「マルチメディア通信と分散処理
J
ワ ー ク シ ョ ッ プ 平成5
年3
月ネットワーク管理情報収集システム
DIET
の開発
山本茂
f岡山聖彦
f山口英
t宮原秀夫
f↑大阪大学
t
奈良先端科学技術大学院大学
概要
広域ネットワーク上で広域分散処理環境を安定して利用していくためには、広域 ネットワークの安定した運用が要求され、その管理が重要性を増している。しかし 広域ネットワークの拡大とともにネットワーク管理者にかかる負担は大きくなる一 方である。このような管理者の負担を軽減するために、広域ネットワークの管理情 報を自動的に収集するシステム DIETSystemを開発した。1 はじめに
今日では LAN(Loca1Area Network)の構築は 元より、ネットワーク間接続による広域ネット ワーク (WideArea Network)の構築も進み、そ の上での広域分散処理環境が提供されるように なっているoそして広域分散処理環境は、広域 ネットワークの発展と共に多くの人が利用でき るようになってきているo しかしながら、広域 ネットワーク環境ではネットワークを構成する 機器が他数あり、また地理的にも分散している ことから、障害が発生した場合その復旧に多く の時間が必要となることもしばしば発生する。 このような状況では広域分散環境の安定した提 供が大きな問題となる。そのため広域ネットワー ク管理を行ない、障害の発見、障害箇所の特定、 障害からの回復をすみやかに行なうことが重要 となってきている。 ネットワークにおける障害を短時間で発見す るためには定常的なネットワークのモニタリン グを行ない、ネットワークを構成する重要な機器 の状態を的確に把握しなければならない。特に ネットワークに接続されている装置のインター フェイスの状態やトラヒックの状態などは重要 な情報である。さらにネットワークが大きくな るにつれて接続されている装置の数が増えるた め、このようなネットワーク管理情報は増えて いくoこのため広域ネットワークのモニタリン グをネットワーク管理者が手作業で行なうのは、 ネットワーク管理者の負担を考えた場合現実的 な方法とはいいがたい。そこでネットワークの モニタリングを自動化するシステムの開発がこ れまで多く行なわれ数多くのシステムカ苦手リ用可 能となっている。 材腕では従来のシステムとは違い、特に広 域ネットワーク環境でのモニタリングに注目し たネットワーク管理情報収集システム DIETSys-temを開発しいた。 DIETSystemは広域ネット ワーク上でネットワーク管理情報を自動的に収 集しネットワーク管理者に提供することで、広域 ネットワークの管理者の負担の軽減することを 目的としている。また広域ネットワークでのネッ トワーク情報収集を効率よく行なう機構を導入 することで、ネットワーク管理情報収集によっ て起こるトラヒックの減少も目的としている。Design and Implementation of Network Monitoring System for Wide Area Networks: DIET
by Shigeru Yamamotot I Kiyohiko Okayamat, Suguru Yamaguchit, Hideo Miyaharat
2
広域ネットワーク管理
ネットワーク管理情報を収集するためのシス テムがどのような機能を必要とするのかを考え るために、まず広域ネットワークにおけるネット ワーク管理者とネットワーク管理について考え、 システムで解決すべき問題点について考えるo2
.
1
ネットワーク管理者
2.1.2 ネットワーク管理者が複数の場合 それに対してネットワーク管理者カ犠数の場 合、ネットワーク管理情報や管理作業の増加に 対して、ネットワーク管理の人数を増やすこと 対処することができる。ネットワーク管理者を 増やすことで、全体の処理能力をあげることが できるためだである。 しかし、ネットワーク管理者が複数であるた めに、複数のネットワーク管理者に同時にネッ ネットワーク管理者はネットワークに接続さ トワークの管理作業カ勾予なわれるという状況が れている装置から情報を収集することで、障害発生するo例えば、ネットワークの経路情報の を発見し、障害箇所の決定を行なう。そして、ー設定を一人の管理者が変更している聞に同時に 必要ならネットワークに接続されている装置の 別の管理者が変更を行なおう場合などがある。 設定行なうことで障害からの回復というネット このように、同時に複数のネットワーク管理者 ワーク管理作業を行なう。ネットワーク管理作 がネットワークの股定を変更することにより、 業を行なう場合、ネットワーク管理を一人の管 整合性が取れなくなるおそれがある。このよう 理者で行なう場合と複数のネットワーク管理者 なことを避けるためには、ネットワーク管理者 によって行なわれる場合、それぞれメリットと 問で協調作業を行なうための仕組みを用意しな デメリットが考えられる。 ければならない。 2.1.1 ネットワーク管理者が一人の場合 ネットワーク管理者が一人の場合、ネットワー クの管理作業を行なう人が一度に一人しかいな い。そのためネットワークの設定を変更する場 合の競合といったことを考える必要がない。そ のためネットワークの管理作業における整合性 をとりやすい。 しかしネットワークの規模が大きくいと、収 集すべきネットワーク管理情報や管理作業の量 も多い。またネットワークが拡大していくと、 拡大にともなってネットワーク管理情報やネッ トワーク管理作業の量は増えていくo管理者一 人でできる作業量には限界がり、ネットワーク の拡大にともなって増加するネットワーク管理 情報の収集や管理作業を処理しきれなくなる。 広域ネットワークの場合は、その規模も大き く、また現在も拡大しているため、収集すべき ネットワーク管理情報も管理作業の量も、一人 のネットワーク管理者で管理していくのは難し い。このため管理作業を支援、あるいは自動化 するシステムが必要となる。 ネットワーク管理情報収集の面を考えた場合、 効率良く情報収集を行ない、さらに複数の管理 者間で情報を供する機構が求められる。2
.
2
ネットワークの自律分散的な管理
広域ネットワークは複数のネットワーク間接 続によって構成されている。そしてそれぞれの ネットワークにネットワーク管理者がおりそれ ぞれのネットワークを管理していることが一般 的である。多くの場合、各ネットワークのネッ トワーク管理者は、自分が管理するネットワー クに対してはネットワーク管理情報の収集など が自由にできるが、セキュリテイの面から他の 管理者治宝管理するネットワークに対して自由に 行なうことができない。 このように広域ネットワークを構成している ネットワークは自律分散的に管理されているが、 相互接続されていることから他のネットワーク での障害の影響を受ける可自回生がある。そのた め他のネットワークの情報を収集できるとネッ トワーク管理にとっては有利である。このこと からセキュリテイを保全しながら他のネットワー クの情報を収集できる機構が求められる。-66
Manag
口口口
er Node口口口
図1:独立型のネットワーク管理情報収集3
広域ネットワークにおける管
理情報収集
ネットワーク全体の管理情報を収集する方法 にはいくつかの方法が考えられるoそれぞれの 方法の利点・欠点について考え、広域ネットワー クに適したネットワーク管理情報収集の方法を 考える。3
.
1
ネットワーク管理情報の収集の方
法による違い Manager Server Node口
.0
ト口
口/¥口
図2:集中型のネットワーク管理情報収集 トラヒックも増加する。またネットワーク管理 者の数が増えた場合もネットワーク管理情報収 集のトラヒックが増大する。よって独立型のネッ トワーク管理情報収集を広域ネットワークで行 なうと、ネットワーク管理情報収集によって膨 大なトラヒックを発生するという問題がある。 さらに、広域ネットワークではセキュリテイ の面から他の管理者が管理するネットワークに 対して自由に情報収集を行なうことができない。 そのようなネットワークの管理対象に対しては 情報収集を行なうことができない。そのためネッ トワーク全体のネットワーク管理情報を収集す ネットワーク管理情報の収集方法は、管理対 ることができない。 象とネットワーク管理者との関係によって三つ 現在の多くのネットワーク管理情報の収集は の方法にわかれる。 この独立型で行なわれている。このため、広域 ネットワークで使用するには適していない。 3.1.1 独立型 ネットワーク管理者が直接管理対象からネッ トワーク管理情報を収集する。すべてのネット ワーク管理者は互いに独立してネットワーク管 理情報の収集を行なう。この方法を独立型と呼 ぶ(図1)。 独立型の場合、ネットワーク全体の管理情報 を収集するためにはすべての管理対象からネッ トワーク管理情報を収集してこなければならな い。ネットワークが大きくなる場合、それにと もない管理対象の数も増える。このためネット ワーク管理者が独立してネットワーク管理情報 を収集を行なうとネットワーク管理情報収集の 3.1.2 集中型 管理対象からネットワーク管理情報を収集す るネットっワーク管理情報収集サーバがネット ワーク上に一つだけ存在している。ネットワー クのすべての管理情報はこのネットワーク管理 情報収集サーバに収集される。ネットワーク管 理者は管理対象から直接ネットワーク管理情報 を収集せず、ネットワーク管理情報収集サーパか ら情報を得る。。この方法を集中型と呼ぶ(図2)。 ネットワーク全体の管理情報はネットワーク管 理情報集収集サーバに収集されている。Manager Servcr Node
口口口
/
/
¥
o
l
O
¥
/
/
口口口
図3:分散型のネットワーク管理情報収集 ネットワーク管理情報収集のトラヒツクはネッ トワーク管理情報収集サーパだけが発生する。 そのため独立型に比べると、ネットワーク管理 者の数が増加してもトラヒックの増加は少ない。 しかしネットワーク管理情報収集サーパがすべ ての管理対象からの情報収集を行なっているた め、管理対象の増加によりネットワーク情報収 集のトラヒックが増加する問題は変わらない。 またネットワークに障害によってネットワー ク管理者とネットワーク管理情報収集サーバの 間でネットワークが分断されると、ネットワー ク管理者は必要な情報を得ることができない。 そのためネットワーク管理者カ管理作業を続け ることができなくなる。 さらに広域ネットワークのセキュリティの問 題から、独立型と同じようにネットワーク全体 のネットワーク管理情報を収集することができ ない。 3.1.3 分散型 管理対象からネットワーク管理情報を収集す るネットっワーク管理情報収集サーパがネット ワーク上に複数存在している。ネットワーク管 理情報収集サーパは、ネットワーク上の一部の 管理対象から直接ネットワーク管理情報を収集 する。その他の管理対象に対するネットワーク 管理情報は、他のネットワーク管理情報収集サー パと情報を刻臭することで収集する。ネットワー ク管理者は管理対象から直接ネットワーク管理 情報を収集せず、複数あるネットワーク管理情 報収集サーバの一つから情報を得る。この方法 を分散型と呼ぶ(図3)。 ネットワーク管理情報収集サーバが直接ネッ トワーク管理情報を収集する管理対象カヲPない ため、ネヅトワーク管理情報収集のトラヒツクは 少ない。さらにネットワーク管理情報収集サー パ聞の情報交換を変更があった情報だけに限定 することで、サーバ聞のトラヒックも抑えるこ とがでる。 障害発生時にも、不ツトワークが分断されて もすべてのネyトワーク管理情報収集サーバと 分断される可能性は少ない。よって障害発生時 でもネットワーク管理情報収集サーパにアクセ スすることができるため、管理作業を続けるこ と治宝できるo このようにトラヒックの面でも障害に対する 面でも分散型は広域ネットワークでのネットワー ク管理情報収集に適しているo さらに、ネットワーク管理情報収集サーバを セキュリテイの問題から自由なアクセスを許し ていないネットワークに配置することで、セキュ リティを保全しながらネットワーク全体の管理 情報収集を行なうことができる。3
.
2
ネットワーク管理情報収集範囲の
分割
広域ネットワークでのネットワーク管理情報 の収集には、障害に対する強きやトラヒックの 大きさの面からも分散型のネットワーク管理報 収集が適している。しかし分散型の利点をうま く引き出すためには、ネットワーク管理情報収集 サーバの配置と情報交換を行なうネットワーク 管理情報収集サーバの組の決め方カ重要である。 ネットワーク管理情報収集サーパの配置と情 報交換を行なうネットワーク管理情報収集サー バの組の決め方は、次のようにしてきめるo 1.まず、ネットワークを互いに重ならないよ うなエリアに分割する。(図4
)
。 ネットワークの分割は次の二つの基準に基 づいて行なう。-68-f
・
・
・
M・
M・
.
.
.
.
.
.
.
.
・
.
.
.
.
.
.
.
.
.
・
M・
.
.
.
.
.
・
.
.
.
・
M・
"
.
.
.
.
.
・
・
.
.
.
.
.
M.
..
・
.
:,
.
.
.
.
.
.
.
.
.
.
.
.
・
H・
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
・
M・
.
.
.
.
.
.
・
M・
.
.
.
,
・ E ・;
~甲山reaA1 n~ r-l jし
・
・
…
.
.
.
・
・
H-
・
5蜘 帥il..・
H.
・
・
.
.
H・
-
…
---ij
j
managemenL area A management ar回 B 図4:.ネットワークの分割 -ネットワークの管理方針ごとににエリ4 DIET System
アに分割する。分割によってできるエ リアを管理エリアと呼ぶ。 本研究ではTCPsP
プロトコル群を基盤とし -管理エリアをネットワークを互いに重 ならないようなエリアに分割する。分 割によってできるエリアをサプエリア と呼ぶ。分割の基準としては、ネット ワーク同士が低速なリンクでつなが れている場合はそのリンクを境界に して分割する。障害が発生しやすく、 ネットワークが分割されることが多い 場合も分割する。 このように管理エリア、サプエリアに分割 していくと、最終的にネットワークはサプ エリアの集合になる。他のサプエリアを通 過することなく通信ができる関係にあるサ プエリアを隣接エリアと呼ぶ。 た広域ネットワークにおいて管理者が障害管理 や構成管理を行なうために必要となる情報を 収集し、収集したデータを表示するシステムで ある、P
I
E
T
(
D
i
s
t
r
i
b
u
t
e
d
&
I
n
t
e
lIig
e
n
t
E
x
c
e
p
t
i
o
n
T
r
a
c
k
e
r
)
S
y
s
t
e
m
の開発を行なった。DIETS
y
s
-t
e
m
はネットワーク間接続によって構成きた広域 ネットワークにおいて複数のネットワーク管理 者が管理を行なう場合を想定して設計している。 ネットワーク管理情報の収集は先に示した分 散型の情報収集の方法を用いて行なう。分散型 のネットワーク管理情報収集を行なうことで、 情報収集によるトラヒックの増加を抑えている。 さらにネットワーク情報収集サーバ簡では変更 のあった情報だけを交換することでトラヒック の増加を抑えている。 また、対象となるネットワーク自体を使って 2.このようにして分割したサプエリア毎にネ ネットワーク管理情報の収集を行なうネットワー ットワーク管理情報収集サーパを配置する。 ク管理情報収集システムとなっている o ネットワーク管理情報収集サーパは、サプ エリア内の管理情報を直接収集するo別の4
.
1
情報収集に使用するプロトヨル
サプエリアのネットワーク管理情報は、隣 接エリアのネットワーク管理情報収集サーDIET S
y
s
t
e
m
ではSNMP
とICMP
の二つの パと情報を交換することで収集する。管理 標準プロトコルを使用してネットワーク管理情 エリア聞でのネットワーク管理情報の交換 報の収集を行なうo は、それぞれの管理エリアに属している隣 接エリア同士で行なう。4.1.1 SNMP SNMP (Simple Network Managemenl Protocol)[ 1][4]は Intemetにおける標準プロト コルで、ネットワークに接続された装置に対し てリモートからアクセスするためのプロトコル である。 SNMPを使ったアクセスの対象となる ものは管理オプジェクトと呼ばれ、 MIB(Man-agement Information Base)[3]で定義されている。 ネットワーク管理のためには標準 MIB[3,5]が 決められており、不ツトワークインターフェー スの情報やルーティングの情報をリモートで収 集することができるo また SNMPにはコミュ ニティという概念を導入しいる。コミュニテイ とはホストの集合で、このコミュニテイの違い によって管理オブジェクトに対するアクセス制 御を行なっている [4]0SNMPは UDPを使った ネットワーク管理のためのプロトコルである。 4.1.2 ICMP ICMP(Intemet Control Message Protocol)[2]も Internetにおける標準プロトコルであり、 Internet におけるエラー報告機構のためのプロトコJレ である。 ICMPは InternetProtocolの実装に必 ず組み込まれている。 ICMPを利用することで Internetのホストは ICMPのエコー要求メッセー ジを受けとると ICMPのエコー応答メッセージ を返すことになっでいるため、目的のホストま でパケットが届くかどうかをチェックを行なう ことができる。また、目的のホストがダウンし ていたり途中のネットワークがダウンしていた りしてパケットを送ることができない場合、途 中のゲートウェイから ICMPの終点到達不可能 メッセージが送ってこられるため、障害発生を 知ることができるo
4
.
2
DIET S
y
s
t
e
m
のアプリケーション
の構成
DIET Systemでは、情報を収集するためのア プリケーションと収集したデータを表示するた めのアプリケーションとから構成される。さらに 情報収集をアプリケーションは、情報を収集し加 工して他のアプリケーションに提供するセンサ aa植 田 図 5:DIET Systemのアプリケーションの関係 1m,
.
.
IRa~
l
t
…
恥年揖a R剖F回 腸 Noclf)' 制1
-
'
似│
A
r
e
a
B
図6
:
サーパ聞の通信 ーとセンサーを使って情報を収集するサーノTに わかれる(図 5)。そしてセンサーとサーパ、サー バとサーパが互いに情報を交換しながらネット ワーク管理情報を収集していく(図的。情報収集 サーノぜとしては NetworkDiggerとTraffi cMon-itorが用意されセンサーとしては ICMPsenser と各装置に組み込まれた SNMPAgentがある。 またクライアントとしては NetworkViewerと Traffic viewerが用意される。 DIETSystemは広域ネットワークでの使用を 想定しているため、アプリケーション聞のデー タの受渡しには基本的に TCPを用いている。ま た受け渡すデータはXDRを使ってエンコード/ デコードしているo-70-4.2.1 Network Digger エリア内のホストやネットワークの構成情 報を収集するサーノ九エリア内の構成情報は SNMPを使って直接収集する。他のエリアの構 成管理情報は、そのエリアの NetworkDiggerか ら情報を得る。ネットワーク上のホストからの SNMPTrapもこのサーパで受ける。指定された ホストやゲートウェイの構成管理情報を収集す る。さらにエリア内の自動検索を行なって発見 したゲートウェイの構成管理情報も収集する。 自動探索の方法は、構成管理情報を収集する際 に得られる経路制御情報を使い、再帰的に探索 を行なっていく。ゲートウェイ自動探索機能を 持つことで、ネットワーク管理者がすべてのホ ストとゲートウェイの指定する必要がなくなる。 そのエリアのホストや構成管理情報が必要な 場合は、このサーバを利用すること得ることが できる。また、新しく見つかったホストや、ま たは情報が更新されたホストやネットワークの 情報を各種アプリケーションに知らせる。 収集された構成管理情報は、一定時間経過す ると更新される。情報を更新する際は、情報に 変化があった場合だけ更新し、隣接するサーバ に新しい情報を知らせるo 4.2.2 SNMP Traffic Monitor Server ホストの短期的なトラヒック情報を SNMPを 使って収集する。クライアントからモニタリン グの要求を受けたホストに対してだけ SNMPを 使ってトラヒック情報の収集を行なう。要求のな いホストに対しての情報収集は行なわない。自 分の属しているエリアにないホストに対する要 求カ匂予なわれた場合、そのホストが属している エリアのサーバに要求を転送する。このサーバ でネットワーク管理者からのトラヒック情報の 収集の要求をまとめることで、トラヒック情報 収集によって起こるトラヒックを抑えている。ま た、要求のなくなったホストに対するトラヒック 情報は、一定時間で消去し、保存は行なわない。 4.2.3 ICMP健 闘er 届いた ICMPを処理し、目的のホストに対 して IPパケットが届くかどうかの情報を提供 する。クライアントは、センサーが受けとった ICMPをそのままを受けとることも出来るが、 センサーが ICMPを解析た結果だけを受けとる こともできる。 また複数のセンサーを利用することも可能で あるo今までアプリケーション自身で ICMPの 処理を行なっていた場合は、自分のホストに来た ICMPの情報しかわからなかった。このように 複数のセンサーを利用することで、ネットワー ク全体にくる ICMPを利用することができるよ うになる。 4.2.4 Network Viewer 管理者とのユーザインターフェイスを行なう アプリケーション。 Xwindow systemを使用し て NetworkDiggerで収集したネットワークの 情報を視覚化する。ホストやネットワークの接 続の状況は、ホストまたはネットワークを頂点 とした treeとして自動的に表示される。頂点と なるホストやネットワークのしては、マウスに よって任意のホストやネットワークを指定する ことができ、自動的に再配置カ吋予なわれ、その 結果を表示する。各ホストの状態は、 IPパケッ トが届くかどうか、 SNMPで情報を取ることが できるかどうかという状態によって、三種類の 色で表現される。 その他にもホストの部分をマウスでクリック するとそのホストのインターフェイスについて の情報が表示され、ネットワークの部分をクリッ クするとそのネットワークに接続されているホ ストのリストが表示される。
4.2.5 Network Traffic Viewer
SNMP Traffic Monitor Serverにトラヒックの モニタリングをサーパに要求し、その結果を
