フロー監視プロトコル
IP トラフィックフローを追跡するには、ネットワークフロー監視プロトコルとそれをサポートするソリューションを使用してデータを収集および分析します。最も一般的なのは、IP デバイスからの入力をサンプリングする業界標準プロトコルである NetFlow です。ルーターやスイッチから送られるデータのパケットに含まれる送信元/宛先アドレス、送信元/宛先ポート、ネットワークが使用しているプロトコルなどの情報がログに記録されます。NetFlow の異なるバリエーションとして、国際標準化された IPFIX や、J-Flow や sFlow などの独自プロトコルがあります。
NetFlow
NetFlow は、Cisco が IP トラフィック情報を収集し、ネットワークテレメトリデータを監視するために独自に開発したネットワーク標準です。NetFlow 対応のスイッチまたはルーター、いわゆるエクスポーターは、帯域幅の使用状況、通信パートナー、クライアントアクティビティの全体像を提供する、集約されたトラフィック統計情報を生成します。フローエクスポートの設定とキーフィールド(パケットがフローに集約される方法)とエクスポートされる情報がより柔軟にカスタマイズできる Flexible NetFlow というバージョンもあります。
J-Flow
J-Flow は、1996 年に設立され、インターネットトラフィックに最適化されたデータパケットベースのルーターの開発に着手した、Juniper Networks のフロー監視標準プロトコルです。特定の Juniper 製品で機能する Juniper 独自のプロトコルですが、この規格は一般に NetFlow と互換性があります。NetFlow との主な違いは、エクスポートされたフローデータのタイムスタンプがネットワークセッション全体で保持されるため、コレクター側で少し異なる処理が必要になることです。
sFlow
sFlow (sampled Flow) は、高速スイッチドネットワークを監視するための業界標準テクノロジーです。NetFlow とは対照的に、フローキャッシュの概念と、パケットから抽出されたメタデータをフローに集約する機能を備えていません。サンプリングされたパケットヘッダーは、NetFlow のような形式にエンコードされ、コレクターにエクスポートされます。サンプリングレートが高いため、このデータは、トラブルシューティングやネットワークベースの異常検出を処理するには十分な精度ではありません。一方、そのようなデータを作成するのは簡単なので、sFlow 規格はエントリーレベルのエンタープライズスイッチでサポートされています。
IPFIX
IPFIX (IP Flow Information eXport) は、Cisco 環境では NetFlow v10 と呼ばれますが、Flowmon などのフローベースの監視ツールのベンダーが独自のプロトコル拡張を定義して、L2 から L7 までのあらゆる情報をエクスポートできるようにする独立した国際標準プロトコルです。NetFlow データフィールドをパケットペイロードからのアプリケーションレイヤ情報で充実させ、ネットワークトラフィックをより深く理解できるようになります。
NEL と NSEL
NEL は Network Event Logging の略で、ネットワークアドレス変換からのログを参照します。NSEL は Network Security Event Logging の略で、Cisco ASA によって生成されるファイアウォールログを指します。NetFlow v9 はこれらのログをコレクターに転送しますが、NEL または NSEL で提供される情報は実際のネットワークトラフィックチャートを再構築できないため、このデータを実際の NetFlow と見なすことはできません。
FlowLogs
FlowLogs は、パブリッククラウドプラットフォームによって提供される新しいテクノロジーであり、フローベースのアプローチを使用してネットワークトラフィックを監視できます。FlowLogs は通常、特定のクラウドプラットフォームの特別な API を介して提供され、CSV のような形式または JSON 形式で提供されます。これらは、標準のトラフィック監視プラットフォームで収集してさらに処理するために、従来のフロー形式に変換する必要があります。Amazon AWS では、このテクノロジーは VPC FlowLogs と呼ばれます。Microsoft Azure では、このテクノロジーは NSG FlowLogs として知られています。
トラフィック分析ツール
NetFlow、J-Flow、sFlow などをサポートするネットワークトラフィック分析ツールは、ネットワークを通過するデータパケットを監視して記録し、管理者が分析できるように情報を保存します。トラフィック分析ツールを使用すると、次のようなことが可能になります。
- 誰がいつどの程度ネットワークを使用しているかを把握: ネットワークに接続しているユーザーをいつでも簡単に確認できます。
- 潜在的なアプリケーションとネットワークトラフィック問題の影響を理解: フロー統計情報を使用して、アプリケーションとポリシーの変更がトラフィックに与える影響を測定できます。
- ネットワーク問題を解明し、トラブルシューティング: ネットワークパフォーマンスの悪化を診断し、帯域幅の使用状況を確認して、問題を解決することができます。
- 承認されていない WAN トラフィックの検出: トラフィック分析により、トラフィックの輻輳を引き起こしているアプリケーションを特定し、正当性を検証して調整できます。WAN の監視で、トラフィックのパターンと負荷を理解し、運用調整によってコストのかかるアップグレードを回避可能な場合があります。
- DDoS やセキュリティ問題の検出: DoS/DDoS その他のネットワークの動きの異常を検出できます。
- サービス品質のパラメータの検証: トラフィック分析で、各サービスのクラス (Class of Service、CoS) に適切な帯域幅が割り当てられているされていることなどを確認できます。
WhatsUp Gold は NetFlow、J-Flow、sFlow などをサポート
ネットワークフローの監視は、多くの場合、断続的なネットワークのパフォーマンス問題を解決し、主要なアプリケーションとサービスのサービス品質 (Quality of Service、QoS) を確保するための最良の方法です。ネットワークフロー監視は、ネットワークトラフィック分析、帯域幅使用率分析、帯域幅監視などと呼ばれることもありますが、効果的なネットワークとインフラストラクチャの管理に不可欠な可視性を提供します。
プログレスが提供する IT インフラストラクチャ監視ソリューション、WhatsUp Gold のネットワークトラフィック分析 (Network Traffic Analysis、NTA) は、NetFlow、J-Flow、sFlow、IPFIX を含む広範なプロトコルをサポートします。ネットワークフローを監視し、どのユーザー、どのアプリケーション、どのプロトコルが、ネットワーク帯域幅を大量に消費しているか、不審なポートに接続しているユーザーやアプリケーションが存在するかなどを確認できます。
様々な多数のデバイスやポートからのフローデータをまとめたり分類したりできるので、トラフィックの送信元の個々のポートではなく、ビジネスユニットや機能ごとにレポートを作成できます。適切な設定で作成されたレポートはトラフィックのボトルネックを発見して迅速に対応するのに役立ちます。
WhatsUp Gold は、簡易ネットワーク管理プロトコル (SNMP) を使用して、フロー対応デバイスを自動的に識別し、適切なタイムアウトとフローコレクタパラメータをすべて設定した状態でフローレコードを送り返すようにデバイスを設定できます。IT 管理者は、追加の設定を行う必要がなく、レポートの分析に集中することができます。
デフォルトではすべてのアプリケーションが同じ優先順位で動作するので、トラフィックを効果的にコントロールするためには、QoS ポリシーを策定する必要があります。WhatsUp Gold のネットワークトラフィック分析は、 QoS ポリシーに基づいて帯域使用を監視し、管理できます。例えば、NBAR アプリケーションレポートは、NBAR (Network-Based Application Recognition、ネットワークベースのアプリケーション認識) トラフィックの完全なビューを提供し、アプリケーションのパフォーマンス問題や帯域幅使用率を診断できます。
会話ペア間のトラフィック量、接続失敗数、インタフェースのトラフィック使用率などに関してしきい値を設定しておくことで、しきい値を超えたら警告を受信できます。トラフィック問題の警告を受け、ユーザー・アプリケーション・業務に悪影響が及ぶ前にプロアクティブに対処できます。
NetFlow、J-Flow、sFlow などのプロトコルをサポートする WhatsUp Gold を使ってトラフィックフローを追跡および分析することで、ネットワークのパフォーマンスを高く保ち、サービス品質を維持することが可能になります。