[ Top page ]

« 異常トラフィック監視 | メイン | PPP (Point-to-Point Protocol) »

QoS 保証, トラフィック計測・監視, 省エネルギー・省電力:省電力化のためのネットワーク・トラフィック計測

トラフィック計測・監視に関する標準化

ルータなどのネットワーク・ノードにおいてトラフィックを計測してその結果を IDS (侵入検知システム),IPS (侵入防止システム) などのサーバにおくり,DoS 攻撃 (サービス妨害攻撃), DDoS 攻撃 (分散サービス妨害攻撃) などをふくむ,さまざまな異常を検知するため,計測結果の送信のためのいくつかの標準 MIB や標準プロトコルが開発されている. ここではそれらの標準について記述する.

RMON

RMON (Remote network MONitoring MIB) はトラフィック計測結果を保持する MIB であり,その Version 2 が RFC 2819 によって標準化されている. RMON の内容はサーバまたはそのプロキシが SNMP を使用して pull する (polling する) 必要がある. この方法では計測結果にすべてのパケットからの情報を反映させるのが困難である.

Meter MIB

トラフィック・フロー計測のためのアーキテクチャが RFC 2722 に記述され,MIB の使用が RFC 2720 によって標準化されている.

NetFlow

NetFlow (ネットフロー) は Cisco (シスコ) によって開発されたプロトコルである. NetFlow を使用すると,マイクロ・フローごとまたはそれをたばねたマクロ・フローごとに,すべてのパケットの情報を取得することもでき,また一定間隔でサンプリングされたパケットの情報を UDP によって取得することができる. NetFlow プロトコルをつかえば,取得した情報をそのままサーバ (またはその情報を加工してサーバにおくるプロキシ) に push (報告) することもできるが,それをネットワーク・ノードにおいて,きめられた方法にしたがって集約してから push することもできる. NetFlow の 2 つの版 Version 5 とVersion 9 が Cisco 以外のルータ・ベンダにおいてもよく使用されている. NetFlow において使用されるデータ仕様は RFC 3954 に記述されているが,これは IETF 標準ではなく情報提供 (informational) RFC である.

IPFIX

NetFlow の後継プロトコルとして IPFIX (IP Flow Information eXport) が IETF において標準化中である. NetFlow より多様な統計情報を取得することができる. また,トランスポート・プロトコルとして SCTP を使用することによって,UDP を使用するより高信頼な計測が可能になる. 2007 年末現在,プロトコル,アーキテクチャ,MIB などのドキュメントが RFC 化される直前の状態にある.

sFlow

sFlow (エスフロー) は InMon (インモン) 社によって開発されたプロトコルであり,NetFlow と同様にすべてのパケットまたはサンプリングされたパケットの情報を UDP によって取得することができる. ただし,NetFlow とちがってマクロ・フロー単位の情報取得や集約の機能はない (マイクロ・フロー単位にかぎられる). sFlow の Version 1 は RFC 3176 (情報提供 RFC) に記述されているが,Version 5 は RFC ではなく www.sFlow.org から RFC にちかい形式のドキュメント [Pha 04] をえることができる.

PSAMP

IETF PSAMP WG (Packet SAMPling Working Group) は sFlow をベースとしたパケット・サンプリングに関する標準を開発している. QoS 性能測定やパス単位の測定などの機能に特徴がある. プロトコルのドキュメント化作業はほぼおわっているが,IPFIX WG との調整のために標準化の進展はおそい (計測結果の送信には部分的に IPFIX プロトコルを使用することになっている).

他の方法

ネットワーク・ノードが提供することができる情報には,上記のような標準 MIB や標準プロトコルによってカバーされていない部分もある. たとえば,ルータの特定機種だけがもつ機能や MIB,プロトコルの標準化の際には想定されていなかった用途のためには,これらの標準は使用できないか,使用しにくいことがある. このような場合には CLI (コマンドライン・インタフェース) や非標準の MIB,独自プロトコルなどによってこれらの情報にアクセスすることが選択肢となる.

参考文献

  • [Pha 04] Phaal, P. and Lavine, M., “sFlow Version 5”, sFlow.org, July 2004.
Keywords: トラフィック監視

コメントを投稿

Powered by
Movable Type 3.36