NetFlowパケットの方向を理解しよう

関連記事中にある表2に記載がありますが、Ingress, Egress, InputInt, OutputIntと見慣れない単語が出てくるかと思います。本記事ではこちらをフローコレクター及び実際のNetFlow v9パケットから解説していきたいと思います。

それでは、接続元PCから接続先PCの通信だけに絞って考察してみたいと思います。接続元PCからプロキシサーバーである接続先PCの通信ルートは以下のようになっております。

[Cisco891F内パケットの流れ]

この流れと表1から、実際のNetFlowパケットの方向(Directionの値。ルータから見たトラフィックの方向、つまりIngress or Egress)とIF情報(InputInt及びOutputInt)はどうなっているでしょうか？図2に実際のパケットを図示しました。

図2 接続元PCから接続先PCへのフローパケット

ここで、InputIntは”6″であると予想された方もいらっしゃると思いますが、NetFlowはLayer3の世界で考える必要があります。つまり、IPアドレスを持っているIFで考察する必要があるということです。図1を再度参照して頂くとIPアドレスが設定されているIFは、VLAN1インターフェイス(SNMP INDEX 16)とルーテッドポート(SNMP INDEX 1)ということが分かります。よって、図2のパケットで記載されている通り、InputInt(トラフィックの入力IF番号)が16となり、OutputInt(トラフィックの出力IF番号)が1となっています。そして、Direction(ルータ視点での方向)は、ルーターから出ていくトラフィックとなりますので、Egressといったことになります。折角の機会ですので、逆方向のパケットも覗いてみましょう。

戻りパケットはInputIntが”1″、OutputIntが”16″、Directionが”Ingress”と図2のパケットと真逆になっていることが確認出来ます。これまでのデータと説明で、NetFlowのパケット内に記載されているInputInt,OuytputInt,Directionがスッキリと理解出来たのではないでしょうか？世の中に出ているフローコレクター製品は、これらパケットの情報を使ってトラフィック情報を可視化しているのにすぎません。最後に、弊社で発売しているフローコレクター製品で図1の通信を可視化してみましょう。

弊社では、フローコレクターNetVizura NetFlow Analyzerを2019年9月17日に発表しております。

主な特長としては、

1. 軽量で低スペックサーバーでも動作
2. サブスクリプションによる柔軟なライセンス契約
3. 特定トラフィック・特定ユーザーの監視に適している
4. ネットワークが遅い！の調査に使えるお手軽フローコレクター

となります。評価版(Free Editionへは、30日経過後に移行可能)、マニュアルを無償で提供しておりますので、NetVizura NetFlow Analyzerをこの機会に是非お試しください。