NetFlowネタ

先日経験したNetFlowネタをひとつ。
 
GenieATMでフローを見ていたら、かけているトラフィックからすると ICMP Echo Request と Reply が両方見えてしかるべきなのに、なぜか ICMP Echo Reply しか見えません。「バグ??」って一瞬焦りましたが、原因は Exporter 側にありました。
 
使っていたのは Juniper ですが、Juniper の NetFlow (彼等は cflowd と呼んでいます)の実装は、ICMPに関するフローレコードを出すときに ICMP の Type と Code をポート番号にマップして載せてくれないようで、ポート番号のフィールドは 0 で埋められて出てきます。Cisco はこのようなマップをしてくれるようになっているので、GenieATM はそれを元に ICMP の種類を判定しています。Type=0, Code=0 は ICMP Echo Reply なので、GenieATM ではすべて ICMP Echo Reply に見えてしまった、という次第。
 
この辺は微妙に各社ベンダーごとに実装が異なるんですね!

「NetFlowネタ」への1件のフィードバック

  1. 勉強になりました。
    ここらへんの議論はどっかで目にしたようなしていないような・・・

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください