高機能GenieATM 6000シリーズに関するよくあるお問い合わせ(FAQ)
- NetFlowって何ですか?
- sFlowって何ですか?
- NetFlowやsFlowといったフロー・プロトコルとSNMPとの違いは何ですか?
- NetFlowをenableにするとどれくらいルータに負荷がかかりますか?
- GenieATMのSPモデルとEPモデルの違いは何ですか?
- SPモデルは必ずコントローラとコレクターを別々に用意する必要がありますか?
- 性能の指標になっているsession / secは何を表している数ですか?
- 90,000 session / secは実際にbpsでいうとどれくらいのトラフィック量に相当しますか?
- どれくらいのサンプリング・レートが適切ですか?
- データはどれくらいの期間溜めることができますか?
- 1台のGenieATMで何台までのルータ・スイッチ類を管理することができますか?
- ネットワークにある機器すべてでNetFlow / sFowをenableにしなければいけませんか?
- 接続実績のあるルータ・スイッチ類にはどのようなものがありますか?
- GenieATMにログインできないのですが・・。
- Ethernetインターフェースが2つありますが、使用方法に制限がありますか?
- GenieATMに対するアクセス制限をしたいのですが、どのようにすれば良いのでしょう?
Q. NetFlowって何ですか?
Cisco Systems Inc.が開発したプロトコルで、ルータやスイッチがフロー(トラフィック)に関する情報を外部の機器(コレクター)に伝えることができる仕組みを提供します。現在、Cisco Systems, Juniper Networks, AlaxalA Networksなどの機器がNetFlowをサポートしています。NetFlowには幾つかバージョンがあります。 GenieATMがサポートしているNetFlowのバージョンは、V1, V5, V7, V9です。
Q. sFlowって何ですか?
主にNetFlowに対抗する形で、Cisco Systems以外のベンダーを中心にサポートされたプロトコルです。パケットをサンプリングして、パケットの先頭(通常256バイト)の情報を外部の機器(コレクター)に伝えることができるので、コレクターはフローに関する分析を行うことができます。また、パケットの先頭情報だけではなく、他の情報についても幾つか送ることができます。現在、Brocade Communications Systems (旧Foundry Networks), Extreme Networks, Fource10 Networks, AlaxalA Networksらの機器がsFlowをサポートしています。NetFlowと同様、sFlowにも幾つかバージョンがあります。GenieATMがサポートしているsFlowのバージョンはV2, V4およびV5です。
Q. NetFlowやsFlowといったフロー・プロトコルとSNMPとの違いは何ですか?
基本的にSNMPが教えてくれるトラフィック情報は、インターフェースに関連した情報(インターフェースを通過したパケット数やバイト数、など)のみです。つまりOSIネットワーク参照モデルでいうところの「第2層」の情報しか教えてくれません。例えば、ネットワークにどんなアプリケーションのトラフィックが流れているか、や、誰と誰(どのIPアドレス間)が最も多くのトラフィックをやり取りしているか、といった「第3層」、「第4層」の情報はSNMPでは取ることができません。また、通信キャリアやISPにとって、どのASからどのASにトラフィックがどれくらい流れているかを把握するピアリング分析は大きな課題ですが、SNMPはこのような情報も教えてはくれません。
NetFlowやsFlowといったプロトコルを使うと上記のような情報を取得することができます。NetFlowやsFlowはSNMPよりはるかに多くのことを伝えてくれますが、必ずしもSNMPを置き換えるものではなく、少なくとも当面の間は両プロトコルが相補的に使われていくことになるでしょう。GenieATMもNetFlow, sFlowだけでなく、SNMPも積極的に利用してネットワーク管理上必要となる情報を網羅的に提供するようになっています。
Q. NetFlowをenableにするとどれくらいルータに負荷がかかりますか?
基本的にはNetFlowをサポートするルータ・スイッチの実装次第です。以前は、NetFlowをenableにすることによって発生するCPUオーバーを心配してNetFlowの使用が敬遠される傾向がありましたが、最近はNetFlowの処理が徐々にハードウェア化されてきており、それほど大きなCPUオーバーヘッドなしにNetFlowを利用できるようになってきています。
詳しくは各ルータ/スイッチベンダーにお問い合わせください。Cisco Systemsの製品に関してはNetflow Performance Analysis [Cisco IOS NetFlow]を参照してください。
Q. GenieATMのSPモデルとEPモデルの違いは何ですか?
SPモデルは主にキャリアやISP、データセンタをターゲットにしたモデルなのに対し、EPモデルは主に企業をターゲットにしたモデルになっています。機能的には、EPモデルはSPモデルからASやBGPに関連する機能を除いたものになっています。また、EPモデルはコントローラ、コレクターで機種が分かれていません(一台でコントローラ、コレクターの両方の役割を持つ)。その他の部分はほぼ同等です。
Q. SPモデルは必ずコントローラとコレクターを別々に用意する必要がありますか?
そのようなことはありません。コントローラはコレクターの 機能も包含していますので、性能的あるいはネットワーク・トポロジー的に可能であれば一台のコントローラのみで運用していただくことが可能です。
Q. 性能の指標になっているsession / secは何を表している数ですか?
NetFlowやsFlowのパケットには、「フロー・レコード 」と呼ばれるトラフィックのフローに関する情報が含まれています。1つのNetFlowまたはsFlowのパケットには1つ以上のフローレコードが含まれます。GenieATMの性能値として使っているsession / secは、このフロー・レコードを一秒当たりにどれくらい処理することができるか、を示したものです。
Q. 90,000 session / secは実際にbpsでいうとどれくらいのトラフィック量に相当しますか?
一概に言うのは難しいです。さまざまな条件が絡んでくるためです。流れているトラフィックの特性(P2Pトラフィックのように長寿命なフローと、一般的な短寿命なフローの割合、等)、サンプリング・レート、使用するフロー技術(NetFlow or sFlow)などによって変わってきます。
例えば、NetFlowを使用し、典型的なインターネット的トラフィック特性を仮定、サンプリングレートを1/1000とした場合、90,000 session / secはおよそ750Gbpsに相当します。 90,000 session / secという値が、今日の通信キャリアや大きなISPのトラフィックにも十分に耐え得る大きな値であることをご理解いただけると思います。
Q. どれくらいのサンプリング・レートが適切ですか?
サンプリングによる誤差は、どれだけ多くのサンプルを集める事ができるか、によって決定されます。サンプリングレート自体が重要なわけではありません。従って、トラフィックが多く流れている所ではサンプリングレートは低くても良いでしょうし、トラフィックがさほどないところでは、高いサンプリングレートを適用しないと十分な精度が得られない場合もあります。このサンプリングレートであれば大丈夫、というような「万能なサンプリングレート」は存在しない、ということです。ご要望の誤差範囲内に収めるために必要となるサンプル数については、「パケットサンプリングの基礎知識」を参照して下さい。これによって自ずと適切なサンプリングレートが導けると思います。
ここまではサンプリング理論に基づく話ですが、実際にはこのような理論以外にも考慮すべき点がいくつかあります。
一つは、フローを使ってトラフィックを分析する目的です。大局的なトラフィック傾向の把握が目的であればサンプリング・レートは比較的低めの値でも良いでしょうし、トラフィックの監査やセキュリティー、課金のためなどに使用するのであれば、サンプリング・レートは高値にする必要があるでしょう。また、フローを吐かせるNetFlow / sFlow機器(ルータ、スイッチ)にどれくらいのオーバーヘッドがかかるか、も考慮すべき点です。
このように最適なサンプリング・レートは一概に決められるものではありませんが、一般的には1/100~1/数1000くらいの値を使うことが多いようです。
Q. データはどれくらいの期間溜めることができますか?
GenieATMは、主に2つの目的でディスクを使用します。一つは構成情報やレポート(分析結果)を保存するために使用する「データベース用」、もう一つはNetFlow / sFlowのデータをほぼそのままの形で保存して、あとから分析を行えるようにするための「ローデータ用」です。GenieATMのコントローラ(GenieATM 63XX)は標準で、データベース用に およそ300GB弱(147GB * 3のRAID5構成) 、ローデータ用に147GBの領域を用意しています。GenieATMのコレクター(GenieATM 61XX)は標準でローデータ用に440GB( 147GB * 4のRAID5構成)のディスク領域があります。
基本的にディスク容量に余裕がある限りはレポートデータはデータベースに保存されていきます。ディスクに余裕がなくなった場合には、自動的に古いデータからパージ(削除)されていきます。ローデータもストレージ容量の許す限り保存することができ、データベースと同様、ディスク容量が足らなくなった場合は自動的に古いデータからパージされていきます。
使い方にもよりますが、通常ローデータ用のディスク領域のほうがデータベース用のディスク領域よりも先に一杯になるので、データの保存可能期間としてはローデータの保存可能期間で見積もるのが安全です。GenieATM上で NetFlow / sFlowの1フローレコードが占めるローデータサイズは96バイトなので、平均1,000 session / secのフローレコードを受け取っている環境ですと、標準構成のGenieATMのコントローラでおよそ3週間程度、コレクターを使う場合には2ヶ月程度のローデータを保存しておくことができることになります。コレクターを複数分散配置すれば、さらに保存可能期間は長くなります。
なお、データベース用、ローデータ用のディスクともに標準のディスク構成で足らない場合には、外部SASディスクを増設したりNFSを使用してディスク容量を増やしていただくことが可能です。
Q. 1台のGenieATMで何台までのルータ・スイッチ類を管理することができますか?
SPモデルのGenieATMは、一台のコレクターで管理することのできるルータ・スイッチは100台までとなっています。また、1台のコントローラ配下に(自分自身を含め)21台までのコレクターを置くことができます。したがって、ネットワーク全体で2100台までのルータ・スイッチを管理することができます。
EPモデルのGenieATMでは、GenieATM 6265では40台まで、GenieATM 6233は20台までのルータ・スイッチを管理することができます。EPモデルのGenieATMは、コントローラとしてもコレクターとしても使用できます。EPモデルのGenieATMは1台のコントローラ配下に(自分自身を含め)11台までのコレクターを置くことができます。したがって、ネットワーク全体で440台までのルータ・スイッチを管理することができます。
なお、SPモデルのGenieATMとEPモデルのGenieATMを混在させて使用することはできません。
Q. ネットワークにある機器すべてでNetFlow / sFowをenableにしなければいけませんか?
必ずしもその必要はありません。外部とのトラフィックのやりとりだけに関心がある場合であれば、外部との境界にあるルータ(ボーダールータ)だけでフローをenableにすれば良いです。
ただし、GenieATMの持つ優れたネットワークモデリング機能を100%引き出すためには、できるかぎり広範囲の機器でNetFlow / sFlowをenableにすべきです。もちろん、ネットワークの中には、NetFlow, sFlowをサポートしていない機器もあるかと思います。そのような場合でも、うまくネットワークをモデル化してやることで、GenieATMの機能を活かしてやることができます。
Q. 接続実績のあるルータ・スイッチ類にはどのようなものがありますか?
現在、以下のベンダーの機器で接続実績があります(アルファベット順、カッコ内は接続実績のあるフロープロトコル):
- AlaxalA Networks (Hitachi / NEC 含む) [NetFlow V5, V9, sFlow V4]
- Brocade Communications Systems (旧Foundry Networks) [sFlow V4, V5]
- Cisco Systems [NetFlow V1, V5, V7, V9]
- Enterasys [NetFlow V5]
- Extreme Networks [sFlow V5]
- Force10 Networks [sFlow V5]
- Hitach Cable [sFlow V5]
- Huawei [NetStream]
- Huawei 3Com [sFlow V5]
- Juniper Networks [NetFlow V5, V9]
Q. GenieATMにログインできないのですが・・。
GenieATMはデフォルトでは同じユーザ名による2重ログインができないようになっています。万一そのような状態になった場合には、その旨を伝えるポップアップ・ウィンドウが表示されます。ブラウザに組み込まれたポップアップ・ブロック機能が有効になっていると、このポップアップ・ウィンドウが表示されず、2重ログイン状態になっているのに気がつかないかもしれません。ポップアップ・ブロック機能を一時的にオフにするか、GeieATMからのポップアップを許可するようにしてみて下さい。なお、ソフトウェアバージョン5.3.3以降では、2重ログインを許可することができるようになっています。
Q. Ethernetインターフェースが2つありますが、使用方法に制限がありますか?
特に使用方法に制限はありません。1つをフローの受信用、もう一つをマネージメント用に使っても良いですし、1つをフローおよびマネージメント用、もう一つをBGP用に使う、という使い方も可能です。例外はVRRPです。VRRPはEthernet 0側にしか設定することができません。
Q. GenieATMに対するアクセス制限をしたいのですが、どのようにすれば良いのでしょう?
GenieATMのCLIでファイヤーウォールの設定を行ってください。例えば、10.0.0.0/24からのGenieATMへのアクセスを許すが、telnetによるアクセスは禁止する、という場合には以下のような設定を行ってください。
access group 0.0.0.0 netmask 0.0.0.0 protocol tcp 23 deny
access group 10.0.0.0 netmask 255.255.255.0 protocol ip permit
firewall enable
注意点は以下のとおりです。
- 最後の「firewall enable」コマンドにより、明示的に許可されていないアドレスからのGenieATMに対する incomingパケットはdenyされるようになります(implicit deny all)
- 上のような設定をしてもoutgoingなパケットには制限はかかりません。
- VRRPを使う場合は "protocol vrrp" を明示的に許可して下さい。
- 設定はこれらのコマンドを投入した直後から有効になります。
