// シス担のミカタ
ネットワーク監視・トラブルシュート

NetFlow ねっとふろー

フロー解析トラフィック監視CiscoIPFIX帯域監視ネットワーク可視化
NetFlowについて教えて

簡単に言うとこんな感じ!

ネットワークを流れるデータの「運送記録簿」だよ!「いつ・誰から・誰に・どれだけのデータが届いたか」を自動で記録してくれる仕組みで、回線が重い原因や怪しい通信の犯人を突き止めるのに大活躍なんだ!

NetFlowとは

NetFlowとは、ネットワーク機器(主にルーターやスイッチ)を通過するIPトラフィックの情報を収集・記録する技術です。もともとCisco Systemsが開発し、現在はネットワーク監視の標準的な手法として業界全体に普及しています。

NetFlowが記録する単位は「フロー(Flow)」と呼ばれ、「同じ送信元IP・宛先IP・ポート番号・プロトコル」の組み合わせを持つパケットのまとまりを指します。パケットの中身(ペイロード)は見ず、「どこからどこへ、どれくらい通信したか」というメタデータを収集するため、プライバシーへの影響が少なく、処理負荷も軽い点が特徴です。

ネットワーク管理者にとっては「回線がなぜ重いのか」「どのアプリが帯域を食っているか」「不審な通信が発生していないか」を把握するための目と耳に相当します。特に大規模な企業ネットワークでは、NetFlowなしでのトラブルシュートは非常に困難です。

NetFlowの仕組みと構成要素

NetFlowは3つの役割を持つコンポーネントで動作します。

コンポーネント役割具体例
エクスポーターフロー情報を生成・送信するネットワーク機器CiscoルーターやL3スイッチ
コレクターエクスポーターから送られたフローデータを受信・保存するサーバーntopng、nfdump、商用NMS
アナライザー収集したデータをグラフや表で可視化・分析するツールGrafana、SolarWinds、Elastic

フローに含まれる主な情報は以下のとおりです。

フィールド内容
送信元IPアドレス通信を始めた機器のIP192.168.1.10
宛先IPアドレス通信の相手先IP203.0.113.5
送信元ポート利用したポート番号54321
宛先ポート相手側のポート番号443(HTTPS)
プロトコルTCP / UDP / ICMP などTCP
バイト数やり取りしたデータ量1,452,800 bytes
パケット数やり取りしたパケット数980 packets
開始・終了時刻フローが発生した時間帯14:32:01〜14:32:15

覚え方:「NetFlowは宅配便の送り状チェック」

宅配便の荷物の中身は開けない(ペイロードは見ない)けど、「差出人・受取人・重さ・個数・日時」の送り状データは全部記録する。それがNetFlowのイメージ!パケットキャプチャ(Wireshark等)が「荷物を全部開けて中身を確認する」なのに対し、NetFlowは「送り状だけをまとめてチェックする」軽量な手法です。

NetFlowのバージョン比較

バージョン主な特徴備考
v1最初期の実装。フィールドが少ない現在はほぼ使われない
v5最も普及したバージョン。固定フォーマット今も多くの機器でサポート
v9テンプレートベースで柔軟な拡張が可能IPv6・MPLSにも対応
IPFIXv9を元にIETFが標準化した後継規格業界標準(RFC 7011)

歴史と背景

  • 1996年 — Cisco Systemsがルーターのパフォーマンス向上策として内部開発。当初はルーターのキャッシュ効率化が目的だった
  • 1990年代後半 — ネットワーク監視・トラフィック分析ツールとしての活用が広がり始める
  • 2004年 — NetFlow v9がRFC 3954として標準化され、他ベンダーも追従しやすくなる
  • 2008年 — IETFがNetFlow v9をベースにIPFIX(IP Flow Information Export)としてRFC 5101で標準化
  • 2013年 — IPFIXがRFC 7011で改訂・整備され、現在の業界標準に
  • 現在 — CiscoのNetFlow以外にも、Juniper「J-Flow」、Huawei「NetStream」、オープン標準のsFlowなど類似技術が多数存在

NetFlow・sFlow・パケットキャプチャの比較

ネットワーク監視には複数のアプローチがあります。用途に応じて使い分けることが重要です。

ネットワーク監視手法の比較 NetFlow / IPFIX フロー単位の集計データ ✅ 処理負荷が軽い ✅ 長期保存しやすい ✅ 帯域・接続元分析 ⚠️ 中身は見えない ⚠️ サンプリング誤差あり 💡 監視・異常検知向き sFlow パケットサンプリング方式 ✅ マルチベンダー対応 ✅ スイッチでも動作 ✅ リアルタイム性が高い ⚠️ サンプリングのため   精度が若干落ちる 💡 大規模L2環境向き パケットキャプチャ 全パケット記録(例: Wireshark) ✅ 中身まで詳細に確認 ✅ 障害の根本原因追跡 ⚠️ 処理・保存コスト大 ⚠️ プライバシー配慮必要 ⚠️ 大規模環境では困難 💡 詳細障害調査向き ★ 常時稼働の定点観測 ★ 広範な機器対応 ★ スポット調査に最適

実務での典型的な使い分け

【日常監視フェーズ】
  NetFlow → 「昨日の14時に帯域が急増、原因は192.168.10.5からの大量転送」
       ↓ 異常を発見
【詳細調査フェーズ】
  パケットキャプチャ → 「実際にどんなデータが流れていたか詳細確認」

関連する規格・RFC

規格・RFC番号内容
RFC 3954NetFlow v9 の標準化(2004年)
RFC 5101IPFIX プロトコル仕様(初版・2008年)
RFC 7011IPFIX プロトコル仕様(改訂版・2013年、現行標準)
RFC 7012IPFIX 情報モデル(フィールド定義)
RFC 5798sFlow の仕様(比較参考)

関連用語

  • IPFIX — NetFlow v9 をベースにIETFが標準化したフロー情報エクスポート規格
  • sFlow — パケットサンプリングによるトラフィック監視技術。マルチベンダー環境で強い
  • SNMP — ネットワーク機器の死活監視・性能監視に使われる管理プロトコル
  • Wireshark — パケットキャプチャ・解析ツールの定番。NetFlowと相補的な関係
  • 帯域監視 — ネットワークの通信量を継続的に計測・管理すること
  • SIEM — NetFlowログを取り込んでセキュリティ脅威を検出するログ統合管理基盤