ingressとegressの意味と考え方 (図解あり)
作成日:2015年4月6日 | 更新日:2023年2月1日
概要
- ingress と egress の考え方
- 低価格フローコレクター「NetFlow Analyzer」評価版(無料の技術サポート付き)
- データのダブルカウントの要因
- 送信/受信の片方しかデータが取得されない事象の要因
- 関連ナレッジ:フローデータ設定ガイド
目次
ingress とは? egress とは?
・ingress
パケットがネットワーク機器へ入力(input)されるタイミングで、その情報を計測する概念、またはシステム
・egress
パケットがネットワーク機器から出力(output)されるタイミングで、その情報を計測する概念、またはシステム
ネットワーク機器の内部を国際空港とフライトとして例えると、
移動をするパケットにとって、ingressは出国審査、egressは入国審査と言い換えることができます。
パケットがネットワーク機器に "入るタイミング" と、ネットワーク機器から "出るタイミング" で、
各通過インターフェース(フロープロトコル有効インターフェース)のingress/egress担当は、そのパケットがどこから来てどこへ行くのか等の情報を、それぞれ記録します。
下図の状況の場合、その確認を"出国時"と"入国時"で2回行うので、2か所の結果を集計するとダブルカウント(単一パケットに対する重複した集計情報)が発生します。
ingressとegressを適切に設定いただくことで、このような問題を防ぐことが可能です。
無料の技術サポート付き
低価格フローコレクター「NetFlow Analyzer」
評価版ダウンロード | 概要資料ダウンロード
設定時の場合分け
単一インターフェースを監視する場合(送信/受信の片方しかデータが取得されない事象の要因)
単一インターフェースを監視する場合は ingress/egress の両方を設定
仮に単一インターフェース"IF1"を監視する際にingressのみを有効化すると、監視インターフェース"IF1"の受信データ"パケット1"のみが集計されます。
監視インターフェース"IF1"から出力されるデータ"パケット2"は、監視インターフェース"IF1"やその他インターフェースで集計されず、監視漏れが発生します。
IF1のingress/egress両方を有効化することで、
監視インターフェース"IF1"を通過する送受信両方向のデータ情報の取得が可能となり、
IF1を正常に監視できる状態となります。
無料の技術サポート付き
低価格フローコレクター「NetFlow Analyzer」
評価版ダウンロード | 概要資料ダウンロード
全インターフェースを監視する場合(ダブルカウントの要因)
全インターフェース(IF1, IF2, IF3)を監視する場合は ingress のみを設定
※egressではなくingressで統一することで、受信したパケットがネットワーク機器内で破棄される際の集計漏れを防ぎます
仮に ingress/egress 両方を設定される場合、
パケットが機器に入るタイミングと、機器から出るタイミングで、パケット情報がそれぞれ記録されるので、
集計結果としてダブルカウントが発生します。
ingress のみを設定される場合、
監視インターフェース(IF1, IF2, IF3)から入ってくるパケットは、受信したタイミングで、
監視インターフェースから抜けていくパケットは、他の監視インターフェースで受信したタイミングで、
それぞれ参照し集計するので、ダブルカウントすることなく、正常に監視することが可能です。
無料の技術サポート付き
低価格フローコレクター「NetFlow Analyzer」
評価版ダウンロード | 概要資料ダウンロード
関連資料
シスコも推す低価格フローコレクター
資料ダウンロード
シスコ×ゾーホー NetFlowエキスパート対談
資料ダウンロード