sFlow (Sampled Flow)

sFlow (sampled Flow, RFC 3176) est un protocole de monitoring réseau multi-vendor basé sur sampling statistique de paquets, alternative à NetFlow. Conçu pour scaling très haute vitesse (100G+) avec overhead minimal sur routeurs/switches. Standardisé par sFlow.org consortium, supporté par Arista, HPE Aruba, Juniper, Dell, MikroTik, Cumulus Linux, Extreme.

Fonctionnement différent NetFlow : (1) **sampling** — 1 paquet sur N (configurable, e.g. 1/1000) capturé en headers + metadata ; (2) **stateless** — pas de cache de flows, juste streams continuous d'samples vers collector ; (3) **counter polling** — interface stats également pollées à intervalles réguliers ; (4) **agent → collector** via UDP.

Vs NetFlow : (1) **Lower overhead** sur device (sampling vs full flow tracking) — fait pour line-rate 100G+ ; (2) **Less accurate** pour low-volume flows (sampling miss small flows occasionnels) — bon pour volumetric analysis, less pour security forensic specifics ; (3) **Multi-vendor** (NetFlow Cisco-centric, IPFIX successor multi-vendor) ; (4) **Layer 2 + Layer 3 + Layer 4** info — voit plus que NetFlow.

Collectors : ntopng (open source, leader), sFlowTrend, InMon Traffic Sentinel, Splunk avec sFlow module, Elastic Stack, Prometheus avec sflow_exporter.

Use cases : (1) **Hyperscaler / cloud** monitoring (Arista 7280R, Juniper QFX) ; (2) **Data center fabric** monitoring high-speed ; (3) **Carrier networks** ; (4) **CDN/web infrastructure** ; (5) **DDoS detection** (FastNetMon utilise sFlow pour real-time mitigation triggers). Compétences CCNP, CySA+.