NetFlow Analyzer ナレッジベース

ingressとegressの意味と考え方 (図解あり)


 概要

 

目次

 

ingress とは? egress とは?

・ingress

ネットワーク機器へ入力するタイミングで帯域情報を計測する概念/システム

・egress

ネットワーク機器から出力するタイミングで帯域情報を計測する概念/システム

ネットワーク機器を空港とフライトとして例えると、
ingressはパケットの出国審査、egressはパケットの入国審査と言い換えることができます。

パケットがネットワーク機器に "入るタイミング" と、ネットワーク機器から "出るタイミング" で、
各通過インターフェース(フロープロトコル有効インターフェース)のingress/egress担当は、そのパケットがどこから来てどこへ行くのか等情報を、それぞれ記録します。

以下状況の場合、その確認を"出国時"と"入国時"で2回行うので、結果を集計するとダブルカウントが発生します。

ingressとegressを適切に設定いただくことで、上記のような問題を防ぐことが可能です。

 

無料の技術サポート付き
低価格フローコレクター「NetFlow Analyzer」
評価版ダウンロード | 概要資料ダウンロード

 

 

 

設定時の場合分け

 

単一インターフェースを監視する場合(送信/受信の片方しかデータが取得されない事象の要因)

単一インターフェースを監視する場合は ingress/egress の両方を設定

 

仮に単一インターフェース"IF1"を監視する際にingressのみを有効化すると、監視インターフェース"IF1"の受信データ"パケット1"のみが集計されます。
監視インターフェース"IF"から出力されるデータ"パケット2"は、監視インターフェース"IF1"やその他インターフェースで集計されず、監視漏れが発生します。

 

 

IF1のingress/egress両方を有効化することで、
監視インターフェース"IF1"を通過する送受信両方向のデータ情報の取得が可能となり、
IF1を正常に監視できる状態となります。

 

無料の技術サポート付き
低価格フローコレクター「NetFlow Analyzer」
評価版ダウンロード | 概要資料ダウンロード

 

 

 

全インターフェースを監視する場合(ダブルカウントの要因)

全インターフェース(IF1, IF2, IF3)を監視する場合は ingress のみを設定
※egressではなくingressで統一することで、受信したパケットがネットワーク機器内で破棄される際の集計漏れを防ぎます

仮に ingress/egress 両方を設定される場合、
パケットが機器に入るタイミングと、機器から出るタイミングで、パケット情報がそれぞれ記録されるので、
集計結果としてダブルカウントが発生します。

 

 

ingress のみを設定される場合、
監視インターフェース(IF1, IF2, IF3)から入ってくるパケットは、受信したタイミングで、
監視インターフェースから抜けていくパケットは、他の監視インターフェースで受信したタイミングで、
それぞれ参照し集計するので、ダブルカウントすることなく、正常に監視することが可能です。

 

無料の技術サポート付き
低価格フローコレクター「NetFlow Analyzer」
評価版ダウンロード | 概要資料ダウンロード

 

 

 

関連資料

シスコも推す低価格フローコレクター
資料ダウンロード

 

 

シスコ×ゾーホー NetFlowエキスパート対談
資料ダウンロード