sFlow vs Netflow, 뭐가 다른걸까

sFlow는 무엇인가 ?

패킷 스위칭 네트워크에서 데이터는 전송되기 전에 헤더와 페이로드로 구성된 패킷으로 분해됩니다. 헤더의 데이터는 네트워킹 하드웨어에 의해 패킷을 목적지로 지시하는 데 사용되며, 목적지에서 페이로드는 운영 체제, 응용 소프트웨어 또는 상위 계층 프로토콜에 의해 추출되어 사용됩니다. 패킷 시퀀스가 소스에서 목적지로 이동하는 것을 패킷 플로우, 네트워크 플로우 또는 간단히 플로우라고 합니다. 플로우는 소스 및 목적지 IP, 소스 및 목적지 포트, 바이트 크기 및 서비스 유형 등과 같은 공통 속성을 공유하는 단방향 패킷 세트입니다.

네트워크 관리자들은 플로우 분석 도구를 사용하여 네트워크의 패킷 플로우를 모니터링하고 데이터의 성격, 출처, 목적지 등을 알려주는 속성을 추출합니다. 이를 통해 관리자는 비정상적인 트래픽 패턴과 규정을 준수하지 않는 응용 프로그램, 장치 또는 사용자를 식별하고 성능 문제의 근본 원인을 추적할 수 있는 필요한 가시성을 얻습니다. 플로우 기반 네트워크 모니터링은 네트워크 플로우 구성에 대한 더 자세하고 유용한 정보를 캡처하기 때문에 다른 네트워크 모니터링 방법보다 중요한 이점을 제공합니다. 그리고 현재 대부분의 현대 네트워크 장비에는 플로우 모니터링 기능이 내장되어 있어 이를 훨씬 저렴하고 쉽게 배포할 수 있습니다.

NetFlow와 sFlow는 네트워크 관리자들이 플로우 기반 네트워크 모니터링을 위해 자주 사용하는 두 가지 주요 프로토콜입니다. 이 프로토콜들은 겉보기에 비슷한 기능을 제공하는 것처럼 보이지만 많은 면에서 차이가 있습니다. 이 글에서는 이 두 플로우 기반 네트워크 모니터링 프로토콜을 비교해 보려고 합니다. 이를 통해 여러분의 환경에 적합한 프로토콜을 선택하는 과정에 도움이 되기를 바랍니다.

패킷 구조

sFlow 개요

sFlow는 InMon Corporation에서 개발한 패킷 샘플링 프로토콜로, sFlow가 활성화된 네트워크 장치를 통과하는 트래픽에 대한 통계적, 인프라, 라우팅 및 기타 메타데이터를 기록합니다. sFlow에서 "s"는 "sampled" 또는 "sampling"을 의미하며, 이는 sFlow와 NetFlow의 차이점을 이해하는 데 핵심적인 부분입니다. 샘플링은 sFlow의 중요한 구성 요소로, 일정 기간 동안 A 지점에서 B 지점으로 이동하는 차량을 무작위로 스냅샷 찍거나 샘플링하는 것과 유사합니다. sFlow는 모든 패킷을 고려하는 대신 패킷의 무작위 샘플링과 네트워크 인터페이스의 시간 기반 샘플링을 통해 흐름 내보내기를 수행하도록 설계되었습니다. 이를 통해 고속 네트워크에서 사용하기 이상적인 확장성을 달성할 수 있습니다.

네트워크 관리자들이 복잡하고 고속의 네트워크에서 네트워크 사용과 활성 경로에 대한 심층적인 가시성을 얻을 수 있게 함으로써, sFlow는 네트워크 서비스가 최적으로 수행되도록 네트워크 사용을 효과적으로 제어하고 관리하는 데 필요한 데이터를 제공합니다. sFlow는 IBM, HP, Cisco, Dell, Alcatel-Lucent, Aruba 등과 같은 여러 네트워크 장치 제조업체 및 네트워크 관리 소프트웨어 공급업체에 의해 지원됩니다.

 

sFlow(sampled Flow)는 네트워크 모니터링 기술로, 네트워크 리소스, 트래픽 분석, 보안 위협 대응 등을 위해 사용됩니다. sFlow는 다음과 같은 구성요소로 이루어져 있습니다:

• sFlow 에이전트: 패킷 샘플링 및 인터페이스 카운터 분석, 데이터그램 생성
• sFlow 수집기: sFlow 데이터그램을 수신하고 해석

sFlow는 실시간으로 네트워크 트래픽을 모니터링하며, 샘플링된 패킷 정보와 인터페이스 카운터 데이터를 제공합니다. 이를 통해 네트워크 리소스 사용량, 트래픽 분석, 보안 위협 탐지 등이 가능합니다.

sFlow <InMon>

sFlow 시스템은 패킷의 무작위 샘플링과 카운터의 시간 기반 샘플링이라는 두 가지 유형의 샘플링을 수행하는 여러 장치로 구성됩니다. 샘플링된 패킷과 카운터 정보는 각각 플로우 샘플 및 카운터 샘플로 불리며, sFlow 데이터그램으로 중앙 서버로 전송됩니다. 이 서버는 네트워크 트래픽을 분석하고 보고하는 소프트웨어를 실행하는 sFlow 콜렉터입니다.

sFlow 모니터링 시스템 아키텍처는 다음과 같은 주요 구성 요소로 이루어져 있습니다:

• sFlow 에이전트: 스위치와 라우터와 같은 네트워크 장치에 할당된 기능으로, 나가는 패킷에서 정보를 수집하여 샘플을 전달합니다.
• sFlow 콜렉터: 각 sFlow 에이전트가 생성한 정보를 검토하는 기능입니다.

sFlow 전송 디바이스는 모니터링되는 인터페이스를 통과하는 모든 패킷의 무작위 샘플에서 각 헤더를 수집합니다. 정의된 샘플링 비율에 따라 평균적으로 n개의 패킷 중 1개의 패킷이 무작위로 샘플링됩니다. 그런 다음 전송 디바이는 각 샘플링된 패킷을 장치 카운터와 함께 조립하여 sFlow 콜렉터로 보냅니다. 이러한 유형의 샘플링은 높은 수준의 정확도를 제공하지 않을 수 있지만, 정보에 입각한 결정을 내리는 데 필요한 중요한 정보를 제공합니다. 장치는 어떠한 데이터나 샘플링된 패킷도 캐시하지 않으므로 리소스 사용을 줄입니다. 이는 성능을 저하시키지 않으며 고속 네트워크로 확장하기 쉽게 합니다.

 

sFlow의 주요 특징

• 샘플링 기반 분석: sFlow는 네트워크를 통과하는 모든 패킷을 분석하는 대신, 일정 비율로 패킷을 샘플링하여 분석합니다. 이 방식은 네트워크 부하를 크게 줄이면서도 전체 트래픽 트렌드를 효과적으로 파악할 수 있게 합니다.
• 다계층 모니터링: sFlow는 네트워크의 물리적 계층부터 애플리케이션 계층까지 다양한 정보를 수집할 수 있습니다. 이를 통해 네트워크의 성능 문제를 포괄적으로 분석하고, 보안 위협을 식별하는 데 도움을 줍니다.
• 확장성: sFlow는 수천 개의 장치와 수백만 개의 흐름을 모니터링할 수 있을 만큼 매우 확장성이 높습니다. 대규모 네트워크 환경에서도 효율적으로 작동합니다.
• 범용성: 다양한 제조사의 네트워크 장비에서 sFlow를 지원하므로, 여러 제조사의 장비가 혼합된 환경에서도 일관된 네트워크 모니터링과 분석이 가능합니다.

sFlow와 다른 유사 기술 비교

sFlow 외에도 Netflow, Jflow, Cflow 등 다양한 유사 기술이 있습니다:

• Netflow: Cisco에서 개발한 기술로, 유량 정보를 압축하여 전송합니다. 내부 트래픽 모니터링에 적합합니다.
• Jflow: Juniper에서 개발한 기술로, Netflow와 유사한 방식으로 작동합니다.
• Cflow: Huawei에서 개발한 기술로, Netflow와 유사한 방식으로 작동합니다.

이에 비해 sFlow는 다양한 벤더에서 지원되며, L2 정보를 제공하고 데이터를 직접 서버로 전송합니다. 따라서 보다 유연한 네트워크 모니터링이 가능합니다.

sFlow의 작동 원리

• 샘플링: 네트워크 장비는 설정된 샘플링 비율에 따라 트래픽을 샘플링합니다. 예를 들어, 1/1000의 비율로 설정되어 있다면, 네트워크를 통과하는 1000개 패킷 중 1개의 패킷만을 샘플링하여 분석합니다.
• 흐름 데이터 수집: 샘플링된 패킷에서 흐름 데이터를 추출합니다. 이 데이터에는 출발지 및 목적지 주소, 포트 번호, 프로토콜 타입, 패킷 크기 등의 정보가 포함됩니다.
• 데이터 전송: 수집된 흐름 데이터는 sFlow 콜렉터로 전송됩니다. 콜렉터는 이 데이터를 분석하여 네트워크의 상태를 모니터링하고, 성능 문제를 진단하며, 보안 위협을 식별하는 데 사용됩니다.

sFlow는 네트워크 관리자가 네트워크의 현재 상태를 실시간으로 파악하고, 잠재적 문제를 사전에 예방할 수 있도록 돕습니다. 또한, 네트워크 설계와 정책 결정 과정에서 중요한 데이터를 제공합니다.

왜 sFlow를 사용하나? (장점)

네트워크는 지속적으로 트래픽을 생성합니다. sFlow 프로토콜은 네트워크 관리자에게 이 트래픽을 캡처하고 모니터링할 수 있는 기회를 제공하여 비정상적인 패턴을 식별할 수 있게 합니다. sFlow는 이러한 비정상적인 트래픽 패턴을 상세하게 보여주어 대응 및 수정 조치를 지원합니다. 이를 통해 혼잡한 링크를 발견하고, 트래픽의 출처와 관련된 애플리케이션, 장치 또는 사용자를 식별할 수 있습니다.

sFlow 전달 정보를 사용하여 가장 활발한 경로와 이 경로를 통해 운반되는 트래픽 흐름의 유형을 프로파일링할 수 있습니다. 경로와 특정 흐름을 이해하면 라우팅을 최적화하여 연결성과 성능을 향상시키는 시점을 파악하는 데 도움이 됩니다. sFlow 공식 문서에 따르면, "sFlow를 사용하여 상세한 트래픽 기록을 구축하면 정상적인 행동의 기준선(baseline)이 설정되며, 이를 통해 이상 현상을 감지하고 의심스러운 활동을 식별할 수 있습니다."

sFlow를 사용함으로써 다음과 같은 이점을 얻을 수 있습니다:

• 비정상 패턴 감지: 네트워크 트래픽에서 비정상적인 패턴을 식별하여 신속한 대응 및 수정 조치를 지원합니다.
• 혼잡 링크 식별: 혼잡한 네트워크 링크를 찾아내고, 트래픽의 출처와 관련된 정보를 제공하여 문제 해결을 돕습니다.
• 활발한 경로에 대한 프로파일링: 가장 활발한 경로와 그 경로를 통해 운반되는 트래픽 흐름을 분석하여 라우팅 최적화 및 성능 향상을 도모할 수 있습니다.
• 기준선 설정: 정상적인 네트워크 행동의 기준선을 설정하여 이상 현상 및 의심스러운 활동을 감지하는 데 도움을 줍니다.

이와 같은 이유로 sFlow는 네트워크 관리 및 최적화에 매우 유용한 도구입니다.

sFlow 의 제약사항 (단점)

1. 장비 호환성: 네트워크에서 일어나는 모든 일을 완전히 파악하기 위해서는 네트워크 환경의 모든 네트워크 장비가 sFlow와 호환되어야 합니다. 지원되는 sFlow 장비의 수가 제한적이라면, 결과의 질이 더욱 약화될 것입니다. sFlow를 흐름 모니터링 프로토콜로 채택하기 전에, 네트워크 인프라의 장비들이 sFlow 프로토콜을 지원할 수 있는지 확인해야 합니다.
2. 심층적인 가시성 부족: NetFlow와 달리, sFlow는 패킷 수준의 세부 정보를 제공하지 않습니다. 샘플링을 사용함으로써 전송된 패킷 전체가 아닌 무작위 패킷만 캡처됩니다. 샘플링 비율에 따라 가시성에 큰 공백이 생기고 악의적인 트래픽을 탐지할 가능성이 줄어들 수 있습니다. 이는 심층 분석 및 가시성이 요구되는 네트워크에서 sFlow가 적합하지 않음을 의미합니다.
3. 정확도: 정의된 샘플링 비율에 따라, 신뢰할 수 없고 부정확한 샘플 데이터가 결과할 수 있습니다. 정확한 측정치를 얻기 위해서는 샘플링 비율이 충분히 높아야 합니다.

이러한 제한 사항들로 인해, sFlow는 특정 환경과 요구 사항에 따라 적절하게 선택되어야 합니다. 네트워크의 심층적인 가시성과 정확도가 중요한 경우, 다른 프로토콜을 고려하는 것이 좋을 수 있습니다.

sFlow의 장단점 요약

sFlow의 장점은 다음과 같습니다:

• 다양한 벤더 지원 : 표준 프로토콜이므로 특정 제조사에 종속(lock-in)되지 않음
• L2 정보 제공
• 직접 서버로 데이터 전송

단점은 다음과 같습니다:

• 샘플링 기반이므로 모든 트래픽(실시간)을 정확히 반영하지 못할 수 있음
• UDP 프로토콜 사용으로 인한 데이터 손실 가능성

따라서 sFlow는 유연한 네트워크 모니터링이 필요한 경우 유용하지만, 정확한 트래픽 분석이 필요한 경우 Flexible Netflow와 같은 다른 기술을 고려해볼 수 있습니다.

sFlow 표준 버전

sFlow에는 다양한 버전이 존재합니다. IBM QRadar와 같은 솔루션은 sFlow 버전 2, 4, 5를 지원합니다. 각 버전마다 지원하는 기능과 데이터 구조가 다르므로, 사용하는 솔루션과 네트워크 환경에 맞는 sFlow 버전을 선택해야 합니다.

종합적으로 sFlow는 유연한 네트워크 모니터링 기술이지만, 정확성 면에서 단점이 있습니다. 따라서 사용 목적과 환경에 맞는 적절한 모니터링 기술을 선택하는 것이 중요합니다. 더 자세한 정보는 sFlow 공식 웹사이트(https://sflow.org/)를 참고하시기 바랍니다.

sFlow 설정 방법

sFlow는 네트워크 트래픽을 샘플링하여 모니터링하는 기술입니다. 샘플링 속도를 적절히 설정하는 것이 중요합니다. 샘플링 속도가 너무 낮으면 정확한 트래픽 분석이 어렵고, 너무 높으면 과도한 오버헤드가 발생할 수 있습니다.

sFlow 샘플링 설정 방법의 예를 살펴보겠습니다

Dell Networking N Series 스위치에서 sFlow 구성하기 

1. 스위치 CLI에서 configure terminal 명령어로 구성 모드 진입
2. sflow enable 명령어로 sFlow 기능 활성화
3. sflow collector <collector_ip_address> <collector_port> 명령어로 sFlow 수집기 IP 주소와 포트 설정
4. sflow sample-rate <sample_rate> 명령어로 샘플링 속도 설정 (예: 8192)
5. sflow polling-interval <polling_interval> 명령어로 폴링 간격 설정 (예: 20초)
6. exit 명령어로 구성 모드 종료

Juniper 스위치에서 sFlow 구성하기

1. Junos CLI에서 set protocols sflow collector <collector_ip_address> <collector_port> 명령어로 sFlow 수집기 설정
2. set protocols sflow sample-rate <sample_rate> 명령어로 샘플링 속도 설정 (예: 8192)
3. set protocols sflow polling-interval <polling_interval> 명령어로 폴링 간격 설정 (예: 20초)
4. commit 명령어로 구성 변경 사항 저장

시스코 스위치에서 sFlow 구성하기

1. sFlow 활성화 : 스위치 CLI에서 configure terminal 명령어로 구성 모드 진입, sflow enable 명령어로 sFlow 기능 활성화
2. sFlow 수집기 설정 : sflow collector <collector_ip_address> <collector_port> 명령어로 sFlow 수집기 IP 주소와 포트 설정
3. 샘플링 속도 설정 : sflow sample-rate <sample_rate> 명령어로 샘플링 속도 설정(예: sflow sample-rate 8192)
4. 폴링 간격 설정 : sflow polling-interval <polling_interval> 명령어로 폴링 간격 설정(예: sflow polling-interval 20)
5. 구성 변경 사항 저장 : exit 명령어로 구성 모드 종료, write memory 명령어로 구성 변경 사항 저장

위와 같이 스위치 제조사에 따라 약간의 차이가 있지만, 기본적인 sFlow 샘플링 설정 방법은 유사합니다. 수집기 IP 주소와 포트, 샘플링 속도, 폴링 간격 등을 적절히 설정하면 됩니다.

반응형

NetFlow는 무엇인가 ?

NetFlow 개요

NetFlow는 시스코 장비(예: 라우터, 스위치)에서 네트워크 트래픽을 모니터링하고 인터페이스를 통해 들어오거나 나가는 트래픽 데이터를 추출할 수 있도록 하기 위해 도입된 시스코의 독점 프로토콜입니다. NetFlow는 개별 패킷을 개별적으로 처리하는 대신 관련된 네트워크 패킷의 흐름을 식별하려고 시도합니다. 이를 통해 네트워크 활동의 맥락을 보다 잘 이해할 수 있습니다. NetFlow는 마치 바쁜 고속도로에서 교통 패턴을 관찰하고 유용한 통계를 수집하는 것과 같습니다. 예를 들어, NetFlow는 몇 대의 차량이나 어떤 종류의 차량이 지점 A에서 지점 B로 이동했는지 알려줄 수 있습니다.

NetFlow가 제공하는 데이터를 분석함으로써 네트워크 관리자는 네트워크 트래픽의 출발지와 목적지, 서비스 유형, 악성 IP 및 트래픽 패턴 등을 파악할 수 있습니다.

• NetFlow는 Cisco에서 개발한 네트워크 트래픽 모니터링 및 분석 기술입니다.
• 네트워크 장비(라우터, 스위치 등)에서 생성된 IP 트래픽 정보를 수집하고 분석할 수 있는 프로토콜입니다.

NetFlow의 주요 기능

• 트래픽 모니터링: NetFlow를 통해 네트워크 트래픽의 양, 유형, 소스/대상 IP 등을 모니터링할 수 있습니다.
• 보안 분석: 비정상적인 트래픽 패턴을 탐지하여 보안 위협을 식별할 수 있습니다.
• 용량 계획: 네트워크 트래픽 추이 분석을 통해 향후 네트워크 용량 계획을 수립할 수 있습니다.
• 애플리케이션 모니터링: 애플리케이션별 트래픽 사용량을 파악할 수 있습니다.

NetFlow 데이터 구조

• NetFlow는 IP 패킷의 헤더 정보를 기반으로 다음과 같은 데이터를 수집합니다:
  • 소스/대상 IP 주소
  • 소스/대상 포트 번호
  • 프로토콜 정보
  • 패킷 크기 및 전송 시간
  • 인터페이스 정보 등

Netflow 데이터 구조 <출처: 시스코>

NetFlow 동작 원리

NetFlow 동작 원리 <출처 : 위키피디아>

NetFlow은 흐름 데이터 집계, 저장, 분류 및 분석의 간단한 과정을 따릅니다.

NetFlow 모니터링 시스템 아키텍처는 다음과 같은 주요 요소로 구성됩니다:

• 플로우 전송기(Flow Exporter): 패킷을 플로우별로 집계하고 플로우 레코드를 NetFlow 수집기로 내보냅니다.
• 플로우 수집기(Flow Collector): 플로우 전송기로부터 전달된 플로우 데이터를 수신, 저장 및 사전 처리하는 소프트웨어 또는 하드웨어 기반 장치입니다. 패킷이 검사된 후 NetFlow 데이터를 저장하는 데 사용되는 캐시 또는 데이터베이스를 포함합니다.
• 플로우 분석기(Flow Analyzer): 수신된 플로우 데이터를 분석하는 데 사용되는 도구로, 데이터의 성격에 대해 더 깊은 시각을 제공합니다.

NetFlow을 지원하는 라우터와 같은 장치는 패킷 플로우를 받으면 이러한 패킷을 일련의 속성에 대해 검사합니다. 이러한 속성 또는 네트워크 트래픽 통계는 NetFlow가 활성화된 모든 인터페이스에서 추출됩니다. 추출된 후, 라우터(또는 스위치)는 이들을 NetFlow 레코드로 NetFlow 수집기에 내보내어 저장 및 사전 처리를 수행합니다. 이는 전용 Netflow 분석 도구 또는 NetFlow를 보완 기능으로 수용하는 전체 네트워크 관리 솔루션일 수 있습니다.

라우터는 플로우가 완료되었다고 판단될 때 플로우 레코드를 내보냅니다. NetFlow는 네트워크 장치에서 내보낸 플로우 레코드의 양을 줄이기 위해 샘플링이라는 기술을 사용합니다. 플로우 레코드는 플로우를 구성하는 실제 데이터를 포함하지 않으며, 플로우에 포함된 데이터를 설명하는 메타데이터입니다.

NetFlow을 사용하는 이유는 무엇일까요? (장점)

NetFlow는 네트워크 관리자와 NOC 직원이 전체 네트워크를 통한 트래픽 패턴을 시각화하고, 사용자의 네트워크 및 애플리케이션 리소스 이용을 프로파일링하며, 근무 시간 동안 웹 브라우징 및 기타 활동과 관련된 트래픽 양을 발견하고, 사용자가 네트워크 내 애플리케이션에 언제, 얼마나 자주 접근하는지 학습하며, 네트워크 성능 문제를 식별하는 데 사용됩니다. NetFlow 통계에서 수집한 정보는 네트워크 성장을 예상하고 계획하는 데에도 사용될 수 있습니다.

더 중요한 것은, NetFlow 통계가 보안 및 SOC 팀에 의해 네트워크 행동의 변화를 감지하거나 보안 침해로 이어질 수 있는 비정상적인 트래픽 패턴을 식별하는 데에도 활용된다는 점입니다. NetFlow 데이터는 네트워크 리소스가 가장 많이 소모되는 위치를 밝혀줄 수 있습니다. 아웃바운드 스팸 실행 및 데이터 유출과 같은 악의적인 활동은 네트워크 리소스를 소모시키므로, 평소와 다른 영역에서 리소스 스파이크가 발생하면 이는 보안 문제의 징후일 수 있습니다.

• NetFlow 데이터는 네트워크 관리, 보안 모니터링, 애플리케이션 성능 분석 등에 활용됩니다.
• 전용 NetFlow 분석 솔루션(Scrutinizer, SolarWinds 등)을 통해 데이터를 수집, 분석, 시각화할 수 있습니다.

NetFlow의 제약사항

NetFlow은 네트워크 트래픽 가시성, 계획 및 보안 측면에서 네트워크 관리자 팀에게 많은 이점을 제공하지만, 몇 가지 제한 사항도 있습니다:

• 성능 영향: NetFlow은 구현된 장치에 성능 영향을 미칩니다. 네트워크를 통과하는 모든 트래픽은 NetFlow 캐시에서 처리되어야 하므로 일정 시점 이후에는 장치가 성능 문제를 겪을 수 있습니다.
• 제한된 내보내기: Cisco NetFlow 장치는 두 개의 플로우만 두 개의 NetFlow 수집기로 내보내는 것을 허용합니다. 네트워크를 적절히 관리하고 문제를 해결하기 위해 필요한 수집기보다 적은 수의 수집기로 흐름을 전달하면 가시성에 영향을 미칠 수 있습니다.
• 지연: NetFlow의 문제 중 하나는 네트워크를 통과하는 트래픽과 이를 보기 위해 해석할 수 있는 시간 사이의 지연입니다. 이 지연은 최대 5분까지 될 수 있습니다. 컴퓨팅 및 네트워크의 맥락에서 이 지연의 부정적인 영향은 특히 가용성과 성능이 중요한 네트워크에서 상당할 수 있습니다.

NetFlow 설정 방법

NetFlow 설정 방법

1. NetFlow 활성화

• 라우터 또는 스위치의 인터페이스에서 NetFlow를 활성화해야 합니다.
• 예를 들어 시스코 라우터 또는 스위치에서 아래와 같이 설정할 수 있습니다.
  

  interface GigabitEthernet0/0
   ip flow ingress
   ip flow egress
  

  • ip flow ingress는 인바운드 트래픽을, ip flow egress는 아웃바운드 트래픽을 NetFlow로 수집하도록 설정합니다

2. NetFlow 내보내기 설정

• NetFlow 데이터를 수집할 NetFlow 수집기(Collector)의 IP 주소와 포트를 설정해야 합니다.
• 예를 들어 시스코 라우터 또는 스위치에서 아래와 같이 설정할 수 있습니다.
  

  ip flow-export version 9
  ip flow-export destination 192.168.1.100 9995
  

  • ip flow-export version 9는 NetFlow 버전 9를 사용하도록 설정합니다.
  • ip flow-export destination 192.168.1.100 9995는 NetFlow 데이터를 IP 주소 192.168.1.100의 9995번 포트로 전송하도록 설정합니다.

3. NetFlow 수집기 설정

• NetFlow 수집기 소프트웨어(Scrutinizer, SolarWinds 등)를 설치하고 NetFlow 데이터를 수집하도록 설정합니다.
• 수집기 소프트웨어에서 NetFlow 데이터를 수집할 IP 주소와 포트를 설정해야 합니다.

4. NetFlow 데이터 분석

• NetFlow 수집기 소프트웨어를 통해 수집된 데이터를 분석하여 네트워크 트래픽, 보안, 애플리케이션 성능 등을 모니터링할 수 있습니다.
• 다양한 보고서와 시각화 기능을 제공하여 효과적인 네트워크 관리를 지원합니다.

이와 같은 단계를 거쳐 NetFlow를 설정하고 활용할 수 있습니다. 네트워크 환경에 따라 세부 설정 방법이 다를 수 있으므로, 네트워크 관리자의 판단에 따라 적절히 구현해야 합니다.

sFlow와 NetFlow의 비교

두 가지 플로우 모니터링 프로토콜에 대해 자세히 살펴본 후, 많은 네트워크 관리자들이 가지고 있는 질문은 다음과 같습니다: 어떤 프로토콜이 더 나은가요? 어느 것을 사용해야 하나요? 사실 정확한 대답은 없습니다. 한 조직에서 기능과 기능 측면에서 완벽한 맞춤일 수 있는 것이 다른 조직에는 맞지 않을 수 있습니다. 가시성, 성능, 정확성, 지연 시간 등 몇 가지 요소를 고려해야 합니다. 네트워크 전체에 대한 깊은 그림을 원하시나요, 아니면 중요한 것들만 괜찮으신가요? 정확성과 성능 중 어느 것이 귀사에 더 중요한가요? 몇 분 정도의 지연 시간이 괜찮으신가요? 귀사의 네트워크는 저가형 장비로 구성되어 있나요, 아니면 고가형 장비로 구성되어 있나요?

일반적으로, sFlow는 NetFlow보다 네트워크와 컴퓨터 자원에 덜 요구하기 때문에, 저가형 장비를 사용하는 SMBs와 작은 네트워크에는 성능 문제를 최소화하기 위해 sFlow가 더 적합할 수 있습니다. NetFlow는 더 많은 정보를 수집하고 더 큰 가시성을 제공할 수 있지만, sFlow보다 높은 수준의 지연 시간을 겪을 수 있습니다. 작은 네트워크에서 NetFlow가 캡처하는 모든 많은 데이터가 필요하지 않을 수 있으며, 네트워크 분석기가 모든 데이터를 처리할 수 없을 수도 있습니다.

많은 네트워크는 여러 제조사의 장비로 구성된 이종 네트워크입니다. 따라서 고려해야 할 핵심 요소 중 하나는 귀하의 네트워크 장비가 어떤 프로토콜을 지원하는가 하는 것입니다. 귀하의 장비 일부는 한 프로토콜은 지원하지만 다른 프로토콜은 지원하지 않는 경우, 네트워크에서 이미 지원되는 프로토콜을 선택하는 것이 합리적입니다. 귀하의 네트워크 인프라가 NetFlow와 sFlow 모두를 지원한다면, 두 세계의 장점을 모두 얻기 위해 두 가지를 모두 사용하는 것을 고려할 수 있습니다.

• NetFlow는 모든 패킷을 추적하지만, sFlow는 샘플링 기반으로 일부 패킷만 수집합니다.
• NetFlow는 주로 네트워크 레벨 정보를 제공하지만, sFlow는 애플리케이션 레벨 정보도 제공합니다.
• NetFlow는 캐싱된 데이터를 주기적으로 전송하지만, sFlow는 실시간으로 데이터를 전송합니다.

NetFlow vs sFlow 비교표

 

이 표는 NetFlow와 sFlow의 주요 특징들을 비교한 것입니다. 각 기술은 네트워크 모니터링 및 분석에 있어서 고유의 장단점을 가지고 있으며, 이를 통해 네트워크 관리자들은 자신의 네트워크 요구 사항과 목표에 가장 적합한 솔루션을 선택할 수 있습니다. NetFlow는 높은 가시성과 정확도를 제공하지만, 고속 네트워크에서의 확장성과 성능 문제가 있을 수 있고, sFlow는 확장성과 성능 측면에서 유리하지만, 샘플링 방식으로 인해 가시성과 정확도가 떨어질 수 있습니다.