NetFlowとは

トラフィック・フロー・データは、企業のIT担当者に、トラフィックの量、トラフィックがどこから来てどこに向かっているのか、またそのパスについて通知します。これらのネットワーク・フローの統計データは記録され、使用状況の変化を監視し、問題を監視し、アップグレードを計画するために使用されます。

NetFlowは,インターネット・エンジニアリング・タスクフォース（IETF）の標準として認識されていますが、「ネットフロー」は他のネットワーク・フロー監視プロトコルを指す総称でもあります。Cisco Systems NetFlowバージョン9は、テンプレート・ベースであり、有効にする統計データを選択できます。対照的に、人気の高いCisco Systems NetFlow v5などの以前のバージョンでは、固定のフィールド・セットを使用する必要がありました。全体として、NetFlowバージョン9は、以前のバージョンよりも柔軟です。

IP Flow Information Export（IPFIX）は、柔軟なテンプレート・ベースのアプローチを使用するもう1つのネットフロー・プロトコルです。NetFlow v9は広く使用されていますが、IPFIXは業界標準となっています。実際に、IPFIXは、NetFlow v9をベースにしています。これら2つのプロトコルは非常に似ているため、IPFIXはNetFlow製品ではありませんが、NetFlow v10と呼ばれることもあります。

もう1つの一般的なIPネットワーク・フロー監視プロトコルとデータ・レコード標準は、sFlow（samples NetFlow）です。InMon Corpが開発したこのツールは、NetFlowのように、ネットワークを通過するすべてのパケットを追跡するわけではありません。そうではなく、ネットワーク・トラフィックのランダムなサンプルをキャプチャします。このランダム・サンプリングにより、処理および分析するトラフィック・フロー・データが少なくなりますが、パフォーマンスへの影響を最小限に抑えることができます。NetFlowはすべてを追跡するため、ネットワークの速度低下を引き起こす可能性があります。

その他のネットフロー監視プロトコルには、Juniper NetworksのJ-Flow、3Com/ManufacturingのNetStream、Alcatel-LucentのCflow、EricssonのRflowなどがあります。これらのツールの総称がxFlowです。

NetFlowソリューションには通常、3つの主要なコンポーネントがあります。

1. NetFlowエクスポーター：NetFlow対応デバイス（通常はルーターまたはファイアウォール）は、フロー・エクスポーターとして動作し、フロー情報を収集します。データ・パケットをフローに集約し、UDP（User Datagram Protocol）経由で1つ以上のNetFlowコレクターにNetFlowレコードを一定間隔でエクスポートします。

エクスポーターは、入力インターフェース・ポート、送信元IPアドレスと宛先アドレス、送信元ポート、宛先ポート番号、レイヤー3プロトコル・フィールド、またはサービスのタイプのうち少なくとも1つを共通する単方向パケット・ストリームとしてフローを識別します。フローは、一定期間にわたって非アクティブであると、NetFlowエクスポートの準備が整います。また、FINやRSTなどのTCPフラグがフローの終了を示した場合にも準備が整います。

2. NetFlowコレクター：Netflowコレクターはハードウェア・ベースでもソフトウェア・ベースでもかまいませんが、ソフトウェア・ベースのツールの方が一般的に使用されています。NetFlowコレクターは、フロー・エクスポーター・ツールから集約されたフロー・レコード・データを受け取り、前処理して保存します。

3. NetFlowアナライザー：NetFlowアナライザーは、フロー・コレクターによって受信され、保存されたNetFlowレコードを処理および分析するツールです。データをレポートやアラートに変換し、帯域幅の使用状況、帯域幅の濫用、トラフィック・パターン、アプリケーションの使用状況、セキュリティーの脅威やパフォーマンスの問題を特定できるその他のパフォーマンス・メトリクスに関する洞察を提供します。このトラフィック・フロー分析により、ネットワークのトラフィックと量の全体像を把握できます。

NetFlowデータはネットワークを詳細に可視化し、パフォーマンスを最適化してユーザー・エクスペリエンスを向上させるのに役立ちます。

スループットを最大化するために、トラフィックの流れを理解する。企業ネットワークに流入するトラフィックの追跡や上位ユーザーの特定など、ネットワーク全体内のIPトラフィック・パターンを確認することには大きな価値があります。セキュリティーチームとネットワーク運用チームは、このフロー情報を使用して、ネットワークアプリケーションの使用状況を監視し、ボトルネックを検出し、ダウンタイムのリスクを軽減できます。NetFlowデータは、従量制の課金にも役立ちます。この機能により、特定の事業単位またはエンドユーザーにネットワーク・コストを請求することができます。

正確な成長計画を立てる。 NetFlowデータは、ネットワーク・トラフィックを追跡して、適切な帯域幅容量を確保し、ネットワークの成長に向けた最適な計画を立てるのに役立ちます。この情報により、ポート数、ルーティング・デバイス、その他のニーズに関して、アップグレードの計画がより簡単かつ効率的になります。

サイバーセキュリティー保護を強化する。ネットワーク動作の変化を視覚化することで、SecOps チームはサイバーセキュリティー侵害の兆候を示す異常を特定できるようになります。このデータは、セキュリティー・インシデント後に履歴を再現し、何が起こったか、そして将来的にそのシナリオを回避する方法をよりよく理解するためにも役立ちます。

ユーザー・エクスペリエンスを向上させる。トラフィック・フロー・データの収集と分析は、速度低下、ネットワーク・トラフィックの急増、帯域幅の過剰使用、その他のネットワーク上の問題の診断とトラブルシューティングに大きく役立ちます。

数分以内に洞察を得る。多くのネットワークデバイスには、すでにNetFlowまたはIPFIXのサポートがインストールされているため、有効化して生成されたデータをNetFlowコレクターに渡すのが容易です。NetFlowをまだお持ちでない場合は、比較的安価にインストールできます。通常、追加のハードウェアは必要ありません。NetFlowをダウンロードしたら、いくつかのネットワーク・ノードを簡単に設定して、ダウンタイムなしで、わずか数分でネットワークにIPフロー分析を追加できます。

NetFlowは大量の帯域幅を使用するため、監視対象デバイスのパフォーマンスに影響する可能性があります。この制約のため、たとえば帯域幅の使用量がはるかに少ないsFlowを使用して、代わりにIPパケットをサンプリングするチームもあります。ただし、欠点は、サンプリングによってITチームが重大なネットワーク・セキュリティーまたはパフォーマンスの問題を発見できなくなることです。

また、NetFlowは、ネットワークを適切に管理してトラブルシューティングを行うのに必要な数よりも少ない人員または監視ツールにのみ結果を転送できます。この制約は、問題や脅威に対処するために、ネットワークのパフォーマンスに関する情報が少なすぎることを意味します。

もう1つの制約は、NetFlowはトラフィックを送信または受信するデバイスを識別するものの、ログイン情報を調べないため、ユーザーの識別情報を提供できないことです。

NetFlowが利用可能になるまで、IT担当者はSimple Network Management Protocol（SNMP）を使用して、ネットワーク・トラフィックを分析および監視していました。SNMPは、ネットワーク監視にまだ広く使用されています。

NetFlowとは異なり、SNMPはメモリ、CPUとストレージの使用状況、およびデバイスの温度を監視します。SNMPは、標準的なネットワーク監視とキャパシティー・プランニングのための情報を収集します。SNMPはNetFlowとは異なり、リアルタイムのネットワーク管理に使用されます。ただし、SNMPでは、ネットワークの用途や使用者など、帯域幅の使用状況に関する詳細な情報は得られません。

NetFlowはプッシュ技術を使用しているため、情報が利用可能になるとすぐに表示されますが、SNMPは通常、設定された間隔でプル技術を使用します。

NetFlowはSNMPよりも多くの情報を提供するため、詳細なネットワーク・トラフィック分析やデバッグに適しています。NetFlowは、IPトラフィックを使用する複雑でトラフィックの多いネットワークや異常の検出に適しています。アプリケーションとネットワーク・トラフィック・ソースに関するより詳細な情報を提供し、パフォーマンス分析とネットワーク・トラフィック管理の拡張性を高めます。

SNMPとNetFlowはどちらも便利ですが、違いを考慮してネットワークに最適なオプションを選択することが重要です。