私は“パケットロスを特定するための情報はあるのか”に関するcaida.org サイトのポストを見ました。顧客が探しているのはネットワークのパケットロスやで失ったネットフローではないと思います。

 その返信:

それぞれのルータはネットフローパッケットヘッダーで書かれているフロー配列ナンバーを保存します。それぞれのルータのリストを作ったり配列ナンバーにフローレコードの数を加えたら、次の配列ナンバーを手に入れる必要があります。このようにして失ったフローナンバーを探すことができます。フロー配列ナンバーがあればネットフローがなくなっているのか分かります。

 

 なぜ“パケットロスを特定するための情報はあるのか”に関心があるのでしょう

 

これはすばらしい質問です。フローエクスポート喪失は次の3つのうちの一つで引き起こされるので関心があるのです。

1.                       ネットワークがパケットをドロップする

2.                       ルータが起動できない

3.                       ネットフローレシーバーまたはコレクターが起動しない

 

ネットフロー配列ナンバーが重要になってきています。ネットフローコレクターを構築するには、利用可能な間エンジンスケールが重要です。

ネットフローv9パケットフォーマットを見れば、パッケージ_シークエンスと呼ばれるものに気付くと思います。

 

Scrutinizerはルーターごとに配列ナンバーやネットフローエクスポートが失敗していないかを確認するエクスポーターを監視します。

もし上記のようなことになっていたら、このような方法で問題を解決します。

 

1.            Scrutinizerは起動できる? バイタルをチェックしてください

 

 ネットフローコレクターがMFSNトレンドで増大していることを上記で確認できます。

Scrutinizerがこれらの詳細を表示します。

 A 全てのコレクターに対して

B リスニングポートごとに(2055,9996,6343など)

Cルータごとに

 

問題の原因が見つかるまでのことです。 もし、全てのポートとエクスポーターがMFSNsを表示したら、そのコレクターがフローボリュームを起動できなかったと分かります。Scrutinizerで上記のレポートを探すには管理タブ→レポート→バイタルへ指示して下さい。ここからリスナーポート(2055,9996,6343など)をクリックすればそれぞれのネットフローエクスポートのバイタルに行くことができます。ステータスタブでインタフェース名となりのネットフローv5をクリックすればこのレポートに指示するのは簡単です。

 

2.            ネットワークがパケットをドロップするか各ルータがネットフローエクスポートを起動するトラブルがあると判断したら、各エクスポーターのMFSNをチェックします。

 

 

3.            ネットワークでなくルーターだと判断したら、ルータに入り、次のものを入力します

a)     For the entire collector
b) Per listening port ( 2055, 9996, 6343, など)
c) Per router

 

上のコマンドを使えばネットフローの現状やルータの状態をチェックしてくれます。

 

SCTP

ほとんどのコレクターはネットフロー、Sフロー、ネットストリーム、IPFIX,jフローなどに関心があります。SCTPは人気になってきているので、コレクターはネットフローデータグラムの受信状態を確認し、失敗したフレームの再送信を許可します。

 

 要約

ネットフロー配列ナンバーは失われたネットフローパケットや少しのジェネラルパケット喪失を特定するのに使われます。DoSアタックやネットワークスキャンによるネットフローボリュームの中の増加はバーストや最終的にフローの喪失をもたらすケースを私は見たことがあります。ネットフローアナライザー価値は配列ナンバーに関連された容量にレポートを送信するべきだと思う。