Traffic ServerおよびsFlow Probeの配置方針

1 序論

sFlowは、スイッチあるいはルーターに組み込むように設計されている、ネットワーク トラフィック モニタリング テクノロジです。一度に全てのポートについて、アプリケーション レベルのトラフィック フローをワイヤ スピードで連続的にモニタできる機能を備えています。最初から全てのスイッチおよびルーターがsFlow対応になるわけではないので、これら既存のスイッチのモニタリングにsFlow Probeを使用できます。

このアプリケーション ノートでは、InMon sFlow Probeでトラフィック データを収集するためのネットワーク計測器の配置、およびそのデータについてInMon Traffic Serverで行う分析の方針について概説します。ネットワーク カバレージの問題や、ネットワーク利用率に与える影響について説明します。

2 sFlow Probeの概要

組込型sFlow対応ではないがポート ミラーリング機能を備えているネットワーク デバイスについては、sFlow Probeを使用してネットワーク トラフィックをモニタすることができます。1つのsFlowプローブには、モニタ対象となるスイッチとの間に以下の2つのネットワーク接続があります。

  1. ミラーリングされるトラフィックのモニタリングに用いられるポートとの1Gbps接続
  2. SNMPおよびTelnetを用いてフロー サンプルを送信しスイッチに問い合わせを行うために用いられる100Mbps接続

sFlow Probeへのトラフィックの送信には、ポート ミラーリングが用いられます。ポート ミラーリングをセット アップするときには、2回以上ミラーリングされるパケット フローが絶対にないように注意してください。全てのパケットを1回ずつしかカウントしないはずなのに一部のパケットだけを2回カウントすると、故意に結果を偏らせることになってしまいます。最悪なのは、出力ミラーリングを複数のポートに適用してしまうというケースでしょう。このような場合、一部のブロードキャストおよびマルチキャストのトラフィックをポート数の分だけ選択的に増幅させてしまうという影響があります。どのフローも絶対に2回以上ミラーリングされない、正しいポート ミラーリング設定が2通りあります。

  1. 1つのインターフェースのインバウンドおよびアウトバウンドのトラフィックをミラーリングします。
  2. 複数のインターフェースのインバウンド トラフィックをミラーリングします。

また、ミラーリングされたトラフィックがミラー ポートの容量を絶対に超えないようにすることも重要です。モニタ ポートのトラフィックが失われると、フローの量が少なめに見積もられてしまいます。

sFlow ProbeはSNMPにより、スイッチから追加情報を取得します。スイッチがBGP 4ルーティングを行う場合、sFlow ProbeはBGP ASパス情報もスイッチから直接取得します。

3 1つのサイトのトラフィックのモニタリング

1つのサイトのネットワーク トラフィックをモニタし管理するためには、以下の事柄について理解しておく必要があります。

  1. ローカル ネットワーク トラフィック ・ローカル ネットワークで見られる全てのトラフィック
  2. サイトに出入りするトラフィック

3.1 ローカル ネットワーク トラフィックのモニタリング

sFlow(あるいはHP Extended RMON)組込型モニタリング テクノロジは、すべてのローカル デバイスで使用できます。Traffic Serverはローカル トラフィックの完全なビューを提供できます。これらのデバイスは自動的に検知され、トラフィック モニタリングがイネーブルになります。

ただし、組込型モニタリングを行えない場合には、バックボーン スイッチ用のネットワーク トラフィック モニタリング計測器を追加することから始め、それから徐々にモニタリング テクノロジを追加していき、部門スイッチおよびワークグループ スイッチのカバレージ全体についてモニタできるようにしていくとよいでしょう。これは、スイッチのモニタ/SPANにsFlow Probeを接続して用いることにより実現できます。

次の例では、バックボーンにsFlow Probeを装備するための2通りの方法を紹介します。

  1. バックボーン スイッチの全てのポートの入力トラフィックをモニタする方法
  2. 部門スイッチをバックボーン スイッチに接続してアップリンクの両方向のトラフィックをモニタする方法

図1はバックボーン スイッチを示しています。全てのスイッチ ポートの入力トラフィックをモニタすることにより、スイッチの全てのトラフィックが表示されます。

図1 sFlow Probeを使用してバックボーン スイッチをモニタする

下のコマンドは、プローブがポート1/1に接続されていてポート1/2、2/1および2/2をモニタするバックボーン スイッチ用のポート ミラーリングについて設定します(これらのコマンドはFoundry BigIronスイッチ用のものなので、適切なコマンドにつきましては、ご使用のスイッチのマニュアルでご確認ください)。

BigIron(config)# mirror-port e 1/1
BigIron(config)# interface e 1/2
BigIron(config)# interface e 2/1
BigIron(config)# interface e 2/2
BigIron(config)# monitor in

図2は、高速アップリンク経由でバックボーン スイッチに接続されている部門スイッチを示しています。この部門スイッチは、アップリンクの両方向のトラフィックをミラーリングするように設定されています。バックボーン スイッチに接続されている全ての部門スイッチについてこの設定を繰り返すことにより、バックボーン トラフィックを完全に見ることができるようになります。

図2 sFlow Probeを使用して部門スイッチをモニタする

下のコマンドは、プローブがポート4/1に接続されていてアップリンクがポート4/2になっている部門スイッチのポート ミラーリングについて設定します(これらのコマンドはFoundry BigIronスイッチ用のものなので、適切なコマンドにつきましてはご使用のスイッチのマニュアルでご確認ください)。

BigIron(config)# mirror-port e 4/2
BigIron(config)# interface e 4/1
BigIron(config)# monitor both

3.2 サイトに出入りするトラフィックのモニタリング

サイトに出入りするトラフィックのモニタリングは、アクセス ルーターあるいはスイッチ上でsFlowをイネーブルにすることにより実現できます。組込型sFlowを使用できない場合には、sFlow Probeを使用することができます。この場合、全ての入力インターフェースをモニタ ポートにミラーリングするようにインターネット アクセス デバイスを設定してください。図3はこの構成を図示したものです。

図3 sFlow Probeを使用してインターネット アクセス デバイスをモニタする

sFlow Probeを使用してバックボーン スイッチのアップリンクの両方向のトラフィックをモニタすることにより、サイトに出入りするトラフィックをモニタすることができます。この場合、バックボーン スイッチはアップリンクの両方向のトラフィックをモニタ ポートにミラーリングするように環境設定で設定されています。図4は、この構成を図示したものです。

図4 sFlow Probeを使用して、サイトに出入りするトラフィックについてバックボーン スイッチをモニタする

4 WANリンクのトラフィックのモニタリング

このシナリオでは、トラフィック管理の焦点がサイト間のリンクのトラフィックであり、リモート サイトそのもののトラフィック パターンではないと想定されています。これを実現するには、以下の2通りの方法があります。

  1. ローカル ルーターの全ての入力インターフェース(LANポートを含みます)のモニタリングをイネーブルにします。これにより、全ての入力トラフィックからリモート サイト宛のトラフィックを抽出できるようになります。
  2. モニタするWANリンクに関連づけられているルーターのWANインターフェースについて、入力モニタリングをイネーブルにします。

ルーターでのトラフィック モニタリングをイネーブルにできない場合には、図4のようにバックボーン スイッチのアップリンクの両方向のトラフィックをモニタすることにより、WANを通るトラフィックをモニタすることができます。

5 複数のサイトのトラフィックのモニタリング

お勧めできる構成は、各リモート サイトにTraffic Serverを1基ずつ配置するというものです。各Traffic Serverはローカル ネットワークからトラフィック データを収集するように設定されます。さらに、互いを認識しあい、各サイト間の遅延および損失の統計値を自動追跡するようにTraffic Serverを設定することができます。また、複数のTraffic Serversを使用することにより、サイト間のトラフィック パターンについて、たとえばサイト間の上位話者を明らかにするなど、いっそう詳しく解明することもできます。

1つのTraffic Serverを使用してリモート サイト ネットワークのモニタリング ポイントからデータを収集することもできます。しかし、その場合、トラフィック データはWANリンクを通って送信されます。

  • デフォルトのサンプリング レート設定が採用されている典型的な交換網は、スイッチ ポート1000個ごとに200Kbpsでサンプリングされるトラフィック データを生成します。オートディスカバリ用の追加のトラフィックも生成されます。最悪の場合、リモート ネットワーク上のブロードキャスト ストームあるいはマルチキャスト ストームがWANリンクを飽和状態にしてしまう可能性があります。これは、ブロードキャストおよびマルチキャストのトラフィックが多くのスイッチ ポートで見られ、この爆発的な量のトラフィックにより、多くのサンプルが生成されることになるからです。
  • リモート サイトに対するWAN接続が失われると、リモート サイトのトラフィックについて見ることができなくなり、結果的に履歴データにギャップが生じてしまいます。

これらの問題は、各リモート ロケーションにTraffic Serverを1基ずつ配置することにより回避できます。

6 NetFlowによる「ブラインド スポット」の解消

ネットワーク デバイスがポート ミラーリング対応でない場合や、ポート ミラーリングを行うのにふさわしくないような状況では、NetFlowをイネーブルにすることにより「ブラインド スポット」をなくすことができます。Traffic ServerはNetFlow v5およびv7に対応しています。NetFlowを使用する場合、以下の点に注意してください。

  • NetFlowエクスポートを行うと、莫大な量のトラフィックが生じます。NetFlowデータはUDPでエクスポートされますが、パケット損失の影響を強く受けます。NetFlowをWANリンク越しにエクスポートすることは、WANリンク利用率に重大な影響を与える可能性がある上、パケット損失が発生する可能性もあります。NetFlowをローカルのTraffic Serverにエクスポートすれば、この影響を最小限に抑えることができます。
  • NetFlowデータの生成により、デバイスには重い処理負荷およびメモリ利用負荷がかかる可能性があります。したがって、デバイスの全てのインターフェースについてNetFlowをイネーブルにするのは好ましくありません。