ノンサンプリング フローによるトラフィック監視とネットワークの可視化 トラフィックデータの可視化でネットワーク監視を強化 ~ トラフィック解析ツール ManageEngine NetFlow Analyzer のご紹介 ~ 2008 年 07 月 30 日ユーテン ネットワークス株式会社 / アドベントネット株式会社 1
アジェンダ トラフィックデータの可視化の有用性 フローとは NetFlow Analyzer 機能 参考資料 まとめ 2
アドベントネットのご紹介 当社の概要 自社ソフトウェアパッケージの販売 サポート 米国法人 (Pleasanton) を本社とする日本法人 製品開発の大半をインド開発センター (Chennai) で実施 全社的な規模は 600 名程度 世界中に自社拠点を持つ多国籍企業 特徴 製品企画 開発 販売 保守 サポートなど ソフトウェアパッケージに関連する全業務を自社で実施している 3
商品群 開発者向け ( 開発キット ) 製品 Web NMS Agent Toolkitなど開発支援製品 Simulation Toolkit QEngineなどデータベース関連製品 ( データ移行ツール ) SwisSQLなど 一般企業向け製品 (ManageEngine) OpManager ServiceDesk Plus などセキュリティ関連製品 ScanFi PatchQuest など ASP 関連サービス (Zoho) Zoho CRM Zoho VirtualOffice など 4
トラフィックデータの可視化の有用性 5
第一段階のネットワーク監視 ネットワーク接続状況の監視各エンドに対する IP 死活監視 (PING 等による ) ネットワーク機器 サーバのリソース監視 SNMP telnet SSH 等によるアクセスおよび情報取得 ネットワーク速度の監視 ( トラフィック監視 ) コア - エッジルータ間 ルータ - セグメント間等のスループット計測 (SNMP パケット解析等 ) 主に統合ネットワーク監視ツールの役割 6
ネットワーク速度監視での問題点 Internet 各セグメントについての入出力トラフィックの大きさは分かる Segment 1 各サーバ PC 端末での入出力トラフィックについて どの IP アドレスと どのくらい通信しているか Segment 2 どんなプロトコルが どのくらい通信しているか Segment 3 が容易には分からない!! 7
ネットワーク利用状況の把握 各社員は いつ どのくらいネットワークを使っているか どのようなプロトコル アプリケーションが いつ どのくらい帯域を占有しているか 誰が どのプロトコルが多く帯域を占有しているか (Top Talker) 問題発生時のトラブルシューティングの手段にもなる 帯域は有効利用されているか 帯域は足りているか 必要なアプリケーションが帯域を使えているか 運用コストの管理の観点から重要 8
DDoS 攻撃をどう検知するか DDoS(=Distributed Denial of Service) Attack = 分散型サービス拒否攻撃 = 複数の IP アドレスからの一斉通信による高負荷攻撃 サーバの実行パフォーマンスやネットワーク速度の低下を検知したとき その原因をすぐに探れるか 通信の状況 ( どこから どこへ向けての通信か ) を容易に把握する手段が必要 9
日々のトラフィック監視の積み重ね 通常業務時のトラフィック状況を知る いつ どこで トラフィックが発生するか 異常発生の検知 長期間のトラフィック監視 キャパシティ プランニング 10
フローとは 11
フロー IP フロー : 以下の値の指定された 一方向のパケットの流れ 送信元 & 宛先 IP アドレス 送信元 & 宛先ポート プロトコルタイプ (L3) ToS バイト 入力論理 IF フロー :IP フローをキャプチャーし キー フィールド毎にサマライズして トラフィック量を求めたデータ フローの例 NetFlow (Cisco) sflow (Inmon) NetStream (Huawei/H3C) J-Flow(Juniper) IPFIX(RFC3917 et al) その他 キー フィールド 12
NetFlow の概要 NetFlow:Cisco が開発したトラフィック情報を通知するプロトコル (IOS 上アプリケーション ) NetFlow データのキー項目 送信元 IP アドレス ( トラフィックの起点 ) 宛先 IP アドレス ( トラフィックの終点 ) 送信元ポート番号 宛先ポート番号など どこから どこまで流れたトラフィックなのか指定 NetFlow データのトラフィック量項目 パケット数 レイヤー 3のバイト数 ( パケット中のデータ量 ) NetFlowのエクスポート どのくらいの量のトラフィックかを表示 UDP に乗せて送信 13
NetFlow の利用目的 項目 ネットワーク帯域監視 アプリケーション監視 / プロファイリング ユーザ監視 / プロファイリング ネットワーク計画 セキュリティ解析 課金 / 請求 NetFlow データウェアハウス / データマイニング 概要リアルタイム帯域監視アプリ毎のネットワーク使用状況把握主にユーザのネットワーク使用状況把握 QoS 評価と変更 拡張計画 DDos 攻撃などの検知課金 / 請求の基本データ長時間帯域情報の詳細分析 14
フロー エクスポータ / コレクタ フロー エクスポータ : フローをエクスポートする装置 スイッチ ルータ フローをサポートする機器では フローをコンソールから参照するか 外部にエクスポートして利用する フロー エクスポート専用アプライアンス フローをサポートする機器がない環境で トラフィックをタップから引き込むか スイッチ ルータのミラーリングポートからの入力を受けつけることにより トラフィックをキャプチャー 解析し フローを外部にエクスポートする 例 : ユーテンネットワークス GigaProbe/GigaLogger 1000 ログイット LG-Probe フロー コレクタ : フローを受信し 解析 可視化する装置あるいはツール は フロー コレクタのひとつです 15
GigaProbe と NetFlow Analyzer の連携 U10 Networks GigaProbe LAN IF Capturing IF NetFlow Traffic Data Router Mirroring Port 2 つの IF として表示されるドリルダウンで詳細解析 0 Kbps 0 Kbps 25.53 Kbps 16
NetFlow Analyzer の概要 17
NetFlow の利用目的 項目 ネットワーク帯域監視 アプリケーション監視 / プロファイリング ユーザ監視 / プロファイリング ネットワーク計画 セキュリティ解析 課金 / 請求 NetFlow データウェアハウス / データマイニング 概要リアルタイム帯域監視アプリ毎のネットワーク使用状況把握主にユーザのネットワーク使用状況把握 QoS 評価と変更 拡張計画 DDos 攻撃などの検知課金 / 請求の基本データ長時間帯域情報の詳細分析 NetFlow Analyzer でカバー可能な範囲 主に 一般企業向け 18 Copyright 2007 Adventnet K.K. All Rights Reserved.
NetFlow Analyzer とは NetFlow Analyzer: 各種フローデータを受信し トラフィックデータを表示するソフトウェア Professional Edition 対応フロー フローの流れ ルータスイッチ NetFlow (v.5 v.7 v.9) sflow (v2 v4 v5) IPFIX, cflowd, J-Flow, NetStream rflow 装置側でエクスポート先を指定 NFA サーバ 対応 OS Windows Linux ブラウザで監視!! 管理者 19
NetFlow Analyzer とは Enterprise Edition 複数の Remote Collector とひとつの Central Server との 2 階層構成 大規模監視向け ( 国内では 英語版のみ販売 ) 対象フロー対応 OS は Professional Edition と同じ 管理者 20 Copyright 2007 Adventnet K.K. All Rights Reserved.
インターフェース毎で帯域詳細を監視 ルータ スイッチ 物理ポート1 物理ポート2 物理ポート3 VLAN1 VLAN2 物理ポート 1 上の IN/OUT トラフィック量 物理ポート 2 上の IN/OUT トラフィック量... フローのエクスポートを各々の IF 上で有効化する 内訳として 送信元 / 宛先 IP アドレス別トラフィック量 アプリケーション別トラフィック量 誰が / 何が帯域を使っているか 21
グループ毎で帯域詳細を監視 装置グループ ルータ スイッチのグループ IP グループ IF グループ 通信の送信元 / 宛先に関する IP アドレス ネットワークアドレスに関するグループ フローのエクスポートを有効化しているインターフェースに関するグループ 作成したグループの範囲内でトラフィック情報は サマライズされる 拠点の建物 フロアで分類して 監視!! 部門 部署などで分類!! 22
ネットワークが重くなった場合の使用例 帯域使用率のしきい値ベースアラートで気付くことも可能 (1) トラフィック使用率を確認すると 過去数時間で使用率が高いことを発見 ( インターフェース名 トラフィック使用率 ) (2) アプリケーションごとの使用率を確認すると http の使用率が非常に高いことを発見 ( インターフェース名 アプリケーション ) (3) トラフィックの多い IP を特定 ( アプリケーション名 通信 ) 23 Copyright 2008 AdventNet K.K. All Rights Reserved
長期間でのトラフィック変化の分析 過去 3 か月 1 日過去 1 週間過去 1 ヶ月間過去 3 ヶ月間のトラフィック変化を表示することにより 比較的長期間での傾向や変化を知ることができる 過去 1 か月 ネットワーク帯域増強のプランニングに役立てられる 24
ズームアップ機能 ドラッグして範囲指定 拡大表示 ( 最小粒度 1 分 ) 25
ネットワークスナップショット ネットワーク利用状況を概観するための新しい画面 Release 7 でサポート 速度によるトップ装置 速度によるトップインターフェース 使用率によるトップインターフェース 速度によるトップ IP グループ 仕様率によるトップ IP グループ 26
QoS タブ Release 7 でサポート DSCP 値によるトラフィックの内訳 各 DSCP 値リンクをクリックすると さらに内訳のフローリストを表示 DSCP= Differentiated Services Code Point IP ヘッダー中のパケット転送優先順位などを指定する 6 ビットのフィールド 27
QoS タブ ToS 値によるトラフィックの内訳 Release 7 でサポート 各 ToS 値リンクをクリックすると さらに内訳のフローリストを表示 28
比較レポート 選択した時間帯での 同一時間帯で複数装置を比較 Release 7 でサポート 29
比較レポート 毎時毎日毎週毎月 選択した期間での 異なる時間帯で同一インターフェースを比較選択した時間帯での 同一時間帯で複数装置を比較 Release 7 でサポート 30
スケジュールレポート インターフェース IP グループが対象 日次 週次 月次 指定日時 メールにレポート (PDF) を添付して送付 31
アプリケーション関連付け ポート番号 プロトコル名 IP アドレス アプリケーションのマッピング 追加 変更 削除も可能 32
アラート設定 ( しきい値ベース ) [ アラートプロファイルの追加 ] 画面 IF の選択 ( デフォルトは全 IF) 対象とするトラフィックの向きの選択 しきい値設定は任意に増やせる ポートかアプリでの絞り込みが可能 帯域使用率 :t 分間に x% を n 回超えたらアラート生成 アラート重要度 :3 段階アクション : メール送信 SNMP トラップ (v1) 33
NBAR 対応 NBAR=Network Based Application Recognition トラフィック中の L4 L7 のアプリケーションを識別する Cisco 独自の技術 目的は ミッションクリティカルな上位アプリケーションの QoS 管理 での NBAR 対応 NetFlow エクスポートを有効化されている IF で NBAR も機能している場合 NetFlow 受信 IF 認識 認識した IF に対して SNMP 問い合わせ NBAR 対象のアプリの帯域情報取得 ミッションクリティカルなアプリが必要な帯域を確保しているかを確認できる!! 34
参考資料 35
NetFlow Analyzer の性能 Professional Edition Enterprise Edition IF 数 600IF まで 20,000IF まで 処理可能フロー数 15,000フロー / 分まで 15,000フロー / 分まで ( ひとつのRemote Collector) 対象単一サイト大規模 分散環境 36
NetFlow Analyzer のデータ管理 データベースとして MySQL を同梱 ローデータ ( 生のデータ ) を格納 ( 最長 1 ヶ月まで保存可能 ) 時間が経ったデータは 丸めていく バイナリファイルで 入力 / 出力トラフィックデータを 1 分粒度で 1 年間まで保持 1 年以内のデータであれば 丸められたトラフィックデータも 1 分粒度まで表示可能 トラフィックの時間変化グラフ中で 丸め処理の入った部分をドラッグして放すと その部分が拡大されて粒度を細かくして表示する データベースのバックアップは BackupDB.bat 実行により取得 リストアは NetFlow Analyzer を新規にインストールして行うのみ 37
データの丸め仕様 ( テーブル ) 粒度トラフィック ( 送信元 宛先 ) アプリ 送信元 宛先 通信 10 分 30 時間 25 時間 1 時間 32 日間 32 日間 6 時間 32 日間 32 日間 24 時間 92 日間 90 日間 1 週間永久 (*) 永久 (*) (*)1 週間粒度のデータは削除されません しかし このデータについては 1IF あたり 150MB 程度確保しておけば 機器のリプレース期間を考えると 事実上 問題ありません 38
データの丸め仕様 ( レポート表示 ) 過去 1 日のレポート 期間 トラフィックタブ アプリ 送信元 宛先 通信 過去 2 時間未満 1 分粒度 1 分粒度 過去 6 時間未満 1 分粒度 10 分粒度 過去 24 時間 1 分粒度 1 時間粒度 過去 1 週間のレポート 期間 トラフィックタブ アプリ 送信元 宛先 通信 過去 2 時間未満 1 分粒度 1 分粒度 (*) 過去 12 時間未満 1 分粒度 1 時間粒度 過去 7 日間 1 時間粒度 6 時間粒度 (*) もし ローデータテーブルがなければ 1 時間粒度 39
データの丸め仕様 ( レポート表示 ) 過去 1 ヶ月のレポート 期間 トラフィックタブ アプリ 送信元 宛先 通信 過去 2 時間未満 1 分粒度 1 分粒度 (*) 過去 24 時間未満 1 分粒度 1 時間粒度 過去 30 日間 1 時間粒度 6 時間粒度 (*) もし ローデータテーブルがなければ1 時間粒度過去 4 半年のレポート 期間 トラフィックタブ アプリ 送信元 宛先 通信 過去 24 時間未満 1 分粒度 24 時間粒度 過去 4 半年間 24 時間粒度 24 時間粒度 40
まとめ 41
まとめ Windows Linux 環境にインストール可能なソフトウェア 分かりやすい GUI シンプルな機能で 低価格 日本語化されている NetFlow sflow IPFIX など複数フローに対応 NBAR 対応 一般企業での帯域監視向き 42
最後に 無料評価版で 30 日間 評価いただけます!! 以下の URL からダウンロードできます NetFlow Analyzer 評価版 http://www.adventnet.co.jp/products/netflow_analyzer/download.html NetFlow Analyzer 対応機器 http://www.adventnet.co.jp/products/netflow_analyzer/supported-devices.html 43
おわり ありがとうございました 44