【違いが一目瞭然】NetFlowとFlexible NetFlowの違いを詳細に説明
Cisco CCNP 350-401 ENCORで出題されるNetFlowの知識を実例付きで解説しますでFlexible NetFlowとNetFlow v9の違いを説明しました。
Flexible NetFlowとNetFlow v9の違いは、重要なトピックですのでもう少し深堀りしたいと思います。
NetFlowの歴史から語りたいと思います。
NetFlowが開発されたのは1996年とかなり古いプロトコルです。
Ciscoが開発しました。
NetFlowファミリとしては、NetFlow v5, NetFlow v9, Flexible NetFlowとあり、NetFlowを元にしてIETFが策定したのがIETF RFC7011で定義されたIPFIX(IP Flow Information Export)です。
表1に各プロトコルの違いを記載したいと思います。
本表は、Ciscoのドキュメント「NetFlow Technology Ovverview」から抜粋しております。
2013年と古い資料となり、制限事項の部分は現在の状況とあてはまっていないところがありますが、特徴部分が参考となります。
| バージョン | 特徴 | 制限事項 |
| v5 | 18個のエクスポートフィールド シンプルでコンパクトなフォーマット | IPv4のみサポート フィールドとlengthは固定 単一のフローキャッシュ |
| v9 | テンプレートベース IPv6フローサポート MPLS, BGP nexthopサポート L2を含む104種類のフィールド フロー方向のレポート | lengthフィールドは固定 メモリを多く使う パフォーマンスが良くない シングルフローキャッシュ |
| Flexible NetFlow | テンプレートベースフローフォーマット(v9ベース) フローモニターのサポート キーフィールドとIPv6サポート NBARデータフィールドサポート | あまり普及していない プラットフォームが特殊 |
| IPFIX | 標準化 RFC5101,5102,6313 NBAR2サポート IPv6サポート | サポートしているCiscoプラットフォームが少ない |
NetFlow v9とFlexble NetFlowの共通点は、テンプレートベースであること。
そしてそのテンプレートは、NetFlow v9のものであるということです。
NetFlow v9を認識できるフローコレクターが、Flexible NetFlowと互換があるのはテンプレートフォーマットが共通だからといった理由です。
最後に、Cisco CCNP 350-401 ENCORの記事でも紹介した、実際の設定方法の違いをみてみましょう。
設定方法の比較で差が出ているのは、flow recordの部分です。
Flexible NetFlowは自由にエクスポートフィールドを選択できます。
図1 NetFlow v9 vs Flexible NetFlowがあればもう設定に迷いませんね。
是非活用してください。
最新記事 by 伊集院 (全て見る)
- 【暗号化通信(TLS)を復元できる】WIRESHARK達人への道 第二十五歩 暗号化通信(TLS)を復号する方法 - 1月 1, 2023
- 【詳細版】NSM(ネットワークセキュリティモニタ)、Zeekとは? - 9月 1, 2022
- 【簡易版】OSSネットワークセキュリティモニタZeekとは? - 8月 26, 2022