フロー監視バージョン5フォーマット出力フィールド

バージョン5のパケット形式とフィールドの詳細な説明を以下の図と表に示します。

図1
表1
図2
表2

図1:バージョン5のパケットヘッダーフォーマット version 5 packet header showing fields: Version, Count, sysUptime, UNIX seconds, UNIX nanoseconds, Flow sequence number, Engine type, Engine ID, and Reserved.

version 5 packet header showing fields: Version, Count, sysUptime, UNIX seconds, UNIX nanoseconds, Flow sequence number, Engine type, Engine ID, and Reserved.

表1:バージョン5のパケットヘッダーフィールドをエクスポートする
フィールド	説明	コメント
`Version`	5	–
`Count`	プロトコルデータユニット(PDU)またはパケット内のレコード数	–
`sysUptime`	ルーターの起動から経過した現在の時間(ミリ秒単位)	–
`UNIX seconds`	1970年0000 UTC以降の現在の秒数	NTP同期時間。各サービスPICのクロックは、シャーシ内のPIC間で自律的(200〜400ミリ秒のジッター)です
`UNIX nanoseconds`	1970年0000 UTC以降の残差ナノ秒	UNIX秒については上記のコメントを参照してください
`Flow sequence number`	受信した総フローのシーケンス番号	–
`Engine type`	ユーザー設定の8ビット値	他のベンダーの機器ではVIPタイプとも呼ばれます
`Engine ID`	ユーザー設定の8ビット値	–

図2:バージョン5のフローエクスポートフローヘッダーフォーマット Version 5 record structure for network monitoring; fields include source/destination IP, ports, packet count, and protocol type.

Version 5 record structure for network monitoring; fields include source/destination IP, ports, packet count, and protocol type.

表2:バージョン5のエクスポートフロー-エクスポートフローヘッダーフィールド
フィールド	説明	コメント
`Source IP address`	フローの送信元IPアドレス	–
`Destination IP address`	フローの宛先IPアドレス	–
`Next-hop IP address`	フローが転送されるルーターのIPアドレス	–
`Input ifIndex`	ルーターがフローを受信する入力インターフェイスのSNMPインデックス値	動的に挿入されるが、手動設定によって上書きされる
`Output ifIndex`	ルーターがフローを転送する出力インターフェイスのSNMPインデックス値	動的に挿入されるが、手動設定によって上書きされる
`Packets`	フローで受信したパケットの合計数	–
`Bytes`	フローで受信した合計バイト数	–
`Start time of flow`	フロー開始時のシステム稼働時間(秒単位)	サービスPIC受け入れフローのシステム稼働時間
`End time of flow`	フロー終了時のシステム稼働時間(秒単位)	サービスPIC受け入れフローのシステム稼働時間
`Source port`	送信元アプリケーションポート	–
`Destination port`	宛先アプリケーションポート	ICMPタイプは上位バイトに配置され、ICMPタイプコードはこのフィールドの下位バイトに配置されます
`TCP flags`	フローに設定されたTCPフラグ	–
`IP protocol`	IPプロトコル番号	–
`TOS`	IPサービスの種類	–
`Source AS`	送信元アドレスのAS番号	AS情報が利用可能な場合に動的に挿入されます
`Destination AS`	宛先アドレスのAS番号	AS情報が利用可能な場合に動的に挿入されます
`Source mask length`	送信元アドレスネットワークマスク長	–
`Dest. mask length`	宛先アドレスネットワークマスク長	–
`Padding`	最小パケット長を確保するために使用可能なバイト数	–

フロー監視に役立つ式は次のとおりです。

開始フローのタイムスタンプ絶対値 = UNIXTime x 1000 –(sysUptime – 開始フローのタイムスタンプ)
end flow timestamp absolute = unixTime x 1000 –(sysUptime – end flow timestamp)

注:
エクスポートバージョン5フローエクスポートフローフォーマットの2バイト宛先ポートフィールドには、以下の情報を導き出すことができます。
上位バイト—ICMPタイプ
下位バイト—ICMPタイプコード

例えば、ICMPタイプが3(2進数で00000011)で、ICMPタイプコードがネットワーク到達不能(タイプコード0、または2進数で00000000)の場合、結果として得られる宛先ポートフィールド値は00000011 00000000(10進数で768)になります。

ICMPタイプとタイプコードの詳細については、RFC 792( https://www.ietf.org)を参照してください。