NetFlowとIPFIXはどちらも、ネットワークフローの監視と分析に使用されるテクノロジーです。ネットワークトラフィックのパターンに関する洞察を提供し、パフォーマンスの最適化、トラブルシューティング、セキュリティ分析に役立ちます。
ネットフロー:
NetFlow とは何ですか?
ネットフローNetFlowは、1990年代後半にシスコによって開発された、フロー監視ソリューションの先駆けです。複数のバージョンが存在しますが、ほとんどの導入はNetFlow v5またはNetFlow v9に基づいています。バージョンごとに機能は異なりますが、基本的な動作は同じです。
まず、ルーター、スイッチ、ファイアウォール、またはその他のデバイスがネットワーク「フロー」に関する情報を取得します。フローとは、送信元アドレスと宛先アドレス、送信元ポートと宛先ポート、プロトコルタイプといった共通の特性を持つパケットの集合です。フローが休止状態になった後、または事前に定義された時間が経過した後、デバイスはフローレコードを「フローコレクター」と呼ばれるエンティティにエクスポートします。
最後に、「フローアナライザー」がこれらの記録を解釈し、可視化、統計、詳細な履歴レポートおよびリアルタイムレポートの形で洞察を提供します。実際には、コレクターとアナライザーは単一のエンティティであることが多く、より大規模なネットワークパフォーマンス監視ソリューションに統合されることがよくあります。
NetFlowはステートフルベースで動作します。クライアントマシンがサーバーにアクセスすると、NetFlowはフローからメタデータのキャプチャと集約を開始します。セッションが終了すると、NetFlowは単一の完全なレコードをコレクターにエクスポートします。
NetFlow v5は依然として広く使用されていますが、いくつかの制限があります。エクスポートされるフィールドは固定されており、モニタリングは入力方向のみでサポートされ、IPv6、MPLS、VXLANなどの最新テクノロジーはサポートされていません。Flexible NetFlow (FNF)とも呼ばれるNetFlow v9は、これらの制限の一部に対処し、ユーザーがカスタムテンプレートを作成できるようにし、新しいテクノロジーのサポートも追加しています。
多くのベンダーは、JuniperのjFlowやHuaweiのNetStreamなど、独自のNetFlow実装を提供しています。設定は多少異なる場合もありますが、これらの実装は多くの場合、NetFlowコレクターやアナライザーと互換性のあるフローレコードを生成します。
NetFlow の主な機能:
~ フローデータNetFlow は、送信元と宛先の IP アドレス、ポート、タイムスタンプ、パケット数とバイト数、プロトコル タイプなどの詳細を含むフロー レコードを生成します。
~ 交通監視NetFlow はネットワーク トラフィック パターンを可視化し、管理者が主要なアプリケーション、エンドポイント、トラフィック ソースを識別できるようにします。
~異常検出NetFlow はフロー データを分析することで、過剰な帯域幅使用率、ネットワークの輻輳、異常なトラフィック パターンなどの異常を検出できます。
~ セキュリティ分析NetFlow は、分散型サービス拒否 (DDoS) 攻撃や不正アクセスの試みなどのセキュリティ インシデントを検出し、調査するために使用できます。
NetFlow バージョンNetFlowは時間の経過とともに進化し、さまざまなバージョンがリリースされてきました。注目すべきバージョンとしては、NetFlow v5、NetFlow v9、Flexible NetFlowなどが挙げられます。各バージョンでは、機能強化や追加機能が導入されています。
IPFIX:
IPFIXとは何ですか?
2000年代初頭に登場したIETF標準規格であるインターネットプロトコルフロー情報エクスポート(IPFIX)は、NetFlowと非常によく似ています。実際、IPFIXのベースとなったのはNetFlow v9です。両者の主な違いは、IPFIXがオープンスタンダードであり、Cisco以外の多くのネットワークベンダーによってサポートされていることです。IPFIXに追加されたいくつかのフィールドを除けば、フォーマットはほぼ同じです。実際、IPFIXは「NetFlow v10」と呼ばれることもあります。
IPFIX は NetFlow との類似性もあって、ネットワーク監視ソリューションやネットワーク機器の間で広くサポートされています。
IPFIX(インターネットプロトコルフロー情報エクスポート)は、インターネット技術特別調査委員会(IETF)によって開発されたオープンスタンダードプロトコルです。NetFlowバージョン9仕様に基づいており、ネットワークデバイスからフローレコードをエクスポートするための標準化されたフォーマットを提供します。
IPFIXはNetFlowの概念を基盤とし、それを拡張することで、異なるベンダーやデバイス間での柔軟性と相互運用性を高めています。テンプレートの概念を導入することで、フローレコードの構造と内容を動的に定義できます。これにより、カスタムフィールドの追加、新しいプロトコルのサポート、そして拡張性が可能になります。
IPFIXの主な機能:
~ テンプレートベースのアプローチIPFIX はテンプレートを使用してフロー レコードの構造と内容を定義し、さまざまなデータ フィールドとプロトコル固有の情報を柔軟に収容できるようにします。
~ 相互運用性IPFIX はオープン スタンダードであり、さまざまなネットワーク ベンダーやデバイス間で一貫したフロー監視機能を保証します。
~ IPv6 サポートIPFIX は IPv6 をネイティブにサポートしているため、IPv6 ネットワークのトラフィックの監視と分析に適しています。
~強化されたセキュリティIPFIX には、トランスポート層セキュリティ (TLS) 暗号化やメッセージ整合性チェックなどのセキュリティ機能が含まれており、送信中のフロー データの機密性と整合性を保護します。
IPFIX はさまざまなネットワーク機器ベンダーによって広くサポートされているため、ベンダーに中立で、ネットワーク フロー監視の選択肢として広く採用されています。
では、NetFlow と IPFIX の違いは何でしょうか?
簡単に答えると、NetFlow は 1996 年頃に導入された Cisco 独自のプロトコルであり、IPFIX はその標準化団体によって承認された兄弟であるということです。
どちらのプロトコルも目的は同じです。ネットワークエンジニアと管理者がネットワークレベルのIPトラフィックフローを収集・分析できるようにすることです。シスコは、自社のスイッチとルーターがこの貴重な情報を出力できるようにNetFlowを開発しました。シスコ製品の優位性により、NetFlowは瞬く間にネットワークトラフィック分析のデファクトスタンダードとなりました。しかし、業界の競合他社は、最大のライバルが管理する独自プロトコルを使用するのは得策ではないと認識し、IETFが主導してトラフィック分析のためのオープンプロトコルの標準化に着手しました。それがIPFIXです。
IPFIXはNetFlowバージョン9をベースにしており、2005年頃に導入されましたが、業界での普及には数年を要しました。現在、2つのプロトコルは本質的に同じであり、NetFlowという用語が依然として広く使用されていますが、ほとんどの実装(すべてではありませんが)はIPFIX標準と互換性があります。
NetFlow と IPFIX の違いをまとめた表を以下に示します。
| 側面 | ネットフロー | IPFIX |
|---|---|---|
| 起源 | シスコが開発した独自の技術 | NetFlow バージョン 9 に基づく業界標準プロトコル |
| 標準化 | シスコ固有のテクノロジー | IETFがRFC 7011で定義したオープンスタンダード |
| 柔軟性 | 特定の機能を備えた進化版 | ベンダー間の柔軟性と相互運用性の向上 |
| データ形式 | 固定サイズのパケット | カスタマイズ可能なフローレコード形式のためのテンプレートベースのアプローチ |
| テンプレートのサポート | サポートされていません | 柔軟なフィールドの追加を可能にする動的テンプレート |
| ベンダーサポート | 主にシスコデバイス | ネットワークベンダーを幅広くサポート |
| 拡張性 | カスタマイズの制限 | カスタムフィールドとアプリケーション固有のデータの組み込み |
| プロトコルの違い | Cisco固有のバリエーション | ネイティブ IPv6 サポート、強化されたフロー レコード オプション |
| セキュリティ機能 | 制限されたセキュリティ機能 | トランスポート層セキュリティ(TLS)暗号化、メッセージの整合性 |
ネットワークフロー監視特定のネットワークまたはネットワークセグメントを通過するトラフィックを収集、分析、監視することです。その目的は、接続の問題のトラブルシューティングから将来の帯域幅割り当ての計画まで多岐にわたります。フロー監視とパケットサンプリングは、セキュリティ問題の特定と修復にも役立ちます。
フロー監視は、ネットワークチームがネットワークの運用状況を把握する上で役立ちます。ネットワーク全体の使用率、アプリケーションの使用状況、潜在的なボトルネック、セキュリティ脅威の兆候となる可能性のある異常などに関する洞察が得られます。ネットワークフロー監視には、NetFlow、sFlow、IPFIX(Internet Protocol Flow Information Export)など、複数の標準規格とフォーマットが使用されています。それぞれ動作は若干異なりますが、ポートミラーリングやディープパケットインスペクションとは異なり、ポートやスイッチを通過するすべてのパケットの内容を取得するわけではありません。ただし、フロー監視は、SNMPよりも多くの情報を提供します。SNMPは通常、パケットや帯域幅の使用量といった広範な統計情報に限定されます。
ネットワークフローツールの比較
| 特徴 | ネットフローv5 | NetFlow v9 | sFlow | IPFIX |
| オープンまたは独自 | 独自の | 独自の | 開ける | 開ける |
| サンプリングまたはフローベース | 主にフローベース;サンプルモードも利用可能 | 主にフローベース;サンプルモードも利用可能 | サンプリング | 主にフローベース;サンプルモードも利用可能 |
| 収集された情報 | 転送されたバイト数、インターフェースカウンタなどのメタデータと統計情報 | 転送されたバイト数、インターフェースカウンタなどのメタデータと統計情報 | 完全なパケットヘッダー、部分的なパケットペイロード | 転送されたバイト数、インターフェースカウンタなどのメタデータと統計情報 |
| 入口/出口監視 | イングレスのみ | 入口と出口 | 入口と出口 | 入口と出口 |
| IPv6/VLAN/MPLS サポート | No | はい | はい | はい |
投稿日時: 2024年3月18日
