Network Working Group B. Claise, Ed.
Request for Comments: 3954 Cisco Systems
Category: Informational October 2004
Cisco Systems の NetFlow サービスエクスポート
バージョン9
このメモの位置付け
本メモはインターネット・コミュニティーに対して単なる情報を公開する
ものであり、特定のインターネット標準を規定するものではない。本メモ
の配布には特に制限を課さない。
著作権について
Copyright (C) The Internet Society (2004).
IESG からの注釈
この RFC ドキュメントは、IPFIX WG がさらなる検討をする上での基礎に
なるものとして IETF に提出された NetFlow サービス・エクスポート・プ
ロトコル バージョン9 について記述している。
本 RFC 自体は特にいかなるレベルのインターネット標準の候補となるもの
ではない。本 RFC がいかなる目的において使用されても、IETF はその適
正性について IETF が保有する知識を放棄することとする。特に、本 RFC
が、セキュリティー、輻輳制御、既存のプロトコルとの不適切な相互作用
等の点について、完全な IETF のレビューを受けていないことに留意する
こと。RFC 編集者は本ドキュメントをその自由裁量権によって発行する選
択をした。
概要
本ドキュメントは、ネットワーク構成要素やそれに対応するコレクター・
プログラムの実装が使用する Cisco Systems の NetFlow サービスのデー
タ・エクスポート・フォーマット バージョン9 を規定している。バージョ
ン9 のエクスポート・フォーマットは、テンプレートを使用しており、IP
パケットのフローを、柔軟性が高く拡張性に富んだ方法で観測することが
できるようになっている。テンプレートとは、その構造と意味について記
述されたフィールドの並びである。
目次
1. はじめに
2. 用語
2.1. 用語表
3. エクスポーター側からみた NetFlow の概要
3.1. エクスポーター側での NetFlow の処理
3.2. フローの期限切れについて
3.3. トランスポート・プロトコル
4. パケット・レイアウト
5. エクスポート・パケット・フォーマット
5.1. ヘッダ・フォーマット
5.2. テンプレート・フローセット・フォーマット
5.3. データ・フローセット・フォーマット
6. オプション
6.1. オプション・テンプレート・フローセット・フォーマット
6.2. オプション・データレコード・フォーマット
7. テンプレート管理
8. フィールド・タイプの定義
9. コレクター側
10. セキュリティー上の考慮点
10.1. フロー情報データの公開
10.2. フロー・レコードまたはテンプレート・レコードの偽造
10.3. NetFlow コレクターへの攻撃
11. 例
11.1. パケット・ヘッダの例
11.2. テンプレート・フローセットの例
11.3. データ・フローセットの例
11.4. オプション・テンプレート・フローセットの例
11.5. オプション・データ・レコード付きのデータ・フローセットの例
12. 参考文献
12.1. 標準的な参考文献
12.2. 有益と思われる参考文献
13. 著者
14. 謝辞
15. 著者の連絡先
16. 著作権に関する声明
1. はじめに
Cisco Systems の NetFlow サービスは、ネットワーク管理者に対して、デー
タネットワーク上での IP フローに関する情報を提供してくれる。ネット
ワーク構成要素(ルーターやスイッチ)はフローデータを収集し、それを
コレクターにエクスポートする。収集されたデータは、リソース使用に関
する課金情報について非常に柔軟かつ詳細な計測結果をきめ細かく教えて
くれる。
フローはネットワーク機器を通過した、ある共通した特性を持つ単一方向
のパケットの列で規定される。これらの収集されたフローは、外部機器、
すなわち NetFlow コレクターにエクスポートされる。ネットワークのフロー
は非常に粒度が細かい; 例えばフローレコードは IP アドレス、パケット
数やバイト数、タイムスタンプ、Type of Service (ToS)、アプリケーショ
ンが使用するポート番号、入力/出力インターフェース、といった詳細情報
を含んでいる。
エクスポートされた NetFlow データはさまざまな目的、例えば、企業内の
課金情報、部門毎の課金分担、ISP での課金処理、データ・ウェアハウジ
ング、ネットワーク監視、容量設計、アプリケーション監視とプロファイ
リング、ユーザーのモニターとプロファイリング、セキュリティー分析、
マーケティングのためのデータ・マイニング、等に使用することができる。
本ドキュメントは NetFlow バージョン9 を規定している。ネットワーク構
成要素、NetFlow コレクターの両面から、その実装仕様について記述して
いる。これらの仕様は、異なるプラットフォーム、異なるベンダー間での
相互運用性に関するリスクを最小限に抑え、NetFlow バージョン9 を実展
開するのに役立つはずだ。NetFlow エクスポート・フォーマット バージョ
ン9 はテンプレートを使用しており、IP パケットのフローを、柔軟性が高
く拡張性に富んだ方法で観測することができるようになっている。
テンプレートとは、その構造と意味について記述されたフィールドの並び
である。
テンプレート・ベースのアプローチには以下のような利点がある:
- エクスポート・レコード・フォーマットの構造を変更すること無く、
新しいフィールドを NetFlow のフロー・レコードに追加することが
できる。それまでの NetFlow バージョンでは、新しいフィールドを
フロー・レコードに追加するには、新しいエクスポート・プロトコル・
フォーマットを新たに規定しなければならず、新しいエクスポート・
プロトコル・フォーマットを理解することができるコレクターも新た
に必要となっていた。
- NetFlow コレクターに送られるテンプレートには、エクスポートされ
るフロー・レコード・フィールドに関する構造的な情報を含んでいる。
したがって、仮に NetFlow コレクターが新しいフィールドの意味を
理解できなくても、フロー・レコードを解釈することができる。
- テンプレート機構は柔軟なため、フロー情報のうち必要なフィールド
のみを NetFlow コレクターにエクスポートすることができる。これ
により、エクスポートされるフローデータの量を減らすことができ、
エクスポーターおよび NetFlow コレクターで必要となるメモリ量も
減らすことができる。必要な情報のみを送信することで、ネットワー
クの負荷も軽減することができる。
IETF IPFIX (IP Flow Information eXport) ワーキンググループは、新た
なプロトコルを開発中であり、それは Cisco Systems 社の NetFlow バー
ジョン9 をベースにしている。いくつかの異なった領域における改良(輻輳
を意識したトランスポート・プロトコル、あらかじめ組み込まれたセキュ
リティー、など)が、この新しい IPFIX プロトコルには盛り込まれている。
詳しくは IPFIX ワーキンググループのドキュメントを参照して欲しい。
本ドキュメント中に出てくる "MUST", "MUST NOT", "REQUIRED", "SHALL",
"SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", および
"OPTIONAL" といったキーワードは、 BCP 14, RFC 2119 [RFC2119] の記述
に準ずるものとする。
2 用語
本節では、本ドキュメント中に出てくるさまざまな用語について説明をし
ておく。2.1 節にあげた用語表は、いくつかの異なった用語の定義のあい
だの相関関係について簡単にまとめてある。
観測ポイント
観測ポイントとは、IP パケットを観測することができるネットワーク
上の場所の事である; 例えば、ルータのようなネットワーク機器の一つ、
もしくは複数のインターフェース群のなどがこれにあたる。
観測ドメイン
NetFlow サービスによって、ネットワーク機器のフロー情報を最大限に
集約することができる観測ポイントの集合を観測ドメインと呼ぶ。例え
ば、観測ポイントになっているインターフェースを複数持ったルータの
ラインカードなどがこれにあたる。
IP フロー、あるいは フロー
IP フロー、もしくは単にフロー、は、一定時間の間にネットワーク中
の観測ポイントを通過する IP パケットの集合として定義される。特定
のフローに属する全てのパケットは、パケットに含まれるデータや、観
測ポイントでパケットをどのように扱うかといった点から導かれる共通
の特性を持つ。
フロー・レコード
フロー・レコードは、観測ポイントで観測された IP フローに関する情
報を提供する。本ドキュメントでは、フローデータ・レコードは、
NetFlow サービスデータ、もしくは NetFlow データ、と呼ばれる事が
ある。
エクスポーター
NetFlow サービスが有効になった機器(例えばルータ)のこと。エクス
ポーターは観測ポイントに入ってくるパケットを監視し、それらのパケッ
トからフローを作成する。これらのフローから得られた情報は、フロー・
レコードとして NetFlow コレクターにエクスポートされる。
NetFlow コレクター
NetFlow コレクターは1台以上のエクスポーターからのフロー・レコー
ドを受け取る。NetFlow コレクターは、受け取ったエクスポート・パケッ
トを処理、すなわち、フロー・レコード情報を解析し格納する。フロー・
レコードはハードディスクに格納される前に集約される場合もある。本
ドキュメントでは NetFlow コレクターは単にコレクターと呼ばれる場合
もある。
エクスポート・パケット
エクスポート・パケットとは、そのエクスポーターのフロー・レコード
を運んでいるパケットで、エクスポーターから NetFlow コレクター宛
に送信される。
パケット・ヘッダ
パケット・ヘッダはエクスポート・パケットの最初の部分である。パケッ
ト・ヘッダには NetFlow バージョン、パケットに含まれているレコー
ド数、シーケンス番号など、基本的な情報が含まれている。
テンプレート・レコード
テンプレート・レコードは、フローデータ・レコード中のフィールドの
構造とその解釈のしかたを定義している。
フローデータ・レコード
フローデータ・レコードとは、テンプレート・レコードに対応するフ
ロー・パラメータの値を含んだデータ・レコードのことである。
オプション・テンプレート・レコード
オプション・テンプレート・レコードは、オプション・データ・レコー
ドがどのようなスコープで有効なのか、といったような、オプション・
データ・レコード中のフィールドの構造とその解釈のしかたを定義して
いる。
オプション・データ・レコード
オプション・テンプレート・レコードに対応したフロー測定パラメター
の値やスコープを含んだデータ・レコードのこと。
フローセット
ある種の構造を持ったフロー・レコードの並びの一般的な呼び名。エク
スポート・パケットは、パケット・ヘッダーに続き、1つまたはそれ以
上のフローセットが来る。フローセットには3種類の異なったタイプが
ある; テンプレート・フローセット、オプション・テンプレート・フロー
セット、および、データ・フローセットである。
テンプレート・フローセット
テンプレート・フローセットとは、1つ以上のテンプレート・レコード
が一つのエクスポート・パケット中でグループ化されたものである。
オプション・テンプレート・フローセット
オプション・テンプレート・フローセットとは、1つ以上からなるオプ
ション・テンプレートレコードがエクスポート・パケット中でグループ
化されたものである。
データ・フローセット
データ・フローセットは、同じタイプの1つ以上からなるレコードがエ
クスポート・パケット中でグループ化されたものである。それぞれのレ
コードは、テンプレート・レコードまたはオプション・テンプレート・
レコードであらかじめ定義されたフローデータ・レコードもしくはオプ
ション・データ・レコードである。
2.1 用語表
+-----------------+------------------------------------------------+
| | 内 容 |
| +------------------------+-----------------------+
| フローセット | テンプレート・レコード | データ・レコード |
+-----------------+------------------------+-----------------------+
| データ・ | |フローデータ・レコード |
| フローセット | / | または オプション・ |
| | | データ・レコード |
+-----------------+------------------------+-----------------------+
| テンプレート・ | テンプレート・レコード | / |
| フローセット | | |
+-----------------+------------------------+-----------------------+
| オプション・ | オプション・ | |
| テンプレート・ | テンプレート | / |
| フローセット | レコード | |
+-----------------+------------------------+-----------------------+
データ・フローセットはオプション・データ・レコードまたはフローデー
タ・レコードから構成される。データ・フローセットにテンプレート・レ
コードが含まれることはない。テンプレート・レコードはフローデータ・
レコードを定義付けし、オプション・テンプレート・レコードはオプショ
ン・データ・レコードを定義付けする。
テンプレート・フローセットはテンプレート・レコードから構成される。
テンプレート・フローセットにフローデータ・レコードやオプション・デー
タ・レコードが含まれることはない。
オプション・テンプレート・フローセットはオプション・テンプレート・
レコードから構成される。オプション・テンプレート・フローセットにフ
ローデータ・レコードやオプション・データ・レコードが含まれることは
ない。
3. エクスポーター側からみた NetFlow の概要
3.1. エクスポーター側での NetFlow の処理
エクスポーターでの NetFlow 処理は、観測した IP パケットからフローを
作成する事が主たる役割である。この処理の詳細は本ドキュメントのスコー
プ外である。
3.2. フローの期限切れについて
決められたタイムアウト時間のあいだ、観測ポイントにおいてあるフロー
に属するパケットが観測されなかった場合、そのフローは非アクティブで
あると考えることにする。タイムアウト内に一つでもパケットが観測され
れば、そのフローはアクティブであると考える。フローは、以下のような
条件が成り立つ時にエクスポートされる:
1. エクスポーターがフローの終わりを検出できた場合。例えば、TCP
コネクションで FIN もしくは RST bit を検出した場合、フロー・
レコードがエクスポートされる。
2. フローが一定時間非アクティブだった場合。この非アクティブ・タ
イムアウト時間は、エクスポーター側で設定可能で、最低値0を指
定することで、ただちにタイムアウトさせるようになっているべき
(SHOULD)である。
3. 長寿命のフローに関して、エクスポーターは一定時間毎にフロー・
レコードをエクスポートするようになっているべき(SHOULD)である。
このタイムアウト値はエクスポーター側で設定可能になっているべ
き(SHOULD)である。
4. エクスポーターがなにかしらの内部的な制約に遭遇した場合、フロー
はたとえ途中であっても強制的にタイムアウトされてもよい(MAY);
例えば、カウンターが折り返してしまう場合や、メモリ不足などの
場合がこれにあたる。
3.3. トランスポート・プロトコル
大量のエクスポート・パケットを処理しつつ、エクスポーターでの処理を
効率良く行うために、NetFlow エクスポート・パケットは UDP [RFC768]
データグラムでカプセル化され、NetFlow コレクターにエクスポートされ
る。しかしながら、NetFlow バージョン9 はトランスポート・プロトコル
独立に設計されている。したがって、SCTP [RFC2960] のような輻輳を意識
したプロトコルの上でも動作させることができる。
エクスポータは複数のコレクターにエクスポートすることができ、それぞ
れが独立にトランスポート・プロトコルを使用できうるという事に留意す
ること。
UDP [RFC768] は輻輳を意識したプロトコルではないので、NetFlow バージョ
ン9 を輻輳に敏感な環境で使用する場合には、エクスポーターと NetFlow
コレクターとの間のリンクは専用的なリンクで構成すること。こうするこ
とにより、万一突発的な NetFlow トラフィックの増加があっても、それに
よる影響をこの専用的なリンクのみに限定することができる。NetFlow コ
レクターがエクスポーターから1ホップの距離に配置できない場合、もしく
は、エクスポーターから NetFlow コレクターへのパスが Netflow エクス
ポート・パケットのためだけに使用することができない場合には、エクス
ポートのためのパスは、エクスポーターから出され得る最大の NetFlow ト
ラフィックを常に捌くことができるよう設計すべきである。輻輳は、エク
スポートのためのパスの速度が低すぎる場合にエクスポーター上で起るこ
とに注意すること。
4. パケット・レイアウト
エクスポート・パケットはパケット・ヘッダーに続く1つ以上のフローセッ
トから構成される。フローセットは次の3つのタイプ、すなわち、テンプレー
ト、データ、あるいはオプション・テンプレートのいずれかである。
+----------+--------------------------------------------------------+
| | +--------------+ +--------------+ +--------------+ |
| パケット | | テンプレート | | データ | | オプション | |
| ヘッダ | | フローセット | | フローセット | | テンプレート | ... |
| | | | | | | フローセット | |
| | +--------------+ +--------------+ +--------------+ |
+----------+--------------------------------------------------------+
エクスポート・パケット
フローセット ID は異なったタイプのフローセットを区別するために使用
される。256 より小さいフローセット ID は、テンプレート・フローセッ
ト(ID 0)やオプション・テンプレート・フローセット(ID 1)といった特別
なフローセットのために予約されている。データ・フローセットは 255 よ
りも大きいフローセット ID を持っている。
テンプレート、データおよびオプション・テンプレート・フローセットの
フォーマットについては、本ドキュメントの後段で説明する。エクスポー
ターは、パケット・ヘッダと各種フローセットで使用される全てのバイナ
リ整数をネットワーク・バイト・オーダー(ビッグ・エンディアンとも呼
ばれる)でエンコードしなければならない(MUST)。
エクスポート・パケットの具体例を以下に幾つか示しておく:
1. テンプレート、データ、オプション・テンプレート・フローセットが入
り交じる場合。例: 新しく作られたテンプレートを、出来る限り早くエ
クスポートするようなケース。既にデータ・フローセットを含むエクス
ポート・パケットがエクスポートされるべく準備されているような場合、
そこにテンプレートもしくはオプション・テンプレート・フローセット
がスペース上の都合により入り交じって配置されていく。
エクスポート・パケット:
+----------+-------------------------------------------------------------------------+
| | +--------------+ +--------------+ +--------------+ +--------------+ |
| パケット | | テンプレート | | データ | | オプション | | データ | |
| ヘッダ | | フローセット | | フローセット | ... | テンプレート | | フローセット | |
| | | | | | | フローセット | | | |
| | +--------------+ +--------------+ +--------------+ +--------------+ |
+----------+-------------------------------------------------------------------------+
2. エクスポート・パケットがデータ・フローセットのみから構成される場
合。例: 適切なテンプレート・レコードが定義され NetFlow コレクター
機器に送出されたあとは、大部分のエクスポートパケットはデータ・フ
ローセットのみで構成されることになる。
エクスポート・パケット:
+----------+------------------------------------------------------------+
| | +--------------+ +--------------+ +--------------+ |
| パケット | | データ | ... | データ | ... | データ | |
| ヘッダ | | フローセット | ... | フローセット | ... | フローセット | |
| | +--------------+ +--------------+ +--------------+ |
+----------+------------------------------------------------------------+
3. エクスポート・パケットがテンプレート及びオプション・テンプレート
フローセットのみから構成される場合。例: エクスポーターはテンプレー
トおよびオプション・テンプレート・フローセットを含むパケットを定
期的に NetFlow コレクターに送信しても良い(MAY)。これは NetFlow
コレクターがフローデータ・レコードを受け取ったときに、NetFlow コ
レクターがそれに対応する正しいテンプレート・レコードおよびオプショ
ンテンプレート・レコードを保持しているようにするために行われるも
のである。
エクスポート・パケット:
+----------+------------------------------------------------------------+
| | +--------------+ +--------------+ +--------------+ |
| パケット | | テンプレート | | テンプレート | | オプション | |
| ヘッダ | | フローセット | ... | フローセット | ... | テンプレート | |
| | | | | | | フローセット | |
| | +--------------+ +--------------+ +--------------+ |
+----------+------------------------------------------------------------+
5. エクスポート・パケット・フォーマット
5.1. ヘッダー・フォーマット
パケット・ヘッダー・フォーマットは以下のようになっている:
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| バージョン番号 | カウント |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| sysUpTime |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| UNIX Secs |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| シーケンス番号 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| ソース ID |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
パケット・ヘッダー・フィールドの説明
バージョン
このパケットのエクスポートに使用されているフローレコード・フォー
マットのバージョン番号。最新のバージョンはこのフィールドの値
は9である。
カウント
このエクスポート・パケットに含まれるレコード数。これはオプショ
ン・フローセット・レコード、テンプレート・フローセット・レコー
ド、データ・フローセット・レコードの合計数である。
sysUpTime
機器がブートしてから経過した時間をミリ秒で表したもの。
UNIX Secs
エクスポート・パケットがエクスポーターから送出された時刻を
0000 UTC 1970 を起点とした経過秒数で表したもの。
シーケンス番号
エクスポーターが現在の観測ドメインから送出した全てのエクスポー
ト・パケットに付けられた昇順のシーケンス番号。この値は累積的
でなければならない(MUST)。この値はエクスポート・パケットが取
りこぼされていないかをコレクターが判断するのに使うべきである
(SHOULD)。
ソース ID
エクスポーターの観測ドメインを特定する32ビットの値。NetFlow
コレクターは、同一のエクスポーターから送出されれる異なるエク
スポート・ストリームを区別するために、送信元 IP アドレスとソー
ス ID の組合わせを使用するべきである(SHOULD)。
5.2. テンプレート・フローセット・フォーマット
NetFlow フォーマットの中で、テンプレート・フローセットは重要な構成
要素の1つである。テンプレートは、NetFlow コレクターがフロー・レコー
ド中のデータを必ずしも全て解釈できなくてもフロー・レコードを解釈す
ることを可能にするので、フローレコード・フォーマットの柔軟性を大幅
に向上させるものである。テンプレート・フローセットのフォーマットは
以下のようになっている:
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| フローセット ID = 0 | 長さ |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| テンプレート ID 256 | フィールド数 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| フィールド・タイプ 1 | フィールド長 1 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| フィールド・タイプ 2 | フィールド長 2 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| ... | ... |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| フィールド・タイプ N | フィールド長 N |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| テンプレート ID 257 | フィールド数 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| フィールド・タイプ 1 | フィールド長 1 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| フィールド・タイプ 2 | フィールド長 2 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| ... | ... |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| フィールド・タイプ M | フィールド長 M |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| ... | ... |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| テンプレート ID K | フィールド数 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| ... | ... |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
テンプレート・フローセット・フィールドの説明
フローセット ID
フローセット ID の値 0 は、テンプレート・フローセットのために
予約されている。
長さ
このフローセットの全体の長さ。テンプレート・フローセットは複
数のテンプレート・レコードを含んでいても良い(MAY)ため、(どの
ようなタイプのフローセットかわからないが)次のフローセット・
レコードの位置を特定するために、この長さフィールドを使用しな
ければならない(MUST)。この長さは、フローセット ID、長さフィー
ルド自身、および本フローセットに含まれる全てのテンプレート・
レコードの長さの合計である。
テンプレート ID
新しく作られたテンプレートレコードには一意なテンプレート ID
が振られる。この一意性は、テンプレート ID を生成した観測ドメ
イン内で保証される。テンプレート ID の値 0~255 はテンプレー
ト・フローセット、オプション・フローセット、および、将来定義
されるフローセットのために予約されている。データフローセット
のテンプレート ID は 256~65535 の値を取る。
フィールド数
このテンプレート・レコードに含まれるフィールドの数。テンプレー
ト・フローセットは通常複数のテンプレート・レコードを含むので、
コレクターはこのフィールドの値から現在のテンプレート・レコー
ドの終りと次のテンプレート・レコードの始まりの位置を判断する。
フィールド・タイプ
フィールドのタイプを表す数値。「フィールド・タイプの定義」の
節を参照のこと。
フィールド長
フィールド・タイプに対応したバイト長。「フィールド・タイプの
定義」の節を参照のこと。
5.3. データ・フローセット・フォーマット
データ・フローセットのフォーマットは以下の通り:
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|フローセットID = テンプレートID| 長さ |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| レコード 1 - フィールド値 1 | レコード 1 - フィールド値 2 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| レコード 1 - フィールド値 3 | ... |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| レコード 2 - フィールド値 1 | レコード 2 - フィールド値 2 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| レコード 2 - フィールド値 3 | ... |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| レコード 3 - フィールド値 1 | ... |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| ... | パディング |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
データ・フローセットのフィールドの説明
フローセット ID = テンプレート ID
それぞれのフローセットはフローセット ID と紐づけられている。
フローセット ID は(以前に生成された)テンプレート ID にマッ
プされている。コレクターは、対応するテンプレート・レコードを
発見し、フローセットからフロー・レコードの内容を解釈するため
にこのフローセット ID を使わなければならない(MUST)。
長さ
このフローセットの長さ。この長さは、フローセット ID、長さフィー
ルド自身、本フローセットに含まれる全てのフロー・レコード、お
よび、(もしあれば)パディング・バイトの長さの合計である。
レコード N - フィールド値 M
データ・フローセットの残りの部分は、フローデータ・レコードの
並びであり、それぞれがフィールド値を持っている。フィールドの
タイプと長さは、フローセット ID またはテンプレート ID で示さ
れるテンプレート・レコードによってあらかじめ定義されている。
パディング
エクスポーターは、次に続くフローセットが4バイトの境界から始ま
るようにパディング・バイトを挿入すべきである(SHOULD)。長さフィー
ルドはこのパディングの長さも含んでいることに注意。パディング
は 0 で埋められるべきである(SHOULD)。
データ・フローセットのフォーマットを解釈するためには、テンプレート
ID で示されるテンプレート・フローセットがコレクターに存在しなければ
ならい。
6. オプション
6.1. オプション・テンプレート・フローセット・フォーマット
オプション・テンプレート・レコード(と、それに対応するオプション・
データ・レコード)は NetFlow 処理の設定もしくは NetFlow 処理固有の
データを提供するために使われるもので、IP フローに関する情報を提供す
るものではない。
例えば、テンプレート・フローセットは、仮にサンプリングがサポートさ
れていた場合、特定のインターフェースのサンプリングレートを通知する
ために使用することができる。
オプション・テンプレート・フローセットのフォーマットは以下の通りで
ある。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| フローセット ID = 1 | 長さ |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| テンプレート ID | オプション・スコープ長 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| オプション長 | スコープ 1 フィールド・タイプ |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| スコープ 1 フィールド長 | ... |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| スコープ N フィールド長 |オプション 1 フィールド・タイプ|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| オプション 1 フィールド長 | ... |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| オプション M フィールド長 | パディング |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
オプション・テンプレート・フローセット・フィールドの定義
フローセット ID = 1
フローセット ID の値 1 は、オプション・テンプレートのために予
約されている。
長さ
このフローセットの全体の長さ。各オプション・テンプレート・フ
ローセットは複数のオプション・テンプレート・レコードを含んで
いても良い(MAY)。このため、次のフローセット・レコード(テンプ
レート・フローセットもしくはデータ・フローセット)の位置を特
定するために、この長さフィールドを使用しなければならない
(MUST)。この長さは、フローセット ID、長さフィールド自身、およ
び本フローセットに含まれる全てのオプション・テンプレート・レ
コードの長さの合計である。
テンプレート ID
このオプション・テンプレートのテンプレート ID。この値は 255
より大きな数である。
オプション・スコープ長
オプション・テンプレート・レコードに含まれているあらゆるスコー
プ・フィールドのバイト長(「スコープ」については後述する)。
オプション長
オプション・テンプレート・レコードに含まれるあらゆるフィール
ド定義のバイト長。
スコープ 1 フィールド・タイプ
オプション・テンプレート・レコードが指しているエクスポーター
もしくは NetFlow 処理部に関連した部分。
現在定義されている値は:
1 システム
2 インターフェース
3 ラインカード
4 キャッシュ
5 テンプレート
例えば、NetFlow 処理部分はインターフェース毎に実装することが
できるので、もしオプション・テンプレート・レコードが NetFlow
処理部分がどのように構成されているかについて通知しているなら、
その際の通知のスコープは 2 (インターフェース)になる。その場
合、紐づけられたインターフェース ID は紐づけられたオプション・
データ・フローセットで運ばれることになる。スコープは、同時に
満たさなければならいスコープを複数並べることによりさらに限定
することができる。スコープ・フィールドは、必ずオプション・フィー
ルドの前に来ることに注意すること。
スコープ 1 フィールド長
スコープ・フィールドのバイト長で、オプション・データ・レコー
ド中に現れる。
オプション 1 フィールド・タイプ
オプション・テンプレートレコードに現れるフィールドの型を表す
数値。フィールド・タイプの定義の節を参照のこと。
オプション 1 フィールド長
オプション・フィールドのバイト長。
パディング
エクスポーターは、次に続くフローセットが4バイトの境界から始ま
るようにパディング・バイトを挿入すべきである(SHOULD)。長さフィー
ルドはこのパディングの長さも含んでいることに注意。パディング
は 0 で埋められるべきである(SHOULD)。
6.2. オプション・データ・レコード・フォーマット
オプション・データ・レコードは、一定時間毎にデータ・フローセットの
中に入れて送られるもので、全てのフローデータ・レコード毎に入れられ
るものではない。どれくらいの頻度でこれらのオプション・データ・レコー
ドが送られるかは設定可能である。詳しくは「テンプレートの管理」の節
を参照のこと。
オプション・データ・レコードを含んでいるデータ・フローセットのフォー
マットは以下の通りである:
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|フローセット = テンプレート ID | 長さ |
| | |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| レコード 1 - スコープ値 1 |レコード 1 - オプション |
| | フィールド値 1 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| レコード 1 - オプション | ... |
| フィールド値 2 | |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| レコード 2 - スコープ値 1 |レコード 2 - オプション |
| | フィールド値 1 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| レコード 2 - オプション | ... |
| フィールド値 2 | |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| レコード 3 -スコープ値 1 |レコード 3 - オプション |
| | フィールド値 1 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| レコード 3 - オプション | ... |
| フィールド値 2 | |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| ... | Padding |
| | |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
データ・フローセット・フィールドのオプション・データ・レコードの説
明
フローセット ID = テンプレート ID
データ・フローセット中のそれぞれのオプション・データ・レコー
ドの先頭にはフローセット ID が置かれる。フローセット ID はこ
のオプション・テンプレート・レコードに対応する(以前に生成さ
れた)テンプレート ID にマップされている。コレクターは、タイ
プと長さを、それに続くフィールド値に正しくマップするためにフ
ローセット ID を使わなければならない(MUST)。
長さ
このフローセットの長さ。この長さは、フローセット ID、長さフィー
ルド自身、本フローセットに含まれる全てのオプション・データ・
レコード、および、(もしあれば)パディング・バイトの長さの合計
である。
レコード N - オプション・フィールド値 M
データ・フローセットの残りの部分は、フロー・レコードの並びで
あり、それぞれがスコープとフィールド値を持っている。フィール
ドのタイプと長さは、フローセット ID またはテンプレート ID で
示されるオプション・テンプレート・レコードによってあらかじめ
定義されている。
パディング
エクスポーターは、次に続くフローセットが4バイトの境界から始ま
るようにパディング・バイトを挿入すべきである(SHOULD)。長さフィー
ルドはこのパディングの長さも含んでいることに注意。パディング
は 0 で埋められるべきである(SHOULD)。
7. テンプレートの管理
テンプレート・レコードに対応するフローデータ・レコードは、同じエク
スポート・パケットに現れても良いし、それ以降のエクスポート・パケッ
トに現れても良い(MAY)。テンプレート・レコードは必ずしも全てのエクス
ポート・パケットに含まれているとは限らない。したがって、NetFlow コ
レクターは、後ににくるフローデータ・レコードを解釈するために、テン
プレート・レコードを保持していなければならない(MUST)。
同一エクスポータ上の複数の観測ドメインからエクスポート・パケットを
受け取る NetFlow コレクターは、複数の観測ドメインをまたいでのテンプ
レート ID の一意性は保証されないことに留意しなければならない(MUST)。
テンプレート ID は、エクスポーター上の NetFlow 処理部分が稼働してい
る間は一定の値であるべきである。もし、何かしらの理由で NetFlow 処理
部分が再起動した場合は、テンプレートに関する全ての情報は失われ、新
しいテンプレート ID が振られる。したがって、テンプレート ID はエク
スポーターもしくは NetFlow 処理部分の再起動に関して一定性を保証でき
ない。
新しいテンプレート・レコードには、未使用のテンプレート ID がエクス
ポーターによって付与される。テンプレートの設定が変更された場合は、
現在のテンプレート ID は破棄し、NetFlow 処理部分またはエクスポーター
が再起動するまでは、そのテンプレート ID を使うべきではない(SHOULD
NOT)。
エクスポーター上で設定されたテンプレート・レコードが削除され、全く
同じパラメータで再度設定された場合は、同じテンプレート ID を使うこ
とができる(COULD)。
エクスポーターは次のような場合にテンプレート・フローセットおよびオ
プション・テンプレート・フローセットを送出する:
1. NetFlow 処理部分が再起動した場合、エクスポーターは、データ・フロー
セットを送るよりも前か、あるいは同じエクスポート・パケット中に、
対応するテンプレート・フローセットおよび必要なオプション・テンプ
レート・フローセットを送らずに、データ・フローセットを送出しては
ならない(MUST NOT)。コレクターが最初のフローもしくはオプション・
データ・レコードを受け取る前に、正しいテンプレート・レコードをあ
らかじめ保持できるようにするために、エクスポーターは、データ・フ
ローセットなしで、テンプレート・フローセットやオプション・テンプ
レート・フローセットを送出しても良い(MAY)。
2. 設定が変更された場合は、エクスポーターは、出来る限りすみやかに新
しいテンプレートの定義を送出すべきである(SHOULD)。そのような場合
には、コレクターが最初のデータを受け取る前に正しいテンプレート情
報をあらかじめ保持できるようにするために、エクスポーターは、デー
タ・フローセットなしで、テンプレート・レコードやオプション・テン
プレート・レコードを送出しても良い(MAY)。
3. エクスポーターは、コレクターにテンプレート情報をリフレッシュさせ
るため、定期的に全てのテンプレート・レコードとオプション・テンプ
レート・レコードを送出しなければならない(MUST)。テンプレート ID
はコレクターにとって一定の寿命しかなく、定期的にリフレッシュされ
なければならない(MUST)。コレクター側でテンプレートがリフレッシュ
されるようにするために、次の2つの方法が取られる:
* 一定個数のエクスポート・パケット毎
* 時間ベースに、すなわち、N 分毎
どちらのオプションもエクスポーター側でユーザー設定可能でなければ
ならない(MUST)。どちらか一方の条件が満たされる場合、エクスポーター
はテンプレート・フローセット及びオプション・テンプレートを送出し
なければならない(MUST)。
4. エクスポーター側の時刻設定が変更になった場合、エクスポーターは出
来る限りすばやくテンプレート定義を送出すべきである(SHOULD)。
8. フィールド・タイプの定義
次に示す表は、エクスポーターがサポートしてもよい(MAY)フィールド・タ
イプの定義を示している。これらのフィールドは、パケット・ヘッダ値、
ルックアップの結果(例えば、自律システム番号またはサブネット・マス
クなど)、パケット長などといったパケットの持つ特性、などからなる。
フィールド・タイプ 値 長さ 説明
(バイト)
IP フローのバイト数を N * 8
IN_BYTES 1 N ビット長で表した受信カウンタ
ー。デフォルトの N は 4。
IP フローのパケット数を N * 8
IN_PKTS 2 N ビット長で表した受信カウンタ
ー。デフォルトの N は 4。
FLOWS 3 N 集約されたフローの数; デフォ
ルトの N は 4。
PROTOCOL 4 1 IP プロトコル・タイプ
入力インターフェースに入っ
TOS 5 1 た時にパケットに付いていた
Type of Service バイトの値
TCP フラグ; このフローで出
TCP_FLAGS 6 1 現した全ての TCP フラグを
累積したもの
TCP/UDP の送信元ポート番号
L4_SRC_PORT 7 2 (例えば FTP, Telnet, または
同種の値)
IPV4_SRC_ADDR 8 4 IPv4 送信元アドレス
送信元サブネット・マスクの
連続したビット長(すなわち
SRC_MASK 9 1 スラッシュ(/)表記で表した
時のマスク値)
入力インターフェースのイン
INPUT_SNMP 10 N デックス。デフォルト N は 2
だが、それ以上の数も使用可
TCP/UDP の送信先ポート番号
L4_DST_PORT 11 2 (例えば FTP, Telnet, または
同種の値)
IPV4_DST_ADDR 12 4 IPv4 送信先アドレス
送信先サブネット・マスクの
連続したビット長(すなわち
DST_MASK 13 1 スラッシュ(/)表記で表した
時のマスク値)
出力インターフェースのイン
OUTPUT_SNMP 14 N デックス。デフォルト N は 2
だが、それ以上の数も使用可
IPV4_NEXT_HOP 15 4 ネクストホップ・ルーター
の IPv4 アドレス
送信元 BGP 自律システム番
SRC_AS 16 N 号。N は 2 または 4。デフォ
ルトの N は 2
送信先 BGP 自律システム番
DST_AS 17 N 号。N は 2 または 4。デフォ
ルトの N は 2
BGP_IPV4_NEXT_HOP 18 4 BGP ドメインでのネクストホッ
プルータの IP アドレス
IP フローのパケット数を
N * 8 ビット長で表した
MUL_DST_PKTS 19 N IP マルチキャスト・パケッ
トの送信カウンター。デフ
ォルトの N は 4。
IP フローのオクテット(バ
イト)数を N * 8 ビット長で
MUL_DST_BYTES 20 N 表した IP マルチキャスト・
パケットの送信カウンター。
デフォルトの N は 4。
このフローの最後のパケットが
LAST_SWITCHED 21 4 スイッチされた時の sysUptime
をミリ秒で表した値
このフローの最初のパケットが
FIRST_SWITCHED 22 4 スイッチされた時の sysUptime
をミリ秒で表した値
IP フローのバイト数を N * 8
OUT_BYTES 23 N ビット長で表した送信カウンタ
ー。デフォルトの N は 4。
IP フローのパケット数を N * 8
OUT_PKTS 24 N ビット長で表した送信カウンタ
ー。デフォルトの N は 4。
IPV6_SRC_ADDR 27 16 IPv6 送信元アドレス
IPV6_DST_ADDR 28 16 IPv6 送信先アドレス
IPV6_SRC_MASK 29 1 IPv6 送信元マスクの連続し
たビット長
IPV6_DST_MASK 30 1 IPv6 送信先マスクの連続し
たビット長
IPV6_FLOW_LABEL 31 3 RFC 2460 で定義された IPv6
フローラベル
Internet Control Message
ICMP_TYPE 32 2 Protocol (ICMP) パケットの
タイプ; ICMP タイプ * 256 +
ICMP コードとしてレポート
される
MUL_IGMP_TYPE 33 1 Internet Group Management
Protocol (IGM) パケットの
タイプ
サンプリングされた NetFlow
を使用する場合、そのサンプ
SAMPLING_INTERVAL 34 4 リング・レート; 例えばこの
値が 100 なら、100 パケット
毎にサンプルが取られること
を表す
サンプリングされた NetFlow
プラットフォームで:
SAMPLING_ALGORITHM 35 1 0x01 決定的サンプリング
0x02 ランダム・サンプリング
SAMPLING_INTERVAL で示され
たタイムアウト値(秒)とと
もに使用される
FLOW_ACTIVE_TIMEOUT 36 2 NetFlow キャッシュ中のアク
ティブ・フロー用
NetFlow キャッシュ中の非
FLOW_INACTIVE_TIMEOUT 37 2 アクティブ・フローのエント
リのタイムアウト値(秒)
フロー・スイッチング・
ENGINE_TYPE 38 1 エンジン(ルートプロセッ
サ、ラインカード、等)の
タイプ
ENGINE_ID 39 1 フロー・スイッチング・
エンジンの ID 番号
当該観測ドメインからエク
スポートされたバイト数を
TOTAL_BYTES_EXP 40 N N * 8 ビット長で表したカ
ウンター。デフォルトの N
は 4。
当該観測ドメインからエク
スポートされたパケット数
TOTAL_PKTS_EXP 41 N を N * 8 ビット長で表した
カウンター。デフォルトの
N は 4。
当該観測ドメインからエク
スポートされたフローの数
TOTAL_FLOWS_EXP 42 N を N * 8 ビット長で表した
カウンター。デフォルトの
N は 4。
MPLS_TOP_LABEL_TYPE 46 1 MPLS トップラベルのタイプ
0x00 UNKNOWN
0x01 TE-MIDPT
0x02 ATOM
0x03 VPN
0x04 BGP
0x05 LDP
MPLS トップラベルに対応する
MPLS_TOP_LABEL_IP_ADDR 47 4 フォワーディング等価クラス
(FEC)
FLOW_SAMPLER_ID 48 1 "show flow-sampler" した
際に表示される識別子
データのサンプリングに使用
するアルゴリズムのタイプ:
FLOW_SAMPLER_MODE 49 1 0x02 ランダム・サンプリング
FLOW_SAMPLER_MODE と共に使
用する
サンプリングの間隔。
FLOW_SAMPLER_RANDOM_INTERVAL 50 4 FLOW_SAMPLER_MODE と共に使
用する
出力インターフェースから出
DST_TOS 55 1 た時にパケットに付いていた
Type of Service バイトの値
SRC_MAC 56 6 送信元 MAC アドレス
DST_MAC 57 6 送信先 MAC アドレス
SRC_VLAN 58 2 入力インターフェースの
仮想 LAN (VLAN) 識別子
DST_VLAN 59 2 出力インターフェースの
仮想 LAN (VLAN) 識別子
インターネット・プロトコル
バージョン。IPv4 なら 4、
IP_PROTOCOL_VERSION 60 1 IPv6 なら 6。テンプレートに
このフィールドタイプが存在
しない場合は 4 を仮定する
フローの方向
DIRECTION 61 1 0 - 入力方向のフロー
1 - 出力方向のフロー
IPV6_NEXT_HOP 62 16 ネクストホップ・ルーターの
の IPv6 アドレス
BGP_IPV6_NEXT_HOP 63 16 BGP ドメインでのネクストホッ
プルータの IP アドレス
フロー中の IPv6 ヘッダを
IPV6_OPTION_HEADERS 64 4 特定するビットエンコード
されたフィールド
MPLS_LABEL_1 70 3 スタックの1番目にある MPLS
ラベル
MPLS_LABEL_2 71 3 スタックの2番目にある MPLS
ラベル
MPLS_LABEL_3 72 3 スタックの3番目にある MPLS
ラベル
MPLS_LABEL_4 73 3 スタックの4番目にある MPLS
ラベル
MPLS_LABEL_5 74 3 スタックの5番目にある MPLS
ラベル
MPLS_LABEL_6 75 3 スタックの6番目にある MPLS
ラベル
MPLS_LABEL_7 76 3 スタックの7番目にある MPLS
ラベル
MPLS_LABEL_8 77 3 スタックの8番目にある MPLS
ラベル
MPLS_LABEL_9 78 3 スタックの9番目にある MPLS
ラベル
MPLS_LABEL_10 79 3 スタックの10番目にある MPLS
ラベル
値フィールドはフィールド・タイプを表す数字の識別子である。次の値フィー
ルドは独自のフィールド・タイプのために予約されている: 25、26、43~
45、51~54、65~69。
拡張が必要になった場合には、新しいフィールド・タイプがこのリストに
追加される。新しいフィールド・タイプをサポートするにはエクスポーター
とコレクター双方に変更が必要になるが、NetFlow のエクスポート・フォー
マット自体に変更の必要はない。新たに更新されたリストに関しては、
http://www.cisco.com にある最新のドキュメントを参照すること。
例えば PROTOCOL や IPV4_SRC_ADDR のように、その定義上、フィールド・
タイプのサイズが固定なものがあるが、その他のものは可変長型として定
義されるものもある。これは、コレクターのメモリの使用効率を向上させ
るとともに、エクスポーターとコレクターの間で必要となるネットワーク
帯域を低減するのにも役立つ。例えば、アクセスルータでの IN_BYTES は
32ビット・カウンター(N = 4)でも良いだろうが、コア・ルーターでは
64 ビット・カウンターが必要になるだろう、といった具合いである。
全てのカウンターあるいはカウンター的なオブジェクトは N * 8 ビット長
の符合無し整数である。
9. コレクター側
コレクターは、通常フロー・レコード(または、オプション・データ・レ
コード)を受け取る前に、テンプレート・レコードをエクスポーターから
受け取る。これで、フロー・データ・レコード(または、オプション・デー
タ・レコード)をデコードし、機器自身に保存することができるようにな
る。もし、フロー・データ・レコード(または、オプション・データ・レ
コード)がコレクターに届く時点よりも前にテンプレート・レコードを受
け取っていないような場合には、コレクターはフロー・データ・レコード
(または、オプション・データ・レコード)を保存し、テンプレート・レ
コードが受信された後にそれらをデコードすべきである(SHOULD)。コレク
ター機器は、データ・フローセットとそれに関連するテンプレート・フロー
セット(または、オプション・テンプレート・フローセット)が同一のエ
クスポート・パケットでエクスポートされる事を仮定してはならない(MUST
NOT)。
コレクターは、エクスポート・パケットの中にテンプレート・フローセッ
トがたった一つしかない、と仮定をしてはならない(MUST NOT)。
コレクターにおけるテンプレートの寿命は、固定のリフレッシュタ・イム
アウトで制限される。タイムアウト期間内にリフレッシュされないテンプ
レートは、コレクター側で期限切れとなる。コレクターは、フローもしく
はオプション・データ・レコードを期限切れになったテンプレートでデコー
ドしようとしてはならない(MUST NOT)。いかなる時点においても、コレク
ターは現在持っている全てのテンプレート・レコードとオプション・テン
プレート・レコードについて次にあげる情報を保持しているべきである
(SHOULD): エクスポーター、観測ドメイン、テンプレート ID、最後に受信
されたテンプレート定義
観測ドメインはエクスポート・パケットのソース ID フィールドで識別さ
れることに注意すること。
エクスポータ側で時刻の設定が変更になった場合には、コレクターは、そ
のエクスポーターと紐付いていたテンプレート・レコードとオプション・
テンプレートレコードを全て破棄すべきである(SHOULD)。これは、コレク
ターが新しいフィールド(エクスポーター、観測ドメイン、テンプレート
ID、最後に受け取ったテンプレート定義)を新たに学習できるようにする
ためである。
テンプレート ID はエクスポーター毎、かつ、観測ドメイン毎に一意であ
る。
コレクターが新しいテンプレート・レコードを受け取った場合(例えばエ
クスポーターが再起動した場合)、既存のテンプレート・レコードはただ
ちに上書きされなければならない(MUST)。
最後に、コレクターは、フロー・データ・レコード、オプションデータ・
レコードおよびテンプレート・レコード用のデータ・フローセットおよび
オプション・テンプレート・フローセット中のパディングを受け入れなけ
ればならない(MUST)ことに留意すること。用語のまとめについては 2.1 節
にある表を参照のこと。
10. セキュリティー上の考慮点
NetFlow バージョン9 はエクスポーターとコレクターが単一のプライベー
トネットワーク内に存在していることを暗に仮定して設計された。しかし
ながら、NetFlow バージョン9 は、フロー・レコードを幾つかのセキュリ
ティー上の危険性にさらせば、フロー・レコードをインターネット上でや
りとりさせることは可能である。例えば、攻撃者はパケットをキャプチャ
し、変更を加え、エクスポート・パケットの中にそれを挿入するといった
攻撃を行うかもしれない。IP フロー情報はキャプチャされたり偽造された
り、NetFlow コレクターが直接攻撃されたり、といった危険性をはらんで
いるといえる。
NetFlow バージョン9 の設計者達は、秘匿性や、整合性、認証といった要
求をプロトコルに課さなかった。なぜなら、これらは実装の効率を低める
し、設計当時は、実運用においては多くの場合、コレクターとエクスポー
ターを非常に近いところに置いて、フロー・レコードをプライベート・ネッ
トワークに限定して使用するだろうと信じられていたからである。
IPFIX (IP Flow Information eXport) プロトコルは、NetFlow バージョン
9 をベースにしたプロトコルであり、この節で取り上げたようなセキュリ
ティー上の考慮点について対処している。詳しくは IPFIX 要求ドラフト
[RFC3917] を参照のこと。
10.1. フロー情報データの公開
NetFlow バージョン9 のエクスポート・パケットは暗号化されていないの
で、フロー・レコードを見ることができた攻撃者は、ネットワーク中のア
クティブなフロー、通信のエンド・ポイント、トラフィック・パターンと
いった情報を知り得ることになる。この情報は、ユーザーの挙動をスパイ
的に調べたり、後のさらなる攻撃を計画・隠匿したりするのに使うことが
できる。
攻撃者がフロー・レコードを横取りすることによって得ることのできる情
報は、フローの定義に依存する。送信元/送信先 IP アドレスを含んだフ
ロー・レコードは、エンドユーザーの動きに関してプライバシー度の高い
情報を与えてくれるが、送信元/送信先の IP ネットワークだけを含んだ
フロー・レコードはそれほど多くの情報を与えないであろう。
10.2. フロー・レコードまたはテンプレート・レコードの偽造
フロー・レコードが課金やセキュリティー・アプリケーションのために使
用されているなら、エクスポートされたフロー・レコードの改竄には強い
動機が生じ得るだろう(例えば、サービス・プロバイダを騙したり、攻撃
の検知を防いだりする、など)。このようなことを行うには、観測者とコ
レクターの間のパス上を流れるフロー・レコードを書き換えたり、エクス
ポータから発せられたもののように装って、偽ったフロー・レコードを注
入する、といった方法が考えられる。
攻撃者がテンプレートやオプション・テンプレートを偽装することにより、
NetFlow コレクターを混乱させ、ひいてはエクスポート・パケットをデコー
ドできない状態に陥れることも可能である。
10.3. NetFlow コレクターへの攻撃
NetFlow コレクターに対するサービス不能化(DoS)攻撃は、コレクターのリ
ソースを極度に消費し、ひいてはコレクターが NetFlow エクスポート・パ
ケットを受けっ取ったりデコードしたり出来なくする。このような危険性
に対して NetFlow バージョン9 は明示的には対処はしていないが、一般的
なサーバーに対する DoS 攻撃から守るために用いられている方策は問題を
軽減してはくれるだろう。
11. 例
例として、テンプレート・フローセット、データ・フローセット(3つのフ
ローデータ・レコードを含む)、オプション・テンプレート・フローセッ
ト、データ・フローセット(2つのオプション・データ・レコードを含む)
からなるエクスポートパケットを考えてみよう。
エクスポート・パケット
+----------+--------------------------------------------------------. . .
| | +------------------+ +------------------------------+
| パケット | | テンプレート | | データ |
| ヘッダ | | フローセット | | フローセット | . . .
| | | (1 テンプレート) | | (3 フロー・データ・レコード) |
| | +------------------+ +------------------------------+
+----------+--------------------------------------------------------. . .
. . .+-------------------------------------------------------------+
+----------------------+ +----------------------------------+ |
| オプション・テンプ | | データ | |
. . .| レート・フローセット | | フローセット | |
| (1 テンプレート) | | (2 オプション・データ・レコード) | |
+----------------------+ +----------------------------------+ |
. . .--------------------------------------------------------------+
11.1. パケット・ヘッダの例
パケット・ヘッダーは以下のように構成される:
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| バージョン番号 = 9 | カウント = 7 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| sysUpTime |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| UNIX Secs |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| シーケンス番号 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| ソース ID |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
11.2. テンプレート・フローセットの例
次のようなフィールド・タイプに関してレポートをするとする:
- 送信元 IP アドレス (IPv4)、よって長さは 4
- 送信先 IP アドレス (IPv4)、よって長さは 4
- ネクストホップ IP アドレス (IPv4)、よって長さは 4
- フローのバイト数
- フローのパケット数
したがって、テンプレート・フローセットは以下のように構成される:
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| フローセット ID = 0 | 長さ = 28 bytes |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| テンプレート ID 256 | フィールド数 = 5 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| IP_SRC_ADDR = 8 | フィールド長 = 4 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| IP_DST_ADDR = 12 | フィールド長 = 4 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| IP_NEXT_HOP = 15 | フィールド長 = 4 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| IN_PKTS = 2 | フィールド長 = 4 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| IN_BYTES = 1 | フィールド長 = 4 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
11.3. データ・フローセットの例
この例では、次のような3つのフロー・レコードを出力するとする:
送信元 IP | 送信先 IP | ネクストホップ | パケット | バイト
アドレス | アドレス | アドレス | 数 | 数
---------------------------------------------------------------
198.168.1.12 | 10.5.12.254 | 192.168.1.1 | 5009 | 5344385
192.168.1.27 | 10.5.12.23 | 192.168.1.1 | 748 | 388934
192.168.1.56 | 10.5.12.65 | 192.168.1.1 | 5 | 6534
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| フローセット ID = 256 | 長さ = 64 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 198.168.1.12 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 10.5.12.254 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 192.168.1.1 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 5009 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 5344385 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 192.168.1.27 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 10.5.12.23 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 192.168.1.1 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 748 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 388934 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 192.168.1.56 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 10.5.12.65 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 192.168.1.1 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 5 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 6534 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
この例ではパディングは必要なかったことに注意すること。
11.4. オプション・テンプレート・フローセットの例
ラインカード毎(エクスポータは2枚のラインカードから構成されていると
する)に、以下のようなフィールド・タイプを出力するとする:
- エクスポート・パケットの総数
- エクスポートされたフローの総数
オプション・テンプレート・フローセットのフォーマットは以下のように
なる:
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| フローセット ID = 1 | 長さ = 24 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| テンプレート ID 257 | オプション・スコープ長 = 4 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| オプション長 = 8 |スコープ1フィールド・タイプ = 3|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| スコープ 1 フィールド長 = 2 | TOTAL_EXP_PKTS_SENT = 41 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| フィールド長 = 2 | TOTAL_FLOWS_EXP = 42 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| フィールド長 = 2 | パディング |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
11.5. オプション・データ・レコード付きのデータ・フローセットの例
この例では、以下のような2つのレコードを出力するとする:
ラインカード ID | エクスポート・| エクスポートされた
| パケット数 | フロー数
----------------------------------------------------
ラインカード 1 | 345 | 10201
ラインカード 2 | 690 | 20402
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| フローセット ID = 257 | 長さ = 16 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 1 | 345 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 10201 | 2 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 690 | 20402 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
12. 参考文献
12.1. 標準的な参考文献
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate
Requirement Levels", BCP 14, RFC 2119, March 1997.
12.2. 有益と思われる参考文献
[RFC768] Postel, J., "User Datagram Protocol", STD 6, RFC 768,
August 1980.
[RFC793] Postel, J., "Transmission Control Protocol", STD 7, RFC
793, September 1981.
[RFC2960] Stewart, R., Xie, Q., Morneault, K., Sharp, C.,
Schwarzbauer, H., Taylor, T., Rytina, I., Kalla, M.,
Zhang, L., and V. Paxson, "Stream Control Transmission
Protocol", RFC 2960, October 2000.
[RFC3917] Quittek, J., Zseby, T., Claise, B., and S. Zander,
"Requirements for IP Flow Information Export (IPFIX)",
RFC 3917, October 2004.
13. 著者
本ドキュメントは、Vamsidhar Valluri、Martin Djernaes、Ganesh
Sadasivan、および Benoit Claise による共著である。
14. 謝辞
有益な技術的フィードバックをくれた Pritam Shah、Paul Kohler、Dmitri
Bouianovski、および Stewart Bryant に感謝の意を表する。
15. 著者の連絡先
Benoit Claise (Editor)
Cisco Systems
De Kleetlaan 6a b1
1831 Diegem
Belgium
電話: +32 2 704 5622
EMail: bclaise@cisco.com
Ganesh Sadasivan
Cisco Systems, Inc.
3750 Cisco Way
San Jose, CA 95134
USA
電話: +1 408 527-0251
EMail: gsadasiv@cisco.com
Vamsi Valluri
Cisco Systems, Inc.
510 McCarthy Blvd.
San Jose, CA 95035
USA
電話: +1 408 525-1835
EMail: vvalluri@cisco.com
Martin Djernaes
Cisco Systems, Inc.
510 McCarthy Blvd.
San Jose, CA 95035
USA
電話: +1 408 853-1676
EMail: djernaes@cisco.com
著作権に関する声明
Copyright (C) The Internet Society (2004).
本ドキュメントは BCP 78 および www.rfc-editor.org にある権利、ライ
センス、制限によって守られており、以下の通り全ての権利は著者に属す
るものとする。
本ドキュメントおよびここに含まれている情報は基本的に "あるがまま
(AS IS)" の形で提供されており、寄稿者、その者が属したり支援されたり
している組織(もしあれば)、インターネット・ソサエティー、インター
ネット・エンジニアリング・タスク・フォース(IETF)は、ここで述べられ
ている情報の使用が、特定の目的での商業性や適正性に関する権利や、想
定されるいかなる保証をも侵害しない事を保証する、といったような事を
明言したり示唆したりすることをいっさい放棄するものとする。
知的所有権
IETF は、本ドキュメントで記述されている技術の実装もしくは使用にかか
わるかもしれない知的所有権やその他の権利の正当性や適用範囲、および、
そのような権利で守られている使用権がどの程度存在するか否か、につい
ていっさい関知はせず、そのような権利があるかどうかの調査について中
立的な努力をしたかどうかについて明言することもしない。ISOC ドキュメ
ントにおける権利に関する ISOC の手続きについての情報は BCP 78 およ
び BCP 79 で述べられている。
IETF 事務局に対して公開された IPR と利用可能になるはずのいかなる使
用権の確約、および、本仕様の実装者や使用者の所有権に関する一般的使
用権または許可を得るためになされた努力に対する結果のコピーは、
http://www.ietf.org/ipr にある IETF のオンライン IPR リポジトリから
得ることができる。
IETF は、本仕様を実装するために必要となる技術にかかわる著作権、特許、
特許出願、その他の所有権について関心のあるものに対して注意を呼びか
けている。IETF の ietf-ipr@ietf.org というアドレス宛に情報を送って
いただきたい。
謝辞
RFC 編集職務への金銭的支援は、現在、インターネット・ソサエティーに
よって賄われている。
翻訳に関する声明
この翻訳文書は、RFC の原文をもとに、ファイブ・フロント株式会社が日
本語に訳したものです。本翻訳文書の著作権はファイブ・フロント株式会
社が所有します。ただし、この権利は、元の RFC に対して別の翻訳を行う
ことには及びません。本翻訳文書の配布は、この翻訳に関する声明が付け
られた状態で配布される限り、その配布に制限はありません。なお、ファ
イブ・フロント株式会社は本翻訳の正確性について一切の保証をしません。
正確性が必要な場合は原文を参照してください。