يۇقىرى سۈرئەتلىك تورلار ۋە بۇلۇتقا ئاساسلانغان ئۇل ئەسلىھەلەر دەۋرىدە، ھەقىقىي ۋاقىتلىق، ئۈنۈملۈك تور ئېقىمىنى نازارەت قىلىش ئىشەنچلىك IT مەشغۇلاتلىرىنىڭ ئاساسىغا ئايلاندى. تورلار 10 Gbps+ ئۇلىنىش، كونتېينېرلىق قوللىنىشچان پروگراممىلار ۋە تارقىتىلغان ئارخىتېكتۇرالارنى قوللاش ئۈچۈن كېڭىيىۋاتقاندا، تولۇق بولاق تۇتۇش قاتارلىق ئەنئەنىۋى قاتناشنى نازارەت قىلىش ئۇسۇللىرى يۇقىرى بايلىق چىقىمى سەۋەبىدىن ئەمدى مۇمكىن ئەمەس. بۇ يەردە sFlow (ئۈلگە ئېلىنغان ئېقىم) رول ئوينايدۇ: تور ئۈسكۈنىلىرىنى بۇزۇۋەتمەي تۇرۇپ تور ئېقىمىنى ئومۇميۈزلۈك كۆرۈش ئۈچۈن لايىھەلەنگەن يېنىك، ئۆلچەملەشكەن تور تېلېمېتىرىيەسى كېلىشىمى. بۇ بىلوگدا، بىز sFlow ھەققىدىكى ئەڭ مۇھىم سوئاللارغا، ئۇنىڭ ئاساسىي ئېنىقلىمىسىدىن تارتىپ تور بولاق دەللاللىرى (NPB) دىكى ئەمەلىي مەشغۇلاتىغىچە جاۋاب بېرىمىز.
1. sFlow دېگەن نېمە؟
sFlow بولسا Inmon شىركىتى تەرىپىدىن ئىجاد قىلىنغان، RFC 3176 دا ئېنىقلانغان ئوچۇق، كەسىپ ئۆلچىمىدىكى تور ئېقىمىنى نازارەت قىلىش كېلىشىمى. ئىسمىدىن كۆرۈۋېلىشقا بولىدۇكى، sFlow نىڭ ئۆزىگە خاس «ئېقىم ئىز قوغلاش» مەنتىقى يوق - ئۇ تور ئېقىمى ستاتىستىكىسىنى توپلايدىغان ۋە تەھلىل قىلىش ئۈچۈن مەركىزىي توپلىغۇچىغا ئېكسپورت قىلىدىغان ئەۋرىشكە ئېلىش ئاساسىدىكى تېلېمېتىرىيە تېخنىكىسى. NetFlow غا ئوخشاش ھالەتلىك كېلىشىملەردىن پەرقلىق ھالدا، sFlow تور ئۈسكۈنىلىرىدە ئېقىم خاتىرىلىرىنى ساقلىمايدۇ؛ ئەكسىچە، ئۇ كىچىك، ۋەكىللىك ئېقىم ۋە ئۈسكۈنە ھېسابلىغۇچىلىرىنى تۇتۇپ، ئاندىن بۇ سانلىق مەلۇماتلارنى بىر تەرەپ قىلىش ئۈچۈن توپلىغۇچىغا دەرھال يوللايدۇ.
sFlow ئاساسلىقى كېڭەيتكىلى بولىدىغان ۋە بايلىق سەرپىياتىنى تۆۋەن ساقلاش ئۈچۈن لايىھەلەنگەن. ئۇ تور ئۈسكۈنىلىرىگە (كوممۇتاتسىيە، يوللىغۇچ، ئوت ئۆچۈرۈش تاملىرى) sFlow ۋاكالەتچىسى سۈپىتىدە ئورنىتىلغان بولۇپ، ئۈسكۈنە ئىقتىدارى ياكى تور ئۆتكۈزۈشچانلىقىغا تەسىر كۆرسەتمەي تۇرۇپ يۇقىرى سۈرئەتلىك ئۇلىنىشلارنى (10 Gbps ۋە ئۇنىڭدىن يۇقىرى) ھەقىقىي ۋاقىتلىق نازارەت قىلىشقا شارائىت ھازىرلايدۇ. ئۇنىڭ ئۆلچەملىشىشى ھەر قايسى ساتقۇچىلارنىڭ ماسلىشىشىنى كاپالەتلەندۈرىدۇ، بۇ ئۇنى ھەر خىل تور مۇھىتى ئۈچۈن ئومۇميۈزلۈك تاللاشقا ئايلاندۇرىدۇ.
2. sFlow قانداق ئىشلەيدۇ؟
sFlow ئاددىي، ئىككى تەركىبلىك ئارخىتېكتۇرا ئاساسىدا ئىشلەيدۇ: sFlow Agent (تور ئۈسكۈنىلىرىگە ئورنىتىلغان) ۋە sFlow Collector (سانلىق مەلۇماتلارنى توپلاش ۋە تەھلىل قىلىش ئۈچۈن مەركەزلەشتۈرۈلگەن مۇلازىمېتىر). خىزمەت ئېقىمى ئىككى ئاساسلىق ئەۋرىشكە ئېلىش مېخانىزمى - بولاق ئەۋرىشكە ئېلىش ۋە قارشى ئەۋرىشكە ئېلىش - ۋە سانلىق مەلۇمات ئېكسپورت قىلىش ئەتراپىدا ئايلىنىدۇ، بۇلار تۆۋەندە تەپسىلىي بايان قىلىنغان:
2.1 ئاساسلىق تەركىبلەر
- sFlow ئاگېنتى: تور ئۈسكۈنىلىرىگە ئورنىتىلغان يېنىك يۇمشاق دېتال مودۇلى (مەسىلەن، Cisco switch، Huawei يوللىغۇچلىرى). ئۇ تور ئېقىمى ئۈلگىلىرى ۋە ساناش سانلىق مەلۇماتلىرىنى توپلاش، بۇ سانلىق مەلۇماتلارنى sFlow سانلىق مەلۇمات گراممىسىغا كىرگۈزۈش ۋە ئۇلارنى UDP (سۈكۈتتىكى پورت 6343) ئارقىلىق توپلىغۇچىغا ئەۋەتىشكە مەسئۇل.
- sFlow توپلىغۇچى: sFlow سانلىق مەلۇمات گراممىسىنى قوبۇل قىلىدىغان، تەھلىل قىلىدىغان، ساقلايدىغان ۋە تەھلىل قىلىدىغان مەركەزلەشتۈرۈلگەن سىستېما (فىزىكىلىق ياكى مەۋھۇم). NetFlow توپلىغۇچىلىرىدىن پەرقلىق ھالدا، sFlow توپلىغۇچىلىرى خام پاكېت باشلىرىنى (ئادەتتە ھەر بىر ئۈلگە ئۈچۈن 60-140 بايت) بىر تەرەپ قىلىشى ۋە مەنىلىك ئۇچۇرلارنى چىقىرىش ئۈچۈن ئۇلارنى تەھلىل قىلىشى كېرەك - بۇ خىل ئەركىنلىك MPLS، VXLAN ۋە GRE قاتارلىق ئۆلچەملىك بولمىغان پاكېتلارنى قوللاشقا يول قويىدۇ.
2.2 ئاساسلىق ئەۋرىشكە ئېلىش مېخانىزمى
sFlow كۆرۈنۈشچانلىقى ۋە بايلىق ئۈنۈمىنى تەڭشەش ئۈچۈن ئىككى خىل تولۇقلايدىغان ئەۋرىشكە ئېلىش ئۇسۇلىنى قوللىنىدۇ:
1- بولاق ئەۋرىشكىسى: ۋاكالەتچى نازارەت قىلىنىدىغان ئارايۈزلەردە كىرىش/چىقىش بولاقلىرىنى تاسادىپىي ئەۋرىشكە ئالىدۇ. مەسىلەن، ئەۋرىشكە ئېلىش نىسبىتى 1:2048 بولسا، ۋاكالەتچى ھەر 2048 بولاقنىڭ 1 ىنى تۇتۇۋالىدۇ (كۆپىنچە ئۈسكۈنىلەر ئۈچۈن ئۆلچەملىك ئەۋرىشكە ئېلىش نىسبىتى). پۈتۈن بولاقلارنى تۇتۇشنىڭ ئورنىغا، ئۇ پەقەت بولاق باشلىقىنىڭ دەسلەپكى بىر قانچە بايتىنى (ئادەتتە 60-140 بايت) توپلايدۇ، بۇ بايتلاردا مۇھىم ئۇچۇرلار (مەنبە/مەنزىل IP، پورت، كېلىشىم) بار بولۇپ، ئومۇمىي چىقىمنى ئەڭ تۆۋەن چەككە چۈشۈرىدۇ. ئەۋرىشكە ئېلىش نىسبىتىنى تەڭشىگىلى بولىدۇ ۋە تور ئېقىم مىقدارىغا ئاساسەن تەڭشىلىشى كېرەك - يۇقىرى سۈرئەت (كۆپ ئۈلگە) توغرىلىقنى ئاشۇرىدۇ، ئەمما بايلىق ئىشلىتىشنى ئاشۇرىدۇ، تۆۋەن سۈرئەت بولسا ئومۇمىي چىقىمنى ئازايتىدۇ، ئەمما ئاز ئۇچرايدىغان ئېقىم ئەندىزىسىنى قولدىن بېرىپ قويۇشى مۇمكىن.
2- ساناش ئۈلگىسى: پاكىت ئۈلگىلىرىدىن باشقا، ۋاكالەتچى تور ئارايۈزلىرىدىن ساناش سانلىق مەلۇماتلىرىنى (مەسىلەن، يوللانغان/قوبۇل قىلىنغان بايتلار، پاكىت چۈشۈش، خاتالىق نىسبىتى) بەلگىلەنگەن ۋاقىت ئارىلىقىدا (ئۆزلۈكىدىن 10 سېكۇنت) توپلايدۇ. بۇ سانلىق مەلۇماتلار ئۈسكۈنە ۋە ئۇلىنىش ساغلاملىقى ھەققىدە مەزمۇن بىلەن تەمىنلەيدۇ، پاكىت ئۈلگىلىرىنى تولۇقلاپ، تور ئىقتىدارىنىڭ تولۇق رەسىمىنى بېرىدۇ.
2.3 سانلىق مەلۇمات ئېكسپورت قىلىش ۋە تەھلىل قىلىش
توپلانغاندىن كېيىن، ۋاكالەتچى پاكېت ئۈلگىلىرى ۋە ساناش سانلىق مەلۇماتلىرىنى sFlow سانلىق مەلۇمات گراممىسىغا (UDP پاكېتلىرى) قىستۇرۇپ، ئۇلارنى توپلىغۇچىغا ئەۋەتىدۇ. توپلىغۇچى بۇ سانلىق مەلۇمات گراممىسىنى تەھلىل قىلىدۇ، سانلىق مەلۇماتلارنى توپلايدۇ ۋە كۆرۈنۈشلۈك، دوكلات ياكى ئاگاھلاندۇرۇش ھاسىل قىلىدۇ. مەسىلەن، ئۇ ئەڭ كۆپ سۆزلەيدىغانلارنى ئېنىقلىيالايدۇ، نورمالسىز قاتناش ئەندىزىسىنى (مەسىلەن، DDoS ھۇجۇملىرى) بايقىيالايدۇ ياكى ۋاقىتنىڭ ئۆتۈشىگە ئەگىشىپ بەلۋاغ كەڭلىكىنىڭ ئىشلىتىلىشىنى ئىز قوغلىيالايدۇ. ئەۋرىشكە ئېلىش نىسبىتى ھەر بىر سانلىق مەلۇمات گراممىسىغا كىرگۈزۈلگەن بولۇپ، توپلىغۇچىنىڭ سانلىق مەلۇماتلارنى چىقىرىپ، ئومۇمىي قاتناش مىقدارىنى مۆلچەرلىشىگە يول قويىدۇ (مەسىلەن، 2048 ئەۋرىشكىدىن 1 ئەۋرىشكە كۆزىتىلگەن قاتناش مىقدارىنىڭ ~2048 ھەسسىسىنى كۆرسىتىدۇ).
3. sFlow نىڭ ئاساسلىق قىممىتى نېمە؟
sFlow نىڭ قىممىتى ئۇنىڭ كېڭەيتكىلى بولۇش، تۆۋەن چىقىم ۋە ئۆلچەملەشتۈرۈش قاتارلىق ئۆزگىچە بىرىكمىسىدىن كېلىپ چىققان بولۇپ، زامانىۋى تور كۆزىتىشنىڭ ئاساسلىق مەسىلىلىرىنى ھەل قىلىدۇ. ئۇنىڭ ئاساسلىق قىممەت تەكلىپلىرى تۆۋەندىكىچە:
3.1 تۆۋەن بايلىق ئومۇمىي چىقىمى
تولۇق پاكېت تۇتۇش (ھەر بىر پاكېتنى ساقلاش ۋە بىر تەرەپ قىلىشنى تەلەپ قىلىدۇ) ياكى NetFlow (ئۈسكۈنىلەردە ئېقىم جەدۋىلىنى ساقلايدىغان) قاتارلىق ھالەتلىك پروتوكوللاردىن پەرقلىق ھالدا، sFlow ئۈلگە ئېلىشنى ئىشلىتىدۇ ۋە يەرلىك سانلىق مەلۇمات ساقلاشتىن ساقلىنىدۇ. بۇ تور ئۈسكۈنىلىرىدىكى CPU، ئىچكى ساقلىغۇچ ۋە بەلۋاغ كەڭلىكىنىڭ ئىشلىتىلىشىنى ئەڭ تۆۋەن چەككە چۈشۈرىدۇ، بۇ ئۇنى يۇقىرى سۈرئەتلىك ئۇلىنىش ۋە بايلىق چەكلىك مۇھىتلار (مەسىلەن، كىچىك ۋە ئوتتۇرا كارخانا تورلىرى) ئۈچۈن ئەڭ ماس كېلىدۇ. ئۇ كۆپىنچە ئۈسكۈنىلەر ئۈچۈن قوشۇمچە ئۈسكۈنە ياكى ئىچكى ساقلىغۇچنى يېڭىلاشنى تەلەپ قىلمايدۇ، بۇ ئورۇنلاشتۇرۇش تەننەرخىنى تۆۋەنلىتىدۇ.
3.2 يۇقىرى كۆلەملەشتۈرۈش ئىقتىدارى
sFlow زامانىۋى تورلار بىلەن ماسلىشىش ئۈچۈن لايىھەلەنگەن. بىر توپلىغۇچ يۈزلىگەن ئۈسكۈنىلەردىكى ئون مىڭلىغان ئۇلىنىشلارنى نازارەت قىلالايدۇ، 100 Gbps ۋە ئۇنىڭدىن يۇقىرى سۈرئەتتىكى ئۇلىنىشلارنى قوللايدۇ. ئۇنىڭ ئەۋرىشكە ئېلىش مېخانىزمى تور ئېقىمى مىقدارى ئاشقان تەقدىردىمۇ، ۋاكالەتچىنىڭ بايلىق ئىشلىتىشىنى كونترول قىلغىلى بولىدىغانلىقىنى كاپالەتلەندۈرىدۇ، بۇ سانلىق مەلۇمات مەركەزلىرى ۋە تور توشۇغۇچى دەرىجىلىك تورلار ئۈچۈن ئىنتايىن مۇھىم.
3.3 تورنىڭ ئومۇميۈزلۈك كۆرۈنۈشچانلىقى
sFlow تور ئېقىمىنى باشتىن-ئاخىر كۆرۈش ئىقتىدارىنى (تور ئېقىمى مەزمۇنى ئۈچۈن) ۋە قارشى ئېلىش ئۈلگىسىنى (ئۈسكۈنە/ئۇلىنىش ساغلاملىقى ئۈچۈن) بىرلەشتۈرۈش ئارقىلىق، تور ئېقىمىنى باشتىن-ئاخىر كۆرۈش ئىقتىدارىنى تەمىنلەيدۇ. ئۇ 2-قەۋەتتىن 7-قەۋەتكىچە بولغان ئېقىمنى قوللايدۇ، قوللىنىشچان پروگراممىلارنى (مەسىلەن، تور، P2P، DNS)، كېلىشىملەرنى (مەسىلەن، TCP، UDP، MPLS) ۋە ئىشلەتكۈچى ھەرىكىتىنى نازارەت قىلىشقا شارائىت ھازىرلايدۇ. بۇ كۆرۈش ئىقتىدارى IT گۇرۇپپىلىرىنىڭ توسالغۇلارنى بايقاش، مەسىلىلەرنى ھەل قىلىش ۋە تور ئىقتىدارىنى ئالدىنئالا ئەلالاشتۇرۇشقا ياردەم بېرىدۇ.
3.4 ساتقۇچىغا قارشى تۇرۇش ئۆلچىمى
ئوچۇق ئۆلچەم (RFC 3176) سۈپىتىدە، sFlow بارلىق چوڭ تور سودىگەرلىرى (Cisco، Huawei، Juniper، Arista) تەرىپىدىن قوللىنىدۇ ۋە ئالقىشقا ئېرىشكەن نازارەت قىلىش قوراللىرى (مەسىلەن، PRTG، SolarWinds، sFlow-RT) بىلەن بىرلەشتۈرۈلىدۇ. بۇ، ساتقۇچىلارنىڭ چەكلىنىپ قېلىشىنى يوقىتىدۇ ۋە ئورگانلارنىڭ ھەر خىل تور مۇھىتىدا (مەسىلەن، ئارىلاشما Cisco ۋە Huawei ئۈسكۈنىلىرى) sFlow نى ئىشلىتىشىگە يول قويىدۇ.
4. sFlow نىڭ ئادەتتىكى قوللىنىش سىنارىيەلىرى
sFlow نىڭ كۆپ ئىقتىدارلىقلىقى ئۇنى كىچىك كارخانىلاردىن تارتىپ چوڭ سانلىق مەلۇمات مەركەزلىرىگىچە بولغان كەڭ دائىرىلىك تور مۇھىتىغا ماسلاشتۇرىدۇ. ئۇنىڭ ئەڭ كۆپ ئۇچرايدىغان قوللىنىش ئەھۋاللىرى تۆۋەندىكىلەرنى ئۆز ئىچىگە ئالىدۇ:
4.1 سانلىق مەلۇمات مەركىزى تورىنى نازارەت قىلىش
سانلىق مەلۇمات مەركەزلىرى يۇقىرى سۈرئەتلىك ئۇلىنىشقا (10 Gbps+) تايىنىدۇ ھەمدە مىڭلىغان مەۋھۇم ماشىنىلار (VM) ۋە كونتېينېرلىق قوللىنىشچان پروگراممىلارنى قوللايدۇ. sFlow يوپۇرماق ئومۇرتقا تور قاتنىشىنى ھەقىقىي ۋاقىتتا كۆرۈش ئىمكانىيىتى بىلەن تەمىنلەيدۇ، بۇ IT گۇرۇپپىلىرىغا «پىل ئېقىمى» (قىسقالىقنى كەلتۈرۈپ چىقىرىدىغان چوڭ، ئۇزۇن مۇددەتلىك ئېقىملار) نى بايقاشقا، تور كەڭلىكى تەقسىماتىنى ئەلالاشتۇرۇشقا ۋە VM/كونتېينېر ئارىسىدىكى ئالاقە مەسىلىلىرىنى ھەل قىلىشقا ياردەم بېرىدۇ. ئۇ كۆپىنچە SDN (يۇمشاق دېتال بىلەن بەلگىلەنگەن تور) بىلەن بىرلىكتە دىنامىك قاتناش قۇرۇلۇشىغا ياردەم بېرىدۇ.
4.2 كارخانا مەكتەپ تورىنى باشقۇرۇش
كارخانا مەكتەپ رايونلىرى خىزمەتچىلەرنىڭ قاتناش مىقدارىنى نازارەت قىلىش، تور كەڭلىكى سىياسىتىنى ئىجرا قىلىش ۋە نورمالسىزلىقلارنى (مەسىلەن، رۇخسەتسىز ئۈسكۈنىلەر، P2P ھۆججەت ئورتاقلىشىش) بايقاش ئۈچۈن ئەرزان، كېڭەيتكىلى بولىدىغان نازارەت قىلىشنى تەلەپ قىلىدۇ. sFlow نىڭ تۆۋەن چىقىملىق بولۇشى ئۇنى مەكتەپ ئالماشتۇرۇش ۋە يوللىغۇچلارغا ماسلاشتۇرىدۇ، بۇ IT گۇرۇپپىلىرىنىڭ تور كەڭلىكىدىكى مەسىلىلەرنى بايقاش، قوللىنىشچان پروگراممىلارنىڭ ئىقتىدارىنى ئەلالاشتۇرۇش (مەسىلەن، Microsoft 365، Zoom) ۋە ئاخىرقى ئىشلەتكۈچىلەرنىڭ ئىشەنچلىك ئۇلىنىشىغا كاپالەتلىك قىلىش ئىمكانىيىتىنى بېرىدۇ.
4.3 توشۇغۇچى دەرىجىلىك تور مەشغۇلاتى
تېلېكوممۇنىكاتسىيە ئوپېراتورلىرى sFlow ئارقىلىق ئاساسىي لىنىيە ۋە كىرىش تورلىرىنى نازارەت قىلىپ، مىڭلىغان ئىنتېرفېيسلاردىكى قاتناش مىقدارى، كېچىكىش ۋە خاتالىق نىسبىتىنى ئىز قوغلايدۇ. ئۇ ئوپېراتورلارغا تورداشلىق مۇناسىۋىتىنى ئەلالاشتۇرۇش، DDoS ھۇجۇملىرىنى بالدۇر بايقاش ۋە بەلۋاغ كەڭلىكى ئىشلىتىش مىقدارىغا ئاساسەن خېرىدارلاردىن ھەق ئېلىش (ئىشلىتىش ھېساباتى) غا ياردەم بېرىدۇ.
4.4 تور بىخەتەرلىكىنى نازارەت قىلىش
sFlow بىخەتەرلىك گۇرۇپپىلىرى ئۈچۈن قىممەتلىك قورال بولۇپ، ئۇ DDoS ھۇجۇملىرى، پورت سىكانىرلاش ياكى زىيانلىق يۇمشاق دېتاللار بىلەن مۇناسىۋەتلىك نورمالسىز قاتناش ئەندىزىسىنى بايقىيالايدۇ. توپلىغۇچىلار بولاق ئۈلگىلىرىنى تەھلىل قىلىش ئارقىلىق، نورمالسىز مەنبە/مەنزىل IP جۈپلىرىنى، كۈتۈلمىگەن كېلىشىم ئىشلىتىلىشىنى ياكى قاتناش مىقدارىنىڭ تۇيۇقسىز ئۆرلىشىنى بايقىيالايدۇ، بۇ ئارقىلىق تېخىمۇ چوڭقۇر تەكشۈرۈش ئۈچۈن ئاگاھلاندۇرۇشلارنى قوزغىتىدۇ. ئۇنىڭ خام بولاق باشلىقىنى قوللىشى ئۇنى ئۆلچەملىك بولمىغان ھۇجۇم ۋېكتورلىرىنى (مەسىلەن، شىفىرلانغان DDoS قاتناش مىقدارى) بايقاشتا ئالاھىدە ئۈنۈملۈك قىلىدۇ.
4.5 سىغىم پىلانى ۋە يۈزلىنىش ئانالىزى
sFlow تارىخىي تور ئېقىمى سانلىق مەلۇماتلىرىنى توپلاش ئارقىلىق، IT گۇرۇپپىلىرىنىڭ يۈزلىنىشلەرنى (مەسىلەن، پەسىللىك تور كەڭلىكىنىڭ ئۆرلىشى، قوللىنىشچان پروگراممىلارنىڭ ئىشلىتىلىشىنىڭ ئېشىشى) ئېنىقلىشى ۋە تورنى يېڭىلاشنى ئالدىن پىلانلىشىغا شارائىت ھازىرلايدۇ. مەسىلەن، ئەگەر sFlow سانلىق مەلۇماتلىرى تور كەڭلىكىنىڭ ئىشلىتىلىشى ھەر يىلى %20 ئاشىدىغانلىقىنى كۆرسەتسە، گۇرۇپپىلار تور قىستاڭچىلىقى يۈز بېرىشتىن بۇرۇن قوشۇمچە ئۇلىنىش ياكى ئۈسكۈنە يېڭىلاش ئۈچۈن خامچوت چىقىرالايدۇ.
5. sFlow نىڭ چەكلىمىلىرى
sFlow كۈچلۈك نازارەت قىلىش قورالى بولسىمۇ، ئۇنىڭ ئۆزىگە خاس چەكلىمىلىرى بار، تەشكىلاتلار ئۇنى ئىشلەتكەندە بۇنى ئويلىشىشى كېرەك:
5.1 ئەۋرىشكە ئېلىش توغرىلىقىنىڭ ئۆز-ئارا ماسلىشىشى
sFlow نىڭ ئەڭ چوڭ چەكلىمىسى ئۇنىڭ ئەۋرىشكە ئېلىشقا تايىنىشىدۇر. ئەۋرىشكە ئېلىش نىسبىتىنىڭ تۆۋەن بولۇشى (مەسىلەن، 1:10000) ئاز ئۇچرايدىغان، ئەمما مۇھىم قاتناش ئەندىزىسىنى (مەسىلەن، قىسقا مۇددەتلىك ھۇجۇم ئېقىمى) قولدىن بېرىپ قويۇشى مۇمكىن، يۇقىرى ئەۋرىشكە ئېلىش نىسبىتى بولسا بايلىقنىڭ چىقىمىنى ئاشۇرىدۇ. بۇنىڭدىن باشقا، ئەۋرىشكە ئېلىش ستاتىستىكىلىق ئۆزگىرىشنى كەلتۈرۈپ چىقىرىدۇ - ئومۇمىي قاتناش مىقدارىنىڭ مۆلچەرى %100 توغرا بولماسلىقى مۇمكىن، بۇ بولسا توغرا قاتناش سانىنى تەلەپ قىلىدىغان ئىشلىتىش ئەھۋاللىرى ئۈچۈن مەسىلە بولۇشى مۇمكىن (مەسىلەن، مۇھىم ۋەزىپىلەر ئۈچۈن ھەق ئېلىش).
5.2 تولۇق ئېقىملىق مەزمۇن يوق
NetFlow دىن پەرقلىق ھالدا (ئۇ باشلىنىش/ئاخىرلىشىش ۋاقتى ۋە ھەر بىر ئېقىمدىكى ئومۇمىي بايت/پاكېتلارنى ئۆز ئىچىگە ئالغان تولۇق ئېقىم خاتىرىلىرىنى ساقلايدۇ)، sFlow پەقەت ئايرىم پاكېت ئۈلگىلىرىنىلا ساقلايدۇ. بۇ ئېقىمنىڭ تولۇق ھاياتلىق دەۋرىيلىكىنى ئىز قوغلاشنى قىيىنلاشتۇرىدۇ (مەسىلەن، ئېقىمنىڭ قاچان باشلانغانلىقىنى، قانچىلىك داۋاملاشقانلىقىنى ياكى ئۇنىڭ ئومۇمىي ئۆتكۈزۈش كەڭلىكى سەرپىياتىنى ئېنىقلاش).
5.3 بەزى ئىنتېرفېيسلار/ھالىتىلەر ئۈچۈن چەكلىك قوللاش
نۇرغۇن تور ئۈسكۈنىلىرى پەقەت فىزىكىلىق ئىنتېرفېيسلاردا sFlow نى قوللايدۇ - مەۋھۇم ئىنتېرفېيسلار (مەسىلەن، VLAN تارماق ئىنتېرفېيسلىرى، پورت قاناللىرى) ياكى قاتلاش ھالىتى قوللىماسلىقى مۇمكىن. مەسىلەن، Cisco ئالماشتۇرغۇچلىرى قاتلاش ھالىتىدە قوزغالغاندا sFlow نى قوللىمايدۇ، بۇ ئۇنىڭ قاتلاش ئالماشتۇرغۇچ ئورۇنلاشتۇرۇشىدا ئىشلىتىلىشىنى چەكلەيدۇ.
5.4 ۋاكالەتچىنىڭ يولغا قويۇشىغا تايىنىش
sFlow نىڭ ئۈنۈمى تور ئۈسكۈنىلىرىدىكى Agent نىڭ ئىجرا قىلىنىش سۈپىتىگە باغلىق. بەزى تۆۋەن دەرىجىلىك ئۈسكۈنىلەر ياكى كونا ئۈسكۈنىلەردە ناچار ئەلالاشتۇرۇلغان Agent لار بولۇشى مۇمكىن، بۇلار ئارتۇقچە بايلىق سەرپ قىلىدۇ ياكى توغرا ئەمەس ئەۋرىشكىلەرنى بېرىدۇ. مەسىلەن، بەزى يوللىغۇچلارنىڭ ئاستى كونترول تۈزلەڭلىك CPU لىرى بار، بۇ ئەڭ ياخشى ئەۋرىشكە ئېلىش سۈرئىتىنى تەڭشەشكە توسقۇنلۇق قىلىدۇ، بۇ DDoS قاتارلىق ھۇجۇملارنىڭ بايقاش توغرىلىقىنى تۆۋەنلىتىدۇ.
5.5 چەكلىك شىفىرلانغان قاتناش ئۇچۇرى
sFlow پەقەت پاكېت باشلىقىنىلا تۇتىدۇ - شىفىرلانغان قاتناش (مەسىلەن، TLS 1.3) يۈك سانلىق مەلۇماتلىرىنى يوشۇرىدۇ، بۇ ئارقىلىق ئېقىمنىڭ ئەمەلىي قوللىنىشچان پروگراممىسى ياكى مەزمۇنىنى ئېنىقلاش مۇمكىن ئەمەس. sFlow يەنىلا ئاساسىي ئۆلچەملەرنى (مەسىلەن، مەنبە/مەنزىل، پاكېت چوڭلۇقى) ئىز قوغلىيالايدۇ، ئەمما شىفىرلانغان قاتناش ھەرىكىتىنى (مەسىلەن، HTTPS قاتناش سىستېمىسىغا يوشۇرۇنغان زىيانلىق يۈكلەر) چوڭقۇر كۆرۈش ئىمكانىيىتى بىلەن تەمىنلىيەلمەيدۇ.
5.6 توپلىغۇچىنىڭ مۇرەككەپلىكى
NetFlow دىن پەرقلىق ھالدا (ئالدىن تەھلىل قىلىنغان ئېقىم خاتىرىلىرىنى تەمىنلەيدۇ)، sFlow توپلىغۇچىلاردىن خام بولاق باشلىرىنى تەھلىل قىلىشنى تەلەپ قىلىدۇ. بۇ توپلىغۇچىنىڭ ئورۇنلاشتۇرۇشى ۋە باشقۇرۇشىنىڭ مۇرەككەپلىكىنى ئاشۇرىدۇ، چۈنكى گۇرۇپپىلار توپلىغۇچىنىڭ ھەر خىل بولاق تىپلىرى ۋە كېلىشىملىرىنى (مەسىلەن، MPLS، VXLAN) بىر تەرەپ قىلالايدىغانلىقىغا كاپالەتلىك قىلىشى كېرەك.
6. sFlow قانداق ئىشلەيدۇ؟تور پاكېت دەللالى (NPB)?
تور پاكېت ۋاسىتىچىسى (NPB) تور ئېقىمىنى نازارەت قىلىش قوراللىرىغا (مەسىلەن، sFlow توپلىغۇچىلار، IDS/IPS، تولۇق پاكېت تۇتۇش سىستېمىسى) توپلايدىغان، سۈزىدىغان ۋە تارقىتىدىغان ئالاھىدە ئۈسكۈنە. NPBلار «قاتناش مەركىزى» رولىنى ئوينايدۇ، نازارەت قىلىش قوراللىرىنىڭ پەقەت ئۇلارغا كېرەكلىك بولغان ئالاقىدار ئېقىمنى قوبۇل قىلىشىغا كاپالەتلىك قىلىدۇ، بۇنىڭ بىلەن ئۈنۈمنى ئاشۇرىدۇ ۋە قوراللارنىڭ ئارتۇق يۈكىنى ئازايتىدۇ. sFlow بىلەن بىرلەشتۈرۈلگەندە، NPBلار sFlow نىڭ چەكلىمىلىرىنى ھەل قىلىش ۋە كۆرۈنۈشچانلىقىنى كېڭەيتىش ئارقىلىق ئۇنىڭ ئىقتىدارىنى ئاشۇرىدۇ.
6.1 NPB نىڭ sFlow ئورۇنلاشتۇرۇشىدىكى رولى
ئەنئەنىۋى sFlow ئورۇنلاشتۇرۇشلىرىدا، ھەر بىر تور ئۈسكۈنىسى (كومپيۇتېر، يوللىغۇچ) ئۈلگىلەرنى بىۋاسىتە توپلىغۇچىغا ئەۋەتىدىغان sFlow ۋاكالەتچىسىنى ئىجرا قىلىدۇ. بۇ چوڭ تورلاردا توپلىغۇچىنىڭ ئارتۇق يۈكلىنىشىنى كەلتۈرۈپ چىقىرىدۇ (مەسىلەن، مىڭلىغان ئۈسكۈنىلەر بىرلا ۋاقىتتا UDP سانلىق مەلۇمات گراممىسىنى ئەۋەتىدۇ) ۋە مۇناسىۋەتسىز قاتناشنى سۈزۈشنى قىيىنلاشتۇرىدۇ. NPBلار بۇنى مەركەزلىك sFlow ۋاكالەتچىسى ياكى قاتناش توپلىغۇچىسى سۈپىتىدە تۆۋەندىكىدەك ھەرىكەت قىلىش ئارقىلىق ھەل قىلىدۇ:
6.2 ئاچقۇچلۇق بىرلەشتۈرۈش ئۇسۇللىرى
1- مەركەزلىك sFlow ئەۋرىشكە ئېلىش: NPB كۆپ تور ئۈسكۈنىلىرىدىن كەلگەن ئېقىمنى (SPAN/RSPAN پورتلىرى ياكى TAP ئارقىلىق) توپلايدۇ، ئاندىن بۇ توپلانغان ئېقىمنى ئەۋرىشكە ئېلىش ئۈچۈن sFlow ۋاكالەتچىسىنى ئىجرا قىلىدۇ. ھەر بىر ئۈسكۈنە ئەۋرىشكە توپلىغۇچىغا ئەۋەتىشنىڭ ئورنىغا، NPB بىر ئېقىم ئەۋرىشكە ئەۋەتىدۇ - بۇ ئارقىلىق توپلىغۇچىنىڭ يۈكىنى ئازايتىدۇ ۋە باشقۇرۇشنى ئاددىيلاشتۇرىدۇ. بۇ ھالەت چوڭ تورلار ئۈچۈن ئەڭ ياخشى، چۈنكى ئۇ ئەۋرىشكە ئېلىشنى مەركەزلەشتۈرىدۇ ۋە توردا بىردەك ئەۋرىشكە ئېلىش سۈرئىتىنى كاپالەتلەندۈرىدۇ.
2- قاتناشنى سۈزۈش ۋە ئەلالاشتۇرۇش: NPB لار ئەۋرىشكە ئېلىشتىن بۇرۇن قاتناشنى سۈزەلەيدۇ، بۇ ئارقىلىق sFlow ئاگېنتى پەقەت مۇناسىۋەتلىك قاتناشنى (مەسىلەن، مۇھىم تارماق تورلاردىن كەلگەن قاتناش، مەلۇم قوللىنىشچان پروگراممىلاردىن كەلگەن قاتناش) ئەۋرىشكە ئېلىشىغا كاپالەتلىك قىلىدۇ. بۇ ئارقىلىق توپلىغۇچىغا ئەۋەتىلىدىغان ئەۋرىشكىلەرنىڭ سانى ئازايتىلىدۇ، ئۈنۈم يۇقىرى كۆتۈرۈلىدۇ ۋە ساقلاش تەلىپى ئازايتىلىدۇ. مەسىلەن، NPB نازارەت قىلىشنى تەلەپ قىلمايدىغان ئىچكى باشقۇرۇش قاتناشنى (مەسىلەن، SSH، SNMP) سۈزۈپ، sFlow نى ئىشلەتكۈچى ۋە قوللىنىشچان پروگراممىلارنىڭ قاتناشىغا مەركەزلەشتۈرەلەيدۇ.
3- ئۈلگە توپلاش ۋە ئۆزئارا باغلىنىش: NPB لار كۆپ خىل ئۈسكۈنىلەردىن sFlow ئۈلگىلىرىنى توپلاپ، ئاندىن بۇ سانلىق مەلۇماتلارنى توپلىغۇچىغا ئەۋەتىشتىن بۇرۇن ئۆزئارا باغلىيالايدۇ (مەسىلەن، مەنبە IP دىن كەلگەن قاتناشنى كۆپ خىل مەنزىلگە باغلاش). بۇ توپلىغۇچىغا تور ئېقىمىنى تېخىمۇ تولۇق كۆرۈش ئىمكانىيىتى بىلەن تەمىنلەيدۇ، sFlow نىڭ تولۇق ئېقىم ئەھۋالىنى ئىز قوغلىماسلىق چەكلىمىسىنى ھەل قىلىدۇ. بەزى ئىلغار NPB لار يەنە قاتناش مىقدارىغا ئاساسەن ئۈلگە ئېلىش نىسبىتىنى دىنامىك تەڭشەشنى قوللايدۇ (مەسىلەن، قاتناشنىڭ تېز سۈرئەتتە ئېشىشى جەريانىدا ئۈلگە ئېلىش نىسبىتىنى ئاشۇرۇش ئارقىلىق توغرىلىقنى يۇقىرى كۆتۈرۈش).
4- ئارتۇقچىلىق ۋە يۇقىرى ئىشلىتىشكە بولىدىغانلىق: NPB لار sFlow ئەۋرىشكىلىرى ئۈچۈن ئارتۇقچە يوللارنى تەمىنلىيەلەيدۇ، بۇ ئارقىلىق توپلىغۇچى مەغلۇپ بولغاندا ھېچقانداق سانلىق مەلۇماتنىڭ يوقاپ كەتمەسلىكىگە كاپالەتلىك قىلىدۇ. ئۇلار يەنە ئەۋرىشكىلەرنى كۆپ توپلىغۇچىلار ئارىسىدا تەڭپۇڭلاشتۇرۇپ، ھەر قانداق بىر توپلىغۇچىنىڭ توسالغۇغا ئايلىنىشىنىڭ ئالدىنى ئالىدۇ.
6.3 NPB + sFlow بىرلەشتۈرۈشنىڭ ئەمەلىي پايدىلىرى
sFlow نى NPB بىلەن بىرلەشتۈرۈش بىر قانچە مۇھىم پايدىلارنى ئېلىپ كېلىدۇ:
- كۆلەملەشتۈرۈش: NPB لار قاتناشنى بىرلەشتۈرۈش ۋە ئەۋرىشكە ئېلىشنى بىر تەرەپ قىلىدۇ، بۇ sFlow توپلىغۇچىنىڭ مىڭلىغان ئۈسكۈنىلەرنى ئارتۇق يۈكلەنمەي قوللاش ئۈچۈن كۆلەملەشتۈرۈشىگە يول قويىدۇ.
- توغرىلىق: دىنامىك ئەۋرىشكە ئېلىش نىسبىتىنى تەڭشەش ۋە قاتناشنى سۈزۈش sFlow سانلىق مەلۇماتلىرىنىڭ توغرىلىقىنى يۇقىرى كۆتۈرۈپ، مۇھىم قاتناش ئەندىزىسىنىڭ يوقاپ كېتىش خەۋپىنى ئازايتىدۇ.
- ئۈنۈم: مەركەزلىك ئەۋرىشكە ئېلىش ۋە سۈزۈش ئارقىلىق توپلىغۇچىغا ئەۋەتىلىدىغان ئەۋرىشكە سانى ئازايتىلىپ، بەلۋاغ كەڭلىكى ۋە ساقلاش ئىشلىتىش مىقدارى تۆۋەنلەيدۇ.
- ئاددىيلاشتۇرۇلغان باشقۇرۇش: NPB لار sFlow سەپلىمە ۋە كۆزىتىشنى مەركەزلەشتۈرىدۇ، بۇ ئارقىلىق ھەر بىر تور ئۈسكۈنىسىدە ۋاكالەتچى سەپلىمە قىلىشنىڭ ھاجىتى يوق.
خۇلاسە
sFlow زامانىۋى يۇقىرى سۈرئەتلىك تورلارنىڭ ئۆزگىچە مەسىلىلىرىنى ھەل قىلىدىغان يېنىك، كېڭەيتكىلى بولىدىغان ۋە ئۆلچەملەشكەن تور كۆزىتىش كېلىشىمى. ئۇ ئەۋرىشكە ئېلىش ئارقىلىق قاتناش ۋە سانلىق مەلۇماتلارنى ھېسابلاش ئارقىلىق، ئۈسكۈنە ئىقتىدارىغا تەسىر كۆرسەتمەي، ئومۇميۈزلۈك كۆرۈنۈشلۈك بىلەن تەمىنلەيدۇ، بۇ ئۇنى سانلىق مەلۇمات مەركەزلىرى، كارخانىلار ۋە توشۇغۇچىلار ئۈچۈن ئەڭ ياخشى قىلىدۇ. ئۇنىڭ چەكلىمىلىرى بولسىمۇ (مەسىلەن، ئەۋرىشكە ئېلىش توغرىلىقى، چەكلىك ئېقىم مۇھىتى)، sFlow نى ئەۋرىشكە ئېلىشنى مەركەزلەشتۈرىدىغان، قاتناشنى سۈزىدىغان ۋە كېڭەيتىشچانلىقىنى ئاشۇرىدىغان تور پاكېت ۋاسىتىچىسى بىلەن بىرلەشتۈرۈش ئارقىلىق بۇلارنى يېنىكلىتكىلى بولىدۇ.
سىز كىچىك مەكتەپ تورىنى ياكى چوڭ تىپتىكى توشۇغۇچى ئاساسلىق لىنىيەنى نازارەت قىلىۋاتقان بولسىڭىز، sFlow تور ئىقتىدارىغا قارىتا ئەمەلىي چۈشەنچىلەرگە ئېرىشىش ئۈچۈن ئەرزان باھالىق، ساتقۇچىغا بىتەرەپ ھەل قىلىش چارىسى بىلەن تەمىنلەيدۇ. NPB بىلەن بىرلەشتۈرۈلگەندە، ئۇ تېخىمۇ كۈچلۈك بولۇپ، ئورگانلارنىڭ نازارەت قىلىش ئۇل ئەسلىھەلىرىنى كېڭەيتىشىگە ۋە تورى تەرەققىي قىلغانسېرى كۆرۈنۈشلۈك بولۇشىنى ساقلاپ قېلىشىغا شارائىت ھازىرلايدۇ.
ئېلان قىلىنغان ۋاقىت: 2026-يىلى 2-ئاينىڭ 5-كۈنى
