私はこのタイトルが大好きです。 とてもドラマチックな感じがします。

私はこの問題を最近考えていて、ネットフロートラフィック分析の中のフローを見る方法に効果的だと想像できるので、話す価値があると思います。

 

 NetFlow v5 packetには、あらゆる通信のためにインバウンド・アウトバウンドインターフェイスを明確にする二つの行が存在します。これらのインターフェイスの数はちょうどあなたのルータによって割り当てられるifindex インターフェイス IDのことです。

 

インバウンド・アウトバウンドインターフェイス領域は、あなたのトラフィックの流れがどこに向かっているか計算するのに重要です。

 

いくつかの画面ショットを見てみましょう。

 

*    画面の映像

 

この画面ショットはワイヤシャークを使用しているSフローのパケットキャプチャーの例をあなたに提示してくれます。

Input Interface index と Output Interface Index領域に注意してください。

 

このパケットキャプチャーを見てみると、この特別なサンプルされた通信は初めはインターフェイス1となりました。その後はインターフェイス・・0に出ていきました?

 

インターフェイス0もしくは”Null”は次のシナリオのときに起こります。

・    multicastトラフィック

・    ACLルールによる通信拒否

・    パケットがルータそれ自体になっている

・    QoSによる通信ダウン

・    ルータ間違い設定

・    IOSバグ

 

これらはこの種にトラフィックパターンを引き起こす可能性がある広く知れ渡った設定のいくつかです。これは、あなたが通信帯域幅使用を監視している際、どのようにScrutinizerがこのデータを与えるのかに影響するので、設定を知ることはとても重要です。例えば、あなたがシリアル0/1インターフェイス(インターフェイスID1)に入ってきて、シリアル0/2(インターフェイスID2)に出て行くmulticast トラフィック を持っていることを想像して下さい。multicast トラフィックはネットフローレコードの中でアウトバウンドインターフェイス0を与えることを覚えておいてください。

 

あなたのネットフローコレクターは、ネットフローレコードが0と記録する時、2つのifindex ID とシリアル0/2インターフェイスとアウトバウンドmulticast トラフィックを結びつけることをどのようにして知るのでしょう。それはingressフローとではありませんが、もしmulticast egress フローを有効にすれば、あなたは予想通りに書き込まれるアウトバウンドインターフェイスを見ることができます。

 

このシナリオはネットフローdynamicを初めて使用する通常ユーザーにとっては混乱を招くかもしれません。

 

ネットフローアナライザーがアウトバウンドインターフェイス0でのネットフローレコードを見ているとき、トラフィックは通過する可能性のあるインターフェイスとそのレコードは正確に連結できないでしょう。

 

この問題の論争の助けとしては、Scrutinizerは何も教えてはくれません。たぶんあなたはあなたのデバイスに並んだインターフェイス0に気付いていますね。このインターフェイスは本物のインターフェイスではありません。これは現存するどのインターフェイスにも関係していない全てのトラフィックをまとめたものです。捨てるより見せた方が良いですよね。

 

もし、上に挙げたコンディションでいくつかを実行していると思ったら、ここに電話してください。

私たちは、あなたが見ている全てのものを検証するネットフローパケットのコンテンツを見ることができるFlow View と呼ばれるScrutinizerにすばらしいツールを作成しました。

 

Nate

 

返信

2009/11/7  Mike@plixer.com

Multicast トラフィックでは次のことを覚えておいてください。

*   ingress フローは送信先インターフェイス0”null”があり、シングルフローがエクスポートされる

*   egressフローは送信先インターフェイスを示し,複数のフローがエクスポートされる(インターフェイスごとに)

*   もし本当に必要とするなら両方のタイプのフローをエクスポートすることをお勧めします。