Keith Bromley
Sr. Manager, Product Marketing at Ixia
Blog

動的フィルタリング:ネットワーク可視化のABC

November 21, 2017 by Keith Bromley

ネットワークパケットブローカー(以下NPB)は、ネットワーク内の様々な監視データを集約して、効率的な運用を行うためのデバイスです。キャプチャされたデータは、そのデータを処理するための監視ツールへ送信される前に、最適化、すなわち編集される必要があります。具体的には、ネットワークTAPから入力されるデータはすべてのデータの完全なコピーであるため、監視ツールに送信される前に、適切にフィルタリングされる必要があります。フィルタリングとは、「正しい」情報だけがツールに送信され、特定の情報のみが特定のツールに送信されるように選択されることを意味します。データフィルタリングは、NPBのコアとなる機能です。

フィルタリング処理については多種多様なやり方があります。一部のNPBは、コマンドラインインターフェイス(CLI)を使用してフィルタリングを行います。他のソリューションには、ドラッグアンドドロップグラフィカルユーザーインターフェイス(GUI)による、プログラムされた内部フィルタソフトウェア機能があります。データフィルタリングがどのように行われるかは、データ監視の速度と品質に影響します。たとえば、ZK Researchによると、CLIプロセスで作成されたフィルタの20%以上にエラーがあります。

動的フィルタリングとは

ネットワークパケットブローカー導入を検討する場合、そのフィルタリング機能を理解することが重要です。フィルタリングは、通常三段階で行われます。第一段階は、ネットワークが接続されているポート(ネットワークポート)で実行されます。第二段階は、ネットワークポートと監視ツールが接続されているポート(ツールポート)の間に配置された、ポートに依存しない高機能なフィルタです。第三段階は、ツールポート自体で実行されます。この三段階構造のフィルタリングは重要です。というのは、ネットワークポートでのフィルタリングは、すべてのツールポートで除外されたトラフィックを完全に排除します。排除されたトラフィックは分析されません。

このアプローチの代替方法は、ツールポートでのみデータをフィルタリングすることですが、これは二つの問題を引き起こします。まず、ツールポートは、ネットワークポートからのトラフィック量によってオーバーランする可能性があります。第二に、組み合わせに精通していなければ、ネットワークフィルタとツールフィルタとの間の相互作用は複雑になります。ポートに依存しない動的フィルタは、フィルタリングを一括で実行するのに理想的な方法です。この単一のフィルタ定義を見て、何がフィルタされているのかを正確に理解することができます。

NPB内の従来のデータ(ネットワークおよびツールポート)のフィルタリングは、優先順位に従って順に実行されます。これは、各ツールが必要なデータを受信した後、次のツールは、前のツールで受信されていない残りのパケットデータを受信することを意味します。優先順位の中で最初のツールのみが、すべてのネットワークトラフィックを受け取ることができます。後続のツールは、フィルタされたデータを受け取るか、まったくデータを受け取らない可能性があります。

動的フィルタは、イングレス、エグレスフィルタに似ていますが、イングレスポートとエグレスポートフィルタの中間に動的フィルタが配置され、処理される点が異なります。動的フィルタリングが使用されている場合は、イングレスフィルタをオープンのままにして、動的フィルタをセグメント化して複数のポートからのパケットを集約し、それらのパケットを適切なツールに送信します。この処理は、送信されるパケットが複数のツールのフィルタ基準を満たし、各ツールにより適切に分類されなければならない場合に発生する問題を解決します。この問題は重複パケットと呼ばれ、正常な監視のためにはツールが適切なパケットを「参照」することが必要です。

CLIベースのフィルタリング・スキームでは、オペレータにこの問題を正しく修正してもらう必要があります。ITエンジニアは、重複を正しく識別し、重複を定量化し、詳細なフィルタ・ルールと例外を書き出して、複数のツールにデータを送信する必要があります。動的フィルタは、こうしたCLIベースのフィルタで発生する時間とコストを削減します。

典型的な活用事例

ネットワーク監視に関して、動的フィルタリングが使用されるいくつかの事例が存在します。ここで見てみましょう。

  • データフィルタの迅速な作成:ビジネスでは迅速な問題解決が重要です。これには、データ分析のための監視も含まれます。データフィルタは、監視ツールによる誤検知防止、および迅速なトラブルシューティングを行うために、迅速かつ正確に作成する必要があります。動的フィルタエンジンによるフィルタ作成時間は、CLIによる処理と比較して、大幅に短縮できます。
  • フローティングデータフィルタの作成:特定のNPBフィルタは、スタンバイ状態のトラブルシューティングツール(アナライザ、Wiresharkなど)に接続するように、事前に設定できます。これを行うには、中間データフィルタの作成を処理してスタンバイモードで保持できるNPBが必要です。このタイプのフィルタは、トラブルシューティングフィルタをNPBへの入力ネットワークポートに接続するだけで済むため、データ収集時間を大幅に短縮できます。これは、NPB上のドラッグ&ドロップインタフェースを使用してリモートで行うことができます。接続が確立されると、ツールは直ちに重要なデータのキャプチャを開始し、トラブルシューティングの時間とコストを削減できます。
  • 適応モニタリング(自動化)の展開:適応モニタリングは、NPBがネットワークコマンドに応答して構成変更を行う機能です。この自動化機能は、ほぼリアルタイムに近いアクションでネットワークインシデントに対応できるため、監視応答時間を改善します。コマンドは、ネットワーク管理システム(NMS)、オーケストレーションシステム、SIEMなどのRESTインターフェイスを使用して受信可能です。これを動作させるには、NPBデータフィルタの作成プロセスを手動ではなく自動化する必要があります。

考慮事項

可視性ソリューションについて次の点を考慮する必要があります。

使いやすさ:データフィルタを簡単にすばやく設定できること。時間短縮の要素は、特にトラブルシューティングの際に重要です。NPBにGUIインターフェイスがあり、前段階(フローティング)フィルタとフィルタライブラリの両方を作成できることを確認してください。

複雑さの解消と生産性の向上:手動によるCLI処理の代わりに動的フィルタを使用すること。複雑さを排除し、生産性を向上させることができます。

CLIベースのフィルタに関連する精度の問題を解消:CLIによるフィルタ処理に絡む不正確性の問題を排除すること。動的フィルタはフィルタとデータの精度を向上させます。

動的フィルタリングとネットワークの可視性の詳細

可視性ソリューションの動的フィルタリングの詳細は、こちらを参照してください。Ixiaのネットワークパフォーマンス、ネットワークセキュリティ、およびネットワーク可視性ソリューション(ビジネスに必要な洞察力の生成を支援する方法と同様)に関する詳細は、IxiaのWebサイトで入手できます。