NetFlowとIPFIXはどちらも、ネットワークフローの監視と分析に使用される技術です。これらはネットワークトラフィックのパターンに関する洞察を提供し、パフォーマンスの最適化、トラブルシューティング、およびセキュリティ分析に役立ちます。
NetFlow:
NetFlowとは何ですか?
ネットフローNetFlowは、1990年代後半にシスコシステムズが開発した、オリジナルのフロー監視ソリューションです。いくつかの異なるバージョンが存在しますが、ほとんどの導入事例はNetFlow v5またはNetFlow v9に基づいています。各バージョンには異なる機能がありますが、基本的な動作は同じです。
まず、ルーター、スイッチ、ファイアウォール、またはその他の種類のデバイスが、ネットワークの「フロー」に関する情報を取得します。フローとは、送信元アドレスと宛先アドレス、送信元ポートと宛先ポート、プロトコルタイプなど、共通の特性を持つパケットの集合です。フローが休止状態になったり、所定の時間が経過したりすると、デバイスはフローレコードを「フローコレクター」と呼ばれるエンティティにエクスポートします。
最後に、「フローアナライザー」がこれらの記録を分析し、視覚化、統計情報、詳細な履歴レポートおよびリアルタイムレポートといった形で洞察を提供します。実際には、コレクターとアナライザーは単一のエンティティとして機能し、多くの場合、より大規模なネットワークパフォーマンス監視ソリューションに組み込まれています。
NetFlowはステートフルな動作をします。クライアントマシンがサーバーにアクセスすると、NetFlowはフローからメタデータの取得と集約を開始します。セッションが終了すると、NetFlowは単一の完全なレコードをコレクターにエクスポートします。
NetFlow v5は今でも広く使われていますが、いくつかの制限があります。エクスポートされるフィールドは固定されており、監視は受信方向のみでサポートされ、IPv6、MPLS、VXLANなどの最新技術はサポートされていません。NetFlow v9(Flexible NetFlow(FNF)とも呼ばれる)は、これらの制限の一部に対処し、ユーザーがカスタムテンプレートを作成できるようにしたり、新しい技術のサポートを追加したりしています。
多くのベンダーは、JuniperのjFlowやHuaweiのNetStreamなど、独自のNetFlow実装を提供しています。設定は多少異なる場合もありますが、これらの実装は多くの場合、NetFlowコレクターやアナライザーと互換性のあるフローレコードを生成します。
NetFlowの主な特長:
~ フローデータNetFlowは、送信元および宛先IPアドレス、ポート、タイムスタンプ、パケット数とバイト数、プロトコルタイプなどの詳細情報を含むフローレコードを生成します。
~ 交通監視NetFlowはネットワークトラフィックのパターンを可視化し、管理者が主要なアプリケーション、エンドポイント、およびトラフィックソースを特定できるようにします。
~異常検知NetFlowは、フローデータを分析することで、帯域幅の過剰使用、ネットワークの混雑、異常なトラフィックパターンなどの異常を検出できます。
~ セキュリティ分析NetFlowは、分散型サービス拒否(DDoS)攻撃や不正アクセス試行などのセキュリティインシデントを検出および調査するために使用できます。
NetFlowのバージョンNetFlowは長年にわたり進化を続け、様々なバージョンがリリースされてきました。代表的なバージョンとしては、NetFlow v5、NetFlow v9、Flexible NetFlowなどが挙げられます。各バージョンでは、機能強化や新機能が追加されています。
IPFIX:
IPFIXとは何ですか?
2000年代初頭に登場したIETF標準規格であるインターネットプロトコルフロー情報エクスポート(IPFIX)は、NetFlowと非常によく似ています。実際、IPFIXはNetFlow v9をベースに開発されました。両者の主な違いは、IPFIXがオープンスタンダードであり、Cisco以外にも多くのネットワーク機器ベンダーがサポートしている点です。IPFIXに追加されたいくつかのフィールドを除けば、フォーマットはほぼ同じです。実際、IPFIXは「NetFlow v10」と呼ばれることもあります。
IPFIXはNetFlowとの類似性もあって、ネットワーク監視ソリューションやネットワーク機器の間で幅広い支持を得ている。
IPFIX(Internet Protocol Flow Information Export)は、インターネット技術タスクフォース(IETF)によって開発されたオープン標準プロトコルです。NetFlowバージョン9仕様に基づいており、ネットワーク機器からフローレコードをエクスポートするための標準化されたフォーマットを提供します。
IPFIXはNetFlowの概念を基盤とし、それを拡張することで、異なるベンダーやデバイス間での柔軟性と相互運用性を向上させています。テンプレートの概念を導入することで、フローレコードの構造と内容を動的に定義することが可能になります。これにより、カスタムフィールドの追加、新しいプロトコルのサポート、および拡張性が実現します。
IPFIXの主な特徴:
~ テンプレートベースのアプローチIPFIXはテンプレートを使用してフローレコードの構造と内容を定義し、さまざまなデータフィールドやプロトコル固有の情報に対応できる柔軟性を提供します。
~ 相互運用性IPFIXはオープンスタンダードであり、異なるネットワークベンダーやデバイス間で一貫したフロー監視機能を保証します。
~ IPv6サポートIPFIXはIPv6をネイティブにサポートしているため、IPv6ネットワークにおけるトラフィックの監視および分析に適しています。
~セキュリティ強化IPFIXには、伝送中のフローデータの機密性と完全性を保護するために、トランスポート層セキュリティ(TLS)暗号化やメッセージ完全性チェックなどのセキュリティ機能が含まれています。
IPFIXは様々なネットワーク機器ベンダーによって広くサポートされているため、ベンダーに依存しない、ネットワークフロー監視のための広く採用されている選択肢となっている。
では、NetFlowとIPFIXの違いは何でしょうか?
簡単に言うと、NetFlowは1996年頃に導入されたシスコ独自のプロトコルであり、IPFIXは標準化団体によって承認されたその兄弟規格です。
どちらのプロトコルも同じ目的を果たします。それは、ネットワークエンジニアや管理者がネットワークレベルのIPトラフィックフローを収集・分析できるようにすることです。シスコは、自社のスイッチやルーターがこの貴重な情報を出力できるようにNetFlowを開発しました。シスコ製品の圧倒的なシェアを考えると、NetFlowはネットワークトラフィック分析の事実上の標準となりました。しかし、業界の競合他社は、最大のライバルが管理する独自のプロトコルを使用するのは得策ではないと認識し、IETFはトラフィック分析のためのオープンプロトコルであるIPFIXの標準化に向けた取り組みを主導しました。
IPFIXはNetFlowバージョン9をベースとしており、元々は2005年頃に導入されましたが、業界で広く採用されるまでには数年を要しました。現在では、両プロトコルは基本的に同じであり、NetFlowという用語の方が依然として広く使われていますが、ほとんどの実装(すべてではありませんが)はIPFIX規格と互換性があります。
NetFlowとIPFIXの違いをまとめた表を以下に示します。
| 側面 | ネットフロー | IPFIX |
|---|---|---|
| 起源 | シスコが開発した独自技術 | NetFlowバージョン9に基づく業界標準プロトコル |
| 標準化 | Cisco固有のテクノロジー | IETFがRFC 7011で定義したオープンスタンダード |
| 柔軟性 | 特定の機能を備えた進化版 | ベンダー間の柔軟性と相互運用性の向上 |
| データ形式 | 固定サイズのパケット | カスタマイズ可能なフローレコード形式のためのテンプレートベースのアプローチ |
| テンプレートのサポート | サポートされていません | 柔軟なフィールド挿入のための動的テンプレート |
| ベンダーサポート | 主にシスコ製デバイス | ネットワークベンダー全体にわたる幅広いサポート |
| 拡張性 | カスタマイズの制限 | カスタムフィールドとアプリケーション固有のデータの組み込み |
| プロトコルの違い | Cisco固有のバリエーション | ネイティブIPv6サポート、拡張フローレコードオプション |
| セキュリティ機能 | セキュリティ機能が限定的 | トランスポート層セキュリティ(TLS)暗号化、メッセージの完全性 |
ネットワークフロー監視フロー監視とは、特定のネットワークまたはネットワークセグメントを通過するトラフィックの収集、分析、および監視のことです。その目的は、接続問題のトラブルシューティングから将来の帯域幅割り当ての計画まで多岐にわたります。フロー監視とパケットサンプリングは、セキュリティ問題の特定と修復にも役立ちます。
フロー監視は、ネットワークチームがネットワークの動作状況を把握するのに役立ち、全体的な利用状況、アプリケーションの使用状況、潜在的なボトルネック、セキュリティ上の脅威を示す可能性のある異常などに関する洞察を提供します。ネットワークフロー監視には、NetFlow、sFlow、およびインターネットプロトコルフロー情報エクスポート(IPFIX)など、いくつかの異なる標準とフォーマットが使用されます。それぞれ動作方法は若干異なりますが、ポートミラーリングやディープパケットインスペクションとは異なり、ポートまたはスイッチを通過するすべてのパケットの内容をキャプチャしません。ただし、フロー監視は、パケット全体や帯域幅の使用状況などの大まかな統計情報に限定されることが多いSNMPよりも多くの情報を提供します。
ネットワークフローツールの比較
| 特徴 | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| オープンか独自仕様か | 専有 | 専有 | 開ける | 開ける |
| サンプリングまたはフローベース | 主にフローベース。サンプリングモードも利用可能。 | 主にフローベース。サンプリングモードも利用可能。 | サンプリング | 主にフローベース。サンプリングモードも利用可能。 |
| 取得された情報 | メタデータおよび統計情報(転送バイト数、インターフェースカウンタなど) | メタデータおよび統計情報(転送バイト数、インターフェースカウンタなど) | 完全なパケットヘッダー、部分的なパケットペイロード | メタデータおよび統計情報(転送バイト数、インターフェースカウンタなど) |
| 入退室監視 | Ingress専用 | 入退場 | 入退場 | 入退場 |
| IPv6/VLAN/MPLSのサポート | No | はい | はい | はい |
投稿日時:2024年3月18日
