်ရာ သို့မဟုတ် virtual) တစ်ခု။ NetFlow collectors များနှင့်မတူဘဲ၊ sFlow collectors များသည် raw packet headers များ (ပုံမှန်အားဖြင့် sample တစ်ခုလျှင် 60–140 bytes) ကို ကိုင်တွယ်ပြီး အဓိပ္ပာယ်ရှိသော အတွေးအမြင်များကို ထုတ်ယူရန် parse လုပ်ရမည်—ဤပြောင်းလွယ်ပြင်လွယ်ရှိမှုသည် MPLS၊ VXLAN နှင့် GRE ကဲ့သို့သော စံမဟုတ်သော packets များအတွက် ပံ့ပိုးမှုကို ခွင့်ပြုသည်။
၂.၂ အဓိကနမူနာယူခြင်းယန္တရားများ
sFlow သည် မြင်သာမှုနှင့် အရင်းအမြစ်ထိရောက်မှုကို ဟန်ချက်ညီစေရန်အတွက် ဖြည့်စွက်နမူနာယူခြင်းနည်းလမ်းနှစ်ခုကို အသုံးပြုသည်-
၁- ပက်ကက် နမူနာယူခြင်း- Agent သည် စောင့်ကြည့်ထားသော interface များပေါ်တွင် ဝင်/ထွက် ပက်ကက်များကို ကျပန်းနမူနာယူသည်။ ဥပမာအားဖြင့်၊ 1:2048 ၏ နမူနာနှုန်းဆိုသည်မှာ Agent သည် ပက်ကက် ၂၀၄၈ ခုတွင် ၁ ခု (စက်ပစ္စည်းအများစုအတွက် မူရင်းနမူနာယူနှုန်း) ကို ဖမ်းယူသည်ဟု ဆိုလိုသည်။ ပက်ကက်တစ်ခုလုံးကို ဖမ်းယူမည့်အစား၊ ပက်ကက်ခေါင်း၏ ပထမဆုံးဘိုက်အနည်းငယ် (ပုံမှန်အားဖြင့် 60–140 bytes) ကိုသာ စုဆောင်းပြီး overhead ကို အနည်းဆုံးဖြစ်အောင် လုပ်ဆောင်ကာ အရေးကြီးသော အချက်အလက်များ (ရင်းမြစ်/ဦးတည်ရာ IP၊ port၊ protocol) ပါရှိသည်။ နမူနာနှုန်းကို ပြင်ဆင်သတ်မှတ်နိုင်ပြီး ကွန်ရက်အသွားအလာပမာဏပေါ် မူတည်၍ ချိန်ညှိသင့်သည်—နှုန်းမြင့်ခြင်း (နမူနာများခြင်း) သည် တိကျမှုကို တိုးတက်စေသော်လည်း အရင်းအမြစ်အသုံးပြုမှုကို တိုးမြှင့်ပေးပြီး၊ နှုန်းနိမ့်ခြင်းသည် overhead ကို လျှော့ချပေးသော်လည်း ရှားပါးသော အသွားအလာပုံစံများကို လွတ်သွားနိုင်သည်။
၂- ကောင်တာနမူနာယူခြင်း- ပက်ကက်နမူနာများအပြင်၊ Agent သည် ကွန်ရက်မျက်နှာပြင်များမှ ကောင်တာဒေတာများကို ပုံသေကြားကာလများ (ဥပမာ- ထုတ်လွှင့်/လက်ခံရရှိသော ဘိုက်များ၊ ပက်ကက်ကျဆင်းမှုများ၊ အမှားနှုန်းထားများ) မှ အခါအားလျော်စွာ စုဆောင်းသည် (ပုံသေ- ၁၀ စက္ကန့်)။ ဤဒေတာသည် စက်ပစ္စည်းနှင့် လင့်ခ်ကျန်းမာရေးအကြောင်း နောက်ခံအချက်အလက်ကို ပေးစွမ်းပြီး ကွန်ရက်စွမ်းဆောင်ရည်၏ ပြီးပြည့်စုံသောပုံရိပ်ကို ပေးစွမ်းရန် ပက်ကက်နမူနာများကို ဖြည့်စွက်ပေးသည်။
၂.၃ ဒေတာ တင်ပို့ခြင်းနှင့် ခွဲခြမ်းစိတ်ဖြာခြင်း
စုဆောင်းပြီးသည်နှင့် Agent သည် packet နမူနာများနှင့် counter data များကို sFlow Datagrams (UDP packets) များထဲသို့ ထည့်သွင်းပြီး collector သို့ ပေးပို့သည်။ collector သည် ဤ datagram များကို parse လုပ်သည်၊ data များကို စုစည်းပြီး visualization များ၊ report များ သို့မဟုတ် alerts များကို ထုတ်ပေးသည်။ ဥပမာအားဖြင့်၊ ၎င်းသည် top talker များကို ဖော်ထုတ်နိုင်သည်၊ ပုံမှန်မဟုတ်သော traffic pattern များ (ဥပမာ၊ DDoS attacks) ကို ထောက်လှမ်းနိုင်သည် သို့မဟုတ် အချိန်နှင့်အမျှ bandwidth utilization ကို ခြေရာခံနိုင်သည်။ sampling rate ကို datagram တစ်ခုချင်းစီတွင် ထည့်သွင်းထားပြီး collector အား စုစုပေါင်း traffic volume ကို ခန့်မှန်းရန် data ကို extrapolate လုပ်နိုင်သည် (ဥပမာ၊ ၂၀၄၈ တွင် နမူနာ ၁ ခုသည် observed traffic ၏ ~၂၀၄၈x ကို ဆိုလိုသည်)။
၃။ sFlow ရဲ့ အဓိကတန်ဖိုးက ဘာလဲ။
sFlow ရဲ့တန်ဖိုးဟာ ခေတ်မီကွန်ရက်စောင့်ကြည့်ခြင်းရဲ့ အဓိကအခက်အခဲတွေကို ဖြေရှင်းပေးနိုင်တဲ့ scalability၊ overhead နည်းပါးခြင်းနဲ့ standardization တို့ရဲ့ ထူးခြားတဲ့ပေါင်းစပ်မှုကနေ ပေါက်ဖွားလာတာပါ။ သူ့ရဲ့ အဓိကတန်ဖိုးတွေကတော့ -
၃.၁ အရင်းအမြစ်အသုံးစရိတ်နည်းပါးခြင်း
full packet capture (packet တိုင်းကို သိမ်းဆည်းခြင်းနှင့် လုပ်ဆောင်ခြင်း လိုအပ်သည်) သို့မဟုတ် NetFlow (စက်ပစ္စည်းများပေါ်တွင် flow table များကို ထိန်းသိမ်းသည်) ကဲ့သို့သော stateful protocol များနှင့်မတူဘဲ၊ sFlow သည် sampling ကိုအသုံးပြုပြီး local data storage ကို ရှောင်ရှားသည်။ ၎င်းသည် network device များပေါ်တွင် CPU၊ memory နှင့် bandwidth အသုံးပြုမှုကို လျှော့ချပေးပြီး မြန်နှုန်းမြင့် link များနှင့် resource-constrained environments (ဥပမာ- အသေးစားမှ အလတ်စား enterprise network များ) အတွက် အသင့်တော်ဆုံးဖြစ်စေသည်။ ၎င်းသည် device အများစုအတွက် အပို hardware သို့မဟုတ် memory upgrade များ မလိုအပ်သောကြောင့် deployment ကုန်ကျစရိတ်များကို လျှော့ချပေးသည်။
၃.၂ မြင့်မားသော တိုးချဲ့နိုင်မှု
sFlow ကို ခေတ်မီကွန်ရက်များနှင့်အတူ တိုးချဲ့နိုင်ရန် ဒီဇိုင်းထုတ်ထားသည်။ တစ်ခုတည်းသော collector သည် 100 Gbps နှင့်အထက် လင့်ခ်များကို ပံ့ပိုးပေးသည့် စက်ပစ္စည်းရာပေါင်းများစွာတွင် interface ထောင်ပေါင်းများစွာကို စောင့်ကြည့်နိုင်သည်။ ၎င်း၏ sampling mechanism သည် traffic volume တိုးလာသည်နှင့်အမျှ Agent ၏ resource usage ကို စီမံခန့်ခွဲနိုင်ဆဲဖြစ်ကြောင်း သေချာစေပြီး data center များနှင့် traffic load များပြားသော carrier-grade network များအတွက် အရေးကြီးပါသည်။
၃.၃ ကွန်ရက်တစ်ခုလုံး မြင်နိုင်စွမ်း
packet sampling (traffic content အတွက်) နှင့် counter sampling (device/link health အတွက်) တို့ကို ပေါင်းစပ်ခြင်းဖြင့် sFlow သည် network traffic ကို end-to-end မြင်နိုင်စွမ်းကို ပေးစွမ်းသည်။ ၎င်းသည် Layer 2 မှ Layer 7 traffic ကို ပံ့ပိုးပေးပြီး application များ (ဥပမာ web၊ P2P၊ DNS)၊ protocol များ (ဥပမာ TCP၊ UDP၊ MPLS) နှင့် user behavior တို့ကို စောင့်ကြည့်နိုင်စေပါသည်။ ဤမြင်နိုင်စွမ်းသည် IT အဖွဲ့များအား bottleneck များကို ရှာဖွေတွေ့ရှိရန်၊ ပြဿနာများကို ဖြေရှင်းရန်နှင့် network performance ကို ကြိုတင်ကာကွယ်မှုဖြင့် အကောင်းဆုံးဖြစ်အောင် လုပ်ဆောင်ရန် ကူညီပေးသည်။
၃.၄ ရောင်းချသူ-ကြားနေ စံသတ်မှတ်ချက်
ပွင့်လင်းစံနှုန်းတစ်ခုအနေဖြင့် (RFC 3176)၊ sFlow ကို အဓိကကွန်ရက်ရောင်းချသူအားလုံး (Cisco၊ Huawei၊ Juniper၊ Arista) မှ ပံ့ပိုးပေးထားပြီး ရေပန်းစားသော စောင့်ကြည့်ရေးကိရိယာများ (ဥပမာ PRTG၊ SolarWinds၊ sFlow-RT) နှင့် ပေါင်းစပ်ထားသည်။ ၎င်းသည် ရောင်းချသူ lock-in ကို ဖယ်ရှားပေးပြီး အဖွဲ့အစည်းများအား မတူညီသောကွန်ရက်ပတ်ဝန်းကျင်များ (ဥပမာ Cisco နှင့် Huawei စက်ပစ္စည်းများ ရောနှောခြင်း) တွင် sFlow ကို အသုံးပြုနိုင်စေပါသည်။
၄။ sFlow ၏ ပုံမှန်အသုံးချမှု အခြေအနေများ
sFlow ရဲ့ ဘက်စုံအသုံးပြုနိုင်မှုကြောင့် အသေးစားစီးပွားရေးလုပ်ငန်းများမှသည် ကြီးမားသောဒေတာစင်တာများအထိ ကျယ်ပြန့်သောကွန်ရက်ပတ်ဝန်းကျင်များအတွက် သင့်လျော်ပါသည်။ ၎င်း၏ အသုံးအများဆုံးအသုံးချမှုအခြေအနေများတွင် အောက်ပါတို့ပါဝင်သည်-
၄.၁ ဒေတာစင်တာကွန်ရက်စောင့်ကြည့်ခြင်း
ဒေတာစင်တာများသည် မြန်နှုန်းမြင့်လင့်ခ်များ (10 Gbps+) ပေါ်တွင် မှီခိုနေရပြီး virtual machine (VM) ထောင်ပေါင်းများစွာနှင့် containerized application များကို ပံ့ပိုးပေးပါသည်။ sFlow သည် leaf-spine network traffic ကို အချိန်နှင့်တပြေးညီ မြင်နိုင်စေပြီး IT အဖွဲ့များအား “elephant flows” (ပိတ်ဆို့မှုဖြစ်စေသော ကြီးမားသော၊ ကြာရှည်ခံ flow များကို ရှာဖွေတွေ့ရှိရန်)၊ bandwidth allocation ကို အကောင်းဆုံးဖြစ်အောင်ပြုလုပ်ရန်နှင့် VM/container အကြား ဆက်သွယ်ရေးပြဿနာများကို ဖြေရှင်းရန် ကူညီပေးပါသည်။ ၎င်းကို dynamic traffic engineering ကိုဖွင့်ရန် SDN (Software-Defined Networking) နှင့်အတူ မကြာခဏအသုံးပြုလေ့ရှိသည်။
၄.၂ စီးပွားရေးလုပ်ငန်း ကျောင်းဝင်းကွန်ရက် စီမံခန့်ခွဲမှု
Enterprise campus များသည် ဝန်ထမ်း traffic ကိုခြေရာခံရန်၊ bandwidth မူဝါဒများကို ပြဋ္ဌာန်းရန်နှင့် ပုံမှန်မဟုတ်သော အရာများ (ဥပမာ- ခွင့်ပြုချက်မရှိသော device များ၊ P2P file sharing) ကို ထောက်လှမ်းရန် ကုန်ကျစရိတ်သက်သာပြီး တိုးချဲ့နိုင်သော စောင့်ကြည့်မှု လိုအပ်ပါသည်။ sFlow ၏ overhead နည်းပါးမှုကြောင့် campus switch များနှင့် router များအတွက် အသင့်တော်ဆုံးဖြစ်ပြီး IT အဖွဲ့များအား bandwidth hogs များကို ဖော်ထုတ်နိုင်စေခြင်း၊ application performance (ဥပမာ- Microsoft 365၊ Zoom) ကို အကောင်းဆုံးဖြစ်အောင် လုပ်ဆောင်နိုင်စေခြင်းနှင့် end user များအတွက် ယုံကြည်စိတ်ချရသော ချိတ်ဆက်မှုကို သေချာစေခြင်းတို့ ပြုလုပ်နိုင်စေပါသည်။
၄.၃ သယ်ယူပို့ဆောင်ရေးအဆင့် ကွန်ရက်လည်ပတ်မှုများ
တယ်လီကွန်းအော်ပရေတာများသည် sFlow ကို အသုံးပြု၍ backbone ကို စောင့်ကြည့်ပြီး ကွန်ရက်များကို ဝင်ရောက်ကြည့်ရှုကာ interface ထောင်ပေါင်းများစွာတွင် traffic volume၊ latency နှင့် error rate များကို ခြေရာခံကြသည်။ ၎င်းသည် အော်ပရေတာများအား peering relationship များကို အကောင်းဆုံးဖြစ်အောင်လုပ်ဆောင်ရန်၊ DDoS တိုက်ခိုက်မှုများကို စောစောစီးစီး ထောက်လှမ်းရန်နှင့် bandwidth အသုံးပြုမှု (usage accounting) အပေါ်အခြေခံ၍ ဖောက်သည်များကို ငွေတောင်းခံရန် ကူညီပေးသည်။
၄.၄ ကွန်ရက်လုံခြုံရေး စောင့်ကြည့်ခြင်း
sFlow သည် လုံခြုံရေးအဖွဲ့များအတွက် အဖိုးတန်ကိရိယာတစ်ခုဖြစ်ပြီး DDoS တိုက်ခိုက်မှုများ၊ port scan များ သို့မဟုတ် malware များနှင့်ဆက်စပ်နေသော ပုံမှန်မဟုတ်သော traffic pattern များကို ထောက်လှမ်းနိုင်သောကြောင့်ဖြစ်သည်။ packet sample များကို ခွဲခြမ်းစိတ်ဖြာခြင်းဖြင့် collector များသည် ပုံမှန်မဟုတ်သော source/destination IP pair များ၊ မမျှော်လင့်ထားသော protocol အသုံးပြုမှု သို့မဟုတ် traffic တွင် ရုတ်တရက်မြင့်တက်လာမှုများကို ဖော်ထုတ်နိုင်ပြီး နောက်ထပ်စုံစမ်းစစ်ဆေးမှုအတွက် alerts များကို လှုံ့ဆော်ပေးပါသည်။ raw packet headers များအတွက် ၎င်း၏ support သည် standard မဟုတ်သော attack vector များ (ဥပမာ encrypted DDoS traffic) ကို ထောက်လှမ်းရာတွင် အထူးထိရောက်မှုရှိစေသည်။
၄.၅ စွမ်းရည်စီမံကိန်းရေးဆွဲခြင်းနှင့် ခေတ်ရေစီးကြောင်းခွဲခြမ်းစိတ်ဖြာခြင်း
သမိုင်းဝင်အသွားအလာဒေတာများကို စုဆောင်းခြင်းဖြင့် sFlow သည် IT အဖွဲ့များအား ခေတ်ရေစီးကြောင်းများ (ဥပမာ- ရာသီအလိုက် bandwidth မြင့်တက်မှုများ၊ အပလီကေးရှင်းအသုံးပြုမှု မြင့်တက်လာခြင်း) ကို ဖော်ထုတ်နိုင်ပြီး ကွန်ရက်အဆင့်မြှင့်တင်မှုများကို ကြိုတင်စီစဉ်နိုင်စေပါသည်။ ဥပမာအားဖြင့်၊ sFlow ဒေတာအရ bandwidth အသုံးပြုမှု နှစ်စဉ် ၂၀% တိုးလာကြောင်း ပြသပါက အဖွဲ့များသည် ပိတ်ဆို့မှုမဖြစ်ပွားမီ နောက်ထပ်လင့်ခ်များ သို့မဟုတ် စက်ပစ္စည်းအဆင့်မြှင့်တင်မှုများအတွက် ဘတ်ဂျက်ချနိုင်သည်။
၅။ sFlow ၏ ကန့်သတ်ချက်များ
sFlow သည် အစွမ်းထက်သော စောင့်ကြည့်ရေးကိရိယာတစ်ခုဖြစ်သော်လည်း၊ ၎င်းတွင် အဖွဲ့အစည်းများအနေဖြင့် ၎င်းကို ဖြန့်ကျက်သည့်အခါ ထည့်သွင်းစဉ်းစားရမည့် မွေးရာပါ ကန့်သတ်ချက်များ ရှိပါသည်။
၅.၁ နမူနာယူမှုတိကျမှု အပေးအယူလုပ်ခြင်း
sFlow ရဲ့ အကြီးမားဆုံး ကန့်သတ်ချက်ကတော့ နမူနာယူခြင်းအပေါ် မှီခိုအားထားမှုပါပဲ။ နမူနာယူနှုန်းနည်းခြင်း (ဥပမာ- 1:10000) ဟာ ရှားပါးပေမယ့် အရေးကြီးတဲ့ ယာဉ်ကြောပိတ်ဆို့မှုပုံစံတွေ (ဥပမာ- သက်တမ်းတိုတဲ့ တိုက်ခိုက်မှုစီးဆင်းမှုတွေ) ကို လွဲချော်သွားနိုင်ပြီး နမူနာယူနှုန်းများခြင်းဟာ အရင်းအမြစ် အထွေထွေကုန်ကျစရိတ်ကို တိုးမြင့်စေပါတယ်။ ထို့အပြင်၊ နမူနာယူခြင်းဟာ စာရင်းအင်းဆိုင်ရာ ကွဲလွဲမှုကို ဖြစ်ပေါ်စေပါတယ်—စုစုပေါင်း ယာဉ်ကြောပိတ်ဆို့မှုပမာဏရဲ့ ခန့်မှန်းချက်တွေဟာ 100% တိကျမှုမရှိနိုင်ပါဘူး၊ ဒါကြောင့် တိကျတဲ့ ယာဉ်ကြောပိတ်ဆို့မှု ရေတွက်မှု (ဥပမာ- မစ်ရှင်-အရေးပါတဲ့ ဝန်ဆောင်မှုတွေအတွက် ငွေတောင်းခံလွှာပို့ခြင်း) လိုအပ်နေတဲ့ အသုံးပြုမှုကိစ္စရပ်တွေအတွက် ပြဿနာရှိနိုင်ပါတယ်။
၅.၂ အပြည့်အဝစီးဆင်းမှုအခြေအနေမရှိပါ
NetFlow (flow တစ်ခုလျှင် စတင်/ပြီးဆုံးချိန်နှင့် စုစုပေါင်း bytes/packets များအပါအဝင် flow မှတ်တမ်းအပြည့်အစုံကို ဖမ်းယူသည်) နှင့်မတူဘဲ၊ sFlow သည် တစ်ဦးချင်း packet နမူနာများကိုသာ ဖမ်းယူသည်။ ၎င်းသည် flow တစ်ခု၏ တစ်သက်တာစက်ဝန်းအပြည့်အစုံကို ခြေရာခံရန် ခက်ခဲစေသည် (ဥပမာ၊ flow တစ်ခု စတင်ချိန်၊ မည်မျှကြာအောင် ကြာမြင့်သည် သို့မဟုတ် ၎င်း၏ စုစုပေါင်း bandwidth သုံးစွဲမှုကို ဖော်ထုတ်ခြင်း)။
၅.၃ အချို့သော အင်တာဖေ့စ်များ/မုဒ်များအတွက် အကန့်အသတ်ဖြင့် ပံ့ပိုးမှု
network device အများစုဟာ sFlow ကို physical interface တွေမှာသာ support လုပ်ပါတယ်—virtual interface တွေ (ဥပမာ VLAN subinterface တွေ၊ port channel တွေ) ဒါမှမဟုတ် stack mode တွေကို support မလုပ်နိုင်ပါဘူး။ ဥပမာ Cisco switch တွေက stack mode မှာ boot လုပ်တဲ့အခါ sFlow ကို support မလုပ်တာကြောင့် stacked switch deployments တွေမှာ အသုံးပြုမှုကို ကန့်သတ်ထားပါတယ်။
၅.၄ အေးဂျင့်အကောင်အထည်ဖော်မှုအပေါ် မှီခိုမှု
sFlow ရဲ့ ထိရောက်မှုဟာ network device တွေပေါ်က Agent implementation ရဲ့ အရည်အသွေးပေါ်မှာ မူတည်ပါတယ်။ အချို့သော low-end device တွေ ဒါမှမဟုတ် hardware အဟောင်းတွေမှာ resource တွေကို အလွန်အကျွံသုံးစွဲတာ ဒါမှမဟုတ် မတိကျတဲ့ sample တွေကို ပေးစွမ်းနိုင်တဲ့ optimized Agent တွေ ညံ့ဖျင်းနိုင်ပါတယ်။ ဥပမာအားဖြင့်၊ router အချို့မှာ control plane CPU တွေ နှေးကွေးတာကြောင့် optimal sampling rate တွေ သတ်မှတ်တာကို တားဆီးပေးပြီး DDoS လိုမျိုး တိုက်ခိုက်မှုတွေအတွက် detection accuracy ကို လျော့ကျစေပါတယ်။
၅.၅ ကန့်သတ်ထားသော ကုဒ်ဝှက်ထားသော ယာဉ်ကြောပိတ်ဆို့မှု ထိုးထွင်းသိမြင်မှု
sFlow သည် packet headers များကိုသာ ဖမ်းယူသည်—encrypted traffic (ဥပမာ TLS 1.3) သည် payload data ကို ဖုံးကွယ်ထားသောကြောင့် flow ၏ တကယ့် application သို့မဟုတ် content ကို ခွဲခြားသိရှိရန် မဖြစ်နိုင်ပါ။ sFlow သည် အခြေခံ metrics များ (ဥပမာ source/destination၊ packet size) ကို ခြေရာခံနိုင်ဆဲဖြစ်သော်လည်း encrypted traffic behavior (ဥပမာ HTTPS traffic တွင် ဝှက်ထားသော malicious payloads) ကို နက်ရှိုင်းစွာ မြင်နိုင်စေမည်မဟုတ်ပါ။
၅.၆ စုဆောင်းသူ၏ ရှုပ်ထွေးမှု
NetFlow (ကြိုတင်ခွဲခြမ်းစိတ်ဖြာထားသော flow မှတ်တမ်းများကို ပံ့ပိုးပေးသည်) နှင့်မတူဘဲ sFlow သည် collectors များအား raw packet headers များကို ခွဲခြမ်းစိတ်ဖြာရန် လိုအပ်သည်။ ၎င်းသည် collector ဖြန့်ကျက်မှုနှင့် စီမံခန့်ခွဲမှု၏ ရှုပ်ထွေးမှုကို တိုးမြင့်စေသည်၊ အဘယ်ကြောင့်ဆိုသော် အဖွဲ့များသည် collector သည် မတူညီသော packet အမျိုးအစားများနှင့် protocols များ (ဥပမာ MPLS၊ VXLAN) ကို ကိုင်တွယ်နိုင်ကြောင်း သေချာစေရမည်။
၆။ sFlow ဘယ်လိုအလုပ်လုပ်သလဲကွန်ရက်ပက်ကက်ပွဲစား (NPB)?
Network Packet Broker (NPB) ဆိုသည်မှာ ကွန်ရက်အသွားအလာကို စောင့်ကြည့်ရေးကိရိယာများ (ဥပမာ sFlow collectors၊ IDS/IPS၊ full packet capture systems) သို့ စုစည်း၊ စစ်ထုတ်ပြီး ဖြန့်ဝေပေးသည့် အထူးပြုကိရိယာတစ်ခုဖြစ်သည်။ NPB များသည် “အသွားအလာဗဟိုချက်များ” အဖြစ် လုပ်ဆောင်ပြီး စောင့်ကြည့်ရေးကိရိယာများသည် ၎င်းတို့လိုအပ်သော သက်ဆိုင်ရာအသွားအလာကိုသာ လက်ခံရရှိကြောင်း သေချာစေပြီး ထိရောက်မှုကို မြှင့်တင်ပေးပြီး ကိရိယာဝန်ပိမှုကို လျှော့ချပေးသည်။ sFlow နှင့် ပေါင်းစပ်လိုက်သောအခါ NPB များသည် sFlow ၏ ကန့်သတ်ချက်များကို ဖြေရှင်းခြင်းနှင့် မြင်သာမှုကို တိုးချဲ့ခြင်းဖြင့် စွမ်းဆောင်ရည်ကို မြှင့်တင်ပေးသည်။
၆.၁ sFlow ဖြန့်ကျက်မှုများတွင် NPB ၏ အခန်းကဏ္ဍ
ရိုးရာ sFlow ဖြန့်ကျက်မှုများတွင်၊ ကွန်ရက်ကိရိယာတစ်ခုစီ (switch၊ router) သည် collector ထံသို့ နမူနာများကို တိုက်ရိုက်ပေးပို့သည့် sFlow Agent တစ်ခုကို လုပ်ဆောင်သည်။ ၎င်းသည် ကြီးမားသောကွန်ရက်များတွင် collector overload ဖြစ်စေနိုင်ပြီး (ဥပမာ၊ UDP datagram များကို တစ်ပြိုင်နက်တည်းပေးပို့သော စက်ပစ္စည်းထောင်ပေါင်းများစွာ) မသက်ဆိုင်သော traffic ကို filter လုပ်ရန်ခက်ခဲစေသည်။ NPB များသည် centralized sFlow Agent သို့မဟုတ် traffic aggregator အဖြစ် အောက်ပါအတိုင်း လုပ်ဆောင်ခြင်းဖြင့် ၎င်းကို ဖြေရှင်းသည်-
၆.၂ ကီးပေါင်းစပ်မှုမုဒ်များ
၁- ဗဟိုချုပ်ကိုင်ထားသော sFlow Sampling: NPB သည် ကွန်ရက်စက်ပစ္စည်းများစွာမှ (SPAN/RSPAN port များ သို့မဟုတ် TAP များမှတစ်ဆင့်) traffic ကို စုစည်းပြီးနောက် ဤစုစည်းထားသော traffic ကို sFlow Agent ကို လုပ်ဆောင်သည်။ စက်ပစ္စည်းတစ်ခုစီသည် collector သို့ နမူနာများပေးပို့မည့်အစား NPB သည် နမူနာစီးကြောင်းတစ်ခုတည်းကို ပေးပို့ပြီး collector ဝန်ထုပ်ဝန်ပိုးကို လျှော့ချပေးပြီး စီမံခန့်ခွဲမှုကို ရိုးရှင်းစေသည်။ ဤမုဒ်သည် နမူနာယူခြင်းကို ဗဟိုချုပ်ကိုင်ပြီး ကွန်ရက်တစ်လျှောက်တွင် တသမတ်တည်း နမူနာနှုန်းထားများကို သေချာစေသောကြောင့် ကွန်ရက်ကြီးများအတွက် အသင့်တော်ဆုံးဖြစ်သည်။
၂။ ယာဉ်ကြောစစ်ထုတ်ခြင်းနှင့် အကောင်းဆုံးဖြစ်အောင်ပြုလုပ်ခြင်း- NPB များသည် နမူနာယူခြင်းမပြုမီ ယာဉ်ကြောကို စစ်ထုတ်နိုင်ပြီး သက်ဆိုင်ရာ ယာဉ်ကြော (ဥပမာ၊ အရေးကြီးသော subnet များမှ ယာဉ်ကြော၊ သီးခြားအပလီကေးရှင်းများမှ ယာဉ်ကြော) ကိုသာ sFlow Agent မှ နမူနာယူကြောင်း သေချာစေသည်။ ၎င်းသည် collector သို့ ပေးပို့သော နမူနာအရေအတွက်ကို လျှော့ချပေးပြီး ထိရောက်မှုကို မြှင့်တင်ပေးကာ သိုလှောင်မှုလိုအပ်ချက်များကို လျှော့ချပေးသည်။ ဥပမာအားဖြင့်၊ NPB သည် စောင့်ကြည့်ရန်မလိုအပ်သော အတွင်းပိုင်းစီမံခန့်ခွဲမှု ယာဉ်ကြော (ဥပမာ၊ SSH၊ SNMP) ကို စစ်ထုတ်နိုင်ပြီး sFlow ကို အသုံးပြုသူနှင့် အပလီကေးရှင်း ယာဉ်ကြောပေါ်တွင် အာရုံစိုက်နိုင်သည်။
၃။ နမူနာစုစည်းခြင်းနှင့် ဆက်စပ်မှု- NPB များသည် စက်ပစ္စည်းများစွာမှ sFlow နမူနာများကို စုစည်းပြီးနောက် ဤဒေတာကို collector သို့ မပို့မီ (ဥပမာ၊ အရင်းအမြစ် IP မှ ဦးတည်ရာများစွာသို့ traffic ကို ချိတ်ဆက်ခြင်း) ဆက်စပ်နိုင်သည်။ ၎င်းသည် collector အား network flow များ၏ ပိုမိုပြည့်စုံသော မြင်ကွင်းကို ပေးစွမ်းပြီး sFlow ၏ flow အပြည့်အစုံကို မခြေရာခံခြင်းဆိုင်ရာ ကန့်သတ်ချက်ကို ဖြေရှင်းပေးသည်။ အဆင့်မြင့် NPB အချို့သည် traffic ပမာဏအပေါ် အခြေခံ၍ sampling rate များကို ပြောင်းလဲချိန်ညှိခြင်းကို ပံ့ပိုးပေးသည် (ဥပမာ၊ traffic spikes များအတွင်း sampling rate များကို တိုးမြှင့်ခြင်း)။
၄။ ထပ်တူကျမှုနှင့် ရရှိနိုင်မှုမြင့်မားခြင်း- NPB များသည် sFlow နမူနာများအတွက် ထပ်တူကျသောလမ်းကြောင်းများကို ပံ့ပိုးပေးနိုင်ပြီး collector တစ်ခုချို့ယွင်းပါက မည်သည့်ဒေတာမျှ ဆုံးရှုံးခြင်းမရှိစေရန် သေချာစေသည်။ ၎င်းတို့သည် collector များစွာတွင် နမူနာများကို load-balance လုပ်နိုင်ပြီး collector တစ်ခုတည်းသည် bottleneck မဖြစ်စေရန် ကာကွယ်ပေးသည်။
၆.၃ NPB + sFlow ပေါင်းစပ်မှု၏ လက်တွေ့အကျိုးကျေးဇူးများ
sFlow ကို NPB နှင့် ပေါင်းစပ်ခြင်းဖြင့် အဓိကအကျိုးကျေးဇူးများစွာ ရရှိနိုင်ပါသည်။
- တိုးချဲ့နိုင်မှု- NPB များသည် ယာဉ်ကြောပိတ်ဆို့မှုစုစည်းမှုနှင့် နမူနာယူမှုကို ကိုင်တွယ်ပေးပြီး sFlow collector သည် ဝန်ပိခြင်းမရှိဘဲ စက်ပစ္စည်းထောင်ပေါင်းများစွာကို ပံ့ပိုးပေးရန် တိုးချဲ့နိုင်စေပါသည်။
- တိကျမှု- Dynamic sampling rate ချိန်ညှိမှုနှင့် traffic filtering သည် sFlow data ၏ တိကျမှုကို မြှင့်တင်ပေးပြီး အရေးကြီးသော traffic pattern များ လွတ်သွားနိုင်ခြေကို လျှော့ချပေးသည်။
- ထိရောက်မှု- ဗဟိုချုပ်ကိုင်မှုဖြင့် နမူနာယူခြင်းနှင့် စစ်ထုတ်ခြင်းသည် စုဆောင်းသူထံ ပေးပို့သော နမူနာအရေအတွက်ကို လျှော့ချပေးပြီး bandwidth နှင့် သိုလှောင်မှုအသုံးပြုမှုကို လျှော့ချပေးသည်။
- ရိုးရှင်းသော စီမံခန့်ခွဲမှု- NPB များသည် sFlow ပြင်ဆင်မှုနှင့် စောင့်ကြည့်ခြင်းကို ဗဟိုချုပ်ကိုင်ထားပြီး ကွန်ရက်စက်ပစ္စည်းတိုင်းတွင် Agent များကို ပြင်ဆင်ရန် မလိုအပ်ပါ။
နိဂုံးချုပ်
sFlow သည် ခေတ်မီမြန်နှုန်းမြင့်ကွန်ရက်များ၏ ထူးခြားသောစိန်ခေါ်မှုများကို ကိုင်တွယ်ဖြေရှင်းပေးသည့် ပေါ့ပါးပြီး တိုးချဲ့နိုင်သော၊ စံသတ်မှတ်ထားသော ကွန်ရက်စောင့်ကြည့်ရေးပရိုတိုကောတစ်ခုဖြစ်သည်။ ယာဉ်ကြောပိတ်ဆို့မှုကို စုဆောင်းရန်နှင့် တန်ပြန်ဒေတာကို စုဆောင်းရန် နမူနာယူခြင်းကို အသုံးပြုခြင်းဖြင့် စက်ပစ္စည်းစွမ်းဆောင်ရည်ကို လျော့ကျစေခြင်းမရှိဘဲ ပြည့်စုံသောမြင်သာမှုကို ပေးစွမ်းသည်။ ဒေတာစင်တာများ၊ လုပ်ငန်းများနှင့် သယ်ယူပို့ဆောင်ရေးကုမ္ပဏီများအတွက် အသင့်တော်ဆုံးဖြစ်သည်။ ၎င်းတွင် ကန့်သတ်ချက်များ (ဥပမာ၊ နမူနာယူတိကျမှု၊ စီးဆင်းမှုအခြေအနေအကန့်အသတ်ရှိခြင်း) ရှိသော်လည်း sFlow ကို Network Packet Broker နှင့် ပေါင်းစပ်ခြင်းဖြင့် ၎င်းတို့ကို လျှော့ချနိုင်သည်။ ၎င်းသည် နမူနာယူခြင်းကို ဗဟိုပြုခြင်း၊ ယာဉ်ကြောပိတ်ဆို့မှုကို စစ်ထုတ်ခြင်းနှင့် တိုးချဲ့နိုင်စွမ်းကို မြှင့်တင်ပေးသည်။
သင်သည် သေးငယ်သော campus network သို့မဟုတ် ကြီးမားသော carrier backbone ကို စောင့်ကြည့်နေသည်ဖြစ်စေ sFlow သည် ကွန်ရက်စွမ်းဆောင်ရည်အပေါ် လက်တွေ့အသုံးချနိုင်သော အသိအမြင်များရရှိရန် ကုန်ကျစရိတ်သက်သာပြီး ရောင်းချသူ-ကြားနေဖြေရှင်းချက်ကို ပေးဆောင်ပါသည်။ NPB နှင့် တွဲဖက်လိုက်သောအခါ ၎င်းသည် ပိုမိုအစွမ်းထက်လာပြီး အဖွဲ့အစည်းများအား ၎င်းတို့၏ စောင့်ကြည့်ရေးအခြေခံအဆောက်အအုံကို တိုးချဲ့နိုင်ပြီး ၎င်းတို့၏ကွန်ရက်များ ကြီးထွားလာသည်နှင့်အမျှ မြင်သာမှုကို ထိန်းသိမ်းနိုင်စေပါသည်။
ပို့စ်တင်ချိန်: ၂၀၂၆ ခုနှစ်၊ ဖေဖော်ဝါရီလ ၅ ရက်
