LoginSignup
1
2

More than 3 years have passed since last update.

@Shinya_IDENO(出野 真也)

sFlowの特性を生かした分析

Posted at

sFlowの特性を生かした分析

フロープロトコルには、大きく分けると2つの規約が存在します。
ひとつは、sFlow、で
もうひとつは、NetFlow、になります。

どちらもフロー分析に必要な情報である、

Time
Ingress ifIndex
Egress ifIndex
IP Source Address
IP Destination Address
IP Protocol
L4 Source Port
L4 Destination Port
Frames
Bytes

を保有し、これらの情報を基に分析することが出来ます。
ただ、これらの情報をエクスポートする方法と内容は、sFlowとNetFlowでは大きく異なります。
sFlowは、流れるトラフィックを機器のインターフェースでサンプリングして、その情報を基に

Flow sample (フローデータ)
  Packet Header : サンプルパケットのパケットヘッダー情報(一部ペイロード含む)
  Src/Dst i/f : 入出力インターフェースのifIndex
  Sampling Perms : sFlowパラメータ(Sampling Rate,Sampling Pool etc)
  Forwarding
  Priority  ( Src/Dst 802.1p/TOS)
  VLAN ( Src/Dst 802.1q)
  Next hop address
  Source AS, Source Peer AS
  Destination AS Path
  Communities, local preference
  MPLS
  User ID : Src/Dst RADIUS/TACACS
  URL
SNMP Counter Sample (SNMP カウンター 値)
  i/f counters : インターフェース・カウンター・統計値

の情報をsFlowデータグラム化してエクスポートします。
情報内容としては、パケットヘッダー情報とその他関連付与情報を追加したものになります。
また、SNMPカウンター情報もsFlowデータグラムとしてエクスポートします。

かたやNetFlowは、
流れるトラフィックを機器のキャッシュ内でフロー情報キーでフレームやバイトをカウントして、
指定のタイミングでNetFlowデータグラム化してエクスポートします。下記図参照。
フロー情報は、NetFlowV9では、テンプレート形式で取得情報を変更する事が出来ますが、
概ね下記図内の内容のフロー情報キーで集約します。
image.png

Time
Interface
Source Address
Destination Address
IP Protocol
TOS
Source Port
Destination Port
Frames
Bytes
など

NetFlowは、エクスポートされた情報自体が既にフロー情報化されており、
sFlowは、エクスポートされた情報はサンプリングされ転送されたそのままのパケットヘッダ情報なので、
受信したフローシステム側で、サンプリングを考慮してフロー情報に組み立てる必要があります。
その為、ネットワーク機器側の処理負荷は低いですが、フローシステム側の負荷が比較的高くなります。
逆に、NetFlowは、ネットワーク機器側のキャッシュでカウントし続けるので、ネットワーク機器側の処理負荷が比較的高くなります。
NetFlowにもネットワーク機器側の負荷低減の為に、sFlow同様にサンプリング処理を行うSampled NetFlow規格も存在します。

NetFlowは、フローとしてエクスポートされた情報のみの分析になりますが、
sFlowは、フロー情報以外にもパケットヘッダに含まれる各種の情報による分析も可能です。

それらのsFlowの持つ情報の特性を生かした分析をいくつかご紹介したいと思います。

TCP Flags

TcpFlagの、ACK、SYN、PUSH、FIN、RSTでの分析
image.png

RTP(RTP Codec、RTP Jitter、RTP Lost Fraction)

G722,G729,H263,H261でコーデック
image.png
image.png

MACアドレス

MACアドレス間での統計値
image.png

ICMP(ICMP Code、ICMP Type、ICMP Unreachable Portなど)

ICMPの情報
image.png

その他

プロトコル系

ARP(ARP H/W Type、ARP IP Sender、ARP IP Target、ARP MAC Sender、ARP MAC Target、ARP Operation、ARP Protocol Type)
VLAN(VLAN In、VLAN Name In、VLAN Name Out、VLAN Out、VLAN Stack)
IGMP ( Internet Group Management Protocol ) Group

ストレージ系

ATA over Ethernet(AOE Operation、AOE Status、AOE Target)
Fibre Channel(FC Client、FC Destination、FC Server、FC Source、FCS Errors)
ISCSI opcode
TRILL(TRILL Hops、TRILL Options、TRILL RBridge Egress、TRILL RBridge Ingress)

など多数。
1
2
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
2