Free NetFlow Resources

これはToSフィールド（例：IPフレームのDifferentiated Servicesフィールド）の４パートからなるシリーズのパート5です。４パートのブログにパート５をつけるなんて冗談です。
 
パート１から４を読んでおいてください。
もう一度、わたしの最初のブログからWireShark キャプチャを書きます。
※    図
上の図のDifferentiated Servicesフィールドの一部である２つのECN (Explicit Congestion Notification) ビットに注意してください。それらはブログ３で1998年に書かれたRFC2474からの“現在は使われていない”ビットです。“現在は使われていない”（普通は:) 二つのビットはRFC3168で1998年に定義されました。
 
二つのECNビットは混雑状態を示すためにホストかルータに使われています。

ECN-Capable Transport (ECT) = 10 or 01
Not-ECN-Capable Transport (Not-ECT) = 00
Congestion Experienced (CE) = 11NOTE: Routers treat the ECT(0) and ECT(1) codepoints as equivalent. Senders are free to use either the ECT(0) or the ECT(1) codepoint to indicate ECT, on a packet-by-packet basis.

TCPとECNの操作
Wikipediaには書いてないのでいくつかの文を貼り付けておきます。
＜貼り付け開始＞
IPヘッダーのECNビットによると、TCPはTCPヘッダーで送信者が送る情報を減らすために送信者に信号を送るTCPヘッダーで二つのフラッグを使用します。これはECNエコーと下記で説明するCongestion Window Reduced (CWR)です。
TCPコネクションでのECNの使用はオプションです。ECNが使われるにはSYNとSYN－ACKセグメントの最適なオプションを取り入れることにより作られるコネクションで交する必要がある。ECNがTCPコネクションに関して取り決められると送信者はECN-capableコードポイントで全てのデータセグメントに印を付けます。これから起こる混在状態を検出するルータはECN-capableパケットに完全に落とすというよりもCongestion　Experienced [...]

ネットフローを使用しているQoSのレポートは最も基本的なネットフローレポートツールにとってもとても基本のレポートです。レポートの名前はベンダーによって違いますが、IP図表の同一8ビットToSについて、私たちは話しています。時には誤ってDSCPとみなされることがあり、この1バイトの価値はQoSフローをセレクトビジネスアプリケーションにどうにか保証するために使われます。 
VoIPやビデオのようなアプリケーションのネットワークを通じて、QoSno優先順位を決めようと、多くの企業がDiffServ ドメインを設定しています。サービスが標準にならない時、この会社はよくトラブル解決ルーティーンの一つとしてネットフローAnalysisに転向します。もし これらの頭文字が分からなければ、Tos, DSCP やネットフロー…. 「What the DiffServ」  に関する私の5つのパートのブログがあなたの助けになってくれるでしょう。
QoSサービスを話している時多くの人はDSCPと呼ばれるToSフィールドの6ビットの一部について話しています。下がその例です。
 
赤い四角でECTという文字と囲ってある上記のものに注意して下さい。これはDSCPを使用している時、残り8ビットToSフィールドを作っているExplicit Congestion Notification 2ビットです。このフィールドはそれらを実行するビジネスアプリケーションスタートとしてとても重要になってきてきます。
Wikipedia: “TCPは送信する情報を減らすために送信者に信号を送るTCPヘッダーの中で二つのフラッグを使用しています。これは下記で説明するECN-echo (ECE) とCongestion Window Reduced (CWR) ビットです。 とにかく上のスクリーンキャプチャーのDSCPバリューの一つに関して掘り下げてみましょう。そして約2ダースレポートから選択しましょう。
  BTW: 各レポートは追加レポートコンビネーションを持っています。
DSCP 0 ECT (00000010) フィルターが通ったか分かる上の赤い枠を参照して下さい。さらに勧めていき、DSCPトラフィックのしきい値を設定するためにフローAnalyticsを使いましょう。しきい値が私たちに教えてくれます。
上記野しきい値に追加のフィルターを使うことができます。
•異なるルータ・スイッチでのインタフェース 
• 特定のIPアドレスかサブネット（それらを除外していても）
• TCP フラッグ
• 追加DSCPバリューをプラス
• など
かなりクールです。Scrutinizerがもう一つのレベルにToS レポートするのを考えるのが好きです。多くの企業が今日のネットワークメディアアプリケーショントラブル解決のためにレポートの精度を要求しています。

現在、皆さんはネットフローコレクターにつかり、安定しています。今こそネットフローコンフィグをさらに導入する時です。
 マルチメディアマルチキャストアプリケーション使用とbandwidth消費の上昇によって、それらのリンクやトラッフィクタイプを監視することはとても重要になってきています。
 
しかし、マルチキャストトラフィックがカウントされずに、ネットフローｖ5を実行させているかどうか知っていましたか。
 
ｖ5でルータはマルチキャストパケットが複製されている時間をカウントしませんし、ｖ5はegress監視をサポートしていないので複製後、ユニークアウトバウンドIPに記録もしません。
その結果多くのマルチキャストトラフィックを失うことになります。
これを解決するためにはネットフローｖ9とegress/ingress監視機能を使用する必要があります。
まず初めに、マルチキャストトラフィックをサポートするルータを有効にします。
有効になったら、マルチキャストパターンへのフロー監視を有効にする二つの設定がでてきます。
・       ip multicast netflow output-counters
・       ip multicast netflow rpf-failure
はじめのip multicast netflow output-countersコマンドはマルチキャストパケット転送とバイトの数を計上します。
 
２つめのip multicast netflow rpf-failureコマンドはRPFチェックを失敗したマルチキャストパケットのトラックを保存します。
 
この二つのコマンドを有効にしたら、次の二つのうちどちらか選択してマルチキャスト計上するためにどちらのインタフェースが良いかを特定することができます。
・       ip multicast netflow ingress
・       ip multicast netflow egress　　　　ふたつの違いはなんでしょう。
ip multicast netflow ingressアカウントは各パケットが何回複製されているかカウントするフローレコードを作成します。ip multicast netflow egressは外に出て行くインタフェースのための新しいレコードを作成します。
 
注意として、たくさんのマルチキャストトラフィックを作成するとして、egressコマンドを使用したらigressの監視とは対象的にたくさんのフローレコードを作成します。
あなたのネットフローへの試みの助けになりますように！