NetFlow と IPFIX の監視

NetFlow は、他のテクノロジーと比較してストレージ効率が高く、高いレベルのネットワーク可視性を提供します。Flowmon は、専用の Flowmon Probe またはフロー対応インフラストラクチャコンポーネント (ルーター、スイッチ、ロードバランサー) から NetFlow/IPFIX を収集し、それを処理してトラブルシューティング、UX 監視、セキュリティなどのための詳細な情報を生成し、さらに深い分析を行ったりレポート作成したりするために保存します。物理環境、仮想環境、クラウド環境、ハイブリッド環境で利用できます。

オンラインデモを開始

NetFlow とは何か?

NetFlow は、Cisco が IP トラフィック情報を収集し、ネットワークテレメトリデータを監視するために独自に開発したネットワーク標準です。NetFlow 対応のスイッチまたはルーター、いわゆるエクスポーターは、帯域幅の使用状況、通信パートナー、クライアントアクティビティの全体像を提供する、集約されたトラフィック統計情報を生成します。

よく使用されるバージョンとして NetFlow v5 があり、NetFlow v9 でテンプレート・ベースになりました。J-Flow、sFlow、NetStream など様々な独自プロトコルも出現する中で、NetFlow v9 をベースに多くのベンダー機器で使用できるよう、また取得可能な情報も増やして標準化され、IPFIX (IP Flow Information eXport) が登場しました。

NetFlow はどう使用されるか?

ネットワークトラフィックの監視は、パケットから抽象化する際の基礎となるデータ転送と、通信自体の主題の両方に関する統計を生成します (通信の内容は保存されません)。これらの統計情報は、ネットワーク内のフローデータを表しており、通話のリストに似ていると考えることができます。これらの情報から、誰が、誰と、いつ、どのくらいの時間、どのくらいの頻度で通信しているかを把握することができます。IP アドレス、データ量、時間、ポート、プロトコルを監視し、プロトコルの遅延測定とアプリケーション層データでさらに強化できます。

NetFlow/IPFIX はどのようなことに使用できるか?

  • 仮想環境、ハイブリッド環境、クラウド環境への詳細な可視性
  • 応答しないサービス、ランサムウェア攻撃、IP スプーフィング、ポートスキャンなどの異常を検出
  • 暗号化されたトラフィックをチェックし、セキュリティポリシーを適用
  • 帯域幅の上位消費者を特定、インフラストラクチャコストの削減
  • Office 365、Salesforce、Google Apps などの SaaS アプリケーションの遅延を監視
  • ユーザーエクスペリエンスを追跡し、アプリケーションのボトルネックと遅延の問題を特定
  • 重要業務に影響を与える可能性のあるサービス低下に関するレポート
  • 高度なレポートを使用して、インシデントが発生しないよう監視
  • デバイスのアクティビティを監視し、BYOD を含むセキュリティポリシーを適用
  • ネットワークインシデントの根本原因を速やかに解明
  • インフラストラクチャとサーバー容量のニーズに関する最適な決定に寄与
  • 履歴データを追跡して傾向を把握し、プロアクティブな意思決定を行う

ダッシュボードに視覚化された NetFlow 監視の統計情報

NetFlow の収集

クライアントからサーバーにリクエストが送信 (緑色の封筒) されると、NetFlow エクスポート機能を持つアクティブデバイスがパケットヘッダーを調べて、フローレコードを作成します。フローレコードには、送信元と宛先の IP アドレスとポート、プロトコル番号、バイト数とパケット数、レイヤ 3/4 からのその他の情報が含まれています。個々のデータネットワーク通信は、送信元と宛先の IP アドレス、ポート、およびプロトコル番号によって識別されます。

NetFlow 統計情報は、ネットワーク要素 (ルーター、スイッチ) または専用のハードウェアプローブ (Flowmon Probe) によって提供されます。プローブはパッシブアプライアンスとして監視対象のネットワークに透過的に接続され、ネットワークトラフィックのコピーから正確で詳細な統計フローを作成します。

ルーター/スイッチのドキュメントをチェックして、NetFlow がサポートされているか、どのバージョンかを確認し、テストする必要があります。古いノードでは、パフォーマンス問題が発生したり、正確な統計情報が提供されなかったり、監視対象のネットワークトラフィック特性の範囲が限定されたりすることがあります。ルーターやスイッチから抽出された NetFlow データは、ネットワークトラフィックを抽象化したものと考えることができます。フロー統計は、IP、ポート、プロトコル、サービスタイプなどの IP ヘッダーからの基本的な L3/L4 テレメトリデータを含むネットワークトラフィックの集約として作成されます。通信の内容は保存されないので、完全なパケットトレースを保存する場合と比較して、達成可能な集約率は約 500:1 になります。これは、NetFlow エクスポートが帯域幅の約 0.2% を消費することを意味します。

IPFIX とは何か?

柔軟なフォーマットの IPFIX を活用する特化されたエクスポーターで、NetFlow データフィールドをパケットペイロードからのアプリケーションレイヤ情報で充実させ、ネットワークトラフィックをより深く理解できるようになります。集約率は、250:1 または帯域幅の 0.4% ~ 0.5% を維持できます。データ通信などの適切な詳細情報が得られ、運用上の問題の効果的なトラブルシューティングが可能になり、セキュリティインシデントも検出できます。

IPFIX はどう使用されるか?

IPFIX 情報を使って、トラフィック構造の分析、大量のデータを転送するエンドステーションの特定、ネットワーク問題の検出や不適切な設定のトラブルシューティングなどが可能になります。IPFIX データは、Gartner が 2012 年以来報告しているように、ネットワークインシデントの約 80% を処理するのに十分詳細な情報を提供します。NetFlow データに含まれる詳細レベルは、さらなるトラブルシューティング、フォレンジック、またはパフォーマンス監視には十分ではない可能性があります。

IPFIX から取得したデータは、NetFlow 統計情報への追加情報として、アプリケーションデータ (ホスト名、平均ラウンドトリップ時間、平均サーバー応答時間) が列 9、10、および 11 に表示されています。

Flowmon 独自の IPFIX 可視性

L2L3/L4L7L7 (続き)
MAC標準アイテムNBAR2SMB/CIFS
VLANNPM メトリクス (RTT, SRT, …)HTTPVoIP (SIP)
MPLSTTL, SYN サイズ, …SNIEメール
GRE トンネルASN (BGP)DNSSQL
OTV位置情報DHCPSSL/TLS

SNMP と NetFlow/IPFIX の比較

SNMP (Simple Network Management Protocol、簡易ネットワーク管理プロトコル) は、もともとネットワーク管理のために設計された、IT インフラストラクチャリソース用の標準プロトコルであり、ネットワーク接続デバイスからデータを収集し、その可用性とステータス (CPU と RAM の使用率、ネットワークデバイスが消費する帯域幅など) に関する情報を提供します。管理対象デバイスで実行されているエージェントは、要求された情報を SNMP 経由でマネージャに報告します。

NetFlow や IPFIX に代表されるフローデータテクノロジーは、ネットワーク運用アプリケーションやセキュリティアプリケーションを使用したネットワーク監視専用のパッシブでエージェントレスのテクノロジーです。誰が、誰と、いつ、どのくらいの時間、どのくらいの頻度で通信するかに関する包括的な情報 (IP アドレス、データ量、時間、ポート、プロトコル、L3/L4 ネットワーク層における TCP/IP 通信のその他の技術的特性) を提供します。NetFlow を使用したネットワークトラフィックの監視では、基礎となるデータ転送と通信自体の主題の両方に関する統計が生成されます (通信の内容は保存されません)。

予期しないトラフィック異常が発生し、ネットワークトラフィックが急激に増大した状況を例にとって、両者の違いを説明します。SNMP は、ネットワークインタフェースでパケット数と転送データ量の増加に関する情報を管理者に提供します。ですが、その異常が何に起因しているか、トラフィック増加を起こしているデバイスは何か、関係するプロトコルとサービスは何か、といったような疑問には、従来の SNMP インフラストラクチャ監視では答えられません。ネットワークトラフィック自体をチェックすることがないので、その状況に関する情報がないからです。NetFlow テクノロジーは、こういった疑問に答えることができます。

フロー規格一覧

NetFlow やその他のプロトコルとして以下のような多様なスタンダードがあります。

NetFlow v5多くのルーターやスイッチでサポートされている Cisco 独自のフロー監視用の標準プロトコル。L3/L4 ネットワーク情報に焦点を当てた固定フォーマットと属性セット。IPv6 トラフィック情報の欠落や拡張性の欠如といった制限があり、古いバージョンと捉えられていますが、多くの監視ツールやアプリケーションでサポートされています。
NetFlow v9NetFlow v5 の制限に対処して拡張を加えた新しい Cisco 独自のフロー監視用標準プロトコル。IPv6 トラフィック監視情報、MAC アドレスや VLAN タグなどの L2 からの情報も提供します。詳細は RFC 3954 に記載されています。
Flexible NetFlowNetFlow v9 に類似した Cisco の標準ですが、フローエクスポートの設定とキーフィールド(パケットがフローに集約される方法)とエクスポートされる情報がより柔軟にカスタマイズできます。Flexible NetFlow は、ペイロードに基づいてアプリケーションを識別するテクノロジー、 NBAR2 (Network Based Application Recognition) によって監視を L7 に拡張します。
IPFIX
(NetFlow v10)
Flowmon Probe などのフローベースの監視ツールのベンダーが独自のプロトコル拡張を定義して、L2 から L7 までのあらゆる情報をエクスポートできるようにする独立した国際標準プロトコル。Flowmon は、2012年以来、多くのアプリケーションプロトコルに可視性を提供するこのテクノロジーのパイオニアであり、サポートされるプロトコルの範囲は継続的に拡大しています。IPFIX の仕様は、RFC 7011 から RFC 7015、および RFC 5103 でカバーされています。Cisco 環境では、IPFIX は通常、NetFlow v10 と呼ばれます。 IETF によって標準化されています。
J-Flowバージョン 5 と 9 の両方で利用可能な Juniper のフロー監視標準プロトコル。NetFlow との主な違いは、エクスポートされたフローデータのタイムスタンプがネットワークセッション全体で保持されるため、コレクター側で少し異なる処理が必要になることです。この規格は一般に NetFlow と互換性があります。
NetStreamバージョン 5 と 9 の両方で利用可能な Huawei のフロー監視標準プロトコル。この規格は NetFlow と互換性があります。
cflowバージョン 5 と 9 の両方で利用可能な Alcatel-Lucent のフロー監視標準プロトコル。この規格は NetFlow と互換性がありますが、通常はサンプリングされたフローデータとしてのみ利用できます。
NEL / NSELNEL は Network Event Logging の略で、ネットワークアドレス変換からのログを参照します。NSEL は Network Security Event Logging の略で、Cisco ASA によって生成されるファイアウォールログを指します。NetFlow v9 はこれらのログをコレクターに転送するために使用されますが、NEL または NSEL で提供される情報は実際のネットワークトラフィックチャートを再構築できないため、このデータを実際の NetFlow と見なすことはできません。
sFlowsFlow は、高速スイッチドネットワークを監視するための業界標準テクノロジーです。NetFlow とは対照的に、フローキャッシュの概念と、パケットから抽出されたメタデータをフローに集約する機能を備えていません。サンプリングされたパケットヘッダーは、NetFlow のような形式にエンコードされ、コレクターにエクスポートされます。サンプリングレートが高いため (通常は 1:1000)、このデータは、トラブルシューティングやネットワークベースの異常検出を処理するには十分な精度ではありません。一方、そのようなデータを作成するのは簡単なので、sFlow 規格はエントリーレベルのエンタープライズスイッチでサポートされています。
NetFlow-LiteNetFlow-Lite は、このテクノロジーの長所と短所を備えた sFlow の Cisco バージョンです。
FlowLogsFlowLogs は、パブリッククラウドプラットフォームによって提供される新しいテクノロジーであり、フローベースのアプローチを使用してネットワークトラフィックを監視できます。FlowLogs は通常、特定のクラウドプラットフォームの特別な API を介して提供され、CSV のような形式または JSON 形式で提供されます。これらは、標準のトラフィック監視プラットフォームで収集してさらに処理するために、従来のフロー形式に変換する必要があります。Amazon AWS では、このテクノロジーは VPC FlowLogs と呼ばれます。Microsoft Azure では、このテクノロジーは NSG FlowLogs として知られています。

フロー対応デバイス


ネットワーク機器 (ルーター/スイッチ)

Cisco、HP、Huawei、Juniper Networks、Alcatel、Exteme Networks など

ファイアウォール、UTM、ロードバランサー、ハイパーバイザー

Check Point、Palo Alto、Sonic Wall、VMware、 Kemp LoadMaster など

パケットブローカーとマトリクススイッチ

Ixia、Gigamon、Cubro など

無料試用版

無料トライアルをお申し込みください。

無料トライアル