カテゴリー別アーカイブ: 仕様

スコープとは

仕様,

スナップショットの条件設定やフィルター定義において,スコープという概念が出てきます。
これは,スナップショットの基準やフィルタ定義の表記とともに分析対象トラフィックを絞り込む条件を指定するために使用されます。

種別 パラメータ 対象 備考
ANY (なし) 全てのトラフィック
ANY (VPNサブネットワークを除く) (なし) プライベートネットワークにより定義されたサブネットワークのトラフィック以外すべて スナップショットのみ
ANY (Non-ACL-based sFlowフラグ) (なし) ACL-based sFlow*を除くすべてのトラフィック
ホーム (なし) インターネット境界を通過し,かつホームネットワークが送信元または送信先であるトラフィック
隣接ネットワーク 隣接ネットワーク名 ASパスに解決したときに隣接ネットワークが指定したASであるトラフィック
サブネットワーク サブネットワーク名 指定サブネットワークのトラフィック
フィルタ フィルタ名 フィルタにより絞り込まれたトラフィック スナップショットのみ
サーバファーム サーバ名 指定サーバのトラフィック
境界 定義済みネットワーク境界 指定した境界を通過するトラフィック フィルタのみ
ACL-based sFlow (なし) ACL-based sFlow*のみ

*ACL-based sFlow: 事前定義したACLにマッチするトラフィックのみを対象として出力されるsFlow。量は少ないが重要なトラフィックが,サンプリングにより落とされるのを防ぐことができる。

関連トピック

ネットワーク境界とは

構成のディスパッチとは

仕様, ,

GenieATMでは,GUIから

システム管理 > ネットワーク

の下のページで行った変更を有効にするために,ディスパッチと呼ばれるオペレーションが必要です。

GenieATMは,コントローラとコレクタという2種類のモジュールから構成されています。GUIでのオペレーションはコントローラ側に持っている構成情報だけを変更するため,次のようなコレクタに必要な構成情報は,ディスパッチによってコレクタに展開する必要があります。

  • ルータとインターフェイスの定義
  • ホームネットワークやサブネットワークとその境界の定義
  • ルールベースレポート定義
  • 異常検出の閾値などの設定

構成のディスパッチ

ディスパッチを行うには,

システム管理 > 構成

から現在の構成に名前を付けて「ネットワーク構成をDispatchして保存」ボタンを押します。「同期ステータスを取得」ボタンを押して,ステータスが「同期化中」から「完了」になれば,すべてのコレクタへの展開が完了しています。

システム構成管理ページ

ただし,コレクタに展開された構成情報が有効になるタイミングは,毎時0分,5分,10分…であることに注意してください。たとえば,ルータからのフローパケット受信やAS経路分析用の経路テーブルを取得するためのBGPピアは,このタイミングまで開始されません。(DDoS防御時に経路変更を注入するためのBGPピアはコントローラから張られるため,GUIの設定変更直後に確立されます。)

そのほか,ソフトウェアバージョンのアップグレードを行った後や,DBの初期化を行ったときも,ディスパッチを行うようにしてください。

GenieATMのBGPの仕様

仕様, ,

このトピックでは,GenieATMのBGPの仕様をご説明します。GenieATM ISP版は,AS経路分析レポート作成時に参照する経路テーブルの取得とDDoS攻撃の緩和(Mitigation)のための経路注入という2つの機能ためにBGPピアを確立しますが,BGPの仕様はほぼ共通です。

ピアの確立

GenieATMは対向ルータからのOPENメッセージを受け付けません。BGPのピアは常にGenieATM側から開始されることになります。

タイマー設定

GenieATMは以下のタイマー設定でBGPピアのネゴシエーションをします。

  • Holdtime: 360秒
  • Keepalive間隔: 120秒

対向側がより短いタイマー値を提示した場合はプロトコルに従って短い方に合わせます。また,Keepalive間隔は明示的にOPENメッセージには含まれませんが,Holdtimeの3分の1となります。

マルチホップ対応

GenieATMは,iBGP,eBGPに関わらずデフォルトでマルチホップに対応しています。

一般的にはeBGP接続は外部ASとの境界ルータにおいて使用されるためTTLは1に設定されます。しかし,GenieATMが境界ルータの役割を担うことはなく,GenieATMとの接続においてeBGPが選択されるのは,直接BGPピアを張っていないルータと経路情報をやり取りするため(iBGPでは受信した経路はフォワードされない)なので,このような仕様になっています。

設定が有効になるタイミング

AS経路分析用のBGPピアはコレクターから張られるため,GUIで行った設定を有効にするためにディスパッチを行う必要があります。一方,DDoS攻撃の緩和用のBGPピアはコントローラから張られるため,GUI設定直後に有効になります。詳しくは構成のディスパッチとはを参照してください。

関連トピック

2種類のBGPピアの併用

レポートグラフ

仕様, ,

GenieATMのレポートページで表示するグラフには 4種類あります。

  • 折れ線グラフ
  • 積み上げグラフ
  • 棒グラフ
  • 円グラフ

折れ線グラフと積み上げグラフは,標準レポートとルールベースレポートにおけるもっとも標準的なフォーマットで,トラフィックの時系列の推移を見るのに適しています。

サブネットワーク比較レポート

プロットの粒度は,以下のように表示期間によって自動的に決まります。

表示期間 プロットの粒度
表示期間 ≦ 24時間 5分
24時間 < 表示期間 ≦ 7日 30分
7日 < 表示期間 ≦ 3か月 2時間
3か月 < 表示期間 1日

出力に「CSVファイルに保存」を指定してダウンロードしたときのファイルにも同じルールが適用されます。

また,棒グラフと円グラフは,表示期間中の積算を秒平均のトラフィックに換算した数値で表示します。これは,グラフの下に表示されるTopNテーブル(平均値)をグラフ化したものです。

一方,短時間のトラフィックの傾向を見るためのスナップショットでは,表示形式は円グラフのみとなっています。

関連トピック

レポートグラフ作成時の集計時間範囲

レポートグラフ作成時の集計時間範囲

仕様, , ,

ここでは,レポートグラフ作成時にトラフィックを集計する時間範囲についてご説明します。

GenieATMのトラフィックレポートは,主にフローレコードとSNMPで取得したトラフィックが元データになります。

フローレコードはルータから随時送られてきており,コレクタへの到着時刻に基づいて集計されます。30分単位のレポートであれば,0分0秒~29分59秒に届いたフローを集計して0分時点のプロット値を算出し,30分0秒~59分59秒のフローで30分時点のプロット値を算出します。同様に,5分単位のレポートは,例えば13時30分0秒~13時34分59秒のフローを集計して13時30分の値をプロットします。

一方,SNMPベースのレポートは,5分ごとの累積トラフィック値の取得に基づいて算出されます。取得は,毎時1分,6分,…56分に行われ,例えば13時31分に取得した値は,13時26分に取得した値からの増分を取ることで5分間のトラフィックを算出し,13時30分時点のトラフィックとしてプロットします。

Report_Graph

このように,フローベースとSNMPベースで同じ時刻のプロットでも集計範囲が異なりますので注意が必要です。

関連トピック

レポートグラフ

ネットワーク境界とは

仕様, ,

GenieATMでホームネットワークやサブネットワークを定義する際は,通常ネットワーク境界も合わせて定義します。これにより,あるトラフィックが経由した複数のルータがフローを生成した場合に,フローコレクタがそれらのフローレコードを別々のトラフィックとして計上してしまう「ダブルカウント問題」を防ぐことができます。

下図のようにインタネットから4台のルータを経由してトラフィックがサブネットワークに届いた場合,すべてのルータがフローを生成する設定であればコレクタは4つのフローレコードを受け取ることになります。一般的にダブルカウントを避けるには,名寄せにより同一トラフィックを表すフローレコードを特定し,重複分を消し込む必要がありますが,非常に複雑な処理を要します。

インターネットから流入するトラフィック

しかし,例えばインターネット-ホームネットワーク間のトラフィックのみに着目したレポートを作成するのであれば,ネットワーク境界を定義することでダブルカウントを避けることができます。下図のように2つのルータR1,R2のインターネットに接するインターフェイスを境界と定めると,インターネット-ホームネットワーク間のトラフィックは,これらのインターフェイスを一度だけ通過します。したがって,そのときに発生するフローレコードのみを集計すれば正しいトラフィックレポートを作ることができます。

インターネット境界の定義

この例で,計上されるのはR1が生成するフローレコードのみです。トラフィックはR2も通りますが,境界インターフェイスは通過しないためR2のフローレコードは対象となりません。

同様にサブネットワークについても境界を設定することで,インターネットからのトラフィックもサブネットワーク間のトラフィックも正確に算出することができます。以下の例では,真ん中のサブネットワークの境界を定義することにより,他のサブネットワークからのトラフィックも,インターネットからのトラフィックも重複なくカウントすることができます。
サブネットワーク境界の定義

関連トピック

スコープとは