>>2014年3月3日更新

第1回:SNMPの限界とNetFlowの台頭

「NetFlow技術を知ろう」というテーマのもと、今後4回にわたってNetFlowについて最新技術を解説します。



最新の調査によると、将来の注目すべき4つのネットワーク技術として、OpenFlow、NetFlow、5G Wi-Fi (802.11ac)、Centralized network controls and out-of-band managementが挙げられており、NetFlowは今後の注目すべき技術とされています。

※NetFlowはCisco社標準のプロトコルの名称ですが、ここではsFlow、jFlow、IPFIXなどを含んだフロー技術の一般的な呼称として使用します。




SNMPの限界とNetFlowの台頭

現在、ネットワークの運用・監視にはSNMPベースの管理システムが最も広く利用されています。然し、SNMPはポーリングに基づいてデータ収集を行っており、ネットワークの規模が大きくなると、情報の収集に長時間を要する、などの問題が有ります。また、時間短縮のためにポーリングの間隔を短くするとネットワークへの負荷が大きくなる問題もあり、リアルタイムの状況監視には限界があります。加えて、QoSの監視、アプリケーション毎の帯域、など詳細なトラフィック情報の収集は困難です。 一方、NetFlowはプッシュ型のプロトコルを使用しており、事象を検知した時点で即時に状況を報告することができますので、リアルタイムのネットワークの監視が可能です。また、ネットワークへの負荷も少なくて済むことから、大規模ネットワークにも適用できます。この様にNetFlowは、SNMPには無い優れた機能がサポートされており、海外では一般的になってきていますが、日本ではまだ一般に受け入れられていなく、使用は一部のユーザに限られています。 日本では現在主として、トラフィックの表示、トラフィック過負荷の検出、ネットワーク計画・設計、などの用途にのみ使用されています。


NetFlowの最新トレンド

今後ネットワーク利用はより高度化し、UC(Unified Communication)、IPv6、Cloud、IPhoneなどのモバイル端末、またVoIP、IPTV、ビデオなどのアプリケーションの普及が予想され、今まで以上に高度なトラフィックの分析、リアルタイムネットワーク監視、セキュリティ向上、が必要となって来ます。 NetFlowは将来のこのような要求を満たすための機能拡張を行っており、以下のようなより高度なトラフィックの分析・監視を実現することが出来ます。

Flexible NetFlowによるフロー情報のカストマイズ(既に実現)

Flexible NetFlowにより、NetFlowレコードのカストマイズが可能となります。利用者は、用途に応じて必要な項目のみを指定して収集し、送信先を目的に応じて、セキュリティ監視向け、コアトラフィック監視向け、アプリケーション可視化向け、などの個々の解析システムに振り分けることが出来ます。これにより、より木目細かい解析が実現可能となります。

DPI(Deep Packet Inspection)(既に一部実現)

現在、多くのアプリケーションはポート80番を使用しており、ポート番号のみではアプリケーションを区分することが出来なくなって来ています。実際使われているアプリケーションを識別するためには、メッセージの中身の解析が必須となります。これを実現する機能として、Cisco社のNBAR (Network Based Application Recognition)があり、(IPFIXにも同様の機能が有)、ポート番号でなく実際のアプリケーションデータ(L7のデータ)、HTTPのURL、P2P、Skypeなどの解析が可能となります。

ファイアウォール、IPSでのNetFlowサポート(既に一部実現)

現状では、NetFlowをサポートする装置はルータ、スイッチに限られていますが、今後はファイアウォール、IPS/IDS、でのサポートが一般的に行われるようになります。これにより、内部および外部のフローを同時に取得、NATの正確な変換情報、AAAA認証のフロー、フィルターで拒否されたフロー、双方向のフローが収集できることで、ゼロデイアタックなどの検出が可能となり、システムのセキュリティ向上が図れます。

パフォーマンス上のトラブル解析向け(既に一部実現)

VoIP、VIDEO、サーバのパフォーマンス上の障害解析は難しく、長時間かかるケースが多々あります。今後NetFlowは、ジッター情報、SSRC(SIP Synchronization Source Identifier)、パケットロス、TCPの遅延をフロー情報として提供することが可能となり、より速やかに障害の原因究明が可能となります。

その他、以下の機能(項目のみ)が可能です

Class-Based Quality of Service DSCPベースの監視(既に一部実現) SCTPプロトコルによるデータの信頼性確保(今後) NBAによるセキュリティ脅威の検知(既に実現) 双方向のフローおよびパケット単位のフロー送出(既に一部実現) ネットワーク要素(VPN、IP Phone、など)毎のトラフィック解析(既に一部実現)

以上の新しい機能は、新規製品に順次搭載され、市場に導入されます。これによりNetFlowは、ネットワーク監視上より重要は役割を担うものと予想されます。