解説書 Vol.2
本装置のNetFlowエージェントは,他装置へ転送または本装置宛てと判定されるパケットをユーザ指定の割合でサンプルし,サンプルしたパケット情報をNetFlowパケットのフォーマットに整形し,ユーザ指定のコレクタ装置に送付します。NetFlowパケットのフォーマットはCisco Systems, Inc.によって規定されています。NetFlowエージェントで収集する情報には,フロー単位統計(NetFlow datagram Version 5,Version 9)とフロー集約統計(NetFlow datagram Version 8,Version 9)があります。収集個所と収集内容を「図10-9 単位統計と集約統計」に示します。また,バージョンごとの特徴と推奨利用ネットワークを「表10-19 NetFlowバージョンごとの特徴と推奨ネットワーク」に示します。
本装置からコレクタ装置に対してフロー情報を通知する契機は以下の四つがあります。
- TCPコネクションを終了(TCP FIN or RST)してから最大無通信時間経過した場合
- 設定したエントリ数を超えたフローが到着した場合(dropモード以外)
- 最大無通信時間を経過した場合(未設定時15秒)
- 最大通信時間を経過した場合(未設定時30分)
- 注
- 最大無通信時間(timeout-inactive)や最大通信時間(timeout-active)はNetFlow統計のコンフィグレーションで変更可能です。
表10-19 NetFlowバージョンごとの特徴と推奨ネットワーク
NetFlow
バージョン利用ネットワーク 特徴 備考 Version 5 IPv4ネットワーク [利点]
- [収集情報]
- IPv4パケットのレイヤ3,4の情報を収集
- Version 8より情報量が多いため,複数の観点で統計情報の分析が可能
- 対応コレクタ装置が多い
- [利用例]
- IPv4ネットワークの負荷状況の監視
- 特定フロー(ウィルスやアタックなど)の分析
Version 8と同時動作可能だが推奨しない Version 8 IPv4ネットワーク
- [収集情報]
- IPv4パケットのレイヤ3,4の情報を収集(ただし,Version 5より収集情報量は少ない)
- [利点]
- CP-CPU負荷がVersion5より少なくて済む
- [利用例]
- Version 5と同等(ただし,集約種別によるため,違う観点で見直すことは困難)
- コレクタ装置への回線速度が遅い環境
Version 5と同時動作可能だが推奨しない Version 9 IPv4ネットワーク
+
IPv6ネットワーク
- [収集情報]
- IPv4/IPv6パケットのレイヤ3,4の情報を収集
- [利点]
- IPv6パケットを対象にできる
- 先進的な機能のサポートが期待できる
- RFC3954で規定されているため,仕様変更に影響されない
- [利用例]
- IPv6ネットワークの負荷状況の監視
- 特定フロー(ウィルスやアタックなど)の分析
OP-ADVライセンスが必要
Copyright (c)2005, 2011, ALAXALA Networks Corporation. All rights reserved.