Submit Search
Upload
フロー技術によるネットワーク管理
•
Download as PPTX, PDF
•
16 likes
•
10,748 views
Motonori Shindo
Follow
2013年のJPIXネットワーク運用管理セミナーで話したものです。NetFlow, sFlow, IPFIX周りのお話です。
Read less
Read more
Internet
Report
Share
Report
Share
1 of 84
Download now
Recommended
IPv4/IPv6 移行・共存技術の動向
IPv4/IPv6 移行・共存技術の動向
Yuya Rin
インターネットの仕組みとISPの構造
インターネットの仕組みとISPの構造
Taiji Tsuchiya
大規模サービスを支えるネットワークインフラの全貌
大規模サービスを支えるネットワークインフラの全貌
LINE Corporation
コンテナネットワーキング(CNI)最前線
コンテナネットワーキング(CNI)最前線
Motonori Shindo
シスコ装置を使い倒す!組込み機能による可視化からセキュリティ強化
シスコ装置を使い倒す!組込み機能による可視化からセキュリティ強化
シスコシステムズ合同会社
ネットワークコンフィグ分析ツール Batfish との付き合い方
ネットワークコンフィグ分析ツール Batfish との付き合い方
akira6592
"SRv6の現状と展望" ENOG53@上越
"SRv6の現状と展望" ENOG53@上越
Kentaro Ebisawa
Cisco Modeling Labs (CML)を使ってネットワークを学ぼう!(DevNet編)
Cisco Modeling Labs (CML)を使ってネットワークを学ぼう!(DevNet編)
シスコシステムズ合同会社
Recommended
IPv4/IPv6 移行・共存技術の動向
IPv4/IPv6 移行・共存技術の動向
Yuya Rin
インターネットの仕組みとISPの構造
インターネットの仕組みとISPの構造
Taiji Tsuchiya
大規模サービスを支えるネットワークインフラの全貌
大規模サービスを支えるネットワークインフラの全貌
LINE Corporation
コンテナネットワーキング(CNI)最前線
コンテナネットワーキング(CNI)最前線
Motonori Shindo
シスコ装置を使い倒す!組込み機能による可視化からセキュリティ強化
シスコ装置を使い倒す!組込み機能による可視化からセキュリティ強化
シスコシステムズ合同会社
ネットワークコンフィグ分析ツール Batfish との付き合い方
ネットワークコンフィグ分析ツール Batfish との付き合い方
akira6592
"SRv6の現状と展望" ENOG53@上越
"SRv6の現状と展望" ENOG53@上越
Kentaro Ebisawa
Cisco Modeling Labs (CML)を使ってネットワークを学ぼう!(DevNet編)
Cisco Modeling Labs (CML)を使ってネットワークを学ぼう!(DevNet編)
シスコシステムズ合同会社
IX事業者とインターネットの未来
IX事業者とインターネットの未来
Yoshiki Ishida
Tutorial: Using GoBGP as an IXP connecting router
Tutorial: Using GoBGP as an IXP connecting router
Shu Sugimoto
Multi Chassis LAG for Cloud builders
Multi Chassis LAG for Cloud builders
Juniper Networks (日本)
大規模DCのネットワークデザイン
大規模DCのネットワークデザイン
Masayuki Kobayashi
閉域網接続の技術入門
閉域網接続の技術入門
Masayuki Kobayashi
本当は恐ろしい分散システムの話
本当は恐ろしい分散システムの話
Kumazaki Hiroki
ゼロからはじめるKVM超入門
ゼロからはじめるKVM超入門
VirtualTech Japan Inc.
AS45679 on FreeBSD
AS45679 on FreeBSD
Tomocha Potter
【SRX】JUNOS ハンズオントレーニング資料 SRXシリーズ サービス ゲートウェイ コース
【SRX】JUNOS ハンズオントレーニング資料 SRXシリーズ サービス ゲートウェイ コース
Juniper Networks (日本)
分散システムについて語らせてくれ
分散システムについて語らせてくれ
Kumazaki Hiroki
ロードバランスへの長い道
ロードバランスへの長い道
Jun Kato
Linux女子部 systemd徹底入門
Linux女子部 systemd徹底入門
Etsuji Nakai
Onieで遊んでみようとした話
Onieで遊んでみようとした話
Masaru Oki
【EX/QFX】JUNOS ハンズオントレーニング資料 EX/QFX シリーズ サービス ゲートウェイ コース
【EX/QFX】JUNOS ハンズオントレーニング資料 EX/QFX シリーズ サービス ゲートウェイ コース
Juniper Networks (日本)
ネットワークエンジニアはどこでウデマエをみがくのか?
ネットワークエンジニアはどこでウデマエをみがくのか?
Yuya Rin
Redisの特徴と活用方法について
Redisの特徴と活用方法について
Yuji Otani
Ethernetの受信処理
Ethernetの受信処理
Takuya ASADA
ネットワーク ゲームにおけるTCPとUDPの使い分け
ネットワーク ゲームにおけるTCPとUDPの使い分け
モノビット エンジン
DockerとPodmanの比較
DockerとPodmanの比較
Akihiro Suda
IPv6 最新動向 〜世界共通語で最適化が進むインターネット〜
IPv6 最新動向 〜世界共通語で最適化が進むインターネット〜
Akira Nakagawa
Lagopus Project (Open Source Conference)
Lagopus Project (Open Source Conference)
Tomoya Hibi
Lagopus workshop@Internet weekのそば
Lagopus workshop@Internet weekのそば
Yoshihiro Nakajima
More Related Content
What's hot
IX事業者とインターネットの未来
IX事業者とインターネットの未来
Yoshiki Ishida
Tutorial: Using GoBGP as an IXP connecting router
Tutorial: Using GoBGP as an IXP connecting router
Shu Sugimoto
Multi Chassis LAG for Cloud builders
Multi Chassis LAG for Cloud builders
Juniper Networks (日本)
大規模DCのネットワークデザイン
大規模DCのネットワークデザイン
Masayuki Kobayashi
閉域網接続の技術入門
閉域網接続の技術入門
Masayuki Kobayashi
本当は恐ろしい分散システムの話
本当は恐ろしい分散システムの話
Kumazaki Hiroki
ゼロからはじめるKVM超入門
ゼロからはじめるKVM超入門
VirtualTech Japan Inc.
AS45679 on FreeBSD
AS45679 on FreeBSD
Tomocha Potter
【SRX】JUNOS ハンズオントレーニング資料 SRXシリーズ サービス ゲートウェイ コース
【SRX】JUNOS ハンズオントレーニング資料 SRXシリーズ サービス ゲートウェイ コース
Juniper Networks (日本)
分散システムについて語らせてくれ
分散システムについて語らせてくれ
Kumazaki Hiroki
ロードバランスへの長い道
ロードバランスへの長い道
Jun Kato
Linux女子部 systemd徹底入門
Linux女子部 systemd徹底入門
Etsuji Nakai
Onieで遊んでみようとした話
Onieで遊んでみようとした話
Masaru Oki
【EX/QFX】JUNOS ハンズオントレーニング資料 EX/QFX シリーズ サービス ゲートウェイ コース
【EX/QFX】JUNOS ハンズオントレーニング資料 EX/QFX シリーズ サービス ゲートウェイ コース
Juniper Networks (日本)
ネットワークエンジニアはどこでウデマエをみがくのか?
ネットワークエンジニアはどこでウデマエをみがくのか?
Yuya Rin
Redisの特徴と活用方法について
Redisの特徴と活用方法について
Yuji Otani
Ethernetの受信処理
Ethernetの受信処理
Takuya ASADA
ネットワーク ゲームにおけるTCPとUDPの使い分け
ネットワーク ゲームにおけるTCPとUDPの使い分け
モノビット エンジン
DockerとPodmanの比較
DockerとPodmanの比較
Akihiro Suda
IPv6 最新動向 〜世界共通語で最適化が進むインターネット〜
IPv6 最新動向 〜世界共通語で最適化が進むインターネット〜
Akira Nakagawa
What's hot
(20)
IX事業者とインターネットの未来
IX事業者とインターネットの未来
Tutorial: Using GoBGP as an IXP connecting router
Tutorial: Using GoBGP as an IXP connecting router
Multi Chassis LAG for Cloud builders
Multi Chassis LAG for Cloud builders
大規模DCのネットワークデザイン
大規模DCのネットワークデザイン
閉域網接続の技術入門
閉域網接続の技術入門
本当は恐ろしい分散システムの話
本当は恐ろしい分散システムの話
ゼロからはじめるKVM超入門
ゼロからはじめるKVM超入門
AS45679 on FreeBSD
AS45679 on FreeBSD
【SRX】JUNOS ハンズオントレーニング資料 SRXシリーズ サービス ゲートウェイ コース
【SRX】JUNOS ハンズオントレーニング資料 SRXシリーズ サービス ゲートウェイ コース
分散システムについて語らせてくれ
分散システムについて語らせてくれ
ロードバランスへの長い道
ロードバランスへの長い道
Linux女子部 systemd徹底入門
Linux女子部 systemd徹底入門
Onieで遊んでみようとした話
Onieで遊んでみようとした話
【EX/QFX】JUNOS ハンズオントレーニング資料 EX/QFX シリーズ サービス ゲートウェイ コース
【EX/QFX】JUNOS ハンズオントレーニング資料 EX/QFX シリーズ サービス ゲートウェイ コース
ネットワークエンジニアはどこでウデマエをみがくのか?
ネットワークエンジニアはどこでウデマエをみがくのか?
Redisの特徴と活用方法について
Redisの特徴と活用方法について
Ethernetの受信処理
Ethernetの受信処理
ネットワーク ゲームにおけるTCPとUDPの使い分け
ネットワーク ゲームにおけるTCPとUDPの使い分け
DockerとPodmanの比較
DockerとPodmanの比較
IPv6 最新動向 〜世界共通語で最適化が進むインターネット〜
IPv6 最新動向 〜世界共通語で最適化が進むインターネット〜
Similar to フロー技術によるネットワーク管理
Lagopus Project (Open Source Conference)
Lagopus Project (Open Source Conference)
Tomoya Hibi
Lagopus workshop@Internet weekのそば
Lagopus workshop@Internet weekのそば
Yoshihiro Nakajima
20150715 xflow kikuta_final
20150715 xflow kikuta_final
Kazumasa Ikuta
そろそろビジネスに貢献するSDNを考えませんか?~キーワードは“オープン”~
そろそろビジネスに貢献するSDNを考えませんか?~キーワードは“オープン”~
Brocade
Mk vpp for-containers-vppug
Mk vpp for-containers-vppug
Miya Kohno
【Interop Tokyo 2016】 東京大学におけるジュニパーネットワークス機器の導入
【Interop Tokyo 2016】 東京大学におけるジュニパーネットワークス機器の導入
Juniper Networks (日本)
Kernel vm-2014-05-25
Kernel vm-2014-05-25
Hirochika Asai
第11回ACRiウェビナー_東工大/坂本先生ご講演資料
第11回ACRiウェビナー_東工大/坂本先生ご講演資料
直久 住川
OpenStackを利用したNFVの商用化 - OpenStack最新情報セミナー 2017年7月
OpenStackを利用したNFVの商用化 - OpenStack最新情報セミナー 2017年7月
VirtualTech Japan Inc.
JAWS目黒 EC2チューニングTips #jawsmeguro #jawsug
JAWS目黒 EC2チューニングTips #jawsmeguro #jawsug
Yasuhiro Matsuo
プログラマ目線から見たRDMAのメリットとその応用例について
プログラマ目線から見たRDMAのメリットとその応用例について
Masanori Itoh
[G-Tech2014講演資料] シスコのSDN最新動向とITインフラエンジニアに求められるスキル - シスコシステムズ合同会社
[G-Tech2014講演資料] シスコのSDN最新動向とITインフラエンジニアに求められるスキル - シスコシステムズ合同会社
Trainocate Japan, Ltd.
Jtf2014 sdi and_contrail_22th-apr-2014_s
Jtf2014 sdi and_contrail_22th-apr-2014_s
Junya Arimura
【Interop Tokyo 2015】最新セキュリティサーベイからみるトレンドと解決策
【Interop Tokyo 2015】最新セキュリティサーベイからみるトレンドと解決策
Juniper Networks (日本)
ONIC2017 プログラマブル・データプレーン時代に向けた ネットワーク・オペレーションスタック
ONIC2017 プログラマブル・データプレーン時代に向けた ネットワーク・オペレーションスタック
Kentaro Ebisawa
【Interop tokyo 2014】 ネットワークの高度な可視化〜企業向けSDNポリシー制御まで!
【Interop tokyo 2014】 ネットワークの高度な可視化〜企業向けSDNポリシー制御まで!
シスコシステムズ合同会社
20170804 IOS/IOS-XE運用管理機能アップデート
20170804 IOS/IOS-XE運用管理機能アップデート
Kazumasa Ikuta
IOS/IOS-XE 運用管理機能アップデート
IOS/IOS-XE 運用管理機能アップデート
シスコシステムズ合同会社
ICD/CPSY 201412
ICD/CPSY 201412
Takefumi MIYOSHI
Faster SRv6 D-plane with XDP
Faster SRv6 D-plane with XDP
Ryoga Saito
Similar to フロー技術によるネットワーク管理
(20)
Lagopus Project (Open Source Conference)
Lagopus Project (Open Source Conference)
Lagopus workshop@Internet weekのそば
Lagopus workshop@Internet weekのそば
20150715 xflow kikuta_final
20150715 xflow kikuta_final
そろそろビジネスに貢献するSDNを考えませんか?~キーワードは“オープン”~
そろそろビジネスに貢献するSDNを考えませんか?~キーワードは“オープン”~
Mk vpp for-containers-vppug
Mk vpp for-containers-vppug
【Interop Tokyo 2016】 東京大学におけるジュニパーネットワークス機器の導入
【Interop Tokyo 2016】 東京大学におけるジュニパーネットワークス機器の導入
Kernel vm-2014-05-25
Kernel vm-2014-05-25
第11回ACRiウェビナー_東工大/坂本先生ご講演資料
第11回ACRiウェビナー_東工大/坂本先生ご講演資料
OpenStackを利用したNFVの商用化 - OpenStack最新情報セミナー 2017年7月
OpenStackを利用したNFVの商用化 - OpenStack最新情報セミナー 2017年7月
JAWS目黒 EC2チューニングTips #jawsmeguro #jawsug
JAWS目黒 EC2チューニングTips #jawsmeguro #jawsug
プログラマ目線から見たRDMAのメリットとその応用例について
プログラマ目線から見たRDMAのメリットとその応用例について
[G-Tech2014講演資料] シスコのSDN最新動向とITインフラエンジニアに求められるスキル - シスコシステムズ合同会社
[G-Tech2014講演資料] シスコのSDN最新動向とITインフラエンジニアに求められるスキル - シスコシステムズ合同会社
Jtf2014 sdi and_contrail_22th-apr-2014_s
Jtf2014 sdi and_contrail_22th-apr-2014_s
【Interop Tokyo 2015】最新セキュリティサーベイからみるトレンドと解決策
【Interop Tokyo 2015】最新セキュリティサーベイからみるトレンドと解決策
ONIC2017 プログラマブル・データプレーン時代に向けた ネットワーク・オペレーションスタック
ONIC2017 プログラマブル・データプレーン時代に向けた ネットワーク・オペレーションスタック
【Interop tokyo 2014】 ネットワークの高度な可視化〜企業向けSDNポリシー制御まで!
【Interop tokyo 2014】 ネットワークの高度な可視化〜企業向けSDNポリシー制御まで!
20170804 IOS/IOS-XE運用管理機能アップデート
20170804 IOS/IOS-XE運用管理機能アップデート
IOS/IOS-XE 運用管理機能アップデート
IOS/IOS-XE 運用管理機能アップデート
ICD/CPSY 201412
ICD/CPSY 201412
Faster SRv6 D-plane with XDP
Faster SRv6 D-plane with XDP
More from Motonori Shindo
おうち Lab で GitDNSOps / GitDNS Ops in My Home Lab
おうち Lab で GitDNSOps / GitDNS Ops in My Home Lab
Motonori Shindo
Tanzu Mission Control における Open Policy Agent (OPA) の利用
Tanzu Mission Control における Open Policy Agent (OPA) の利用
Motonori Shindo
Open Policy Agent (OPA) と Kubernetes Policy
Open Policy Agent (OPA) と Kubernetes Policy
Motonori Shindo
Open Policy Agent (OPA) 入門
Open Policy Agent (OPA) 入門
Motonori Shindo
急速に進化を続けるCNIプラグイン Antrea
急速に進化を続けるCNIプラグイン Antrea
Motonori Shindo
Cluster API によるKubernetes環境のライフサイクル管理とマルチクラウド環境での適用
Cluster API によるKubernetes環境のライフサイクル管理とマルチクラウド環境での適用
Motonori Shindo
宣言的(Declarative)ネットワーキング
宣言的(Declarative)ネットワーキング
Motonori Shindo
Service Mesh for Enterprises / Cloud Native Days Tokyo 2019
Service Mesh for Enterprises / Cloud Native Days Tokyo 2019
Motonori Shindo
Idea Hackathon at vFORUM 2019 Tokyo
Idea Hackathon at vFORUM 2019 Tokyo
Motonori Shindo
Containers and Virtual Machines: Friends or Enemies?
Containers and Virtual Machines: Friends or Enemies?
Motonori Shindo
Open Source Projects by VMware
Open Source Projects by VMware
Motonori Shindo
Serverless Framework "Disptach" の紹介
Serverless Framework "Disptach" の紹介
Motonori Shindo
Viptela 顧客事例
Viptela 顧客事例
Motonori Shindo
ViptelaのSD-WANとクラウド最適化ネットワーク
ViptelaのSD-WANとクラウド最適化ネットワーク
Motonori Shindo
OpenStack Congress and Datalog (English)
OpenStack Congress and Datalog (English)
Motonori Shindo
OpenStack Congress and Datalog (Japanese)
OpenStack Congress and Datalog (Japanese)
Motonori Shindo
L2 over l3 ecnaspsulations (english)
L2 over l3 ecnaspsulations (english)
Motonori Shindo
L2 over L3 ecnaspsulations
L2 over L3 ecnaspsulations
Motonori Shindo
VMware NSXがサポートするトンネル方式について
VMware NSXがサポートするトンネル方式について
Motonori Shindo
CloudStack 4.1 + NVP Integration
CloudStack 4.1 + NVP Integration
Motonori Shindo
More from Motonori Shindo
(20)
おうち Lab で GitDNSOps / GitDNS Ops in My Home Lab
おうち Lab で GitDNSOps / GitDNS Ops in My Home Lab
Tanzu Mission Control における Open Policy Agent (OPA) の利用
Tanzu Mission Control における Open Policy Agent (OPA) の利用
Open Policy Agent (OPA) と Kubernetes Policy
Open Policy Agent (OPA) と Kubernetes Policy
Open Policy Agent (OPA) 入門
Open Policy Agent (OPA) 入門
急速に進化を続けるCNIプラグイン Antrea
急速に進化を続けるCNIプラグイン Antrea
Cluster API によるKubernetes環境のライフサイクル管理とマルチクラウド環境での適用
Cluster API によるKubernetes環境のライフサイクル管理とマルチクラウド環境での適用
宣言的(Declarative)ネットワーキング
宣言的(Declarative)ネットワーキング
Service Mesh for Enterprises / Cloud Native Days Tokyo 2019
Service Mesh for Enterprises / Cloud Native Days Tokyo 2019
Idea Hackathon at vFORUM 2019 Tokyo
Idea Hackathon at vFORUM 2019 Tokyo
Containers and Virtual Machines: Friends or Enemies?
Containers and Virtual Machines: Friends or Enemies?
Open Source Projects by VMware
Open Source Projects by VMware
Serverless Framework "Disptach" の紹介
Serverless Framework "Disptach" の紹介
Viptela 顧客事例
Viptela 顧客事例
ViptelaのSD-WANとクラウド最適化ネットワーク
ViptelaのSD-WANとクラウド最適化ネットワーク
OpenStack Congress and Datalog (English)
OpenStack Congress and Datalog (English)
OpenStack Congress and Datalog (Japanese)
OpenStack Congress and Datalog (Japanese)
L2 over l3 ecnaspsulations (english)
L2 over l3 ecnaspsulations (english)
L2 over L3 ecnaspsulations
L2 over L3 ecnaspsulations
VMware NSXがサポートするトンネル方式について
VMware NSXがサポートするトンネル方式について
CloudStack 4.1 + NVP Integration
CloudStack 4.1 + NVP Integration
フロー技術によるネットワーク管理
1.
フロー技術によるネットワーク管理 進藤 資訓 ヴイエムウェア株式会社 ネットワーク&セキュリティ事業部 テクニカルリーダー mshindo@vmware.com @motonori_shindo
2.
I. 従来のネットワーク管理との違い
3.
従来のネットワーク管理 • SNMPベース – MRTG –
HP/OV – … • RMON or RMON2ベース JPIXネットワーク運用管理セミナー Copyright © 2013 Motonori Shindo, All Rights Reserved. 3
4.
SNMPによるネットワーク管理 JPIXネットワーク運用管理セミナー Copyright ©
2013 Motonori Shindo, All Rights Reserved. 4 外部ネットワーク SNMP Manager SNMP Agent SNMP Agent SNMP AgentSNMP Agent Get Req/Resp Set Req Trap MIB
5.
SNMPが提供するトラフィック情報 • (論理)インターフェース を通過したパケット数や バイト数 – IfInUcastPkts, IfOutUcastPkts –
IfInOctets, IfOutOctets – … • “インターフェースベー ス” or “L2ベース”のネッ トワーク管理 JPIXネットワーク運用管理セミナー Copyright © 2013 Motonori Shindo, All Rights Reserved. 5
6.
SNMPが提供してくれないもの • 誰がトラフィックを流しているのか? – End
to End トラフィックの把握 • どのようなトラフィックを流しているのか? – アプリケーションの把握 • ネットワーク型攻撃のすばやい検知 • ピアリング分析 JPIXネットワーク運用管理セミナー Copyright © 2013 Motonori Shindo, All Rights Reserved. 6
7.
RMON / RMON-2 •
RMON – SNMP MIB-Ⅱの拡張 – “ネットワーク”のモニター – L2(MAC)レベルのvisibility • RMON-2 – RMONの拡張 – L3 / L4 レベルのvisibility JPIXネットワーク運用管理セミナー Copyright © 2013 Motonori Shindo, All Rights Reserved. 7
8.
RMON / RMON-2によるネットワーク管理 JPIXネットワーク運用管理セミナー
Copyright © 2013 Motonori Shindo, All Rights Reserved. 8 外部ネットワーク RMON Management Console RMON Probe Get Req/Resp Set Req Trap RMON MIB RMON Probe RMON Probe
9.
RMON / RMON-2の問題点 •
RMON – Probe(Agent)志向 – 依然としてL3 / L4のvisibilityがない • RMON-2 – Probe(Agent)志向 • さらに複雑な実装 – サービスプロバイダのニーズを満たしていない – ライセンス料 JPIXネットワーク運用管理セミナー Copyright © 2013 Motonori Shindo, All Rights Reserved. 9
10.
Deep Packet Inspection
(DPI) • パケットの「中身」を全て見て解析する • 理論的にはなんでも見える! JPIXネットワーク運用管理セミナー Copyright © 2013 Motonori Shindo, All Rights Reserved. 10
11.
DPIの適用例 JPIXネットワーク運用管理セミナー Copyright ©
2013 Motonori Shindo, All Rights Reserved. 11 ファイヤーウォール IDS / IPS 帯域制御装置 トラフィック・アナライザ
12.
DPI悩み • 見え過ぎる!? • インライン型ゆえの取り回し にくさ •
膨大なログ • 高速なインターフェースへの 追従 JPIXネットワーク運用管理セミナー Copyright © 2013 Motonori Shindo, All Rights Reserved. 12
13.
新たなネットワーク管理手法 • “フローベース”のネットワーク管理! – End
to End の情報の把握 – アプリケーションの把握 – すばやい攻撃の検知 – AS の情報の把握 – … JPIXネットワーク運用管理セミナー Copyright © 2013 Motonori Shindo, All Rights Reserved. 13
14.
フローによるネットワーク管理 JPIXネットワーク運用管理セミナー Copyright ©
2013 Motonori Shindo, All Rights Reserved. 14 外部ネットワーク Flow Collector Flow Exporter Flow Record Flow Exporter Flow Probe Flow Record Flow Record
15.
代表的なフロー・プロトコル • NetFlow – Ciscoが開発した技術 –
Cisco, Juniper, AlaxalA, etc. • sFlow – InMonが中心となって開発した技術 – Foundry, Extreme, AlaxalA, Force10, HP, etc. • IPFIX – IETFによる標準プロトコル – マルチベンダー – NetFlow V9がベース JPIXネットワーク運用管理セミナー Copyright © 2013 Motonori Shindo, All Rights Reserved. 15
16.
3方式の比較 SNMP DPI Flow レイヤー
L2 L1-L7 L3-L4 セキュリティー △ ◎ ○ 高速追従性 ◎ △ ○ ストレージサイズ ◎ △ ○ JPIXネットワーク運用管理セミナー Copyright © 2013 Motonori Shindo, All Rights Reserved. 16
17.
フロー技術の適用分野 JPIXネットワーク運用管理セミナー Copyright ©
2013 Motonori Shindo, All Rights Reserved. 17 アプリケーションの把握 サービスプロバイダ エンタープライズ 攻撃の検知 QoSモニタリング 将来予測 課金 ピアリングの最適化 ユーザの挙動把握 フォレンジック トラフィック・ エンジニアリング 内部統制
18.
II. プロトコル
19.
代表的なフロー・プロトコル • NetFlow – Ciscoが開発した技術 –
Cisco, Juniper, AlaxalA, etc. • sFlow – InMonが中心となって開発した技術 – Foundry, Extreme, AlaxalA, Force10, HP, etc. • IPFIX – IETFによる標準プロトコル – マルチベンダー – NetFlow V9がベース JPIXネットワーク運用管理セミナー Copyright © 2013 Motonori Shindo, All Rights Reserved. 19
20.
NetFlowキャッシュ • NetFlowはキャッシュ・ベースのテクノロジー JPIXネットワーク運用管理セミナー Copyright
© 2013 Motonori Shindo, All Rights Reserved. 20 Src IF Src IP Dst IF Dst IP Proto Bytes … Active Idle 10 a.a.a.a 24 x.x.x.x 6 1234 327 4 15 b.b.b.b 24 y.y.y.y 17 23456 1920 25 24 c.c.c.c 3 z.z.z.z 6 5678 54 10 フロー NetFlowキャッシュ コレクター ・Src / Dst IPアドレス ・Src /Dst ポート番号 ・プロトコルタイプ ・ToSバイト ・入力インターフェース
21.
キャッシュなので・・・ • いつかはフラッシュする必要がある – Inactive
Timer (default = 15秒) – Active Timer (default = 30分) – TCP FIN or RST – キャッシュが一杯になった時 • 実装依存 JPIXネットワーク運用管理セミナー Copyright © 2013 Motonori Shindo, All Rights Reserved. 21 フロー 30分 15秒
22.
NetFlowバージョン バージョン 特 徴 1
最初のバージョン。現在ではほとんど使われていない。 5 最も多く使われているバージョン(と思われる)。BGP ASとフローシーケンスをサポート。 7 Catalyst Switchシリーズのための拡張。 8 アグリゲーションをサポート。サポートしていないコレク ターが多い。 9 テンプレートベース。IPFIXのベース。 JPIXネットワーク運用管理セミナー Copyright © 2013 Motonori Shindo, All Rights Reserved. 22
23.
NetFlow V5 PDU JPIXネットワーク運用管理セミナー
Copyright © 2013 Motonori Shindo, All Rights Reserved. 23 Version バージョン フローレコード数 SysUptime unix-_secs unix-_nsecs フローシーケンス番号 エンジンタイプ エンジンID (サンプリングレート) フローレコード <1> フローレコード <n> ・ ・ ・ ヘッダ フロー レコード 0 15 16 31
24.
NetFlow V5 フローレコード JPIXネットワーク運用管理セミナー
Copyright © 2013 Motonori Shindo, All Rights Reserved. 24 送信元IPアドレス 送信先IPアドレス 入力インタフェース番号 nexthop first 送信元ポート番号 パディング 出力インタフェース番号 パケット数 オクテット数 最初にフローが観測されたsysuptime 最後にフローが観測されたsysuptime 送信先ポート番号 TCPフラグ ToSプロトコル 送信元AS番号 送信先AS番号 送信元ネットマスク 送信先ネットマスク パディング 0 15 16 31
25.
NetFlow V9 • テンプレート・ベース •
RFC 3954 (Informational) • IPFIX のベースになった – 詳しくはのちほど IPFIX のところで説明 JPIXネットワーク運用管理セミナー Copyright © 2013 Motonori Shindo, All Rights Reserved. 25
26.
NetFlowパフォーマンス • オーバーヘッド – パケットの分類 –
エクスポート処理 • 多くのCiscoハードウェアはパケットの分類をハードウェ アで処理することができる • バージョン(V5, V8, V9)にはほぼ非依存 • サンプリングは有効! • 例) – Cisco 12000、100:1サンプリングの場合、7~15% 程度のCPU負荷増 JPIXネットワーク運用管理セミナー Copyright © 2013 Motonori Shindo, All Rights Reserved. 26
27.
sFlow • NetFlow(Cisco流)への反発?? • RFC
3176 [sFlow V4] (Informational) JPIXネットワーク運用管理セミナー Copyright © 2013 Motonori Shindo, All Rights Reserved. 27
28.
サンプリング • sFlowは“サンプルベース”のテクノロジー – NetFlowのようなフローキャッシュは持たない JPIXネットワーク運用管理セミナー
Copyright © 2013 Motonori Shindo, All Rights Reserved. 28 コレクター sFlow エージェント sFlow PDU パケット ヘッダ I/F NextHop AS情報 I/F統計情報 ユーザ名 パケットキャプチャ Etc. インタフェース統計 サンプル フローサンプル 1つのインターフェース から入ってきて、スイッ チ/ルーティングモ ジュールを経由した後、 (1つ以上の)インター フェースから出て行く全 てのパケット
29.
sFlowの特徴(vs NetFlow V5) •
レイヤ2の情報を取得できる • IPv6を扱える • IP以外のプロトコル(IPX、AppleTalk、等)を扱える • パケットキャプチャができる • BGP関連機能のサポート – BGP Next Hop – Community – AS PATH – Local Preference • カウンタのサポート • 軽い Agent (エクスポータ)実装 JPIXネットワーク運用管理セミナー Copyright © 2013 Motonori Shindo, All Rights Reserved. 29
30.
sFlowのバージョン JPIXネットワーク運用管理セミナー Copyright ©
2013 Motonori Shindo, All Rights Reserved. 30 バージョン 特 徴 2 最初のバージョン 4 BGP community の追加 (RFC 3176) 5 CPU/メモリ使用率、BGP nexthop、MPLS、NATサ ポート追加。Vendor-specific レコードで拡張可能。
31.
IPFIX • IP Flow
Information eXport – RFC 5101 (Protocol) – RFC 5102 (Information Model) • 歴史 – 49th IETF Dec. 2000, (rtfm2 – realtime traffic flow measurement 2 BOF) – 51st IETF August 2001 (ipfx BOF) • 候補:ARGUS, sFlow, NetFlow, LFAP, CRANE, Diameter, etc. • 関連WG – PSAMP (Packet Sampling) WG • 54th IETF July 2002 JPIXネットワーク運用管理セミナー Copyright © 2013 Motonori Shindo, All Rights Reserved. 31
32.
IPFIX アーキテクチャ JPIXネットワーク運用管理セミナー Copyright
© 2013 Motonori Shindo, All Rights Reserved. 32 Metering Process 1 Observation Point 1 ExportingProcess Metering Process n Observation Point m Metering Process 1 Observation Point 1 Metering Process n Observation Point m Collector Observation Domain 1 Observation Domain K Collector IPFIX機器 パケット ・・・ ・・・ ・・・ ・・・ ・・・ ある期間のあ いだに、ネット ワーク中の“観 測ポイント”を 通過したIPパ ケットの集合 パケット
33.
テンプレート • テンプレート・セット – データセットの“設計書”のようなもの –
拡張性を持たせる手段 • TLV でも実現できたが、オーバーヘッドが問題 • オプション・テンプレート・セット – フローには直接関係ないメタな情報を伝える JPIXネットワーク運用管理セミナー Copyright © 2013 Motonori Shindo, All Rights Reserved. 33
34.
Template Flowset &
Data Flowset の例 JPIXネットワーク運用管理セミナー Copyright © 2013 Motonori Shindo, All Rights Reserved. 34 FlowSet ID = 0 Length = 28 bytes Template ID = 256 Field Count = 5 IPv4_SRCADDR Length = 4 IPv4_DSTADDR Length = 4 IPv4_NEXT_HOP Length = 4 IN_PKTS Length = 8 IN_BYTES Length = 8 FlowSet ID = 256 10.10.0.1 10.20.0.30 10.254.0.1 34947 5434325 Length = 60 10.10.0.3 10.33.5.124 10.254.0.1 3434 95048 Template Flowset Data Flowset 16bits 32bits Rec#1 Rec#2
35.
IPFIX の新機能(NetFlow V9と比較して) •
SCTP/PR-SCTPが必須のトランスポートになり、 UDP・TCPがオプションに • フィールド指定フォーマットの導入 – ベンダー拡張が可能 • 可変長IEのサポート • テンプレートを明示的に消去するTemplate Withdraw Messageの導入 • セキュリティー – IPsec or TLS (オプション) JPIXネットワーク運用管理セミナー Copyright © 2013 Motonori Shindo, All Rights Reserved. 35
36.
サンプリング • 目的 – エクスポータのCPUやメモリの節約 –
ネットワーク帯域の節約 – コレクターの性能の節約 JPIXネットワーク運用管理セミナー Copyright © 2013 Motonori Shindo, All Rights Reserved. 36
37.
サンプリング方式 • Systematic Sampling –
Count-based – Time-based • Random Sampling – n-out-of-N – Uniform or Non-Uniform Probabilistic JPIXネットワーク運用管理セミナー Copyright © 2013 Motonori Shindo, All Rights Reserved. 37 N N N N N N
38.
III. 運用
39.
設定上の注意点 • SNMPとは根本的に違う考えをする必要があ る! JPIXネットワーク運用管理セミナー Copyright
© 2013 Motonori Shindo, All Rights Reserved. 39
40.
設定上の留意点 • フローは原則 “Ingress”
のインターフェースで 効く – 一部、Egressで効く機器や設定可能な機器もある JPIXネットワーク運用管理セミナー Copyright © 2013 Motonori Shindo, All Rights Reserved. 40 FlowがenableなIF FlowがdisableなIF
41.
Active timeout • Ciscoのデフォルトは30分、設定可能最小値 は1分 •
ルータの負荷が心配? – 1分にするとフローレコードはどれくらい増えるの か? • 結論:可能なら1分、最低でもコレクターの統 計粒度以下にすべし! – ip flow-cache timeout active 1 JPIXネットワーク運用管理セミナー Copyright © 2013 Motonori Shindo, All Rights Reserved. 41
42.
Catalyst 6500系 • 最も多く使われているエクスポータと思われ る •
不幸な事に、フローの設定に関しては一番複 雑なハードウェア JPIXネットワーク運用管理セミナー Copyright © 2013 Motonori Shindo, All Rights Reserved. 42
43.
Catalyst 6500アーキテクチャ JPIXネットワーク運用管理セミナー Copyright
© 2013 Motonori Shindo, All Rights Reserved. 43 MSFC PFC
44.
Cat6500固有の事情 • MSFC, PFCそれぞれにフローの設定が必要 –
MSFCはサンプリングできない場合があり – V9以前のNetFlowでは1筐体で異なるサンプリン グレートを扱う事ができない! • フローマスクという概念がある – OutのifIndexが0で出てしまう – “interface-full” にすべし • TCPフラグを出せない – DoS検出時に注意が必要 JPIXネットワーク運用管理セミナー Copyright © 2013 Motonori Shindo, All Rights Reserved. 44
45.
期待したようにトラフィックが見えない • 全く出ない • SNMPと(若干)異なる JPIXネットワーク運用管理セミナー
Copyright © 2013 Motonori Shindo, All Rights Reserved. 45
46.
全く見えない場合 • インターフェースに設定が入っていない • OutのifIndexが出ない •
物理 vs 論理インターフェース – Link Aggregation、VLAN – IPインターフェース(Juniper) • Active timeoutの罠 • ifIndexが変わってしまった! – snmp-server ifindex persisit JPIXネットワーク運用管理セミナー Copyright © 2013 Motonori Shindo, All Rights Reserved. 46
47.
SNMPとの差異要因 • L2ヘッダオーバーヘッド • Non-IPトラフィック •
ブロードキャスト&マルチキャスト • Origin or Destinedトラフィック • ACL • サンプリング誤差 JPIXネットワーク運用管理セミナー Copyright © 2013 Motonori Shindo, All Rights Reserved. 47
48.
FAQその1 • 最適なサンプリングレートはどれくらいです か? – フローの使用目的によって異なる –
ハードウェア・アシストの有無 – 典型的なのは1/100~1/数1,000 – 当然失われるものもある • フロー数 • スキャン等の振る舞い • ・・・ JPIXネットワーク運用管理セミナー Copyright © 2013 Motonori Shindo, All Rights Reserved. 48
49.
FAQその2 • サンプリングレートが〇〇だとどれくらいの誤 差で収まりますか? – サンプリングレートで誤差率が決まるわけではな く、
“サンプル数”で決まる! JPIXネットワーク運用管理セミナー Copyright © 2013 Motonori Shindo, All Rights Reserved. 49
50.
サンプリング理論 • 理論誤差= 196×sqrt(
1/c ) 注: 信頼区間95%の場合 JPIXネットワーク運用管理セミナー Copyright © 2013 Motonori Shindo, All Rights Reserved. 50
51.
具体例 • 前提 – トラフィック:
1Gbps – 平均パケットサイズ: 250バイト/パケット – 統計粒度: 5分 • 計算 JPIXネットワーク運用管理セミナー Copyright © 2013 Motonori Shindo, All Rights Reserved. 51 $ irb >> 196 * Math::sqrt(1/(1.0*1000*1000*1000/8/250*5*60/1000)) => 0.506069823904436 >> 196 * Math::sqrt(1/(1.0*1000*1000*1000/8/250*5*60/10000)) => 1.60033329861834 >> >> 196 * Math::sqrt(1/(1.0*1000*1000*1000/8/250*5*60/4000)) => 1.01213964780887
52.
サンプリングレート高い?低い? • 言う人によってまちまち!w • 「レート」なので、 –
1000、2000、とか言うのは正しくない。正しくは 1/1000、1/2000と言うべき – 従って、1/2000より1/1000のほうが“高い”サンプ リングレート JPIXネットワーク運用管理セミナー Copyright © 2013 Motonori Shindo, All Rights Reserved. 52
53.
ダブルカウント問題 • 1つのフローに関する 情報を2つ以上のエク スポーターがエクス ポートしてしまい、コレ クターがそれらを重複 してカウントしてしまう 問題 JPIXネットワーク運用管理セミナー Copyright
© 2013 Motonori Shindo, All Rights Reserved. 53 外部ネットワーク Flow Record Flow Record
54.
ダブルカウント問題解決方法(1) • 単純に考えると・・・ – 同一フローに関するフローレコードをコレクターが 消しこむ •
が、一般的には難しい – サンプリングの可能性 • ハッシュベースのサンプリングで解決は可能だが、ま だ実装がない – 同一のコレクターに捕縛されるとは限らない JPIXネットワーク運用管理セミナー Copyright © 2013 Motonori Shindo, All Rights Reserved. 54
55.
ダブルカウント問題解決方法(2) • モデル化による解決 – フローを“境界”で捕縛する –
境界を通過するフローの挙動が“予測可能”であ るようにネットワークをモデル化する JPIXネットワーク運用管理セミナー Copyright © 2013 Motonori Shindo, All Rights Reserved. 55
56.
モデル化による解決の例 JPIXネットワーク運用管理セミナー Copyright ©
2013 Motonori Shindo, All Rights Reserved. 56 インターネット インターネット境界 ホームネットワーク
57.
ASトラフィック分析 • ピアリングの最適化に絶対必要な情報 – コスト・セービングにつながる •
“Origin” vs “Peer” AS JPIXネットワーク運用管理セミナー Copyright © 2013 Motonori Shindo, All Rights Reserved. 57 AS 1 AS5 AS2 AS4AS3 AS6 AS7 Src Orig AS Src Peer AS Dst Peer AS Dst Orig AS
58.
Src AS問題 • Dst
{Orig/Peer} ASについては、フローレコード中の dst IP addrをBGP経路テーブルでルックアップすれば よい。 • Src {Orig/Peer} ASをはっきり特定することはできない。 – 経路の非対称性 – Src IPのSpoofの可能性 – フローレコード中のsrc IP addrをBGP経路テーブルでルック アップして、そこから来たであろうと「仮定」する(しかない)。 JPIXネットワーク運用管理セミナー Copyright © 2013 Motonori Shindo, All Rights Reserved. 58
59.
Src Peer AS問題解決方法 •
Src Peer ASオーバーライド – BGP経路テーブルをルックアップせず、特定のインターフェースから 入ってきたトラフィックは、特定のAS Peerトラフィックであると認識する。 – プライベートなPeerの場合は良いが、IXでPeerしているような場合は 解決できない。 JPIXネットワーク運用管理セミナー Copyright © 2013 Motonori Shindo, All Rights Reserved. 59 AS 1 AS5 AS2 IXAS3 AS6 AS7 Src Orig AS Src Peer AS AS8
60.
商用コレクター製品(アルファベット順) • AdventNet –
NetFlow Analyzer (N, I) • ARBOR Networks – peakflow (N, S, I) • Fluke Networks – NetFlow Tracker (N, S, I) • Foundry Networks – IronView (S) • GenieNRM – GenieATM (N, S, I) • InMon – InMon Traffic Sentinel (S, N, I) • Lancope – StealthWatch (N, S) • Plixer – Scrutinizer (N, S) JPIXネットワーク運用管理セミナー Copyright © 2013 Motonori Shindo, All Rights Reserved. 60
61.
フリーコレクター製品(アルファベット順) • CAIDA –
cflowd (N) • flow-tools & FlowScan(N) • InMon – sflowtools (S), sFlowTrend (S) • nfdump & NfSen (N) • ntop – ntop (N, S, I) • Many More!!! JPIXネットワーク運用管理セミナー Copyright © 2013 Motonori Shindo, All Rights Reserved. 61
62.
flow-tools • ツールの集合 – flow-{capture,
cat, dscan, expire, export, fanout, filter, gen, header, import, log2rrd, mask, merge, nfilter, print, receive, report, rpt2rrd, rptfmt, send, split, stat, tag, xlate} • NetFlow V1, V5, (V6), V7, V8 • 例) JPIXネットワーク運用管理セミナー Copyright © 2013 Motonori Shindo, All Rights Reserved. 62 % ./flow-receive 0/0/9990 | ./flow-print | head -10 Sif SrcIPaddress Dif DstIPaddress Pr SrcP DstP Pkts Octets 60 206.204.84.9 00 10.0.135.63 06 15 5f0 2 88 00 10.0.135.63 60 206.204.84.9 06 5f0 15 16 787 60 206.204.84.9 00 10.0.135.63 06 15 5f0 13 1742 00 10.0.155.25 60 204.62.245.167 06 50 bae5 15 948
63.
FlowScan • cflowd /
flow-tools / argus / lfapd (collector) + RRD (D/B) + RDDTools (visualization) • Platform : UNIX JPIXネットワーク運用管理セミナー Copyright © 2013 Motonori Shindo, All Rights Reserved. 63 http://www.caida.org/tools/utilities/flowscan/index.xmlより引用http://www.caida.org/tools/utilities/flowscan/index.xmlより引用
64.
NfSen • nfdumpのフロントエンド • Platform
: UNIX JPIXネットワーク運用管理セミナー Copyright © 2013 Motonori Shindo, All Rights Reserved. 64 http://http://nfsen.sourceforge.net/details-graphs.pngより引用
65.
GenieATM 6000 JPIXネットワーク運用管理セミナー Copyright
© 2013 Motonori Shindo, All Rights Reserved. 65 http://www.fivefront.com/products/genie/atm6000/function.htmlより引用
66.
Fluke NetFlow Tracker JPIXネットワーク運用管理セミナー
Copyright © 2013 Motonori Shindo, All Rights Reserved. 66 http://www.flukenetworks.com/enterprise-network/network-monitoring/OptiView-NetFlow-Trackerより引用
67.
ARBOR peakflow JPIXネットワーク運用管理セミナー Copyright
© 2013 Motonori Shindo, All Rights Reserved. 67 http://www.arbornetworks.com/products_x.phpより引用
68.
InMon Traffic Sentinel JPIXネットワーク運用管理セミナー
Copyright © 2013 Motonori Shindo, All Rights Reserved. 68 http://www.msol.co.jp/it/Inmon/i-tokucho.htmlより引用
69.
Plixer Scrutinizer JPIXネットワーク運用管理セミナー Copyright
© 2013 Motonori Shindo, All Rights Reserved. 69 http://www.plixer.com/products/netflow-sflow/scrutinizer-netflow-sflow.phpより引用
70.
IV. ケーススタディー
71.
フローを使った適用事例 • AS間トラフィック把握 • 社内ネットワークのトラフィック把握 •
DDoS検知およびmitigation • ネットワーク費用按分(課金データ) • フォレンジック・データとしての使用 JPIXネットワーク運用管理セミナー Copyright © 2013 Motonori Shindo, All Rights Reserved. 71
72.
アプリケーションの把握 JPIXネットワーク運用管理セミナー Copyright ©
2013 Motonori Shindo, All Rights Reserved. 72
73.
ヘビートーカーを探せ! JPIXネットワーク運用管理セミナー Copyright ©
2013 Motonori Shindo, All Rights Reserved. 73
74.
JPIXネットワーク運用管理セミナー Copyright ©
2013 Motonori Shindo, All Rights Reserved. 74 ワームの発見 ~異常発生~ アラーム 発生
75.
JPIXネットワーク運用管理セミナー Copyright ©
2013 Motonori Shindo, All Rights Reserved. 75 ワームの発見 ~PPS・FPSの上昇~ Packet per second Flow per second
76.
JPIXネットワーク運用管理セミナー Copyright ©
2013 Motonori Shindo, All Rights Reserved. 76 ワームの発見 ~アプリケーションの分析~ 特定のインターフェー スを指定 アプリケーションでの 分析を指示
77.
JPIXネットワーク運用管理セミナー Copyright ©
2013 Motonori Shindo, All Rights Reserved. 77 ワームの発見 ~原因判明~ 犯人はこ れだ!
78.
JPIXネットワーク運用管理セミナー Copyright ©
2013 Motonori Shindo, All Rights Reserved. 78 ワームの発見 ~攻撃者と被害者の特定~ 攻撃者 被害者
79.
Blackhole Routing (a.k.a
RTBH) JPIXネットワーク運用管理セミナー Copyright © 2013 Motonori Shindo, All Rights Reserved. 79 Regional Network Regional Network Flow Collector フローで攻撃を検出1 BGP announcement2 ip route 192.1.1.2 255.255.255.255 Null03 3 ip route 192.1.1.2 255.255.255.255 Null0 攻撃者 被害者 192.1.1.2
80.
Clean Centerを使ったソリューション JPIXネットワーク運用管理セミナー Copyright
© 2013 Motonori Shindo, All Rights Reserved. 80 Regional Network Regional Network Clean Center Flow Collector Protected Network Zone1 フローで攻撃を検出1 5 きれいになったトラ フィックをネットワー クに戻す 攻撃者 被害者 192.1.1.2 Clean Centerへトラ フィックをフォワード 4 BGP announce3 保護したいZoneの有効化 2
81.
DDoS mitigationにフローを使うことのメリット • そもそもSNMPでは不可能 –
「何か」が起こっていることは分かるが、「何」が起 こっているか分からない – 何が起こっているか分からないと対策できない • 分散検出することができる – インラインなソリューションよりスケールする JPIXネットワーク運用管理セミナー Copyright © 2013 Motonori Shindo, All Rights Reserved. 81
82.
仮想化環境の可視化(1) JPIXネットワーク運用管理セミナー Copyright ©
2013 Motonori Shindo, All Rights Reserved. 82 http://blog.sflow.com/2010/02/virtual-routing.htmlより引用
83.
仮想化環境の可視化(2) JPIXネットワーク運用管理セミナー Copyright ©
2013 Motonori Shindo, All Rights Reserved. 83 http://openvswitch.org/より引用 Open vSwitchの例
84.
参考資料 • NetFlow 関連情報 –
http://www.cisco.com/en/US/products/ps6601/products_i os_protocol_group_home.html • NetFlow V9 RFC 日本語訳 – http://www.fivefront.com/technology/flow/rfc3954- jp.html • sFlow 関連情報 – http://www.sflow.org/ • IPFIX – http://www.ietf.org/html.charters/ipfix-charter.html • 各種ツール – http://www.switch.ch/tf-tant/floma/software.html JPIXネットワーク運用管理セミナー Copyright © 2013 Motonori Shindo, All Rights Reserved. 84
Download now