高機能GenieATM 6000シリーズに関するよくあるお問い合わせ(FAQ)
- NetFlowって何ですか?
- sFlowって何ですか?
- NetFlowやsFlowといったフロー・プロトコルとSNMPとの違いは何ですか?
- NetFlowをenableにするとどれくらいルータに負荷がかかりますか?
- GenieATMのSPモデルとEPモデルの違いは何ですか?
- SPモデルは必ずコントローラとコレクターを別々に用意する必要がありますか?
- 性能の指標になっているsession / secは何を表している数ですか?
- 90,000 session / secは実際にbpsでいうとどれくらいのトラフィック量に相当しますか?
- どれくらいのサンプリング・レートが適切ですか?
- データはどれくらいの期間溜めることができますか?
- 1台のGenieATMで何台までのルータ・スイッチ類を管理することができますか?
- ネットワークにある機器すべてでNetFlow / sFowをenableにしなければいけませんか?
- 接続実績のあるルータ・スイッチ類にはどのようなものがありますか?
- GenieATMにログインできないのですが・・。
- Ethernetインターフェースが2つありますが、使用方法に制限がありますか?
- GenieATMに対するアクセス制限をしたいのですが、どのようにすれば良いのでしょう?
Q. NetFlowって何ですか?
Cisco Systemが開発したプロトコルで、ルータ・スイッチがフロー(トラフィック)に関する情報を外部の機器(コレクター)に伝えることができる仕組みを提供します。現在、Cisco Systems, Juniper Networks, AlaxalA Networksなどの機器がNetFlowをサポートしています。NetFlowには幾つかバージョンがあります。 GenieATMがサポートしているNetFlowのバージョンは、V1, V5, V7, V9です。
Q. sFlowって何ですか?
主にNetFlowに対抗する形で、Cisco Systems以外のベンダーを中心にサポートされたプロトコルです。パケットをサンプリングして、パケットの先頭(通常256バイト)の情報を外部の機器(コレクター)に伝えることができるので、コレクターはフローに関する分析を行うことができます。また、パケットの先頭情報だけではなく、他の情報についても幾つか送ることができます。現在、Foundry Networks, Extreme Networks, Fource10 Networks, AlaxalA Networksらの機器がsFlowをサポートしています。NetFlowと同様、sFlowにも幾つかバージョンがあります。GenieATMがサポートしているsFlowのバージョンはV4およびV5です。
Q. NetFlowやsFlowといったフロー・プロトコルとSNMPとの違いは何ですか?
基本的にSNMPが教えてくれるトラフィック情報は、インターフェースに関連した情報(インターフェースを通過したパケット数やバイト数、など)のみです。つまりOSIネットワーク参照モデルでいうところの「第2層」の情報しか教えてくれません。例えば、ネットワークにどんなアプリケーションのトラフィックが流れているか、や、誰と誰(どのIPアドレス間)がもっとも多くのトラフィックをやり取りしているか、といった「第3層」・「第4層」の情報はSNMPでは取ることができません。また、通信キャリアやISPにとって、どのASからどのASにトラフィックがどれくらい流れているかを把握するピアリング分析は大きな課題ですが、SNMPはこのような情報も教えてはくれません。
NetFlowやsFlowといったプロトコルを使うと上記のような情報を取得することができます。NetFlowやsFlowはSNMPよりはるかに多くのことを伝えてくれますが、必ずしもSNMPを置き換えるものではなく、少なくとも当面の間は両プロトコルが相補的に使われていくことになるでしょう。GenieATMもNetFlow, sFlowだけでなく、SNMPも積極的に利用してネットワーク管理上必要となる情報を網羅的に提供するようになっています。
Q. NetFlowをenableにするとどれくらいルータに負荷がかかりますか?
基本的にはNetFlowをサポートするルータ・スイッチの実装次第です。以前は、NetFlowをenableにすることによって発生するCPUオーバーを心配してNetFlowの使用が敬遠される傾向がありましたが、最近はNetFlowの処理が徐々にハードウェア化されてきており、それほど大きなCPUオーバーヘッドなしにNetFlowを利用できるようになってきています。
例えばCisco 12000で100:1のサンプリングをした場合には3%程度のオーバーヘッドがあるとされています(詳しくはNetflow Performance Analysis [Cisco IOS NetFlow]を参照してください)。その他のベンダーの製品については各ベンダーにお問い合わせください。
Q. GenieATMのSPモデルとEPモデルの違いは何ですか?
SPモデルは主にキャリアやISPをターゲットにしたモデルなのに対し、EPモデルは主に企業をターゲットにしたモデルになっています。機能的には、EPモデルはSPモデルからASやBGPに関連する機能を除いたものになっています。また、EPモデルはコントローラ、コレクターで機種が分かれていません(一台でコントローラ、コレクターの両方の役割を持つ)。その他の部分はほぼ同等です。
Q. SPモデルは必ずコントローラとコレクターを別々に用意する必要がありますか?
そのようなことはありません。コントローラはコレクターの 機能も包含していますので、性能的あるいはネットワーク・トポロジー的に可能であれば一台のコントローラのみで運用していただくことが可能です。
Q. 性能の指標になっているsession / secは何を表している数ですか?
NetFlowやsFlowのパケット(PDU)には、「フロー・レコード 」と呼ばれるトラフィックのフローに関する情報が含まれています。1つのNetFlowまたはsFlowのパケットには1つ以上のフローレコードが含まれます。GenieATMの性能値として使っているsession / secは、このフロー・レコードを一秒当たりにどれくらいGenieATMが処理することができるか、を示したものです。
Q. 90,000 session / secは実際にbpsでいうとどれくらいのトラフィック量に相当しますか?
一概に言うのは難しいです。さまざまな条件が絡んでくるためです。流れているトラフィックの特性(P2Pトラフィックのように長寿命なフローと、一般的な短寿命なフローの割合、等)、サンプリング・レート、使用するフロー技術(NetFlow or sFlow)などによって変わってきます。
例えば、NetFlowを使用し、フローの平均サイズを1000バイト/フロー、サンプリングレートを1/1000とした場合、90,000 session / secはおよそ750Gbpsに相当します。 90,000 session / secという値が、今日の通信キャリアや大きなISPのトラフィックにも十分に耐え得る大きな値であることを ご理解いただけると思います。
Q. どれくらいのサンプリング・レートが適切ですか?
これも一概に言うのは難しいです。どのようなサンプリング・レートが適切かは、NetFlow / sFlowをどのような目的に使うかによって異なってきます。 大局的なトラフィック傾向の把握が目的であればサンプリング・レートは比較的低めの値でも良いですし、トラフィックの監査やセキュリティー、課金のためなどに使用するのであれば、サンプリング・レートは高値にする必要があるでしょう。また、フローを吐かせるNetFlow / sFlow機器(ルータ、スイッチ)にどれくらいのオーバーヘッドがかかるか、も考慮する必要があります。このように最適なサンプリング・レートは一概に決められませんが、一般的には100:1〜数1000:1の値を使うことが多いようです。
Q. データはどれくらいの期間溜めることができますか?
GenieATMは、2つの目的でディスクを使用します。一つは構成情報やレポート(分析結果)を保存するために使用する「データベース用」、もう一つはNetFlow / sFlowのデータをほぼそのままの形で保存して、あとから分析を行えるようにするための「ローデータ用」です。GenieATMのコントローラ(GenieATM 63XX)は標準で、データベース用に およそ300GB弱(147GB * 3のRAID5構成) 、ローデータ用に147GBの領域を用意しています。GenieATMのコレクター(GenieATM 61XX)は標準でローデータ用に440GB( 147GB * 4のRAID5構成)のディスク領域があります。
各種レポートの保存期間は設定可能になっています。設定された期間保存することができない場合は、古いデータから自動的にパージされていきます。また、ローデータはストレージの許す限り保存することができます。データベースと同様、ディスク容量が足らなくなった場合は自動的に古いデータからパージされていきます。
使い方にもよりますが、通常ローデータ用のディスク領域のほうがデータベース用のディスク領域よりも先に一杯になるので、データの保存可能期間としてはローデータの保存可能期間で見積もるのが安全です。GenieATM上で NetFlow / sFlowの1フローレコードが占めるローデータサイズは96バイトなので、平均1,000 session / secのフローレコードを受け取っている環境ですと、標準構成のGenieATMのコントローラでおよそ3週間程度、コレクターを使う場合には2ヶ月程度のローデータを保存しておくことができることになります。コレクターを複数分散配置すれば、さらに保存可能期間は長くなります。
なお、データベース用、ローデータ用のディスクともに標準のディスク構成で足らない場合には、外部SASディスクを増設したりNFSを使用してディスク容量を増やしていただくことが可能です。
Q. 1台のGenieATMで何台までのルータ・スイッチ類を管理することができますか?
SPモデルのGenieATMは、一台のコレクターで管理することのできるルータ・スイッチは40台までとなっています。また、1台のコントローラ配下に(自分自身を含め)21台までのコレクターを置くことができます。したがって、ネットワーク全体で840台までのルータ・スイッチを管理することができます。
EPモデルのGenieATMでは、GenieATM 6265では20台まで、GenieATM 6233は10台までのルータ・スイッチを管理することができます。EPモデルのGenieATMは、コントローラとしてもコレクターとしても使用できます。EPモデルのGenieATMは1台のコントローラ配下に(自分自身を含め)11台までのコレクターを置くことができます。したがって、ネットワーク全体で220台までのルータ・スイッチを管理することができます。
なお、SPモデルのGenieATMとEPモデルのGenieATMを混在させて使用することはできません。
Q. ネットワークにある機器すべてでNetFlow / sFowをenableにしなければいけませんか?
必ずしもその必要はありません。ただし、GenieATMの持つ優れたネットワークモデリング機能を100%引き出すためには、できるかぎり広範囲の機器でNetFlow / sFlowをenableにすべきです。もちろん、ネットワークの中には、NetFlow, sFlowをサポートしていない機器もあるかと思います。そのような場合でも、うまくネットワークをモデル化してやることで、GenieATMの機能を活かしてやることができます。
Q. 接続実績のあるルータ・スイッチ類にはどのようなものがありますか?
現在、以下のベンダーの機器で接続実績があります(アルファベット順、カッコ内は接続実績のあるフロープロトコル):
- AlaxalA Networks (Hitachi / NEC 含む) [NetFlow V5, V9, sFlow V4]
- Cisco Systems [NetFlow V1, V5, V7, V9]
- Enterasys [NetFlow V5]
- Extreme Networks [NetFlow V1, sFlow V5]
- Force10 Networks [sFlow V5]
- Foundy Networks [sFlow V4, V5]
- Huawei [NetStream]
- Huawei 3Com [sFlow V5]
- Juniper Networks [NetFlow V5]
Q. GenieATMにログインできないのですが・・。
GenieATMは同じユーザ名による2重ログインができないようになっています。万一そのような状態になった場合には、その旨を伝えるポップアップ・ウィンドウが表示されます。ブラウザに組み込まれたポップアップ・ブロック機能が有効になっていると、このポップアップ・ウィンドウが表示されず、2重ログイン状態になっているのに気がつかないかもしれません。ポップアップ・ブロック機能を一時的にオフにするか、GeieATMからのポップアップを許可するようにしてみて下さい。
Q. Ethernetインターフェースが2つありますが、使用方法に制限がありますか?
特に使用方法に制限はありません。1つをフローの受信用、もう一つをマネージメント用に使っても良いですし、1つをフローおよびマネージメント用、もう一つをBGP用に使う、という使い方も可能です。
Q. GenieATMに対するアクセス制限をしたいのですが、どのようにすれば良いのでしょう?
GenieATMのCLIでファイヤーウォールの設定を行ってください。例えば、10.0.0.0/24からのGenieATMへのアクセスを許すが、telnetによるアクセスは禁止する、という場合には以下のような設定を行ってください。
access group 0.0.0.0 netmask 0.0.0.0 tcp 23 deny
access group 10.0.0.0 netmask 255.255.255.0 icmp permit
access group 10.0.0.0 netmask 255.255.255.0 tcp permit
access group 10.0.0.0 netmask 255.255.255.0 udp permit
firewall enable
注意点は以下のとおりです。
- 最後の「firewall enable」コマンドにより、明示的に許可されていないアドレスからのGenieATMに対する incomingパケットはdenyされるようになります(implicit deny all)
- 上のような設定をしてもoutgoingなパケットには制限はかかりません。
- firewall enableコマンドの代わりに明示的にdeny allしても構いませんが、その際はloopback(127.0.0.0/8)に対するpermitを忘れないようにしてください。GenieATM内部の通信はloopbackを使って行っております。loopbackでの通信を止めてしまうとGenieATMは正常に動作しません。
- 設定はこれらのコマンドを投入した直後から有効になります。
