NetFlowでネットワーク問題を解決〜OpenNFA〜
現在では、業種を問わず多くの企業でビジネスプロセスがシステム化され、ネットワークを通じたサービスの提供や享受が一般化しています。ネットワークの利用が増えることで、通信の遅さが問題になることやネットが繋がらないなどの障害が起こる可能性も増えてきます。そこで注目されている技術の一つがNetFlowです。ここでは、OSSを使ったNetFlowを活用したトラフィック監視システム『OpenNFA(オープンエヌエフエー)』を紹介します。
NetFlowとは
NetFlowとは、1990年代にCisco社が開発した「ネットワークトラフィック(Network traffic)」に関連する情報を収集するための技術をいいます。この「ネットワークトラフィック」とは、一定期間にネットワークを流れるデータ量を差します。NetFlowにより、ルータやスイッチなどのネットワーク機器を通過するデータ量などを記録し、遠隔の管理システムから取得することができるようになります。NetFlowを活用することで、プロセス、プロトコル、時間帯、トラフィックルーティングなどのデータのやり取りである、「ネットワークトラフィック」を可視化することができます。
NetFlowは当初、通信事業者や大規模ネットワークを提供する企業が、ネットワークサービスを安定して提供するために利用するものでした。しかし最近では、大企業だけではなく多くの企業で、以前よりもネットワークを利用する機会が増えたことにより、NetFlowが注目されています。
NetFlowが必要とされる背景
近年、業種を問わず多くの企業で、メールやビジネスチャット、リモートワークでの動画利用や、WEB会議を導入するケースも増え、以前よりもネットワークを利用する機会が増えてきています。また、クラウドサービスの利用が増えていることも、ネットワーク利用の増加の原因の一つです。ネットワークの利用が増えたことで帯域不足が発生し、社内ネットワークが遅くなるなどのトラブルに繋がっています。
このトラブルの原因解明に必要となるのが、NetFlowを用いたネットワークの解析です。NetFlowのデータを活用することで、自社で必要なネットワークの帯域幅や、ネットワークパフォーマンスの最適化に役立てることができます。
NetFlowとSNMP、sFlowの違い
NetFlowと同じくネットワークトラフィックを監視するプロトコルには、SNMP(Simple Network Management Protocol)とsFlowがあります。SNMPはリアルタイムにネットワークトラフィックの総量を監視でき、市販されている多くのネットワーク機器やLinuxディストリビューションに実装されているため、広く利用されています。しかしSNMPは、アプリケーション毎の帯域など詳細なトラフィック情報の収集には向きません。これに対してNetFlowは、ユーザーやアプリケーション毎の、トラフィックの内訳を監視できる点に違いがあります。NetFlowでは、宛先/送信元IPアドレスやポート番号などをベースに、ネットワークを流れる共通の属性をもつパケットを1つの「フロー」として識別し、問題が発生した際に、トラフィックの発信元やアプリケーションを特定し、何が根本原因かを絞り込むことが可能です。
sFlowは、NetFlowと同様にトラフィックの内訳を監視できるプロトコルですが、フローデータの生成方法に違いがあります。sFlowは一部のパケットを参照(サンプリング)してフローデータを生成するのに対し、NetFlowはすべてのパケットを参照してフローデータを生成します。NetFlowは、すべてのパケットを参照するため、より精度を求められる要件に応えられるのが強みだと言えます。なお、サンプリングは機器への負荷を抑えるメリットがあることから、NetFlowでもオプションとして、sFlowと同様のサンプリングによるフローデータの生成を選択することもできます。
NetFlowを活用したトラフィック監視システムの課題
NetFlowを活用することで、ネットワークを利用する際の多くの課題を解決することが可能です。しかし、活用するために必要となるNetFlowを可視化するシステムの多くは、以下の課題があります。
- 対応しているネットワーク機器が指定されている
- 導入に必要なハードウェアのスペックが高い
- システムの費用が高い
この現状から、NetFlowを用いたネットワーク監視システムは、特定の機器の購入や価格も高いことから、導入のハードルが高いものになっています。そこでデージーネットでは、OSSを組み合わせ、低コストでネットワーク監視を導入することができる、NetFlowを活用したトラフィック監視システム『OpenNFA(オープンエヌエフエー)』を開発しました。
『OpenNFA』とは
OpenNFAとは、OSSを組み合わせたNetFlowの可視化システムです。NetFlowで収集したフローデータの蓄積から、蓄積したフローデータの可視化までを行うことができます。OpenNFAを利用することで、ネットワークトラフィックのグラフ化や、1時間毎の通信量が多いIPアドレスをランキング形式で表示するなど、ネットワーク分析に必要な情報を分かりやすく把握することができるようになります。
OpenNFAの特徴
デージーネットが提供するOpenNFAには、以下の特徴があります。
低コストで導入が可能
既存のNetFlow可視化システムの場合、フローデータを受け取って保存するソフトウェアや機器などの、いわゆるNetFlowコレクタが指定されている場合があります。その他に、システムの機能に合わせてハードウェアの要求スペックが高く、その結果価格も高い傾向があります。その点、OpenNFAは、オープンソースソフトウェアを組み合わせて構成されているため、NetFlowコレクタもオープンソースソフトウェアを利用する設定となっています。そのため、通常のハードウェアで導入することが可能です。大規模なネットワークトラフィックでなければ、高額なハードウェアを用意する必要もなく比較的低コストでの導入が可能です。
フローデータ送出機器の制限がなく利用できる
既存のNetFlow可視化システムでは、対応するフローデータの送出に使うネットワーク機器も指定されている場合があります。そのため、指定された機器を新しく購入する必要があります。しかし、OpenNFAはネットワークの機器の指定はなく、NetFlow v5/NetFlow v9に対応しているネットワーク機器であれば対応が可能です。
ライセンスフリーで利用ができる
現在、よく利用されているシステムでは、ライセンスの制限がネットワークインターフェース数によるなど複雑化している場合があります。OpenNFAは、オープンソースソフトウェアを組み合わせてNetFlowの可視化を実現しているため、機器やインタフェースの数によるライセンスの設定はありません。必要になるコストは、ハードウェアとシステムの導入費、システムの保守費のみであるため、シンプルな料金体系で利用を始めることができます。
数百万件のデータの集計・可視化が可能
OpenNFAは、オープンソースソフトウェアのNetFlowコレクタとビッグデータの解析で利用されているメッセージサービス、データベースを利用することで、遅延時間がほとんどない、タイムリーなデータ受信を実現しています。さらに、これらのソフトウェアの組み合わせと独自の設定により、中規模のハードウェア1台で、秒間5000件を超えるフローデータの受信が可能となっています。また、数百万件のデータの集計・可視化も行うことが可能です。
OpenNFAの機能
OpenNFAには、以下の機能があります。
- NetFlow v5 / NetFlow v9 / Flexible NetFlow(Cisco)の受信
- フロー送出機器毎の情報の可視化
- リアルタイムなフロー情報の表示
- 表示内容
- 送信されたフローの数
- 時間毎の通信数のグラフ
- 時間毎の通信量のグラフ
- フロー情報の詳細表示(IPアドレス / ポート番号 / AS名 / 国コード)
- 表示内容
- 時間毎の統計表示
- 表示内容
- 1時間毎の通信量多いIPアドレスのランキング
- 1時間毎の通信量多いASのランキング
- ASの通信量・通信数のランキング
- 表示内容
- その他
- データから独自のグラフ・表の作成
- SQLを直接実行しての検索
OpenNFAの導入メリット
OpenNFAを導入することで以下のメリットがあります。
利用しているクラウドサービスの帯域幅を解析できる
OpenNFAは、ネットワーク機器を通過するパケットから生成された、送信元・送信先のIPアドレスとポート番号、データのサイズなどのフローデータを蓄積し、時間ごとの通信数や通信量をグラフ化します。これにより、社内のネットワークが最も混み合う時間帯はいつなのか、どのくらいネットワークが使われているかなど、ネットワークの状態を把握することができます。
また、「自立システム」と呼ばれるAS名をランキングで知ることができます。このAS名は、大規模な組織に付与されている名称のため、どの組織から通信が多いのかを判断することができます。この情報から、どのクラウドサービスがどの程度帯域幅を使用しているのかなど解析できるため、最適なネットワーク帯域の検討に活用できます。
ネットワーク問題の原因切り分けに活用できる
OpenNFAでは、1時間毎の通信量が多いIPアドレスをランキング形式で表示したり、蓄積されたデータのSQL検索を行うことができます。これにより、ネットワークトラブルが発生した場合、社員が大量にネットワークを使っていることによる社内の影響なのか、社外の外部からの攻撃によりネットワークを大量に消費する通信がきているからなのか、など問題の切り分けにも活用できます。トラブル発生時にどのような通信があったのか、異常な通信量の多いIPアドレスはないかなどが参照できることで、トラブルに対する迅速な処理が可能になります。
安全にデータの管理ができる
OpenNFAは、自社内のオンプレミスな環境やプライベートクラウドに構築することができます。そのため、オンプレミス環境に構築できることで、IPアドレスなどを含むフローデータもセキュリティを考慮し、安全に管理することが可能です。
デージーネットの取り組み
デージーネットでは、NetFlowを活用したトラフィック監視システム「OpenNFA」を提供しています。大規模なネットワークだけではなく、小規模な環境でもネットワークの管理をしやすくし、利用しやすいネットワークの環境の提供に力をいれています。お客様の要望をヒアリングし、目的に合わせたソリューションを提供しています。OpenNFAにご興味のある方は、お問い合わせフォームよりお問い合わせください。