Transcription
sFlow / NetFlowInMon ��と管理出野 真也IDENO@flownetsecure.com1
�ージメントとは– ��認識し分析すること Source / Destination Address Source / Destination Port 番号 Protocol Interface TOS ( IP type of service ) / Priority ( 802.1p ) VLAN (802.1Q) AS番号次のような分析が可能– なぜ、ネットワークが遅いのか?– �が何をしているか?– � �� �ャスト通信は、どの程度?2
�ジー- �� � :Open Standard – IETF RFC3176(sFlow V4) ry standard) ��ースを測定 � �ンスへの影響が少ない– �ィックのモニタリングに効果的– (デバイス側でフローを生成) ��– �のASICにて処理 ��– �ない 応デバイスであれば即座に使用可能3
sFlowデータグラム・フォーマットsFlow DatagramPacket Header Src/Dst i/fSampling PermsForwardinguser IDURLi/f countersFlow sample (フローデータ)– Packet Header : �情報(一部ペイロード含む)– Src/Dst i/f : 入出力インターフェースのifIndex– Sampling Perms : sFlowパラメーター(Sampling Rate,Sampling Pool etc)– Forwarding Priority ( Src/Dst 802.1p/TOS) VLAN ( Src/Dst 802.1q) Next hop address Source AS, Source Peer AS Destination AS Path Communities, local preference MPLS– User ID : Src/Dst RADIUS/TACACS– URLSNMP Counter Sample (SNMP カウンター 値)– i/f counters : �値4
��A10 Networks , ADARA Networks , Aerohive , AlaxalA Networks,Alcatel-Lucent Enterprise , Allied Telesis , Arista Networks , AT&T , ArubaBig Switch Networks , Black Box Network Services , Brocade,Cameo Communications , Cisco , Comtec Systems , Cumulus NetworksDax Networks , Digital China Networks (DCN) , Dell , D-Link , DrayTek Corp.Edge-Core Networks , Enterasys , Extreme Networks , F5 , FortinetGambit Communications , Hewlett-Packard , Hitachi , Huawei , IBM , IP InfusionITS Express , Juniper Networks , LANCOM Systems , LevelOne ,LG-ERICSSON , Maipu , Mellanox , MRV , NEC , NETGEAR , Nevion ,Open vSwitch , Overture Networks , Pica8 , Plexxi , Pluribus Networks ,Proxim Wireless , Quanta Computer , Radisys Corporation , Silicom Ltd. ,SMC Networks , Themis Computer , Vyatta , Xenya ,XRoads Networks , ZTE , ZyXEL , and . InMon ベンダーにご確認ください。5
�術http://www.sflow.org6
ーでの実装が進んでいる7
etFlow/J-Flow/IPFIX)実装メーカー※ �ベンダー様へご確認下さい8
sFlow:トラフィック量の計算 �レーム数やバイト数を導き出す �力したフレームの総数 N総サンプル数 ��プル数 ��り計算 :cNc n N例:入力したフレームの総数 1,000,000サンプリングレート 0.25%総サンプル数 2,500Voiceトラフィックのサンプル数 ��ーム数は:1,000 1,000,000 �が発生 �把握9
)サンプリングの誤差 �プル数 5%信頼区間)100%% Error 196 % ��プル数95%信頼区間計算式 :%error 196 1c1 6.2%1,000表示された“400,000 フレーム”に対し95%信頼区間では、 フレーム(Lower) 424,800フレーム(Upper)となる。 6.2%400,000フレーム-6.2%10
sFlow:サンプリング分析のコンセプト �関係 (トラフィック 分析対象トラフィック)– トラフィックが多い 誤差は少ない / トラフィックが少ない 誤差は大きい 誤差を少なくするには?– 対象となるフローを増加( �象期間を延ばす? ) 誤差を少なくする分析– 撃 �ムでも誤差は少ない– ��など) �イムでは誤差が大きい 少なくなる– サンプリング分析のコンセプト �なく、リアルタイム性も保たれる �を延ばし、誤差を低減 �ーク・パフォーマンスの悪化を防ぐ 11
NetFlow Cisco NetFlow Ciscoが開発した技術– �を提供– エクスポートされたNetFlow 能– NetFlow が出力する基本データは、「フロー レコード」と呼ばれる– バージョン1,5,7,8,9が存在– 格として浸透)– された情報として送られる �“Sampled NetFlow”も用意されている–Sampled NetFlow �る「x」個の IP パケットごとに 1 �。サンプリング パケットは、ルータの NetFlow フロー キャッシュに取り込まれます。 このサンプリング �対して NetFlow ��になり、NetFlow パケットの処理に要する CPU scoマニュアルより」抜粋)12
NetFlow フロー– lowキャッシュ内でカウント– 条件)でエクスポートフロー ( 7つのキー )SourceIP AddressSourcePortDestinetionIP AddressDestinetionPortLayer 3プロトコル・タイプTOS byteインターフェース( ifIndex ) �– �ト:15秒) ��エクスポート コマンド ” ip flow-cache timeout inactive 15 “で設定– �30分) ��エクスポート コマンド ” ip flow-cache timeout active 30 “で設定– �– NetFlowキャッシュがフル13
sFlow vs NetFlow sFlow– ��オープンな規格)– サンプリングベース– 対象レイヤー:L2-L7 Payload– �を目的に開発 WANのモニタリング(BGP AS path 分析)– 全インターフェースをモニター– ionAS Path)NetFlow– RFC3954として公開(Cisco色が強い)– キャッシュベース– 対象レイヤー:L3-L4– �リース �実装)– �ー– AS分析(SourcePeerAS/DestPeerAS)14
InMonTrafficSentinelのご紹介Complete Network Visibility and Control- ワークの可視化と管理 sFlow / NetFlow / J-Flow / IPFIX etc �- ネットワーク全体を常時監視 5
日本語版の提供InMon Traffic として提供します16
Traffic Sentinel ��タス全てのグループ(拠点、組織 �ートしきい値超過17
Traffic ョンの把握18
Traffic ルダウンIP src, dst TCP port19
Traffic ケーション20
Traffic ース21
SNMPカウンター情報 では、十分ではない �知らせるが、原因はわからない ��コルURLMemcache keys ��る ��集することができるか? フルパケットキャプチャ? �� で 14,000,000 packets/second)22
sFlow �クスポート ランダム・サンプルは、低負荷 ��最小限である top keys, connections,clients, servers, URLs などを識別するのが容易. �client, server, 000,000 ��プルをベースとしたグラフ)23
��を入手どこで何がいつ24
クライアントアドレス25
フィルタ26
�ョン:DNS、IP、MAC、Interface、VLAN etc での一覧DNS Name,Address(IPv4/IPv6),MAC,Interface,VLAN etc27
パケット・パスのトレース: ��レース28
パケット・パスのトレース: 仮想スイッチVM ERIDVM UUIDVM MACVPORTVM IPVNI29
害に発展する30
LAN/SAN ��に増加させ、SAN や LAN ��に展開しました。 以前はHTTP / ��す。31
� �クの物理的なパスを視覚化 輻輳しているリンクを識別 �るコネクション(Top Connections)の識別32
マップ : ��ホスト33
マップ : レイヤー 2 – ��ス・マップ:34
マップ : レイヤー 4 – クライアント-サーバー �ロトコル・マップ:35
Host sFlow (サーバー・パフォーマンスの測定) �統計値を計測 計測値は、sFlow(Host sFlow)としてマネージャに送信 �パフォーマンス計測を集約し表示 計測値を結合 計測値を比較 ��関連付けることが可能Host sFlow .net現在、Host sFlow プロジェクト (http://www.sflow.net) ��プロジェクトの中心になっている36
サーバー・モニタリング : �フォーマンス(Load,CPU,Memory etc)を集約:37
plication sFlow)counter-pushPer-application counters: status ansactions delayedtransactions droppedtransaction-samplingApplication transactions: ributesstatustime durationbytes sent/received例: HTTP, memcached, database queries, storage r/w, VoIP calls38
�VM1VM2VM3VM4Virtual MachinesVirtualNetworkAdaptersVirtual ��視化を実現するLocal AreaNetworks Open vSwitch (Xen,KVM,Proxmox VE,VirtualBox) : sFlow/NetFlow/IPFIXMicrosoft Windows 2012 Server Hyper-V : sFlowVMWARE vSphere : NetFlow39
トラフィック・フローWindows2012HyperV-VM 全てのトラフィックを可視化 VM-VM, VM から 他ホスト Layer 2 TCP/UDP IPv6 �ータ VLANs Layer 2 priorities(CoS etc)40
r-VM ��るための現実的な方法– ��スケーラビリティー41
統合されたデータモデルTraffic ��Sampled TransactionsAPPLICATIONTransaction CountersTCP/UDP SocketCPUMemoryHOSTPacket HeaderI/OSourceDestinationPower, Temp.TCP/UDP SocketTCP/UDP SocketAdapter MACsMAC AddressMAC AddressSampled Packet HeadersI/F CountersNETWORKPower, �的に増加します42
�Simple agents NetworkServersVirtual switchesVirtual serversApplicationsSmart collectorInternetAnalyserSystem-wideintegrated visibilityand control43
sFlow HPMemcachedApplicationsTomcat/JavaVirtual ServersVirtual NetworkServersNetworkEmbedded monitoring of all switches, all servers, allapplications, all the ��ルで共有される44
��スケジュール化が可能45
によるアクセスが可能REST API ブラウザ46
�知レポート �� ��設定– �、レポートを作成する。47
�ズ・レポート �タマイズ・レポートが作成可能– �リングなどの編集が可能– 定型レポートはスケジュール化48
�可能です。Packet loss にスパイク49
ス上のフロー7500-2516-577 よって転送されているフローの把握50
��の検知:172.16.144.52 �のホストとの接続が測定された。51
�監査監査:フローログ - ��アントの使用内容の把握52
�。53
sFlowTrendのご紹介sFlowTrend �ラフィカルな sFlow secure.com/products/sflowtrend/54
��準価格は、90万円です。55
インフォメーション re2Duoクラス以降Memory:4GB以上 / Disk:100GB以上 / NIC : 1GbpsOS:Red Hat Enterprise Linux or CentOS or ��存期間などに依存します。 サイトhttp://demo.inmon.com/ http://www.flownetsecure.com/ �ュア 出野(いでの)宛TEL:075-555-3482 Mobile:070-2305-1962eMail :IDENO@flownetsecure.comV2018010856
sFlow vs NetFlow sFlow – ��オープンな規格) – サンプリングベース – 対象レイヤー:L2-L7 Payload – 高速スイッチングネッ
