監視対象のネットワークデバイスの決定
Flow Monitor の展開を計画するとき、どのネットワークデバイスが必要な情報を提供してくれるのかを理解することが重要になります。そのとき、個々のデバイスを通るデータの性質、他のネットワークデバイスとの位置関係、およびそのデバイスが使用できるアドレスのタイプ (内部/外部) がどれも重要な問題になります。
アプリケーションレベルのトラフィックを分析するために ISP に接続しているインターネットゲートウェイルーターを監視するのか、一般公開用ネットワークのコアルーター上で犯罪捜査と診断を行うのか、容量追加計画のために WAN のコアを監視するのかなど、監視目的についてのこの種の問への答えが、Flow Monitor のソース (情報源) としてネットワーク上のどのデバイスを監視対象とするのがいいかの手掛かりを提供してくれます。
Flow Monitor ソースの候補が決まったら、次に他のネットワークデバイス、特にネットワークアドレスの変換を行うデバイスとの位置関係を考慮する必要があります。出力された NetFlow データでは、ソースがアドレス変換を行うデバイスに対して相対的にどこにあるかによって、内部 (プライベート) IP アドレスへ出入りするトラフィックに関する報告が異なります。
- デバイスがファイアウォールの内部にある場合、またはファイアウォールが存在しない場合、出力されたフローデータには、トラフィックを送受信したデバイスの内部 IP アドレスが含まれます。これにより、どのトラフィックが内部ネットワーク上のどのデバイスのものかを正確に特定することができます。
- ファイアウォールの外側にあるデバイスの場合、内部デバイスが送受信したすべてのトラフィックをまとめたものがフローデータとして出力され、アドレス変換するデバイスに与えられた単一の公開アドレスに属するデータとして報告されます。その場合、内部デバイスのどれかがそのトラフィックを送受信したことはわかりますが、それがどの内部デバイスだったのかを知ることはできません。
- フローを出力するデバイスがネットワークアドレス変換も行う場合、そのデバイスからのフローデータにプライベートアドレスを使用するか公開されている変換されたアドレスを使用するかを設定でき、上記のシナリオのいずれかを再現できます。内部 IP アドレスを表示するには、デバイスが内部インターフェイスに対する
進入と退出に関するデータが出力されるように設定します。すべてのトラフィックが変換された外部 IP アドレスを使用して報告されるようするには、デバイスが外部インターフェイスに対する進入と退出に関するデータを出力するように設定します。詳細については、「フローデータを Flow Monitor に出力するためのネットワークデバイスの手動設定」を参照してください。
Flow Monitor が報告するデータの性質に影響するその他の条件
- 送信元と送信先の間の経路のどこかでアドレス変換が行われると、報告される IP アドレスには変換されたアドレスが含まれるように変更されます。ほとんどの場合、これは問題になりませんが、複雑なネットワーク環境でのトラフィックを追跡するためには、複数のフロー対応デバイスを監視する必要があるかもしれません。
- 仮想プライベートネットワークやその他のトンネルテクノロジー (ESP や SSH など) はレポートを歪める可能性があります。その場合、Flow Monitor レポートには少数のフローで大量のトラフィックが送信されたことが報告されます。VPN その他のトンネルは複数の接続からのトラフィックをまとめて単一の接続に流し込むので、これは予期通りの動作です。