IPFIXとは?
IPFIX(IP Flow Information Export)は、ネットワークトラフィックの監視や分析に用いられるフロー技術のひとつです。IPFIXはCisco社のNetFlow V9(Version 9)を標準化した拡張版であり、NetFlow V10と呼ばれることもあります。Cisco機器に限らず、様々なベンダー機器に対応していることが大きな特徴です。
IPFIXとNetFlowや他のフロー技術との違い
NetFlowの歴史とIPFIXの誕生
IPFIXを理解をする上で、まずNetFlowの歴史を簡単に振り返る必要があります。NetFlowはCisco社によって開発された、ネットワークトラフィックを監視・分析するための技術です。バージョンがV1、V5、V7、V8と上がっていくにつれて、新しい機能が追加されていき、V9でテンプレート・ベースとなりました。テンプレート・ベースとは、最初にフロー情報のデータのフォーマットを指定することで、それ以降のデータの構成を定義できる機能です。これにより、ニーズに応じた情報を取得することができ、拡張性も向上しました。
しかし、NetFlowは基本的にCisco機器でしか動作しない仕様でした。そこでNetFlow V9をベースとして、ベンダーIDの指定が可能となったのがIPFIXです。IPFIXはインターネット技術の標準を策定する団体IETFによって、幅広いベンダー機器で使用できるように設計され、標準化されました(IETF RFC7011)。
sFlowとの比較
他の代表的なフロー技術として、InMon社が開発したsFlowがあります。sFlowは、パケットの一部の情報を用いてフローデータを生成しています。そのようなサンプリングを行う点でIPFIXやNetFlowと異なりますが、データを解析する上で大きな違いはありません。
J-Flowとの比較
また、他のフロー技術として、Jupiter社によって開発されたJ-Flowがあります。それぞれ、開発したベンダーごとに名前が異なっていますが、ネットワークトラフィックの監視・分析という目的は同じです。
AppFlowへの応用
IPFIXは、他のフロー技術にも応用されています。AppFlowはIPFIXの拡張性を利用して、L7アプリケーションレベルの情報を取得できるように設計されたフロー技術です。
IPFIXでできること
IPFIXでは、NetFlowと同様に、データリンク層、ネットワーク層、トランスポート層の情報を取得しています。ネットワーク上を流れる共通の属性を持ったパケット群から、トラフィックの内訳情報を収集することでフローデータを生成します。
ネットワーク監視の基本プロトコルであるSNMPを利用してもトラフィック情報を取得できますが、SNMPはインターフェース層にのみ対応しています。
IPFIXのフローデータには、入力インターフェース情報に加えて、以下のような情報が含まれています。
- 送信元IPアドレス、宛先IPアドレス
- 送信元ポート番号、宛先ポート番号
- プロトコル種別(TCP、UDPなど)
- Tosバイト(DSCP)
これらの情報は、ネットワーク輻輳の原因となっている通信のIPアドレス単位での特定に活用できます。
また、NetFlow V9ではフィールドの長さが固定されていましたが、IPFIXでは可変長のIE(Information element)に対応しています。さらに、上記で述べたように、IPFIXでは取得するフローデータのテンプレートをカスタマイズすることができます。
IPFIXの活用で解決できる課題
ネットワーク遅延対策やセキュリティ対策として、トラフィックの異常を迅速に検知し分析することは非常に重要です。SNMPだけを利用する場合もインターフェース毎のトラフィック総量の確認は可能ですが、アプリケーション単位やIPアドレス単位の分析はできないため、トラフィック異常の分析が困難な場合もあります。
このような課題は、IPFIXなどのフローデータを用いたトラフィック監視で解決することが可能です。IPFIXをトラフィック監視に活用するためには、IPFIXのフローデータ収集に対応したフローコレクターを導入する必要があります。
ManageEngineではフローコレクターとして、NetFlow Analyzerを提供しています。以下のように、分かりやすいGUIと簡単なクリック操作で、機器やインターフェース毎のトラフィック可視化を実現します。
また、NetFlow Analyzerを用いて、通信の内訳を分析することができます。例えば、その通信が「どのアプリケーションを利用したものか」「どのIPアドレスを使用しているか」などをわずか数クリックで簡単に分析することができます。
ManageEngineの「NetFlow Analyzer」はIPFIXやNetFlow、sFlow、J-Flow、AppFlowなど、各種フロー技術を用いたトラフィック監視・分析に対応しています。プログラミングなどの専門知識不要で、クリック操作で直観的に操作いただけます。
30日間フル機能を体験できる評価版もご用意しておりますので、ぜひお気軽にお試しください。