そして、その活動の成果であるntop社の製品をリリースします。
本ブログ記事では、ntop社製品の1つNetFlowプローブnProbeをご紹介します。
ntop社が開発するnProbeとは、xFlowに対応していないルーターを補助するNetFlowプローブ製品です。
先ずは、「NetFlowプローブ」についてご説明します。
NetFlowプローブ(フロープローブ)とは
xFlowを生成出来ない古い/低性能ルーター、xFlow設定を避けたい(設定変更、性能低下を危惧)ユーザーが利用する製品です。
トラフィック分析対象のルーターにミラーポート/RITE(ルーターIPトラフィックエクスポート)を設定してパケットをキャプチャ、NetFlow v5,v9/IPFIXを生成してフローコレクタに送信します。
各メーカはハードウェアアプライアンスとして販売しているケースが多いですが、ntop社はソフトウェアでNetFlowプローブを開発・販売しております。
トラフィック分析対象のルーターにミラーポート/RITE(ルーターIPトラフィックエクスポート)を設定してパケットをキャプチャ、NetFlow v5,v9/IPFIXを生成してフローコレクタに送信します。
各メーカはハードウェアアプライアンスとして販売しているケースが多いですが、ntop社はソフトウェアでNetFlowプローブを開発・販売しております。
NetFlowプローブ/フロープローブの設置例
nProbeのモード説明
nProbeには動作モードが3種類あります。NetFlowプローブのProbeモード、DBやディスクにNetFlowをデータとして収集するコレクタモード、ネットワーク機器が生成したxFlowを受信しNetFlow v5,v9/IPFIXに変換してコレクタに送信するProxyモードの3モードをサポートしています。
前者は各拠点のルーターに直接接続。
後者は本社側に設置して、多拠点からのフローデータを収集するのに利用します。
さらに①のProbeモードには、本社側にトラフィック情報を伝える方式が2種類存在します。
1つ目は、NetFlow v5/v9, IPFIXを生成してnProbeプロキシ/フローコレクタに送信する方式。
もう一つは、ZeroMQプロトコルを利用してnProbe/ntopngに送信する方式となります。このZeroMQ方式ですと、L7情報を埋め込んでトラフィック情報を送信すると共に、リアルタイム性が高いGUI表示をntopng上で実現することができますので、弊社では何か特別な理由がない限りこちらの方式を推奨しています。
一般的なフローコレクタは、NetFlow v5,v9/IPFIX, sflowに含まれる情報をグラフィカルに表示してくれる製品ですので、可視化の限界はそれらのデータに含まれる情報となります。
つまり、ポート番号やTCP/UDPといったL4レベルでの把握しかできません。
本記事で扱っているntop社のnProbe™という製品ですが、ご興味のある方は以下のリンクから弊社までお問い合わせください!
