まず最初に取り上げるのは、ネットワーク全体に及ぶトラフィックの見える化だ。一つの物理的なネットワーク上に様々なアプリケーションのデータが流れている状況で重要になるのは、論理的なネットワークを識別し、それぞれのトラフィックの変化を把握することである。
そこで最近、通信事業者やデータセンター事業者はもちろん、企業ユーザーにも注目され始めているのが「フロー」の考え方。代表的なのが米シスコが考案したNetFlowと米インモンが考案したsFlowである。どちらも標準的な技術で、いずれかを実装しているルーター/スイッチ製品が増えている。
シスコのソリューションズシステムズエンジニアリング コンサルティングシステムズエンジニアである生田和正氏は、「日本国内でもこの数年、徐々にNetFlowの必要性が認識され、100社近くの企業ユーザーが導入している」という。ネットマークスの早坂亮第二アカウント統括部 第二技術部マネージャーも、「2010年から、トラフィックをフローで可視化したいと要求してくる企業が目立ってきた」という。
点の管理から面の管理へ
フローは、例えばあるIPアドレスから別のIPアドレスへの通信、あるIPアドレスの端末で使用中のあるアプリケーションの通信など、一定の属性に当てはまるトラフィックの集合を指す(図1-1)。フロー情報を使うには、NetFlowやsFlowに対応するネットワーク機器と、フローデータを集め見やすい形に加工して見せるツールが必要だ。ルーターやスイッチがフローの識別に使うヘッダー情報などを一定時間間隔で抽出(サンプリング)し、これをフローに対応する監視ツールに転送する(図1-2)。
前パートで説明したように、SNMPではトラフィックの総量が見えるだけで、そのうちのどの種類の通信が増えているのかは分からない。この点フロー情報を見れば、物理的に1本のネットワークでも、どのトラフィックが増えているのかを容易に把握できる。ネットワークの要所要所でフロー情報を集めれば、一つのフローによってネットワーク全体にどのような影響が及ぶかが見えてくる。
トラフィックの詳細な管理は、トラブルの予兆を見付けたり、ネットワークのパフォーマンス劣化の原因を追求したりする際に役立てられる。「ネットワークのキャパシティープランニングにも有効だ」(ネットマークスの早坂マネージャー)。また、マルウエアによる通信や、重要情報の外部への転送といった不審なWebトラフィックをあぶり出せば、セキュリティの強化につなげられる。
ただしフロー情報は、基本的に一定時間おきにサンプリングした統計データに過ぎない。トラフィックの絶対値が分かるわけではないため、例えばこのデータだけで「ネットワーク帯域をどの程度にすべきか」の判断材料にするのは難しい。厳密にはサンプリングの間隔を短くして詳細なフロー情報を収集することはできるが、それではルーター/スイッチの負荷が高くなるため、高価な製品が必要になる。コストを抑えつつ利用するならば、あくまでも異常値がないかどうか、傾向を把握するための手段と考えたほうがよい。SNMPなど他の技術と組み合わせて、見える情報の充実を図ることが肝要だ。ネットワンシステムズの山村剛久クラウドビジネス開発部シニアマーケティングエキスパートは、「全体のトラフィックをフローで把握。さらに上位レイヤー、例えばあるサーバーへのアクセスが遅いのであればパケットキャプチャーしてみるなど、面から調べ極小化していくことがポイント」と話す。
