ソリューション

TAPアグリゲーションによるネットワーク可視化

低コストでお客様のネットワークのモニタリング基盤を実現します。

ご利用されている監視・解析・可視化装置がネットワーク内の各所に散りばめられていませんか? AristaのTAPアグリゲーションはそれらを集約することに一役買います。圧倒的なポート高密度と低コストでお客様のネットワークのモニタリング基盤を容易に実現することが出来ます。

DANZフレームワーク概要

図 1 DANZフレームワーク

これからはネットワークに流れているトラフィックは、ネットワークワイドに「見える化」する時代です。分析、可視化、測定、テレメトリなど、呼び名は色々ありますが、物理環境と仮想環境の「見える化」に関して、Aristaは最先端を行く存在です。LANZ、DANZ、Network Tracer、VM Tracer、Docker Tracerなど、可視化機能の数々を備えており、2016年8月、CloudVision TelemetryというSNMP等を代表するポーリング形式の監視に変わるプッシュ形式の監視ができる新機能を発表しました。それらの機能の連携によって真のネットワーク・テレメトリを実現します。ネットワークとアプリケーションの可視性は、年々、注目を浴びていますが、他のネットワーク・ベンダーが高価な独自システムでいつか実現したいと考えている機能を、Aristaはオープン・アーキテクチャで既に実現しています。そこで本資料では、AristaのDANZ機能群のTAPアグリゲーション(ネットワークパケットブローカ)を中心に紹介します。

「ネットワークワイドで何が発生するかを早く正確につかめたらいいのに」と思いませんか?

可視化をしたい場合、ネットワーク内のパケットを様々なツールへ転送し、可視化分析をするケースが多いですが、このような悩みはありませんか?

  • そのツールが必要な箇所に配置されていないことで、局所的な解析となっている
  • パケットを採取する為に逐一現地へ急行している
  • モニタリングスイッチを配置して可視化をしていても、そのスイッチのポート単価が高過ぎて、現在も見たい箇所を見ることができない

Aristaはそれら悩みを解決します。

モニタリングネットワーク
図 2 モニタリングネットワーク

Aristaは、通常はデータセンタースイッチとして利用できるSpineレイヤとLeafレイヤの両方でTAPアグリゲーションに対応しているため、従来製品よりも明らかに高密度で実現できます。それに加え、高精度のパケットタイムスタンプ、輻輳やマイクロバースト状態の監視、キャプチャ、相関分析をリアルタイムで行うことができます。もちろんノンブロッキングで行えるため、性能・機能としても従来品に引けをとりません。大量のデータに対して、重要性の高い機能、分析機能、監視機能を担うツールを別途準備している企業では、Aristaが備えるTAPアグリゲーション機能で全く問題無く効果を発揮します。その他、要求される機能は以下の通りです。

  • 運用ネットワークとツール(解析装置など)間の接続における m:n の自在な接続
  • 同じトラフィックが必要である複数のツールへトラフィックを一斉転送
  • パケットのスライシングやL2~L4フィルタリングによる最小限のフレーム取得
  • プロトコルヘッダ(VLAN(dot1q/MPLS等)の削除

TAPアグリゲーションサポート機種

Aristaは全製品、汎用チップを駆使する技術力で大きな成功を納め、収益を上げている最も有名なベンダーです。
今となっては、汎用チップを用いたスイッチをリリースするベンダーは増えてきましたが、その先駆けとなったのがAristaです。他ベンダーよりも汎用チップを使うことが得意であり、多種類の汎用チップを実装して製品をリリースしています。TAPアグリゲーションをサポートしている機種は、Intel FM6000を実装した7150シリーズ、Broadcom Aradを実装した7280E/7500Eシリーズ、Broadcom Jerichoを実装した7280R/7500Rシリーズです。
これら製品はTAPアグリゲーションのみならず、低遅延、ディープバッファ、VXLAN要件があるお客様にて既に成功を収めている製品です。様々な帯域に対応し、高密度ポート収容でTAPアグリゲーション機能を利用することができます。

TAPアグリゲーションサポート機種 7500Eシリーズ 7280Eシリーズ 7150シリーズ

図 3 TAPアグリゲーションサポート機種

設定例

1. CLI – Traffic Steering機能例 –

受信したパケットを様々細かい条件で特定のポートへ転送するにあたり、ACL(IPv4/v6サポート)、ClassMapとPolicymap(Service Policy)を用いることで実現できます。設定イメージは、ACLの設定に合致した特定のトラフィックを特定のインターフェースへ転送する方法となり、Policy Base Routingと似たような感覚です。

Traffic Steering設定イメージ

図 4 Traffic Steering設定イメージ
2. GUI – TAP Aggregation GUI –

もちろん、CLIではなくGUIで視覚的に行うこともできます。どのTAPポートがどのToolポートと紐付いているのか、一目瞭然で、簡単にポートの設定を増やすことができます。

TAPアグリゲーションGUI

図 5 TAPアグリゲーションGUI

モニタリングネットワークを作るために必要なツール製品例

1. ネットワークTAP

IXIA NetOpticsネットワークタップ(協力:SCSK株式会社 様)
http://www.scsk.jp/product/common/netoptics/
IXIA NetOpticsネットワークタップ(協力:SCSK株式会社 様

TAPアグリゲーション(モニタリングスイッチ)へパケットを転送するにあたり、スイッチやルーターでミラーポート設定を行えば気軽にモニタリング環境を作ることができます。ただし、ミラーポートのデメリットとしては、スイッチの物理ポートを占有すること、設定できるミラーポート数に制限があること、スイッチ本体のパフォーマンスに影響を与え、最悪、パケットロスが発生する可能性もあることが考えられます。それら駄な心配をせずにモニタリング環境を作る方法は、パケットを取り出したいネットワークの区間にネットワークTAPを挟むことです。実ネットワークに影響なく、ネットワークリンク間のトラフィックを分岐するので、完全なトラフィックの可視性を実現します。
2. 不正侵入検知・防御

次世代型IPS McAfee Network Security Platform
(協力:テクマトリックス株式会社 様)
https://www.techmatrix.co.jp/product/nsp/index.html
次世代型IPS McAfee Network Security Platform(協力:テクマトリックス株式会社 様)

ネットワークをモニタリングする目的の1つとしてセキュリティの用途がある場合、TAPアグリゲーションのToolポートの先には、IPS/IDS装置が活躍します。該当する製品は、各社からリリースされていますが、McAfeeがテクノロジーとマーケットのリーダ-です。脆弱性を突く攻撃、DDoS攻撃、偵察攻撃、SQLインジェクション等を正確に検知・防御する為のシグネチャを持ちSSL通信の監視も可能で、ネットワークに影響を与えず、最大80Gbpsまでのスループットパフォーマンスを発揮します。IPアドレスやポート(L3/L4)レベルだけの制御だけではなく、当然、アプリケーション(L7)ベースの識別と制御が行え、外部の情報(ロケーション(国)情報、レピュテーション等)を利用して、ポリシー変更やブロック適用の判断もできます。また、通信内に存在する未知のマルウェア等の不審な実行ファイルやBot通信(C&C接続)を検出する機能など、
次世代IPSとしての特徴を備えています。
3. ネットワークパケットレコーダ

ネットワークパケットレコーダ リアルタイムパフォーマンスモニタリング
Savvius Omnipliance(協力:株式会社ディアイティ 様)
http://www.dit.co.jp/products/savvius/omnipliance/index.html
http://www.dit.co.jp/products/savvius/omnipeek/index.html
ネットワークパケットレコーダ リアルタイムパフォーマンスモニタリング

10GbE以上のネットワークをお手持ちのPCでパケットキャプチャを行うことは、データ量やCPU処理性能等から現実的ではありません。また、パケットキャプチャを行う度に障害が発生している現地へ赴き、スイッチのミラーポート設定を行ったり、パケットをフリーのツールで解析するにも時間がかかるのが実状です。
Omniplianceでパケットを蓄積し、Omnipeekでネットワークを視覚的に可視化することにより、強力な解析機能を提供し、上記の課題を解決します。

ネットワークパケットレコーダ セキュリティイベント調査に特化
Savvius Vigil(協力:株式会社ディアイティ様)
http://www.dit.co.jp/products/savvius/vigil/index.html
ネットワークパケットレコーダ セキュリティイベント調査に特化

IPS/IDS等のセキュリティ機器を適切に活用できていますか?それら製品がインシデントを検知してから問題源の調査に多大な時間と労力がかかっていませんか?Vigilはこれまでにない発想で作られた新しいネットワークレコーダです。お客様がご利用中のセキュリティ機器と連携し、検出されたセキュリティイベントに関連するパケットにターゲットを絞り長期間保管することを目的としています。インシデントが発生する前後5分間の関連するパケットのみ記録し、アラート検知以前の攻撃の挙動を知ることができ、より早く・より詳細に状況を把握することができます。

まとめ

AristaのTAPアグリゲーション製品「7150/7280/7500Eシリーズ」は以下を提供します。
  • 圧倒的なコストパフォーマンスでネットワークワイドに「見える化」を実現する
  • TAPアグリゲーションスイッチ(ネットワークパケットブローカーまたはモニタリングスイッチ)は、解析ツール群を高帯域、高密度に集約できる
  • モニタリング専用装置と比較しても遜色無い性能と機能を提供する
  • ネットワークエンジニアが慣れ親しんだ設定方法で実現できるため、すぐにモニタリングネットワークが構築できる

弊社では、該当製品をいち早く検証実施し、結果をレポートにまとめています。
詳細をご希望の方は、下記ボタンよりお問合せ下さい。

 

 

Aristaモデル選定

関連する情報