高度な設定

[高度な設定]タブでは、フローレコードのコンテンツに加えて、モニタリングポートのパフォーマンスや機能に影響を与えるさまざまなオプションを設定することができます。

[NetFlow/IPFIXレコードのオプションのLx値]リストでは、L2、L3/L4、L7層の追加情報のモニタリングを有効にできます。サポートされているフィールドの完全なリストを表示するには、Flowmon対応のフロー標準ドキュメントを参照してください。

このタブで行った変更は、[保存]をクリックした後にのみ反映されます。

パケットサンプリングレート

[パケットサンプリングレート]では、受信パケットに決定的パケットサンプリング(3つのパケットあたり1つのサンプリング周期など)を定義します。 この機能を無効にするには、0を入力します。

ライトモード

モニタリングポートの[ライトモード]を有効にすると、モニタリングポートの最大のパフォーマンスを発揮できます。 このオプションは、25Gbpsおよび100Gbpsネットワークでのワイヤースピードのモニタリングを達成するのに必要です。 このオプションを使用すると、L2、L3/L4、L7層のすべての追加情報のモニタリングが無効化されます。 [ライトモード]におけるカプセル化解除機能は、VLANおよびMPLSトンネルプロトコルに制限されています。

NetFlowレコードのオプションのL2値

L2の場合、MAC、VLAN、MPLSの各タグのモニタリングを選択できます(NetFlow v5ではMPLSをサポートしていません)。 Flowmonプローブは、1パケットあたり最大2つのVLANタグ(QinQプロトコル)および最大4つのMPLSラベルから情報を解析することをサポートしています。

MACアドレス、VLANタグ、およびMPLSラベルをフローID (つまり、SRC IP、DST IP、SRCポート、DSTポート、L4プロトコル)のリストに追加するには、[L2フィールドをNetFlow IDに追加する]をオンにし、希望するIDを選択します。 以下の状況でフローIDを拡張することをお勧めします。

• VLANまたはMPLS L3VPN間でIPアドレス空間が重複しています。
• ルータやファイアウォールなどのデバイスを通るマルチリンク(トランク)パスにおいて、IP 5タプルは同じであるが、各ホップでMACアドレスまたはVLAN IDが変化する場合、セグメントごとのトラフィックを区別する必要があります。キーにMACまたはVLANを追加することで、すべてのセグメントが単一のフローに統合されるのを防ぎます。
• IPアドレスを共有または迅速に再利用する物理デバイス(たとえば、短いDHCPリース時間や再アドレス指定前のクローン仮想マシン)を区別しなければなりません。

NetFlowレコードのオプションのL3/L4値

L3/L4の場合は、L3/L4 (TCP TTL、TCP SYNパケットサイズおよびTCPウィンドウサイズ)からの拡張された値のモニタリング、ネットワークパフォーマンスモニタリングメトリック(NPM - 詳細については、「ネットワークパフォーマンスモニタリングメトリック」の節を参照)を有効化できます。IPFIXプロトコルの場合にのみ、このすべての値を利用できます。

ネットワークパフォーマンスメトリック

Flowmonプローブを使用して、接続品質の測定に使用可能な優れたメトリックをモニタリングできます。すべてのメトリックがマイクロ秒で測定されます。NPMチェックボックス(ネットワークパフォーマンスメトリック)によって、ラウンドトリップ時間、サーバ応答時間、TCP再送信、TCPアウトオブオーダーの値が測定可能になります。NPM拡張チェックボックスによって、ジッターおよび遅延の値が測定可能になります。それぞれのメトリックを以下に示します。

• ラウンドトリップ時間 - TCP接続確立時のネットワーク遅延(TCPトラフィック上でのみ測定)です。具体的には、SYNパケットを送信してからACKパケットを受信するまでの時間(クライアントから送信される最初のパケットと2番目のパケットの間の時間)が測定されます。メトリックの測定は、クライアントからサーバに送信されるフローに対してのみ行われます。

• サーバ応答時間 - データの最初の要求に対するアプリケーション遅延。具体的には、サーバによる要求確認から最初の応答パケットの送信までの時間が測定されます。メトリックの測定は、サーバからクライアントに送信されるフローに対してのみ行われます。

• TCP再送信およびTCPアウトオブオーダーパケット - TCPフロー内の再送信およびアウトオブオーダーのパケットのカウント。

• ジッター - パケット間のギャップに見られる実際の周期性からの偏差。具体的には、最初のパケットと2番目のパケットの間の遅延、そして2番目のパケットと3番目のパケットの間の遅延が測定されます。この2つの値の差分がジッターです。同じことが他のパケットにも当てはまります。平均ジッター、最小値、最大値、標準偏差が出力されます。

• 遅延 - パケット間の遅延です。具体的には、packet Nやpacket N-1のタイムスタンプなどが差し引かれます。平均遅延、最小値、最大値、標準偏差が出力されます。

NPMメトリックの計算方法の詳細な説明については、Flowmon NPMメトリックの計算のページを参照してください。

IPFIXレコードのオプションのL7値

L7オプションは通常、特定のアプリケーションプロトコルの監視を可能にします。 モニタリング機能がパケットを検査し、選択したプロトコルの通信を探します。 使用事例に必要なオプションのみを有効にすることをお勧めいたします。なぜなら、有効にされた各オプションはモニタリングポートのパフォーマンスに影響を与えるからです(特に100 Gbpsのネットワークインターフェース)。

DHCP

DHCPプロトコルのモニタリングを有効にします。これは、標準ポート67と68のUDPパケットを検査します。

DNS

DNSプロトコルのモニタリングを有効にします。これは、標準ポート53のUDPパケットとTCPパケットを検査します。

HTTP

HTTPプロトコルのモニタリングを有効にします。これは、すべてのTCPパケットを検査し、非標準ポートも含めてHTTP通信を探します。

電子メール

SMTP、POP、およびIMAPプロトコルのモニタリングを有効にします。これは、標準ポート25、587、110、143のTCPパケットを検査します。

NBAR2

NBAR2フォーマットでエクスポートされるL7プロトコルの検知を有効にします。

Samba

SMBプロトコルのモニタリングを有効にします。これは、標準ポート445のTCPパケットを検査します。

VoIPおよび拡張VoIP

どちらのオプションでもセッション開始プロトコル(SIP)のモニタリングが有効になります。SIPはVoIP (Voice over IP)の技術で使用されるL7シグナリングプロトコルであり、いわゆるセッションの開始、変更、終了を行います。SIPプロトコルのパケットヘッダーには、開始されたVoIPセッションに関する情報(発信者および着信側のID、通話時間、正常に開始したかどうか、ネゴシエーションで決定したIPアドレス、Real-time Transport Protocol (RTP)用のポート)が含まれます。SIPプロトコルでは、一般にUDPポート5060番が使用されます。

VoIPと拡張VoIPの違いは、拡張VoIPでは対応するRTPおよびRTCPトラフィックと開始されたSIPセッションとの照合も行われることです。これにより、ユーザはRTPトラフィックに関する追加情報(使用された音声/映像コーデック、転送されたバイトおよびパケット数、トラフィックのジッター、失われたパケットの数など)を確認できます。ただし、RTPトラフィックとSIPセッションの照合によって、Flowmonプローブアプライアンスのパフォーマンスに大きな影響が生じます。したがって、予想されるネットワークトラフィック速度がモニタリングポートあたり10 Gbpsを超えるアプライアンスに対しては、拡張VoIPの使用をお勧めしません。

この2つのオプションは同時に使用できません。

MSSQL

Microsoft SQL Serverによって使用されるデータベース通信プロトコルであるTDSプロトコルのモニタリングを有効にします。これは、標準ポート1433のTCPパケットを監視します。

PostgreSQL

PostgreSQLデータベースによって使用されるデータベース通信プロトコルのモニタリングを有効にします。このモニタリング機能は、すべてのTCPパケットを検査し、非標準ポートも含めてPostgreSQL通信を探します。

MySQL

MySQLデータベースによって使用されるデータベース通信プロトコルのモニタリングを有効にします。このモニタリング機能は、すべてのTCPパケットを検査し、非標準ポートも含めてMySQL通信を探します。

QUIC

このオプションを使用すると、QUICプロトコルのモニタリングが可能になり、QUICバージョンとServer Name Indication (SNI)を解析できます。HTTPプロトコルのモニタリングが有効な場合、サーバ名(SNI)の値もHTTP hostnameフィールドに入力され、HTTPメソッドはSSLに設定されます。 このモニタリング機能は、ポート443のUDPトラフィックを検査します。SNIモニタリング用にサポートされているQUICバージョンは以下のとおりです。

• バージョン1 (RFC 9000で定義されている)
• IETFドラフトバージョン22～34
• FacebookのMVFSTバージョン1および2

TLS

モニタリング機能がすべてのTCPパケットを検査し、非標準ポートも含めてTLS通信を探します。 別々に有効にできるTLSオプションは4つあります。

• TLSメインを使用すると、TLSプロトコルからの基本情報のモニタリングが可能になります。HTTPプロトコルのモニタリングが有効な場合、Server Name Indication (SNI)の値もHTTP hostnameフィールドに入力され、HTTPメソッドはSSLに設定されます。
• TLSクライアントを使用すると、TLSプロトコルからのクライアント固有の情報のモニタリングが可能になります。
• TLS証明書を使用すると、TLSプロトコルからのサーバ証明書情報のモニタリングが可能になります。
• TLS JA3を使用すると、TLSフローレコードからのJA3フィンガープリントの計算が可能になります。

IEC 104

IEC104プロトコルのモニタリングを有効にします。IEC104により、電気工学および電源システムの自動化における2つのシステム間の通信が可能になります。このモニタリング機能は、非標準ポートも含めてすべてのTCPパケットを検査します。

COAP

IoT環境の通信プロトコルであるCOAPプロトコルのモニタリングを有効にします。これは、標準ポート5683のパケットを検査します。

GOOSE

GOOSEプロトコルのモニタリングを有効にします。GOOSEは、イーサネットを介した変電所内のIED (IED – Intelligent Electronic Device)間の情報交換に使用されるピアツーピア通信プロトコルであり、IEC61850規格で定義されています。このモニタリング機能は、以下のEtherTypesのパケットを検出します。

• 0x88b8 - Gooseタイプ1、Gooseタイプ1A

• 0x88b9 - GSE管理

• 0x88ba - サンプル値

EtherType 0x88b8のパケットがさらに検査され、監視されます。

MMS

MySQLデータベースによって使用されるデータベース通信プロトコルのモニタリングを有効にします。MMSは、IED (IED – Intelligent Electronic Device)とイーサネットを介した高いレベルのデバイス(SCADAなど)の間の情報交換に使用されるクライアントサーバプロトコルで、IEC61850規格で定義されています。このモニタリング機能は、すべてのTCPパケットを検査し、非標準ポートも含めてMMS通信を探します。

DLMS

DLMSプロトコルのモニタリングを有効にします。DLMSは、(エネルギー)分配器とやり取りされるメッセージングに使用されるプロトコルです。このモニタリング機能は、非標準ポートも含めてすべてのパケットを検査します。

VxLAN

このオプションを使用すると、VxLAN VNIのモニタリングが可能になります。 このオプションが有効でカプセル化解除が無効の場合、VNIはフローIDのリストに追加されます。 つまり、ユニークなVNIそれぞれに新しいフローが作成されます。 VxLAN VNIは、カプセル化解除オプションが有効であっても無効であってもエクスポートされます。 送信元または宛先ポートが[ポート]フィールドで定義した数(デフォルトは4789)に等しい、すべてのUDPパケットが検査されます。

Modbus

Modbusプロトコルのモニタリングを有効にします。 これは、標準ポート502のTCPパケットを検査します。

DNP3

SCADAおよびエネルギー自動化環境で使用されるDNP3プロトコルのモニタリングを有効にします。 これは、非標準ポートも含めてTCPパケットを検査します。

S7COMM

PLCプログラミングおよびプロセスデータの交換に使用される、Siemens S7通信プロトコル(S7comm)のモニタリングを有効にします。 これは、非標準ポートも含めてTCPパケットを検査します。

MQTT

IoTデプロイメントで一般的に使用される、MQTTパブリッシュ/サブスクライブメッセージングプロトコルのモニタリングを有効にします。 これは、標準ポート1883のTCPパケットを検査します。

トンネルプロトコルのカプセル化解除

カプセル化解除オプションにより、モニタリングポートはサポートされているトンネリングまたはカプセル化プロトコルの内部を確認し、外部のトランスポートヘッダーではなく、最も内側の(元の)ペイロードからフローを構築することができます。 カプセル化解除オプションを有効にすると:

• プローブは認識された外部トンネル(および順番にネストされサポートされているトンネル)を取り除き、最終的にカプセル化解除されたペイロードの内部送信元IP、宛先IP、L4プロトコル、およびポート(およびVLAN、MPLS、またはMACなどの有効な拡張ID)を使用してフローを分類します。
• 外部(カプセル化)ヘッダー(外部MACまたはIPアドレス、L4ポートなど)は、フローの一部としてエクスポートされません。
• フローカウンタ(バイトなど)は、カプセル化解除後の内部トラフィックに適用されます。

ネットワーク上の既知のトンネルに対してカプセル化解除を有効にすることをお勧めします。これにより、正確なフローの可視性を実現し、フローレコードの解析価値を最大化することができます。 カプセル化を無効にすることで外部のアドレス指定が保持され、これは容量プランニングやトランスポート/オーバーレイ自体のトラブルシューティングに役立つ場合があります。

GRE

RFC 1701およびRFC 2784のとおりに、GRE (一般ルーティングのカプセル化)トンネルのカプセル化解除を有効にします。

ESP

ESPペイロードが暗号化されていないときにESPトンネル解析が有効になります。プロトコルの特性により、ESPペイロードがパケットペイロードのみによって暗号化されているかどうかについてFlowmonプローブが最終的に判断することはありません。したがって、暗号化されたESPパケットでトラフィックが構成される場合は、これらのパケットのごくわずかな部分が誤認識され、その後の解析に誤りが生じる可能性があります。

VxLAN

VxLANのカプセル化解除を有効にします(RFC 7348)。このオプションは、[IPFIXレコードのオプションのL7値]セクションの[カプセル化解除]で[VxLAN]オプションを有効にするためのショートカットです。

ERSPAN

Encapsulated Remote Switched Port Analyzer (ERSPAN)トラフィック(タイプIIとタイプIII)のカプセル化解除を有効にします。 ERSPANは通常、ミラーリングされたレイヤ2イーサネットフレームをGRE内でIPを介してカプセル化し、ルーティングされたネットワークを通じてリモート解析デバイス(Flowmonプローブなど)に送信するために使用されます。 GREのカプセル化解除は、ERSPANのカプセル化解除が有効になると自動的に有効になります。

PPPoE

PPP over Ethernet (PPPoE)セッションフレームの解析およびカプセル化解除を有効にします(RFC 2516)。

4in6

このオプションを使用すると、IPv6ネットワーク上で転送されるカプセル化解除されたIPv4ネットワークトラフィック(RFC 2473で規定)の解析が可能になります。

[4in6]オプションを有効にすると、その後に続くオプション([DS-Liteとして処理])が表示されます。この後続オプションを有効にすると、DS-Liteブロードバンドの展開(RFC 6333で規定)との関連でネットワークトラフィックを分析できます。このような展開では、IPv6関連のメタデータの損失につながる従来の4in6のカプセル化解除では不十分です。これは、DS-Liteのユースケースでは発信側の顧客構内設備(CPE)デバイスを一意に識別することが求められるためです(レイヤー3で、このデバイスはそのIPv6アドレスで一意に識別される)。したがって望ましいのは、IPv6のアドレス指定情報を保持し、収集されたFlowデータのデバイス識別の主要な手段として提示することです。

有効にしたオプションが[4in6]だけの場合、エクスポートされたフローにはトンネリングされたIPv4の送信元アドレスと宛先アドレスが含まれます。IPv6アドレスはフロー内に存在しません。両方のオプションを有効にすると、トンネリングされたIPv4アドレスがIPv6アドレスにマッピングされます(RFC 4291の2.5.5節で規定)。

MPLSのカプセル化解除モード

MPLSのカプセル化解除モードでは、MPLSのカプセル化解除のタイプを選択することができます。 Flowmonプローブは、MPLSのカプセル化解除の3つのモードをサポートしています。

• 自動 - このモードはヒューリスティックを使用して、MPLSのカプセル化解除のタイプを自動的に検知します。
• EoMPLS (Ethernet over MPLS) - このモードは、ペイロードがイーサネットフレームであるMPLSパケットのカプセル化解除に使用されます。
• MPLS-IP (IP over MPLS) - このモードは、ペイロードがIPパケットであるMPLSパケットのカプセル化解除に使用されます。

自動モードの使用をお勧めします。自動検知が正しく機能していないことが疑われる場合のみ、他のモードを選択してください。

パケットの重複排除

ネットワーク内のモニタリングポイントの配置によっては、Flowmonプローブアプライアンスが重複パケットを受信する可能性があります。重複を回避する方法として望ましいのは、モニタリングポイントを選択するか、同じパケットの複数のコピーがFlowmonプローブアプライアンスに到達しないようにトラフィックミラーリング(TAPまたはSPAN)を設定することです。他の手段が利用できない場合は、パケットの重複排除を用いてFlowmonプローブアプライアンスのモニタリングポートで直接、パケットの重複を特定・排除できます。

このオプションは他の手段では処理できない可能性のある重複パケットを排除する最後の手段となります。この機能は計算負荷が高く、有効にするとアプライアンスのモニタリング性能に悪影響を及ぼす可能性があります。

パケットの重複排除を開始するには、[パケットの重複排除]を有効にし、ミリ秒単位で[重複排除期間]を指定します。この期間外に受信した重複は検出・削除されません。1～1000 msの範囲で値を選択できます。

重複パケットを特定するために、選択したパケットフィールドのハッシュが使用されます。このハッシュは、フローハッシュとパケットハッシュの組み合わせです。フローハッシュは、IPアドレス、ポート番号、L4プロトコル番号などの一般的なフローIDフィールドから計算されます。パケットハッシュの計算は、L4プロトコルに依存します。TCP、UDP、ICMP(v6)プロトコルの場合は、L4ヘッダーのチェックサムフィールドが使用されます。その他のプロトコルの場合は、L4ヘッダー全体と64バイトのペイロードデータが使用されます。

UDPヘッダーのチェックサムフィールドはオプションであるため、値が0と異なる場合にのみ、このフィールドがハッシュ計算に使用されます。それ以外の場合、UDPパケットのハッシュは他のプロトコルと同じ方法(L4ヘッダーと64バイトのペイロード)で計算されます。

2つの受信パケットのハッシュが同じで、選択した[重複排除期間]よりもこの2つのパケットの間隔が小さい場合は、2つ目のパケットが重複していると見なされ、排除されます。パケットの重複排除は主に、パケットの送信者と受信者の両方が同じトラフィックミラーリングポリシーに従っている場合に、到着したペアのパケットに対して重複排除を行うよう設計されています。通常は一方のパケットにより多くの重複が含まれているため、重複排除を行うと重複の数は減りますが、すべての重複が削除されるわけではありません。

パケットの重複排除を有効にすると、パケット再送率を正しく検知できなくなり、このメトリックを指標として使用するレポートに問題が発生します。重複排除期間内に到着した再送パケットは、重複として扱われます。パケットの重複解除はペアのパケットに対して機能するため、一部の再送は重複排除されると同時に検知されます。しかし、結果を示すパケット再送統計は不正確になります。

パケットの重複排除では、すべてのモニタリングポートのパケットが別々に処理されます。別個のモニタリングポートを通過する重複は削除されません。

ASリスト

ASリストを選択すると、送信元と宛先のAS(元のASメソッド)に関する情報をエクスポートできます。ID 16 (bgpSourceAsNumber)およびID 17 (bgpDestinationAsNumber)のフローレコードフィールドには、提供されたASリストに基づいた値が入力されます。

ASリストページでASリストを管理できます。