ネットワーク可視化製品ご紹介 ~キーサイト テクノロジー社~ SCSK株式会社 2019年2月 Rev.1-6-web

SCSK株式会社

ネットワーク可視化製品ご紹介

IXIA製品カバレッジ

モバイルコア

テスト

モバイルアクセス

テスト

ネットワークエラー

エミュレーション

セキュリティテスト

インターネットコア

テストソリューション

クラウド/ストレージ

テストソリューション

仮想化 / SDN / NFV テスト

Wi-Fi端末テスト

WiFi GWテスト

ネットワーク可視化

テスター IxLoad/IxNetwork/IxBreakingPointではなく、可視化製品ご紹介

Ixia製品ネットワーク可視化製品群

TAP～NPB

Visionシリーズ SPAN ポートアグリゲーター TAP 1/10/40/100G対応 ロードバランス、パケット加工 フィルタリング、ロードバランス トラフィックの合成、集約 ネットワークからのトラフィック取り出し

NPB

ネットワークを可視化する手段としてパケットを取り出す方法として、SW-HUBの持つSPAN/RSPANが一般的 に利用されています。しかし、SW-HUBそのものの処理能力低下を招いたり、パケットロスが発生したりします。 また、エラーフレーム発生を確認することはSPANではできません。 キーサイト・テクノロジー社のTAP製品を利用し、物理レイヤでトラフィックを取り出すことでネットワーク機器 への性能低下やボトルネックにならず、エラーフレームを含めて安全に取り出すことができます。 SPAN や TAP を利用すると入力ポート数が増えますが、NPB（ネットワークパケットブローカー）製品を利用し、 ポートの集約を行うことで、パケットを解析するモニター製品、セキュリティ製品の利用数もまとめることができ ます。 TAPインサイド

Ciscoサイトの情報について

下記サイトにSPANについての技術的な説明があり後半部分

にCatalyst 6500の仕様でのリスク表記がございましたので

ご参考までにご連絡させて頂きます。

http://www.cisco.com/cisco/web/support/JP/100/1008/1008210_41-j.html#support

「Catalyst 6500 シリーズでは、出力 SPAN はスーパーバイザで行われることに

注意することが重要です。この場合、出力SPAN の対象になるすべてのトラフィック

がファブリック上でスーパーバイザに送信されてから SPAN 宛先ポートに送信される

のが許可されます。これにより、相当のシステム リソースが使用され、ユーザ

トラフィックに影響が及ぶ可能性があります。

入力 SPAN は入力モジュールで行われるため、SPAN のパフォーマンスはすべての

構成しているレプリケーション エンジンの合計になります。

SPAN 機能のパフォーマンスは、レプリケーション エンジンで利用可能

な ASIC のパケット サイズおよび種類によって異なります。」

Network Tap / Port Aggregator

SW-HUB SW-HUB TX RX _TX SW-HUB SW-HUB TX RX ネットワークの物理回線上にインラインで設置 安全に上り下りのトラフィックをそれぞれ出力 LANアナライザ、IDS、フォレンジックなどパッシブにデータを収集する製品と利用 単一リンク用、マルチリンク用モデル有 ネットワークタップとは異なり、上り下りトラフィックを合成し出力 専用バッファでバースト時もパケットロス防止 1ポートで収集するLANアナライザ、IDS、フォレンジックなどパッシブにデータを 収集する製品と利用 単一リンク用、マルチリンク用モデル有 ポートアグリゲーター TP-CU3-ST / TP-CU3-ZD モニタ製品 モニタ製品 モニタ製品 TP-1, 100 / TPX-10シリーズ TPX VHD-シリーズ ネットワークタップ TPA2-CU3

Regeneration Tap

モニタ製品 モニタ製品 モニタ製品 モニタ製品 SW-HUB SW-HUB TX RX _TX ネットワークの物理回線上にインラインで設置 安全に上り下りのトラフィックをそれぞれ出力 LANアナライザ、IDS、フォレンジックなどパッシブにデータを収集する製品と利用 TAPと同様の設置方法で、トラフィックは上り下りそれぞれ8出力可能 リジェネレーションタップ RG-CU3 モニタ製品 モニタ製品 モニタ製品 モニタ製品

Bypass Switch

SW-HUB SW-HUB インライン製品 SW-HUB SW-HUB インライン製品 リンクダウン ハートビート 無応答、スローレスポンス バイパススイッチ（通常時） ネットワークの物理回線上にインラインで設置 インライン製品と接続 インライン製品の リンクダウン 時や ハートビート の応答が確認できない場合、 インライン製品をバイパスしネットワークダウンを回避 透過型インライン製品となるFirewall、WAF、IPS、サンドボックスと利用 1回線用、多回線用モデル有 バイパススイッチ（作動時） I3BP-CU3 IBPVHD-CH-AC 1G/10G 4ライン用 ｘ最大3モジュール Bypass、TAP、Regeneration、Aggregation設定可能

Copper Tap



10/100/1000Base-Tをサポート



ゼロディレイ機能（ZDモデル）による電源喪失時のネットワーク断の回避



低遅延 （1G：0.75マイクロ秒、100M：1.4マイクロ秒、10M：10マイクロ秒）



リンクフォールト・ディテクト機能によるモニタ側へのリンク切れとリンクスピードの連携



背面のディップスイッチにより、各種設定やリンク固定が可能



前面のLED表示による電源ON/OFF、リンクスピードの確認が可能



専用ラックマウントで1Uに最大3ラインのタップを搭載可能（オプション）



標準電源冗長

TP-CU3-ZD

Fiber Tap

ポートに対する光の向き

入力光と分光方向



業界最大クラスのポート密度。1Uに最大24ラインのタップを搭載可能



1G

（SX/LX）

/10G

（SR/LR）

/40G

（SR/LR）

/100G

（SR/LR）

をサポート



分光比率 50:50 / 60:40 / 70:30 / 80:20 / 90:10 より選択

※ 40G-SRのコネクタはMTP （最大12個搭載） 、分光比率は50:50 または 70:30のみ ※ 100G-SRのコネクタはMTP（最大12個搭載）、分光比率は50:50 または 70:30のみ



前面のファイバ保護用構造によりファイバの損傷を防止



専用工具なしでタップの増設が可能



電源無し

Flex Tapシリーズ

ネットワークパケットブローカー 主要機能

フィルタ コピー 集約/合成 IF変換 ストリッピング タギング トリミング タイムスタンプ 重複排除 1Gバースト プロテクション Payload IP Header VLAN/MPLS/GTP Payload IP Header Payload IP Header Timestamp 重複排除後 Payload IP Header VLANタグ ロードバランス 切り替え フィルタリング コピー 集約・合成 ロードバランス メディア変換

P P P

バッファリング

P P

P

_P

_{P P P P}

P P

P P

P P

パケットロスを極力解消するために バッファリングする

AFM機能

Advanced Feature Modules NTO 全シリーズ対応 重複判定条件 1) パケット全体(ヘッダー含む) 2) IPヘッダー以降 3) IPペイロードのみ（IPヘッダー 以下は除く） FabricPATH対応

Visionシリーズ 自動ルールエンジンとGUI

VLAN 1-3 VLAN 3-6 TCP 自動的に重複条件を検査し、ルールを作成 3. どのようにルールを自動コンパイルするのか

No. Criteria Action

0 VLAN 3 + TCP Tool 1, 2 & 3 1 VLAN 1-3 + TCP Tool 1 & 2 2 VLAN 4-6 + TCP Tool 2 & 3 3 VLAN 3 Tool 1 & 3 4 VLAN 1-2 Tool 1 5 VLAN 4-6 Tool 3 6 TCP Tool 2 7 Null Drop  自動的に重複条件を解決。必要な条件を簡素化  変更の影響無し – パケットロス無し  マルチアクセスで設定変更可能

 Web API であるRESTful APIを使用し、外部システムとの 連携による自動フィルター等の設定変更が可能

4. なぜこれがすごいのか 1. 何をしたいのか

Network Tool Control Panel で簡単な3つのフィルタ作成

2. どのように設定するのか Network SPAN ポート Tool Port #1 Tool Port #2 Tool Port #3 TCP SPANポート1つを3つのツールポートにそれぞれの条件で出力 入力ポート ダイナミック_フィルタ 出力ポート

次世代NPB

（ネットワークパケットブローカー）

Vision ONE

データマスキング IP Header Payload XXXX

最新製品 Vision ONE

高集積ポート

SFP/SFP+

1/10G ｘ 48ポート

QSFP＋

40G

ｘ 4ポート

※40Gはブレークアウトケーブル利用で10Gｘ4ポートに変換可能

特長：



Visionシリーズの全機能を搭載



PacketStack(AFM)機能をライセンスとして160Gbps（10Gｘ16ポート）まで任意のポートに設定可能



インラインバイパス（LinkDown検知、HeartBeart検知（性能低下を検知可能））



Inline HA（高可用性）

ATI（Application and Threat Intelligence）プロセッサーで以下の技術を実現



DPIモニタおよびDPIフィルタ



IxFlowでxFlowエージェント機能（コレクター10台までサポート）

NetFlow v9、10とIPFIX対応



SSL/TLS復号機能（RSA、ECDH対応）で、復号パケットを任意ポートに出力可能



データマスク機能（クレジットカード番号、Emailなど柔軟に対応）で、加工済みデータを任意ポート

に出力可能

ATI

（Application and Threat Intelligence）

プロセッサー機能

①DPIでL7フィルタリングとリアルタイム表示

アプリケーション、アプリケーションイベント 端末OS、ブラウザ種別 ジオロケーション

③SSL/TLS復号

モニタリングツールに復号データを送信 サーバー証明書とキーをセット

④データマスキング

カード番号や任意パターン

②NetFlow / IPFIX ジェネレーション

IxFlowメタデータ ：デバイス OS、ブラウザタイプ ：キャリア BGP AS#、ジオロケーション ：復号したSSL暗号タイプ、キー長さ Amazon、AOL、 Facebook、Gmail、 Google、Hulu、 iTunes、LINE、ニ コニコ動画、Yahoo など180種類以上

Vision Edge 10s / 40 / 100

Vision Edge

モニタリング・ファブリックを構成する高密度ポート搭載 1G～100G

Vision E10s

Vision E40

Vision E100

タイプ 1G / 10G 1G /10G /40G対応 10G/25G/50G/100G対応 インターフェース 1G 48ポート 48ポート 10G 48ポート （ファンアウトケーブル利用48ポート or 72ポート 時） 128ポート 40G 6ポート 32ポート 25G 128ポート 50G 64ポート 100G 32ポート PacketStack(AFM) 〇（4ポート） ー 接続方法 SPAN SPAN / In-Line

寸法cm（RU）、重量 4.4 x 44.5 x 62.3（1U）、_13.6Kg 4.4 x 44.2 x 47.3（1U）、_8.7Kg 4.4 x 43.9 x 51.6(1U)、_10.4Kg 電源（二重化、ホットスワップ対応） 90 to 260 VAC @ 50-60 Hz 90 to 264 VAC @ 50-60 Hz 90 to 264 VAC @ 50-60 Hz

IFC機能による Vision ONE / 7300 とのクラスタリングシス テムが可能

フィルタリング、アグリゲーション、リジェネレーション、ロードバランスが可能

Visionシリーズ 機器諸元

シリーズ Vision ONE VisionE10s Vision E40 Vision E100

RU 1RU 1RU 1RU 1RU

最大ポート数 64port 48port 72port 128port インターフェース 1G SFP 48ポート 48ポート 48ポート ー 10G SFP+ 追加16ポート （4x4ブレイクアウ48ポート ト） 48ポート 48ポート or 72ポート （ファンアウトケーブル利用 時） ー 1/10G SFP/SFP+ 48ポート 48ポート 48ポート ー 40G QSFP＋ 4ポート ー 6ポート ー 100G CFP ー ー ー ー 10G QSFP28 ー ー ー 128ポート 25G QSFP28 ー ー ー 128ポート 40G QSFP28 ー ー ー 32ポート 50G QSFP28 ー ー ー 64ポート 100G QSFP28 ー ー ー 32ポート AFM 160Gbps 40Gbps ー ー 電源冗長 ○ ○ ○ ○ 寸法（高さｘ幅ｘ奥行）cm 4.5 x 44.5 x 75.0 4.4 x 44.5 x 62.3 4.4 x 44.2 x 47.3 4.4 x 43.9 x 51.6 重量 16.5 kg 13.6 kg 8.7 kg 10.4 kg 動作温度 5℃～40℃ 0℃～50℃ 0℃～40℃ 0℃～45℃ 動作湿度 5%～85%（結露なきこと） 5%～95%（結露なきこと）

SSL

サンプルネットワークにIXIA製品を当てはめる

L3 L3SW L2 L2 L2 L2 IPS WAF IPS

■利用監視製品

・セキュリティチェック

NGFW、IPS/SandBox

・SSL Visibilityを利用し、HTTPS内も検査

IPS

■追加予定

・セキュリティチェック

SandBox追加（Web用、Mail用）

フォレンジックツール

・ネットワーク可視化ツール

■検討

・ネットワークの冗長化

1GBASE-SX インライン SPAN SPAN

SSL

IXIA製品設置ポイント①

L3 L3SW L3 L2 L2 L2 IPS Bypassスイッチ IBP-8000 ＋DBM-200 Bypassスイッチ IBP-8000 ＋DBM-200 Forensic Monitoring

■利用監視製品

・セキュリティチェック

NGFW、IPS/SandBox

・SSL Visibilityを利用し、HTTPS内も検査

IPS

■追加予定

・セキュリティチェック

SandBox追加（Web用、Mail用）

フォレンジックツール

・ネットワーク可視化ツール

■検討

・ネットワークの冗長化

TAPとVisionで集約・合成 TAPとVisionで集約・合成 TAPとVisionで集約・合成 ツールの最適化 TAPとVisionで集約・合成 常時モニターとトラブルシューティン グを実現 Visionシリーズ WAF インライン 1GBASE-SX

IXIA製品設置ポイント②

L3 L3 L2 L2 L2 WAF IPS 1GBASE-SX インライン SSL Bypassスイッチ IBP-8000 ＋DBM-200 VisionEdge40/ VisionONE Bypass スイッチ Bypass スイッチ Forensic Monitoring

■利用監視製品

・セキュリティチェック

NGFW、IPS/SandBox

・SSL Visibilityを利用し、HTTPS内も検査

IPS

■追加予定

・セキュリティチェック

SandBox追加（Web用、Mail用）

フォレンジックツール

・ネットワーク可視化ツール

■検討

・ネットワークの冗長化

TAPとVisionで集約・合成 TAPとVisionで集約・合成 TAPとVisionで集約・合成 ツールの最適化 TAPとVisionで集約・合成 常時モニターとトラブルシューティングを実現 Bypassスイッチで冗長化 VisionEdge/ONEのBypassスイッチは FlexTAP TPX-10-SR-50-60 Bypassスイッチを Bypassスイッチで 設置

事例１ 止めないネットワーク構築

課題：止めないネットワーク

障害時、メンテナンス時もネットワークは止めない 遠隔からでもメンテナンスができる

対応：Bypassスイッチによるインライン製品の冗長化 BypassSwith I3BP-CU3でPaloalto PA-3020を接続

効果： Paloalto保守対応時はBypassスイッチで迂回させ ることでネットワーク無停止 遠隔から迂回操作を行えるので、保守拠点から操作 可能 追加効果： 機器障害時以外で、インライン製品の性能低下時も バイパスすることでネットワーク性能を確保できた （Paloato処理能力を超えるセキュリティアタック 有。上位モデルへの検討）

Internet

Router SW-HUB I3BP-CU3

事例2 ネットワーク可視化と障害対応

ネットワークの可視化、解析システムの利用・運用開始 課題：効率的なモニタリングポイント設計 多数のモニタリング回線のモニタリング 障害解析のためパケットロスゼロの仕組み 損害保険ジャパン日本興亜株式会社 社員数：26,380名 国内拠点数：1000拠点以上 ビジネスを支える大規模ネットワーク 営業系、情報系のクラウドサービス（SaaS）利用や拠点のシンクライアント化で通信量が激増。安定的な通信の 維持とパフォーマンス管理がより重要になった。

事例2 ネットワーク可視化と障害対応

対応：TAPによるパケロスゼロ環境の準備とモニター ポイントの集約 回線にTAP TP-CU3-ZDを接続し、SPANによるパ ケロスを排除 SPANを止め、SW-HUB性能確保 TAPをVision5236で集約 Vision5236にnGenius InfiniStream2900を接続 Visionのポート切替で自由にモニタポイント変更 集約することでキャプチャツール台数を最小化・コ ストダウン 効果： nGeniusシリーズでネットワーク管理の実現 TAP＋Vision導入で特定回線のモニタが迅速・容易 TAP導入で障害解析のためのSW-HUB設定変更か らの開放で運用者負荷低減 固定モニタポイントに影響なく追加ポイント設定 追加効果： TAP＋Visionで集約し、見たいポイントを 遠隔から操作可能。 センターへの移動、入館手続き等の負荷低減 Visionは操作が容易で時短トレーニングで習得可能 データセンター データセンター 全 国 店 舗 メインデータ センター nGenius ONE InfiniStream Vision5236 TAP TP-CU3-ZD

事例3 ネットワーク可視化とパケット加工

ネットワークの可視化、解析システムの利用 課題：既設モニタリングポイントと重複パケット設計 Core SW-HUBは、システムごとにVLAN付与。VLANヘッダが 異なる同じパケットが大量に流れる 重複データが再送と判断し、十分な解析が発揮できない 高負荷ポートをSPANするとパケットロスが心配。TX、RXそれぞ れでSPAN設定を行うと全てをSPANできない（設定の問題） 40GではSPAN設定できない（設定の問題） 100GでSPAN設定は性能上心配（性能低下、パケロス） NexusでSPANポートのバグがいくつか発生（仕様上の問題？） FabricPATHヘッダ、MPLS、VLANなど複数ヘッダーへの対応 （モニターツールは対応可能だが、その他ツールは未対応） 某銀行 業務系ネットワーク モニタリングはNexus6000シリーズのSPANポート運用 Nexus6000シリーズでSPANポート設定はできない SPANの集約はNexus5000シリーズで行い、10G 8ポートで出力 Cisco ASA システムA システムB システムC VLAN C VLAN B VLAN A 各システム通信はワンアー_{ム接続のASA経由} システムごとにVLAN_ID 有 Core SW-HUB Nexus6000 10G-SR 10G-SR Aggregation SW-HUB Nexus5000 パケットモニターツール

事例3 ネットワーク可視化とパケット加工

対応：SPANの集約とヘッダーストリッピングによる重複排除 SPANの集約（Vision筐体ポート数まで入力・出力OK） FabricPATHストリッピング MPLSストリッピングにも対応済み（Vision） VLANヘッダストリッピング 効果： FabricPATH削除により解析可能 VLANストリッピング＋TCP/UDP重複排除でパケット削減効果大 複数セッションに見えていたが、1セッション解析（見やすい） Vision導入でCore SW-HUB設定変更から開放。運用者負荷低減 追加効果： Visionでキャプチャポイント、特定パケットを簡単に変更できる VLANストリッピング＋レイヤ4重複排除で キャプチャパケット減少 複数セッションが1セッション解析 になりシステム全体に余裕ができ、更なポート集約が可能なった コアスイッチの設定変更作業減で、 システム導入時間削減、検証準備削減と作業ミス低減 高負荷ポート、40G/100G回線はTAPを検討（離線はネックだ が）することで、既存SPANポートもTAP利用の検討を開始 集約後のパケットロスをVisionで確認できる Cisco ASA システムA システムB システムC FlexTAP VLAN A 各システム通信はワンアー_{ム接続のASA経由} システムごとにVLAN_ID 有 Core SW-HUB Nexus6000 10G-SR 集約 ヘッダ削除 重複排除 フィルタリング Vision5236 パケットモニターツール 40G LR FlexTAP

事例4 複数セキュリティ製品とパケット転送

課題：全トラフィックの集約と大量パケットの遠隔転送 複数ビルのトラフィックの集約 大量の重複パケットの効率的な排除方法 どのように大量パケットをパケロス無しに遠隔転送 セキュリティツールごとの分配と性能 某政府系ネットワーク 関西データセンターにセキュリティ基盤に東京拠点の全トラフィックを転送し、センターで各種セキュリティ検査を 行う IDS、IPS、振る舞い検知、Forensic

事例4 複数セキュリティ製品とパケット転送

Sensor Sensor Sensor

拠点ビル

ネットワークＴＡＰ 10GBASE-LR 50個、10GBASE-SR 24個 Cisco ASR1006

ネットワーク

フォレンジック

侵入防御

システム

ロードバランス出力 L2、3重複パケット排除 in 48line out 12line in 52line out 12line in 36line out 4line in 48line out 12line 重複排除 in4/out4 in 4line out ？line

拠点ビル

Vision5288

Vision5288-AFM16MOD

データセンター

Vision5288-AFM16MOD

5288 5288 5288 5288 5236 5288 L2TP

事例4 複数セキュリティ製品とパケット転送

課題：全トラフィックの集約と大量パケットの遠隔転送 複数ビル内のトラフィック集約 大量の重複パケットの効率的な排除方法 どのように大量パケットをパケロス無しに遠隔転送 セキュリティツールごとの分配と性能 某政府系ネットワーク 関西データセンターにセキュリティ基盤に東京拠点の全トラフィックを転送し、センターで各種セキュリティ検査を行う IDS、IPS、振る舞い検知、Forensic 対応：集約＋ロードバランスで重複排除 ビルごとのTAPを集約 or 集約＋重複排除 重複排除は16ポートロードバランス振分け＋重複排除 ロードバランス分散後、再集約 遠隔転送は餅屋（SW-HUBによるL2TP）に任せて 安全＋性能＋拡張を確保 効果： ビル間を跨るトラフィックは思った以上に流れており、重複排除効果が高く、転送量が減少 追加効果： TAPの変更、SPAN接続、回線スピードの変更など発生するが、操作が簡単 機器の性能確保はハードウェア処理（FPGA）が安心、安全、性能確保（ソフトウェアは機能追加や柔軟性は高いけど）

I X I A S E C U R I T Y F A B R I C 高信頼性な セキュリテ監視 アーキテクチャ 高パフォーマンス, 高信頼性 セキュリティ 高信頼性インライン スタンドアロンBypass 高耐久性 MTBF (A-S) NPB (アクティブ-アクティブ) 追加可能な簡単なインライン構成とデプロイ 高パフォーマンス プ ラットフォーム Vision ONE フルHAインライン,AFM / ATIP Vision Edge ソフトウエア-デファインNPB Vision 73007U 高密度 100G -10/1G対応 288 10G ポート 物理データセンタ ブランチ Bypass HAインライン Bypass VHD, HD 物理TAP 仮想TAP 生データの分岐 高密度Tap プライベート アクセス ブランチ・サイト データセンタ プライベート/パブリック 仮想環境に 完全対応 プライベート パブリック クラウド CloudLens Public コンテナベース・センサ 事前フィルタによる最適化 クラウドネイティブのスケールアウト CloudLens Private ゲストへ瞬時に接続 オーケストレーション対応 ソフトウエア デファイン アーキテクチャ 最適な拡張性 パテント取得フィルタ 容易なGUI IFC SDNファブリックコントローラ 分散構成 & 回復性 スケ―ラブル 目的に応じた ハイパフォーマンス テラビット/秒処理

完全な可視化ソリューション

キーサイト・テクノロジー社、NetScout社製品ご支援窓口

SCSK株式会社 プラットフォームソリューション事業部門 ITプロダクト＆サービス事業本部 ネットワーク部

製品担当営業まで

〒135‐8110 東京都江東区豊洲3-2-20 豊洲フロント 電話:03-5859-3034 http：//www.scsk.jp/ E-mail:ixia-info@ml.scsk.jp