NetFlowのフローレート計算式サンプル

NetFlow・sFlow対応 フローコレクター

NetFlowのフローレート計算式サンプル

NetFlow Analyzerを導入するためにハードウェアの設計を行う場合は、 受信するフローのフローレート(1秒あたりに受信するフローの数)の値が必要になります。 ここでは、Webサイトの場合と 社内利用の場合の場合とで二通りのフローレートの算出方法例をご紹介します。 ハードウェア設計の参考としてください。 また、ハードウェア設計においてフローレートを算出することが難しい場合は、30日間無料で試せる当製品の評価版をご利用ください。数日間ネットワーク機器からフローデータを受信し、平均値を調べることで、将来必要なスペックを算出することができます。

注意:NetFlow Analyzerをご利用予定のネットワークでの、個別の要件やプロトコルでのフロー算出方法のご質問にはお答えいたしかねますので予めご了承ください。

NetFlow出力機器の設定条件 |  Webサイトの場合 |   社内利用の場合 

NetFlow出力機器の設定条件

機器はNetFlow をサポートするもの(Cisco IOSにてNetFlow送信可能であるもの)とします。以下のコマンドは、物理インターフェースごとに実行する必要があります。

コマンドコマンド解説
ip flow-export destination{hostname|ip_address}9996NetFlow キャッシュエントリーを特定のIP アドレスに対してエクスポートします。 NetFlow Analyzer サーバーのIP アドレスおよび設定されたNetflowリスナーポートを使用します。 デフォルトのポート番号は、9996 です。
ip flow-export source{interface}{interface_number}指定されたIP アドレスに対して装置より送られるNetFlow エクスポートの送信元IP アドレスを設定します。 NetFlow Analyzer は、このアドレス上で装置へのSNMP リクエストを生成します。
ip flow-export version 5 [peer-as | origin-as]NetFlow エクスポートする際のバージョンを5,7 あるいは9に設定します。NetFlow Analyzerは、バージョン 5, バージョン 7, バージョン 9 のみ サポートしています。お使いのルーターがBGPを用いている場合は、基点か、相手側のASのどちらかがエクスポートに含まれるように指定することができます。 両方を含むことはできません。
ip flow-cache timeout active 1長時間のフローを1分刻みに分割します。 分の数は、1から60までの間の任意の数を選ぶことはできますが、 デフォルトの30分のままにしておくと、トラフィックレポートは急な山形を持つことになります。 この値は1分に設定することが重要です。アラート生成をしたり、トラブルシューティングデータを参照するためです。
ip flow-cache timeout inactive 15終了したフローが定期的にエクスポートされることを確認します。 デフォルト値は15秒です。 秒数は10から600の間で任意の値を選ぶことができます。なお、250秒より大きな値を選択した場合は、NetFlow Analyzer は過度に低いトラフィックレベルを表示する可能性があります。
snmp-server ifindex persistifIndex persistence(インターフェース名)をグローバルに有効化します。 これにより、装置をリブートする間、ifIndex の値は確実に維持されます。

Webサイトの場合

前提条件

以下の環境であることを前提とします。

  • Webサーバーの置かれているサイト側でフローを収集します。
  • 不特定多数のユーザーからのアクセスがあります。
  • 1日あたり100,000 PV(= 100,000セッション)発生します。
ネットワークトラフィック監視ツール web利用想定ネットワーク 構成図

フロー計算式

1セッションあたり接続確立・解除・通信に関して8フローが発生すると考えることができるため、以下の計算を行います。
1日発生フロー数 = 8 [フロー/セッション] x 100,000[セッション] = 800,000[フロー]1日平均フローレート= 800,000/(24 x 60 x 60)=9.26[フロー/秒]

フローレートからハードディスク容量を算出するには、ハードディスク容量計算についてをご参照ください。

【 備考】

セッション数が、[送信元IP、宛先IP、送信元ポート、宛先ポート]の各組合せの延数になります
(同一クライアントから同時に複数セッションが張られたとしてもポートが異なるので、別フローとなります)。

社内利用の場合

前提条件

以下の仮定を行います。

  • 社員数が100名(=クライアントPC100台)の場合で、各ユーザーの Web利用(HTTPセッション)は1日あたり50PV(=50セッション)発生します。
  • 外部メールサーバーへの送信は1日あたり10件、外部メールサーバーからのメール受信は1日あたり10件発生します。
  • 外部へのメール送受信は、下図内 「out-going mail server」が行います。
  • DNSの問い合わせは各セッションにつき1回行います。
ネットワークトラフィック監視ツール 社内利用想定ネットワーク 構成図

フロー計算式

  • HTTPのセッションの場合

1セッションごとに10フロー発生する (接続確立で3フロー、DNS問い合わせと応答で2フロー、コンテンツ要求と受信で2フロー、接続解除で3フロー)
と考え、以下の計算を行います。 1日発生フロー数 = 10 [フロー/セッション] x 50[セッション/台] x 100 [台]= 50,000[フロー]

  • SMTPのセッションの場合

1[セッション]ごとに28フロー発生する (DNS問い合わせと応答で2フロー、接続確立で3フロー、クライアントとSMTPの間で20フロー、接続解除で3フロー)
と考え、以下の計算を行います。 1日発生フロー数 = 28[フロー/セッション] x 20 [セッション/台] x 100[台] = 56,000[フロー]

  • セッション合計(HTTPセッション+ SMTPセッション)

合計フロー総数= 50,000(HTTP)[フロー]+ 56,000(SMTP)[フロー]=106,000[フロー] 1日平均フローレート=106,000/(24 x 60 x 60)=1.23[フロー/秒]

なお、フローレートから、ハードディスク容量を算出するには、ハードディスク容量計算についてをご参照ください。