IPFIX の概要

IPFIX は、フロー情報をエクスポートするための IETF プロトコルです。フローは、特定のタイムスロットで転送されるパケットのセットとして定義され、5 組の値(送信元 IP アドレス、送信元ポート、宛先 IP アドレス、宛先ポート、プロトコル)を共有します。フロー情報には、タイムスタンプ、パケット/バイト数、入力/出力インターフェイス、TCP フラグ、VXLAN ID、カプセル化されたフロー情報などのプロパティが含まれます。これは Netflow と呼ばれることがよくあります。ただし、IPFIX は標準の IETF プロトコルです。

どのフロー情報が VDS によってエクスポートされますか。

vSphere 環境の Distributed Switch は、IPFIX を使用してフロー情報をエクスポートするように設定できます。VDS に接続されているすべてのポート グループでフロー モニタリングを有効にします。パケットが Distributed Switch のポート X に到着し、ポート Y から送信されると、ポート Y でフロー監視が有効な場合は対応するフロー レコードが生成されます。各フロー レコードの方向は「Egress」と設定されます。

vRealize Network Insight での IPFIX の使用方法

vRealize Network Insight では、VMware VDS IPFIX を使用してネットワーク トラフィック データを収集します。すべてのセッションには 2 つのパスがあります。例︰Session A ↔ C では、A→C 方向のパケットと C→A 方向のパケットがあります。セッションの完全な情報を分析するには、両方向のパケットに関する IPFIX データが必要です。次の図では、仮想マシン-A が DVPG-A との接続を介して 仮想マシン-C と通信しています。DVPG-A が提供するのは C→A パケットに関するデータのみで、DVPG-Uplink は A→C パケットに関するデータを提供します。A のトラフィックの完全な情報を取得するには、IPFIX を DVPG-A と DVPG-Uplink で有効にする必要があります。

vRealize Network Insight フロー収集のトラブルシューティング

  1. 特定の VDS およびその DVPG およびアップリンク プロパティに Netflow 監視が [有効] になっており、コレクタ IP アドレスが vRealize Network Insight コレクタのものであることを確認してください。
  2. IPFIX Netflow パケットは、ファイアウォール(NSX、仮想、または物理)の間でドロップします。ESXi ホストと vRealize Network Insight コレクタ間のルートに存在する可能性のあるファイアウォールによって vRealize Network Insight コレクタ IP アドレス上の UDP ポート 2055 宛ての Netflow パケットが許可されていることを確認してください。
  3. ESXi ホストは、IPFIX Netflow パケットの送信を停止します。UDP ポート 2055 にアクセスできない場合、ESXi ホストは、Netflow パケットの送信をしばらくすると停止します。これは、ファイアウォールがパケットをドロップしたことが原因で発生する可能性があります。
  4. ネットワークのルーティングでの問題が原因、ESXi ホストが vRealize Network Insight コレクタにアクセスできません。ESXi ホストと vRealize Network Insight コレクタ間に適切なルートが存在することを確認してください。

IPFIX に関連する VMware ナレッジベースの記事

VMware ESXi 6.0 Update 1:2135956

サービスが共有されたと見なされるタイミング

プロトコル ポート
DNS 53
Bootpc 68
Kerberos 88
POP3 110
sunrpc 111
NTP 123
map 143
Imap3 220
SMTP 25
LDAP 389
IGMPv3Lite 465
Syslog 514
送信 587
syslog-conn 601
LDAPS 636
IMAPS 993
POP3S 995
NFS 2049
MSFT-GC 3268
MSFT-GC-SSL 3269