高度な設定

[高度な設定]タブでは、パケットサンプリングレート、フローIDリスト、自律システムのリストを設定できます。トグルスイッチ[カスタム設定を使用する]を無効にし、[保存]ボタンをクリックすると、このタブがグローバル設定に従って設定されます。トンネルプロトコルのカプセル化解除およびMPLSパケットのカプセル化解除モードオプションも設定できます。

[パケットサンプリングレート]では、受信パケットに決定的サンプリング(3つのパケットあたり1つのサンプリング周期など)またはランダムサンプリング(3つのパケットあたり1つのサンプリング周期など)を定義します。[パケットサンプリングレート]としてゼロ(0)を指定すると、この機能は無効になります。

モニタリングポートの[ライトモード]トグルを有効にすると、モニタリングポートの最大のパフォーマンスを発揮できます。このオプションは、10Gbpsおよび100Gbpsネットワークでのワイヤースピードのモニタリングを実行するのに必要です。このオプションを使用すると、L2、L3/L4、L7層のすべての追加情報のモニタリングが無効化されます(IPv6を含むNetFlow v5に相当する基本フロー情報のみがモニタリングされます)。

[NetFlowレコードのオプションのLx値]リストでは、L2、L3/L4、L7層の追加情報をモニタリングできます。

有効な各オプションは、モニタリングポートのパフォーマンスに影響を与えます。他の一部のFlowmonモジュール(FPIプローブ、APMプローブ、IDSプローブ)も、有効になっている場合にモニタリングポートのパフォーマンスに影響を与えます。

オプションの値を適切に監視するには、プローブをSPANポートで接続することを強くお勧めします。これは、通信の両方向を同じモニタリングポートで監視する必要があるためです。プローブがTAPによって接続され、通信の各方向が異なるモニタリングポートによって受信される場合、モニタリング機能が制限されたり、正確性が低下したりする可能性があります。

NetFlowレコードのオプションのL2値

L2の場合、MAC、VLAN、MPLSの各タグのモニタリングを選択できます(NetFlow v5ではMPLSをサポートしていません)。MPLSフレームには、カプセル化されたさまざまな種類のプロトコルが含まれている可能性がありますが、カプセル化されたプロトコルに関する情報がMPLSヘッダーに存在しないため、これらのプロトコルを認識するのは困難です。このため、カプセル化されたデータを[MPLSパケットのカプセル化解除モードの選択]ドロップダウンリストを使用して選択できます。ここでは、自動モードまたは特定の下層プロトコルを選択できます。自動モードが正しく動作しない場合は、下層プロトコルを手動で選択してみてください。

パフォーマンスの最適化により、一部のフローでMAC、MPLS、VLANの値が欠落している可能性があります。

NetFlowレコードのオプションのL3/L4値

L3/L4の場合は、L3/L4 (TCP TTL、TCP SYNパケットサイズおよびTCPウィンドウサイズ)からの拡張された値のモニタリング、ネットワークパフォーマンスモニタリングメトリック(NPM - 詳細については、「ネットワークパフォーマンスモニタリングメトリック」の節を参照)を有効化できます。IPFIXプロトコルの場合にのみ、このすべての値を利用できます。

ネットワークパフォーマンスメトリック

Flowmonプローブを使用して、接続品質の測定に使用可能な優れたメトリックをモニタリングできます。すべてのメトリックがマイクロ秒で測定されます。NPMチェックボックス(ネットワークパフォーマンスメトリック)によって、ラウンドトリップ時間、サーバ応答時間、TCP再送信、TCPアウトオブオーダーの値が測定可能になります。NPM拡張チェックボックスによって、ジッターおよび遅延の値が測定可能になります。それぞれのメトリックを以下に示します。

• ラウンドトリップ時間 - TCP接続確立時のネットワーク遅延(TCPトラフィック上でのみ測定)です。具体的には、SYNパケットを送信してからACKパケットを受信するまでの時間(クライアントから送信される最初のパケットと2番目のパケットの間の時間)が測定されます。メトリックの測定は、クライアントからサーバに送信されるフローに対してのみ行われます。

• サーバ応答時間 - データの最初の要求に対するアプリケーション遅延。具体的には、サーバによる要求確認から最初の応答パケットの送信までの時間が測定されます。メトリックの測定は、サーバからクライアントに送信されるフローに対してのみ行われます。

• TCP再送信およびTCPアウトオブオーダーパケット - TCPフロー内の再送信およびアウトオブオーダーのパケットのカウント。

• ジッター - パケット間のギャップに見られる実際の周期性からの偏差。具体的には、最初のパケットと2番目のパケットの間の遅延、そして2番目のパケットと3番目のパケットの間の遅延が測定されます。この2つの値の差分がジッターです。同じことが他のパケットにも当てはまります。平均ジッター、最小値、最大値、標準偏差が出力されます。

• 遅延 - パケット間の遅延です。具体的には、packetNやpacketN-1のタイムスタンプなどが差し引かれます。平均遅延、最小値、最大値、標準偏差が出力されます。

NPMメトリックの計算方法の詳細な説明については、Flowmon NPMメトリックの計算のページを参照してください。

IPFIXレコードのオプションのL7値

L7の場合、オプションNBAR2を有効にできます。このオプションでL7アプリケーションの検出が可能になります。検出されたアプリケーションは、NBAR2プロトコルを使用してエクスポートされます。次に、提供されるアプリケーションプロトコル(HTTP、DNS、Samba、DHCPなど)の詳細な解析を有効にできます。IPFIXプロトコルの場合にのみ、これらすべての値を利用できます。

DHCP

DHCPプロトコルのモニタリングを有効にします。これは、標準ポート67と68のUDPパケットを検査します。Flowmonコレクタに情報を格納するには、[フローのデータベースフィールド]の設定でDHCPフィールド拡張機能を有効にします。

DNS

DNSプロトコルのモニタリングを有効にします。これは、標準ポート53のUDPパケットとTCPパケットを検査します。Flowmonコレクタに情報を格納するには、[フローのデータベースフィールド]の設定でDNSフィールド拡張機能を有効にします。

HTTP

HTTPプロトコルのモニタリングを有効にします。これは、すべてのTCPパケットを検査し、非標準ポートも含めてHTTP通信を探します。Flowmonコレクタに情報を格納するには、[フローのデータベースフィールド]の設定でHTTPフィールド拡張機能を有効にします。

電子メール

SMTP、POP、およびIMAPプロトコルのモニタリングを有効にします。これは、標準ポート25、587、110、143のTCPパケットを検査します。Flowmonコレクタに情報を格納するには、[フローのデータベースフィールド]の設定でメールフィールド拡張機能を有効にします。

NBAR2

NBAR2フォーマットでエクスポートされるL7プロトコルの検知を有効にします。Flowmonコレクタに情報を格納するには、[フローのデータベースフィールド]の設定でNBAR2アプリケーションタグ拡張機能を有効にします。

Samba

SMBプロトコルのモニタリングを有効にします。これは、標準ポート445のTCPパケットを検査します。Flowmonコレクタに情報を格納するには、[フローのデータベースフィールド]の設定でSambaフィールド拡張機能を有効にします。

VoIPおよび拡張VoIP

どちらのオプションでもセッション開始プロトコル(SIP)のモニタリングが有効になります。SIPはVoIP (Voice over IP)の技術で使用されるL7シグナリングプロトコルであり、いわゆるセッションの開始、変更、終了を行います。SIPプロトコルのパケットヘッダーには、開始されたVoIPセッションに関する情報(発信者および着信側のID、通話時間、正常に開始したかどうか、ネゴシエーションで決定したIPアドレス、Real-time Transport Protocol (RTP)用のポート)が含まれます。SIPプロトコルでは、一般にUDPポート5060番が使用されます。

VoIPと拡張VoIPの違いは、拡張VoIPでは対応するRTPおよびRTCPトラフィックと開始されたSIPセッションとの照合も行われることです。これにより、ユーザはRTPトラフィックに関する追加情報(使用された音声/映像コーデック、転送されたバイトおよびパケット数、トラフィックのジッター、失われたパケットの数など)を確認できます。ただし、RTPトラフィックとSIPセッションの照合によって、Flowmonプローブアプライアンスのパフォーマンスに大きな影響が生じます。したがって、予想されるネットワークトラフィック速度がモニタリングポートあたり10 Gbpsを超えるアプライアンスに対しては、拡張VoIPの使用をお勧めしません。

この2つのオプションは同時に使用できません。

Flowmonコレクタに情報を格納するには、[フローのデータベースフィールド]の設定でVOIPフィールド拡張機能を有効にします。

MSSQL

Microsoft SQL Serverによって使用されるデータベース通信プロトコルであるTDSプロトコルのモニタリングを有効にします。これは、標準ポート1433のTCPパケットを監視します。Flowmonコレクタに情報を格納するには、[フローのデータベースフィールド]の設定でMSSQLフィールドとMSSQL拡張フィールド拡張機能を有効にします。

PostgreSQL

PostgreSQLデータベースによって使用されるデータベース通信プロトコルのモニタリングを有効にします。このモニタリング機能は、すべてのTCPパケットを検査し、非標準ポートも含めてPostgreSQL通信を探します。Flowmonコレクタに情報を格納するには、[フローのデータベースフィールド]の設定でPostgreSQLフィールドとPostgreSQL拡張フィールド拡張機能を有効にします。

MySQL

MySQLデータベースによって使用されるデータベース通信プロトコルのモニタリングを有効にします。このモニタリング機能は、すべてのTCPパケットを検査し、非標準ポートも含めてMySQL通信を探します。Flowmonコレクタに情報を格納するには、[フローのデータベースフィールド]の設定でMySQLフィールドとMySQL拡張フィールド拡張機能を有効にします。

TLSメイン

このオプションを使用すると、TLSプロトコルからの基本情報のモニタリングが可能になります。このモニタリング機能は、すべてのTCPパケットを検査し、非標準ポートも含めてTLS通信を探します。Flowmonコレクタに情報を格納するには、[フローのデータベースフィールド]の設定でTLSメインフィールド拡張機能を有効にします。HTTPプロトコルの監視が有効な場合、サーバ名(SNI)の値もHTTP hostnameフィールドに入力され、HTTPメソッドは[SSL]に設定されます。

TLSクライアント

このオプションを使用すると、TLSプロトコルからのクライアント固有の情報のモニタリングが可能になります。このモニタリング機能は、すべてのTCPパケットを検査し、非標準ポートも含めてTLS通信を探します。Flowmonコレクタに情報を格納するには、[フローのデータベースフィールド]の設定でTLS clientフィールド拡張機能を有効にします。

TLS証明書

このオプションを使用すると、TLSプロトコルからのサーバ証明書情報のモニタリングが可能になります。このモニタリング機能は、すべてのTCPパケットを検査し、非標準ポートも含めてTLS通信を探します。Flowmonコレクタに情報を格納するには、[フローのデータベースフィールド]の設定でTLS証明書フィールド拡張機能を有効にします。

TLS JA3

このオプションを使用すると、TLSフローレコードからのJA3フィンガープリントの計算が可能になります。このモニタリング機能は、すべてのTCPパケットを検査し、非標準ポートも含めてTLS通信を探します。Flowmonコレクタに情報を格納するには、[フローのデータベースフィールド]の設定でTLS JA3フィールド拡張機能を有効にします。

QUIC

このオプションを使用すると、TLSプロトコルからの基本情報のモニタリングが可能になります。監視対象フィールドは、サーバ名(SNI)とサーバ名の長さです。HTTPプロトコルの監視が有効な場合、サーバ名(SNI)の値もHTTP hostnameフィールドに入力され、HTTPメソッドは[SSL]に設定されます。

このモニタリング機能は、ポート443のUDPトラフィックを検査します。SNIモニタリング用に現在サポートされているQUICバージョンは以下のとおりです。

• バージョン1 (RFC9000で定義されている)

• IETFドラフトバージョン22～34

• FacebookのMVFSTバージョン1および2

Flowmonコレクタに情報を格納するには、[フローのデータベースフィールド]の設定でTLSメインフィールド拡張機能を有効にします。

IEC 104

IEC104プロトコルのモニタリングを有効にします。IEC104により、電気工学および電源システムの自動化における2つのシステム間の通信が可能になります。このモニタリング機能は、非標準ポートも含めてすべてのTCPパケットを検査します。Flowmonコレクタに情報を格納するには、[フローのデータベースフィールド]の設定でIEC104拡張機能を有効にします。

COAP

IoT環境の通信プロトコルであるCOAPプロトコルのモニタリングを有効にします。これは、標準ポート5683のパケットを検査します。Flowmonコレクタに情報を格納するには、[フローのデータベースフィールド]の設定でCOAP拡張機能を有効にします。

GOOSE

GOOSEプロトコルのモニタリングを有効にします。GOOSEは、イーサネットを介した変電所内のIED (IED – Intelligent Electronic Device)間の情報交換に使用されるピアツーピア通信プロトコルであり、IEC61850規格で定義されています。このモニタリング機能は、以下のEtherTypesのパケットを検出します。

• 0x88b8 - Gooseタイプ1、Gooseタイプ1A

• 0x88b9 - GSE管理

• 0x88ba - サンプル値

EtherType 0x88b8のパケットがさらに検査され、監視されます。Flowmonコレクタに情報を格納するには、[フローのデータベースフィールド]の設定でGOOSE拡張機能を有効にします。

GOOSEパケットはIPアドレスを含んでおらず、Flowmonコレクタでの適切なフロー解析に必要であるため、IPv6アドレスが生成され、GOOSEフローでエクスポートされます。イーサネット層からのMACアドレスは、標準的な変換メカニズムを使用して、リンクローカルIPv6アドレスに変換されます。

MMS

MySQLデータベースによって使用されるデータベース通信プロトコルのモニタリングを有効にします。MMSは、IED (IED – Intelligent Electronic Device)とイーサネットを介した高いレベルのデバイス(SCADAなど)の間の情報交換に使用されるクライアントサーバプロトコルで、IEC61850規格で定義されています。このモニタリング機能は、すべてのTCPパケットを検査し、非標準ポートも含めてMMS通信を探します。Flowmonコレクタに情報を格納するには、[フローのデータベースフィールド]の設定でMMS拡張機能を有効にします。

DLMS

DLMSプロトコルのモニタリングを有効にします。DLMSは、(エネルギー)分配器とやり取りされるメッセージングに使用されるプロトコルです。このモニタリング機能は、非標準ポートも含めてすべてのパケットを検査します。Flowmonコレクタに情報を格納するには、[フローのデータベースフィールド]の設定でDLMS拡張機能を有効にします。

VxLAN

このオプションを使用すると、VxLAN VNIのモニタリングが可能になります。Flowmonコレクタに情報を格納するには、[フローのデータベースフィールド]の設定でVxLAN拡張機能を有効にします。このオプションが有効で[トンネルプロトコルのカプセル化解除]の[VxLAN]オプションが無効の場合、フロー識別子(つまり、SRC IP、DST IP、SRCポート、DSTポート、L4プロトコル)のリストにVNIが追加されます。つまり、ユニークなVNIそれぞれに新しいフローが作成されます。このVNIは、[トンネルプロトコルのカプセル化解除]セクションでのVxLANの設定に関係なく、フロー内にエクスポートされます。

トンネルプロトコルのカプセル化解除

ESP

このオプションを使用すると、ESPペイロードが暗号化されていないときにESPトンネル解析が有効になります。プロトコルの特性により、ESPペイロードがパケットペイロードのみによって暗号化されているかどうかについてFlowmonプローブが最終的に判断することはありません。したがって、暗号化されたESPパケットでトラフィックが構成される場合は、これらのパケットのごくわずかな部分が誤認識され、その後の解析に誤りが生じる可能性があります。

VxLAN

このオプションを使用すると、VxLANのモニタリングが拡張されます。このモニタリング機能では、送信元または宛先ポートが[VxLANポートの選択]フィールドで定義した数に等しい、すべてのUDPパケットを検査します。

4in6

このオプションを使用すると、IPv6ネットワーク上で転送されるカプセル化解除されたIPv4ネットワークトラフィック(RFC 2473で規定)の解析が可能になります。

[4in6]オプションを有効にすると、その後に続くオプション([DS-Liteとして処理])が表示されます。この後続オプションを有効にすると、DS-Liteブロードバンドの展開(RFC 6333で規定)との関連でネットワークトラフィックを分析できます。このような展開では、IPv6関連のメタデータの損失につながる従来の4in6のカプセル化解除では不十分です。これは、DS-Liteのユースケースでは発信側の顧客構内設備(CPE)デバイスを一意に識別することが求められるためです(レイヤー3で、このデバイスはそのIPv6アドレスで一意に識別される)。したがって望ましいのは、IPv6のアドレス指定情報を保持し、収集されたFlowデータのデバイス識別の主要な手段として提示することです。

有効にしたオプションが[4in6]だけの場合、エクスポートされたフローにはトンネリングされたIPv4の送信元アドレスと宛先アドレスが含まれます。IPv6アドレスはフロー内に存在しません。両方のオプションを有効にすると、トンネリングされたIPv4アドレスがIPv6アドレスにマッピングされます(RFC 4291の2.5.5節で規定)。

NetFlowでのL2フィールド

トグルスイッチ[有効化されたL2フィールドをNetFlow IDに追加する] (以前の[キーフィールドにMACアドレスを追加])を使用して、共通フローID (つまり、SRC IP、DST IP、SRCポート、DSTポート、L4プロトコル)のリストをMACアドレスごとに拡張できます。通信時のMACアドレスの変更を検出する必要がある特別なケースで使用できます。

場合によっては、MAC、VLAN、またはMPLSの値が通信の各方向で異なる場合があります。このような場合、このオプションを有効にすると、各方向が異なるモニタリングポートで受信されたかのように、モニタリング機能に影響を与えます。

パケットの重複排除

ネットワーク内のモニタリングポイントの配置によっては、Flowmonプローブアプライアンスが重複パケットを受信する可能性があります。重複を回避する方法として望ましいのは、モニタリングポイントを選択するか、同じパケットの複数のコピーがFlowmonプローブアプライアンスに到達しないようにトラフィックミラーリング(TAPまたはSPAN)を設定することです。他の手段が利用できない場合は、パケットの重複排除を用いてFlowmonプローブアプライアンスのモニタリングポートで直接、パケットの重複を特定・排除できます。

このオプションは他の手段では処理できない可能性のある重複パケットを排除する最後の手段となります。この機能は計算負荷が高く、有効にするとアプライアンスのモニタリング性能に悪影響を及ぼす可能性があります。

パケットの重複排除を開始するには、選択した[モニタリングポート]に対して、または[グローバル設定]で、[パケットの重複排除を有効化]をオンにします。モニタリングポートにはそれぞれ、パケットが重複排除される期間が独自に設定されています。この期間外に受信した重複は検出・削除されません。この期間を変更するには、[重複排除期間]オプションを使用します。1～1000 msの範囲で値を選択できます。

[ライトモード]がオンのときは、常にパケットの重複排除が無効になります。

重複パケットを特定するために、選択したパケットフィールドのハッシュが使用されます。このハッシュは、フローハッシュとパケットハッシュの組み合わせです。フローハッシュは、IPアドレス、ポート番号、L4プロトコル番号などの一般的なフローIDフィールドから計算されます。パケットハッシュの計算は、L4プロトコルに依存します。TCP、UDP、ICMP(v6)プロトコルの場合は、L4ヘッダーのチェックサムフィールドが使用されます。その他のプロトコルの場合は、L4ヘッダー全体と64バイトのペイロードデータが使用されます。

UDPヘッダーのチェックサムフィールドはオプションであるため、値が0ではない場合にのみ、このフィールドがハッシュ計算に使用されます。それ以外の場合、UDPパケットのハッシュは他のプロトコルと同じ方法(L4ヘッダーと64バイトのペイロード)で計算されます。

2つの受信パケットのハッシュが同じで、選択した[重複排除期間]よりもこの2つのパケットの間隔が小さい場合は、2つ目のパケットが重複していると見なされ、排除されます。パケットの重複排除は主に、パケットの送信者と受信者の両方が同じトラフィックミラーリングポリシーに従っている場合に、到着したペアのパケットに対して重複排除を行うよう設計されています。通常は一方のパケットにより多くの重複が含まれているため、重複排除を行うと重複の数は減りますが、すべての重複が削除されるわけではありません。

パケットの重複排除を有効にすると、パケット再送率を正しく検知できなくなり、このメトリックを指標として使用するレポートに問題が発生します。重複排除期間内に到着した再送パケットは、重複として扱われます。パケットの重複解除はペアのパケットに対して機能するため、一部の再送は重複排除されると同時に検知されます。しかし、結果を示すパケット再送統計は不正確になります。

パケットの重複排除では、すべてのモニタリングポートのパケットが別々に処理されます。別個のモニタリングポートを通過する重複は削除されません。

AS番号のエクスポート

Flowmonプローブを使用して、送信元と宛先のAS (元のASメソッド)に関する情報をエクスポートできます。以下のイメージに示すとおり、AS2とAS3の間でパケットをキャプチャしているときに、NetFlowデータには送信元のAS1と宛先のAS4が含まれます。

[ASリストを使用する]オプションを使用すれば、すべての自律システムに対応するサブネットのリストを適用できます。そうすると、モニタリングポートプログラムによって、NetFlowレコードのSRC_ASフィールドとDST_ASフィールドにAS番号が入力されます。NetFlow v5エクスポートプロトコルを使用している場合は、自動的に実行されます。NetFlow v9エクスポートプロトコルを使用している場合は、SRC_ASフィールドとDST_ASフィールドを含む正しいテンプレートを使用する必要があります。

ASリストを適用するには、トグルスイッチ[ASリストを使用する]をオンにし、リストでファイルを選択するかテキストボックスに手動で入力します。次に、[保存]ボタンをクリックします。リストに誤りがある場合、モニタリングポートは起動せず、エラーメッセージが表示されます。ASリストの構文は[ASリストの構文]セクションに記述されています。

現在のリストを変更する必要がある場合は、単純に新しいリストのあるファイルを選択し、[保存]ボタンをクリックします。リストを非アクティブにして削除するには、[ASリストを使用する]をオフにします。