xFlow の基本的なところをまとめておく。ちょっと前の雑誌の進藤さんの記事から。

• NetFlow
  • フローのキャッシュを生成する
    • キャッシュテーブルには、src/dst IP、src/dst port、プロトコルタイプなど
    • きまったタイミングによって、テーブルがフラッシュされて、exporter が collector に export される
  • テーブルがフラッシュされるタイミング
    • TCP のフローの場合、fin や rst のフラグがあったとき
    • inactive timer
      • 一定時間フローが観測されなかった場合
      • IOS の default は 15sec
    • active timer
      • 長時間のフローが続いている場合
      • IOS の default は 30min
    • フローのキャッシュがいっぱいになった場合
  • バージョン
    • いまは v5 か v9 が一般的
    • v9
      • テンプレート (フローデータの設計書) を採用している
      • 新しい情報を追加する場合には、新しいテンプレートをコレクタに伝える
  • collector
    • cflowd、flow-tools、FlowScan、ntop、nfdump、NfSen

• sFlow
  • NetFlow と違ってフローのキャッシュを持たない
  • 一定の間隔でサンプリングして、パケットの先頭 (通常は 256Byte) を collector に export する
  • ヘッダの情報だけではなく、拡張情報を付加できる
    • VLAN や nexthop など
    • すべての exporter が拡張情報を付加できるわけではない
  • バージョン
    • v4 か v5 が一般的
  • collector
    • sflowtool、ntop