IP フロー情報出力におけるパケット・ストリームの処理 (調査と解説)

IP フロー情報出力 (IP フロー計測) においては，IETF において標準化された IPFIX (IP Flow Information Export) や，標準化中の PSAMP (Packet Sampling) のフレームワークがつかわれる．これらにおいては，Exporter すなわち IPFIX の機能をそなえたルータなどのネットワーク機器が IPFIX プロトコルによって IP フロー情報を Collector におくる． Exporter 内には計測プロセス (Metering Process(es)) と送出プロセス (Exporting Process) とがふくまれる．ここではこれらのプロセスの機能を IPFIX のアーキテクチャ・ドラフト [Sad 07] や PSAMP のドラフト [Duf 08] [Zse 08] にもとづいて説明する．

計測プロセス

各計測プロセスは，入力されたパケットにタイムスタンプをつけたあと，つぎの 2 種類の機能をくみあわせて，入力されたパケットから IP フロー情報をとりだす．

サンプリング機能: 計測するべきパケットを選択する．選択されなかったパケットは計測結果には反映されない．サンプリング機能については後述する．
フィルタ機能: パケット・へッダやパケットの他の属性にもとづいてパケットを選択する．フィルタ機能についても後述する．

サンプリング機能

サンプリング機能の分類や例に関しては PSAMP ワーキンググループのドキュメント [Duf 08] [Zse 08] などに記述されている．これらをまとめると，つぎのように記述することができる．

計数にもとづく系統的なサンプリング: パケットを計数 (カウント) することにもとづいてサンプリングする．たとえば，一定パケット数ごとにパケットを抽出する．
時間にもとづく系統的なサンプリング: 時間を計測することにもとづいてサンプリングする．たとえば，一定時間ごとにパケットを抽出する．
N 個中 n 個の確率的サンプリング: 計数にもとづいてえられた N 個のパケットのなかから n 個をランダムに選択する．
一様な確率的サンプリング: パケット 1 個ごとに，あらかじめきめられた確率にもとづいてそれを抽出するか，すてるかをきめる．
一様でない確率的サンプリング: パケット 1 個ごとに，そのパケットの内容に依存する確率にもとづいてそれを抽出するか，すてるかをきめる．

フィルタ機能

フィルタ機能の分類や例も PSAMP ワーキンググループのドキュメント [Duf 08] [Zse 08] などに記述されている．これらをまとめると，つぎのように記述することができる．

属性マッチ・フィルタリング: パケットの特定のフィールドの値にもとづいてパケットを選択する．パケット選択に使用できるフィールドは IPFIX 情報モデル [Qui 08] においてきめられている．
ハッシュにもとづくフィルタリング: パケットの内容をハッシュ関数に適用して，えられた結果にもとづいてパケットを選択する．ハッシュ関数がつよければランダムな選択にちかづく．

ハッシュにもとづくフィルタリングの重要な応用として，軌道サンプリング (trajectory sampling) がある．軌道サンプリングにおいては，ハッシュ関数によって選択されるパケットが通信経路畳の各点において同一になるようにする．

送出プロセス

送出プロセスは IPFIX プロトコルによって指定されたテンプレートにしたがって計測プロセスの出力から情報をとりだし，IPFIX メッセージを生成して Collector におくる．

まとめ

まとめの図をアーキテクチャ・ドラフトから引用する．

                    Packet(s) coming in to Observation Point(s)
                      |                                   |
                      v                                   v
     +----------------+-------------------------+   +-----+-------+
     |          Metering Process on an          |   |             |
     |             Observation Point            |   |             |
     |                                          |   |             |
     |   packet header capturing                |   |             |
     |        |                                 |...| Metering    |
     |   timestamping                           |   | Process N   |
     |        |                                 |   |             |
     | +----->+                                 |   |             |
     | |      |                                 |   |             |
     | |   sampling Si (1:1 in case of no       |   |             |
     | |      |          sampling)              |   |             |
     | |   filtering Fi (select all when        |   |             |
     | |      |          no criteria)           |   |             |
     | +------+                                 |   |             |
     |        |                                 |   |             |
     |        |        Timing out Flows         |   |             |
     |        |    Handle resource overloads    |   |             |
     +--------|---------------------------------+   +-----|-------+
              |                                           |
      Flow Records (identified by Observation Domain)  Flow Records
              |                                           |
              +---------+---------------------------------+
                        |
   +--------------------|----------------------------------------------+
   |                    |     Exporting Process                        |
   |+-------------------|-------------------------------------------+  |
   ||                   v       IPFIX Protocol                      |  |
   ||+-----------------------------+  +----------------------------+|  |
   |||Rules for                    |  |Functions                   ||  |
   ||| Picking/sending Templates   |  |-Packetise selected Control ||  |
   ||| Picking/sending Flow Records|->|  & data Information into   ||  |
   ||| Encoding Template & data    |  |  IPFIX export packets.     ||  |
   ||| Selecting Flows to export(*)|  |-Handle export errors       ||  |
   ||+-----------------------------+  +----------------------------+|  |
   |+----------------------------+----------------------------------+  |
   |                             |                                     |
   |                    exported IPFIX Messages                        |
   |                             |                                     |
   |                +------------+-----------------+                   |
   |                |  Anonymise export packet(*)  |                   |
   |                +------------+-----------------+                   |
   |                             |                                     |
   |                +------------+-----------------+                   |
   |                |       Transport  Protocol    |                   |
   |                +------------+-----------------+                   |
   |                             |                                     |
   +-----------------------------+-------------------------------------+
                                 |
                                 v
                    IPFIX export packet to Collector

   (*) indicates that the block is optional.

                                 Figure 6 (ドラフト [Sad 07] から引用)

参考文献

[Sad 06] Sadasivan, G., Brownlee, N., Claise, B., and Quittek, J., “Architecture for IP Flow Information Export”, Internet Draft, draft-ietf-ipfix-architecture-12, September 2006.
[Duf 08] Duffield, N., Ed., “A Framework for Packet Selection and Reporting”, Internet Draft, draft-ietf-psamp-framework-13, June 2008.
[Zse 08] Zseby, T., Molina, M., Duffield, N., Niccolini, S., and Raspall, F., “Sampling and Filtering Techniques for IP Packet Selection”, Internet Draft, draft-ietf-psamp-sample-tech-11, July 2008.
[Qui 08] Quittek, J., Bryant, S., Claise, B., Aitken, P., and Meyer, J., “Information Model for IP Flow Information Export”, RFC 5102, IETF, January 2008.

Keywords:

調査と解説