代表メッセージ

代表メッセージ

株式会社フローネットセキュアの出野(いでの)です。
弊社は、米国InMon社のフローマネージメントシステムである「InMon TrafficSentinel」「InMon sFlowTrend-Pro」の国内販売代理店として活動しています。
また、フリーのsFlow管理ツールである「sFlowTrend」の日本語化など日本での展開にも参画していきます。
米国InMon社のフローマネージメントシステムである「InMon TrafficSentinel」は、2002年ごろから販売を開始されたシステム(旧名称:TrafficServer)で、フロープロトコルのsFlow/NetFlow/J-Flow/IPFIX/XRMON/LFAPをモニタリングできるシステムです。
このシステムにより、リアルタイムでのネットワークトラフィックの管理・分析、輻輳管理、トポロジー管理、AS分析、セキュリティ管理・分析、レポーティングなどが実現できます。
開発元のInMon社は、sFlowを2001年にIETF RFC3176として規格化した会社であり、sFlowに最も精通した会社ということが言えます。よって「InMon TrafficSentinel」は、NetFlowを分析することをベースに設計された他のフローマネージメントシステムと一線を画す唯一のsFlowマネージメントシステムということができると思います。
もちろん、sFlow以外のNetFlow/J-Flow/IPFIX/XRMON/LFAPの分析も十分に可能です。

sFlowの技術は、サンプリングをベースにした分析になります。ここがフル・キャプチャしたNetFlowと比較される点かと思いますが、元来のネットワークトラフィック管理は、主に1990年代になりますが、SNMPを拡張したRMON2(IETF RCF2021)にて行われてきました。実現のためには、RMON2プローブというネットワーク機器をそれぞれのネットワークセグメントに配置する必要がありました。ネットワークの帯域が小さく、プローブの価格が安かった時代は、それで通用していましたが、2000年代に入ると1G帯域のネットワークに移行が始まり、プローブも1Gに対応できるものが必要になりました。この機器の価格は、当時300万円程度以上しており、これを各セグメントに配置するのは費用的に困難になり、また、ネットワーク自体もRMON2プローブを設置しやすかったシェアードネットワークからスイッチドネットワークに変化してきました。
この段階からRMON2のソリューションは現実味がなくなってきたと思います。
そのタイミングで登場したのが、サンプリング技術を用いたsFlowです。HPや当時のFoundryNetworks(現 Brocade Communications Systems)が実装しました。sFlowは、ネットワーク機器に実装されますがASIC技術を持ちいたためネットワーク機器自体に負荷をかけずに、
1GBなどの広帯域のリンクまでモニタリングできるようになりました。
sFlowを実装したネットワーク機器でネットワークを構築すればすべてのインターフェースでトラフィック分析が可能になるという画期的なものになりました。
当時は、Cisco NetFlowを使用して分析していた方は、ごく僅かでした。
それ以降、sFlowを実装するネットワーク機器ベンダーは、増加していき、いまでは、
http://www.sflow.org/products/network.php
のリストに記載されているように多数にベンダーで採用されています。
再度になりますが、sFlowと比較されるのは、NetFlowになります。NetFlowはサンプリングをしません(サンプリングも可能)。NetFlowはサンプリングをしないので分析の精度については、あまり問題にされていません。ただし、トラフィックの内容によってはNetFlowのエクスポートのタイミングがランダムに変わるので、時系列的な精度は低くなる要素があります。
sFlowはサンプリングしています。サンプリングの特徴としては、メジャーなトラフィックはサンプリングされやすいので、精度が上がりますが、マイナーなトラフィックは、サンプリングされにくいので、精度が下がるという特徴があります。
ただ、あれだけ多くのネットワーク機器に採用されていて、例えば、フロアスイッチからコアスイッチ・ルーターまで、でネットワーク機器に負荷がかからず、広範なネットワークからインターフェース単位でトラフィック分析できるメリットは甚大であるといえます。
NetFlowはサンプリングしませんので、エクスポートのタイミングの問題があるにせよ、精度は高いと思います。ただ、NetFlowを実装し運用している機器は、CiscoスイッチでいうとCatalyst6500/4500クラスのハイエンドのものが主流になります。また、サンプリングしないので、高負荷になる可能性があるので、設定には注意が必要です。そういうこともあり、Ciscoもサンプリング技術を利用したSampled NetFlowという規格もリリースしています。
Juniperは、J-Flowという規格を実装していますが、中身は、NetFlowV5と同等です。ただ、Juniperは最初からサンプリングすることを前提にしています。
NetFlowという規格は、素晴らしいと思いますが、sFlowも低価格・低負荷で広範なネットワークトラフィックの分析ができるという意味では、素晴らしいものだと思います。
弊社としては、sFlowのさらなる普及に期待をし、「InMon TrafficSentinel」にて、sFlow/NetFlow/J-Flow/IPFIX/XRMON/LFAP、及び、Sampled NetFlowの分析を一台のシステムで行うことによりネットワークトラフィック分析のスケーラビリティーを広げていきたいと思っています。