Free NetFlow Resources

ネットフローを使用しているQoSのレポートは最も基本的なネットフローレポートツールにとってもとても基本のレポートです。レポートの名前はベンダーによって違いますが、IP図表の同一8ビットToSについて、私たちは話しています。時には誤ってDSCPとみなされることがあり、この1バイトの価値はQoSフローをセレクトビジネスアプリケーションにどうにか保証するために使われます。 
VoIPやビデオのようなアプリケーションのネットワークを通じて、QoSno優先順位を決めようと、多くの企業がDiffServ ドメインを設定しています。サービスが標準にならない時、この会社はよくトラブル解決ルーティーンの一つとしてネットフローAnalysisに転向します。もし これらの頭文字が分からなければ、Tos, DSCP やネットフロー…. 「What the DiffServ」  に関する私の5つのパートのブログがあなたの助けになってくれるでしょう。
QoSサービスを話している時多くの人はDSCPと呼ばれるToSフィールドの6ビットの一部について話しています。下がその例です。
 
赤い四角でECTという文字と囲ってある上記のものに注意して下さい。これはDSCPを使用している時、残り8ビットToSフィールドを作っているExplicit Congestion Notification 2ビットです。このフィールドはそれらを実行するビジネスアプリケーションスタートとしてとても重要になってきてきます。
Wikipedia: “TCPは送信する情報を減らすために送信者に信号を送るTCPヘッダーの中で二つのフラッグを使用しています。これは下記で説明するECN-echo (ECE) とCongestion Window Reduced (CWR) ビットです。 とにかく上のスクリーンキャプチャーのDSCPバリューの一つに関して掘り下げてみましょう。そして約2ダースレポートから選択しましょう。
  BTW: 各レポートは追加レポートコンビネーションを持っています。
DSCP 0 ECT (00000010) フィルターが通ったか分かる上の赤い枠を参照して下さい。さらに勧めていき、DSCPトラフィックのしきい値を設定するためにフローAnalyticsを使いましょう。しきい値が私たちに教えてくれます。
上記野しきい値に追加のフィルターを使うことができます。
•異なるルータ・スイッチでのインタフェース 
• 特定のIPアドレスかサブネット（それらを除外していても）
• TCP フラッグ
• 追加DSCPバリューをプラス
• など
かなりクールです。Scrutinizerがもう一つのレベルにToS レポートするのを考えるのが好きです。多くの企業が今日のネットワークメディアアプリケーショントラブル解決のためにレポートの精度を要求しています。

現在、皆さんはネットフローコレクターにつかり、安定しています。今こそネットフローコンフィグをさらに導入する時です。
 マルチメディアマルチキャストアプリケーション使用とbandwidth消費の上昇によって、それらのリンクやトラッフィクタイプを監視することはとても重要になってきています。
 
しかし、マルチキャストトラフィックがカウントされずに、ネットフローｖ5を実行させているかどうか知っていましたか。
 
ｖ5でルータはマルチキャストパケットが複製されている時間をカウントしませんし、ｖ5はegress監視をサポートしていないので複製後、ユニークアウトバウンドIPに記録もしません。
その結果多くのマルチキャストトラフィックを失うことになります。
これを解決するためにはネットフローｖ9とegress/ingress監視機能を使用する必要があります。
まず初めに、マルチキャストトラフィックをサポートするルータを有効にします。
有効になったら、マルチキャストパターンへのフロー監視を有効にする二つの設定がでてきます。
・       ip multicast netflow output-counters
・       ip multicast netflow rpf-failure
はじめのip multicast netflow output-countersコマンドはマルチキャストパケット転送とバイトの数を計上します。
 
２つめのip multicast netflow rpf-failureコマンドはRPFチェックを失敗したマルチキャストパケットのトラックを保存します。
 
この二つのコマンドを有効にしたら、次の二つのうちどちらか選択してマルチキャスト計上するためにどちらのインタフェースが良いかを特定することができます。
・       ip multicast netflow ingress
・       ip multicast netflow egress　　　　ふたつの違いはなんでしょう。
ip multicast netflow ingressアカウントは各パケットが何回複製されているかカウントするフローレコードを作成します。ip multicast netflow egressは外に出て行くインタフェースのための新しいレコードを作成します。
 
注意として、たくさんのマルチキャストトラフィックを作成するとして、egressコマンドを使用したらigressの監視とは対象的にたくさんのフローレコードを作成します。
あなたのネットフローへの試みの助けになりますように！

それは今までで一番暖かい日のオフィスでの出来事です。彼女が入ってきた時、ちょうど私は起き上がって水を飲もうとしていました。私の世界ではみんな美しいのですが、彼女も美しい女性でした。しかし、彼女には違いがありました。彼女は使命を持っていたのです。彼女は何かを必要としていました。
 
ナンシー：私の名前はナンシーで、A&Gレコードのネットワークセキュリティの代表です。あなたの助けを必要としています。
 
ジミーD：何が問題なのですか？
 
ナンシー：ミックスマスターのミッチと契約して、彼の新しいネットフローラップビデオを撮影しています。これにたくさんのお金をかけ、メジャーデビューも考えていたのですが・・・
 
ジミーD：ですが？
 
ナンシー：誰かがYoutubeにアップロードしているんです！これで私たちはたくさんのお金を損失してしまいます。
 
ネットワーク上にネットフローがありますが、そのユーザのIPアドレスを追跡できないのです。ASA firewallへのトラフィックは確認することができるのですが、過去を見ることができないのです。
 
ジミーD：Firewallの裏にネットフローを持つルータはありますか？
 
ナンシー：ないのです。それが問題なのです。ASAがネットフローをサポートしているという記事を読みました。そのためにIOSをアップグレードしましたが、何も見えません。このトラフィックを至急止める必要があります。
 
ジミーD：わかりました。一緒にあなたのオフィスにいって何ができるか見てみましょう。
 
ナンシー：ありがとうございます、ジミーD。何かわかるといいのですが。
 
彼女の住所を教えてもらい、オフィスに向かいました。蒸し暑い夏の日の午後、遅い時間のことでした。雨が降ってきました。一つ一つの滴が打ってくるようなとても強い雨です。どのようなものか分かると思います。締め付けるようなものです。まるでナンシーが抱えている問題のようです。彼女は誰がビデオをアップロードしたのかを見つけたくても、常に行き止まりにぶつかっています。
 
ジミーD：何があるか見てみましょう。
 
彼女はScrutinizerを取り出しました。彼女のスクリーンを見て、私は何をすべきかが分かりました。
 
ジミーD：助けてあげられると思います。
 
ナンシー：ほんとですか？どうやって？
 
ジミーD：見たところ、あなたはScrutinizer 6.5を使っているようです。お分かりのように、これはASAからのネットフローをサポートしていません。良い知らせは、Scrutinizer 7.0はこれをサポートしていて、それができる唯一のネットフローツールです。これで誰がファイルをアップロードしたかが分かるはずです。
 
私たちは午後の残りの時間、Scrutinizerをインストール、設定し、ASAでネットフローをセットアップしました。そしてネットワークにYoutubeトラフィックが入ってきたらすぐわかるようにカスタムレポートを作成しました。それが起こったら、警報が鳴るようにもしました。
 
午後５時５分、彼女のポケットベルが鳴りました。
 
ナンシー：Youtubeの警報だわ！ジミー！
 
ジミーD：Scrutinizerの検索機能を使ってこのレポート内のIPによって全てのコンバセーションをすばやく追跡することができます。うーん・・・これは怪しい。この小さな双眼鏡アイコンをクリックしてネットワークで何をしているのかを検索してみましょう。
 
ナンシー：このIPを知っているわ！
 
彼女はセキュリティに電話をかけました。
 
ナンシー：IT部のナンシーです。管理人のオフィスにいって私のオフィスのコンピュータを使っている人を連れてきてくれませんか？
 
セキュリティはジョーを捕まえて連れてきました。
 
ナンシー：ジョー。なぜこんなことを？
 
ジョー：このビデオを何回も何回も見せられて、もう飽き飽きしてしまったんだ！５０００ドル渡すと言われたからビデオを流したんだ。
 
ナンシー：全てを警察で話すことになるわ。連れて行って。
ジミーD、本当にありがとう。あなたなしではこの事件を解決することはできなかったわ。
 
ジミーD：お安い御用です。ナンシー。ネットフロー探偵のいつもの一日です。

Virtual routing and forwarding (VRF) は経路テーブルのマルチインスタントをルータの中に存在させ、同時に動かせるIPネットワークルータにあるテクノロジーです。これはマルチデバイスを使わずにセグメント化（分割）するネットワーク通過を許可することで機能を増加させます。トラフィックが自動的に分離され、VRFはネットワークセキュリティも増加させ、暗号化と認証の必要がなくなるからです。顧客に別々のvirtual private networks (VPNs)を作りだすVRFにおいてはインターネットサービスプロバイダーが有利です。このようにしてテクノロジーはVPN経路 と 転送 として見なされるのです。
 VRF 図
802.1q を使用しているネットワークを基礎としたVLANでVLANとスイッチの間を広げルータめにトランキングします。デザインを基礎とするVRF は802.1q trunks、GRE tunnels MPLS(*1) tagsを使用しています。*1 VRFを一緒につなぎ拡張するもの
ロジカル　ルータ
VRF はロジカルルータのように活動しますが、一方でロジカルルータは多くの経路テーブルを含んでいるかもしれません。VRFインスタンスはシングル経路テーブルを使っています。加えて、VRFは各データパケット（パケットやルールやどのくらいパケットが転送されているかに影響する経路プロトコルを転送せよと依頼されるデバイスのリスト）に次のホップを指名する転送テーブルを要求します。これらのテーブルはトラフィックが特定のVRF経路の外側に転送されないようにし、トラフィックがVRF経路の外で行われるべきトラフィックを排除します。
どのようにNetFlow Traffic Analysisに影響するのでしょう
ネットフローはネットフローレコードにないのでVRF アウェアではありません。しかし、サブネット、ホスト、プロトコル、アプリケーションなどはネットフローレポートツールの中に現れます。 
言いたいことは色々ありますが、VRFネットフロー環境の問題のデータをまだ見ていません。しかし、もしあなたがMPLS VPN—L3VPNをデフォルトのGREで実行したらScrutinizerはGREデータを破棄していまいます。Device Viewを見れば修正されます。
もしMPLS （サービスプロバイダー）を取り扱えば、それらは時に重複したIP addressを持っていて、VRFsをキープするVRFネットフロー（ifindex以外）に何もありません。 ネットフロー分析ソフトウェアScrutinizerで一番良いものにセーブされたフィールータを使用するとおそらく問題を解決できるでしょう。私たちに連絡してください。
Michael Patterson

Flowalyzerという無料のユーティリティをリリースしました。Flowalyzerネットフロー＆sフローテスターはハードウェアとソフトウェアをテスト及び設定するためのネットフロー、sフローの無料ツールキットです。
 
Flowalyzerはハードウェアとソフトウェアが正しく設定されているかどうかを確認するためにネットフローコレクターソフトウェアと同様、CiscoやEntrasysなどのベンダーのハードウェアをトラブルシューティングする助けをします。
 
Flowalyzerは下記の機能を提供します。
 
・    リスナー
・    ジェネレータ
・    コンフィギュレータ
・    コミュニケータ
 
リスナー
 
リスナーアプリケーションはフローをエクスポートしているどのデバイスが最も大量に送信しているかを見つけます。リスナーアプリケーションは複数のポートをリッスンし、パケットカウント、ネットフローのバージョン、そしてフローが入ってきているUDPポートを表示し、IPアドレスとDNS名を表示することができます。
 
ジェネレータ
 
ジェネレータアプリケーションはネットフローコレクターアプリケーションをテストするためにネットフローv5とv9のフローパケットを生成することができます。コレクターがフローを受信しているかをテストすることができ、Flowalyzerからコレクターによって受信されているものに送られているものを比較することによってフローがドロップされているかどうかをテストすることもできます。
 
コンフィギュレータ
 
コンフィギュレータアプリケーションをコンフィギュレーションウィザードとして使用し、ネットフローデータをエクスポートするためにCiscoルータやEntrasysスイッチを設定することができます。コンフィギュレータはOIDセットを作成するためにSNMPを使用し、SNMP v1、v2、そしてv3をサポートします。
 
コミュニケータ
 
このアプリケーションはピングを通すことや、明確でとても読みやすいレスポンス表示上でのコミュニケーションレスポンスを持つどのホストへのトレースルートを可能にします。ICMP、UDP、またはTCPのどのプロトコルでピングするかを選択することができます。
 
Flowlyzerをダウンロードし、稼動させ、完全に機能させるのに数秒しかかかりません。ぜひ数分を使って試してみて下さい。
 
- Joanne

ネットフローv9を送信するCisco ASA Firewallsをご覧になった方のためにScrutinizer v7を使ってどのようにレポートするかについてのビデオがここにあります。
 
 
ネットフローを送信するためにASAを設定することについての助けをここで得ることができます。
 
Michael Patterson

二つのSpecial Cuaseへの招待、二つのMobsterゲームで遊ぶための招待、二つのPathwordゲームや豚を窒息させるのに十分なFarkleへの招待。
 
これが私のFacebookアカウントです。正直に言うと、これらを全く使っていません。
 
もし海賊、暴力団、吸血鬼、スーパーヒーロー、もしくは緑のモヒカンを持つピンクのトラクターを所有する農家になりたいのであれば、Facebookというあなただけの世界でそれを楽しむことができます。下記に掲載したデモグラフィックをご覧下さい。
 
たわいない小さなゲームやアプリがあるところを見て、Facebookを使用する年齢層は２１以下だと思うでしょう・・・
 
しかし、どの年齢層が一番増えているかを見てください。３５～５４歳の年齢層で２００８年には１７２．９％、２００９年には２７６．４％増加しています。信じられますか？
 
Scrutinizer v7のリリースで、ネットワーク上でのFacebook乱用を追跡したり、Farkleの動きを終わらせたりすることができる素晴らしいツールができました。
 
この新しいアプリケーショングループ機能を使って、トラフィックをもっと簡単に類別することができるようになりました。同じポートを利用して複数のIPアドレスを関連づけるオプションがあります。この機能を見つけるために、アドミンタブに行き、定義カテゴリーをクリックしてアプリケーショングループを選択して下さい。
 
下記が例です。
 
このアプリケーショングループ機能を使用して、ポート８０を使用しているIPアドレスの接続を報告する時はいつでもレポートするようにScrutinizerを指定します。そしてそれをFacebook使用率として分類します。
 
しかし、ポート２５を使用している同じIPアドレスに接続すると、それはSMTPトラフィックとなり、Facebookアプリケーションとしてはレポートしません。
 
これはとても素晴らしい機能ですが、もし類似したポートを使用する様々なリモートサイトでアプリケーションを使用している場合は、異なるラベルをつける必要があります。
 
素晴らしい機能でしょう？

Stephen Coveyのような人間は私を元気づけてくれます。彼の“非常に効果的な人々の７つの習慣”という本を読んだことがありますか。あれはとても素晴らしい本だと思います。あの本を読むと今がもう当然ネットフローとsフローのレポーティングツールを区別することについてブログを書いてもいい時だと信じることができます。
 
１．            全ての記録、全てのフロー、全ての時間
 
全て、もしくはほとんどのネットフローレポーティングソリューションはトップNのレポートのデータだけを保存します。Scrutinizerは全てのフロー、全ての記録、全ての時間を１分間隔のテーブルで保存します。フローは一つも見落とされません。時間のさらに広い間隔（e.g. ５分間、３０分間、２時間、１２時間、１日、そして１週間）のロールアップは統合後の以前の間隔のトップ100,000ものフローを使って作成されます。これはどのベンダーに比べても多いです。なぜそんなにもあるのでしょうか。なぜなら、あなたが知っているトラフィックの検索及び予想された結果は特定されたタイムフレームのネットワーク上でしかなかったからです。私たちはトップNのフローはもちろん、下位Nも、そしてその間にあるものも全て記録することができます。
 
２．            計ることができますか？
 
一つのネットフロー＆sフローコレクターは１０００以上のルータ、スイッチやサーバから受信することができるべきです。この問題は通常、一つのコレクターにエクスポートするルータの数ではなく、フローの総合的な量です。３０００以上のインタフェースが一つのScrutinizerインストールに現れるのを見たことがあります。しかし、まだ十分に大きくないのでしょうか。Scrutinizerは数十のコレクターから一つのインタフェースを経由して全てのインタフェースを表示するようにすることができる分散された機能があります。それ以外に計ることにはどのような意味があるのでしょうか。
 
・    ツールによってClass A IPグループとフィルタを定義できるべきです。
・    IPグループやサブネットレポーティングでサブネットや部門を越えたレポーティングがIPアドレスの範囲をグループ分けすることによってできます。
・    ソフトウェアは１つのルータから一秒間に少なくとも３０００のフローを収集することができるべきです（e.g. 一分間に２００，０００フロー以上）。そしてフロントエンドがウェブブラウザをタイムアウトすることなしにデータ上でレポートできるようにします。
・    フィルタリングや検索が全てもしくは選択したいくつかのルータやスイッチにわたってできるべきです。
・    各ルータ・スイッチの各間隔のトップ１００，０００コンバセーションを統合します。通常コレクターは５分間、１０分間、３０分間のロールアップを作成する際に、数百もしくは数千しか保存することができません。
 
３．            フローに気をつける
 
・    フローアナライザーはいつ長期のネットフローが到着したかを表示しますか？長期のフロー（i.e. 一分間以上）はトレンド内で正確でないスパイクを引き起こす可能性があります。
・    sフローとネットフローレポーターはいつ超過しているかそしてフローをドロップするべきかを表示します。
・    コレクターはフローがルータやスイッチによってドロップされたかどうかを確認するための連続番号を監視しますか？
・    ネットフローコレクターは各ルータのIngressとEgressコンフィギュレーションの不一致を処理することができますか？
・    ネットフローアナライザーは同じルータに出入りするフローを比較することによってポリシーコンフィギュレーションを確認するCBQoSを助けることができますか？基本的に、受信されたフローのingressそしてegressのDSCPもしくはDiffServ値を表示するべきです。
 
４．            ネットフローソフトウェアは革新的か
 
・    開発グループはIPv6、NSEL、そしてフレキシブルなネットフローのサポートしている業界を初めに表示していますか？
・    ネットフロー連続番号の重要性は日に日に増しています。
・    フローを表示するユニークな方法を実演していますか？
－マトリックスとフロック
－クリック可能なリンクを持つグーグルマップ
－フレキシブルなネットフロー、ネットフローイベントログ、ネットフローセキュリティイベントログ
－Host to Host、コンバセーション、接続等のユニークなレポーティングテクニック
－最終的なカスタマイズを許可する固有マッシュアップを作成するためのMyView
・    Host to Host、接続、コンバセーション、未加工フロー、アプリケーション、既知ポート、ToS値等の重要なレポートがあります。それらはWiresharkのような分析を行う際に必須となります。
 
５．            フロー解析を使用したネットワーク動作分析
 
一つのレポート内で選択されたデバイスにわたるトップアプリケーション、ホスト、フロー、カントリー、ドメイン等
 
・    可能な計画された内部アタック（e.g. SYN、XMAS、FIN等）及びConfickerのようなワームを見つけるスキャンの通知
・    フローの複製
・    閾値を持つ保存されたレポートを経由したものへのアラーム
 
６．            良いサードパーティ統合を持つ最良のタイプ
 
・    マップ上にサードパーティアイコンがあります。
・    マップ上にダブルリンクがあります（e.g. 一つは使用のため、もう一つはVoIP MOS、パケット減量、もしくはミッター）。
・    他のサードパーティアプリケーションへの便利なリンクを提供します。
・    グーグルマップ
・    ほとんどのインタフェースがURLベースなので、サードパーティページから起動させることができます。またベンダーがフレームワークやソリューション一式にロックします。
 
７．            インタフェースは未加工フローへ到達するのを許可しますか？
 
時々WireSharkを使ってできるように掘り下げる必要があります。未加工フローへのアクセスはパケットアナライザーを急に使い始める前に念入りに調べる必要がある場合、危機的です。Scrutinizerのフロービューはエクスポータによって送信されたフローの全てのフィールドを点検させてくれます。フレキシブルなネットフローでさえもサポートします。
 
概要
 
理解しやすい、簡単で、機能がたくさんついているネットフロー、sフロー、IPFIX、NetStream分析をお探しですか？ネットフローチャレンジをうけてみて下さい。
 
Michael Patterson

ネットフローアナライザーでネットフローを使用し、IPアドレスを見つける方法についてのビデオを先日掲載しました。これを参照することによって、複数のルータをわたって検索し、特定のタイムフレームを指定することができます。
 
ネットフローコレクターの様々なことについてこれが有益になるよう願っています。
 
Michael Patterson

私はNortheastの大学のお客様と働いていました。
彼はCisco　Catalyst 6513とTCAMオーバーフロー問題を抱えていて、その問題を理解するのを手助けしてくれるかどうか調べるためにネットフローエクスポートを見ていました。
彼が抱えている問題をScrutinizerが解決してくれるかどうかは定かではありませんが、lovemytoo.com『NetFlow OverFlow with TCAM Tables』にあるホストのために作られました。
どのくらい人々がネットワークトラフィック分析でScrutinizerを使うのが好きかが分かるので個人的に技術的なサポートに関わるのが好きです。
 
MIcheal Patterson
Scrutinizer　製品マネージャー