SCSK株式会社
ネットワーク可視化製品ご紹介
IXIA製品カバレッジ
モバイルコア
テスト
モバイルアクセス
テスト
ネットワークエラー
エミュレーション
セキュリティテスト
インターネットコア
テストソリューション
クラウド/ストレージ
テストソリューション
仮想化 / SDN / NFV テストWi-Fi端末テスト
WiFi GWテスト
ネットワーク可視化
テスター IxLoad/IxNetwork/IxBreakingPointではなく、可視化製品ご紹介
Ixia製品ネットワーク可視化製品群
TAP~NPB
Visionシリーズ SPAN ポートアグリゲーター TAP 1/10/40/100G対応 ロードバランス、パケット加工 フィルタリング、ロードバランス トラフィックの合成、集約 ネットワークからのトラフィック取り出しNPB
ネットワークを可視化する手段としてパケットを取り出す方法として、SW-HUBの持つSPAN/RSPANが一般的 に利用されています。しかし、SW-HUBそのものの処理能力低下を招いたり、パケットロスが発生したりします。 また、エラーフレーム発生を確認することはSPANではできません。 キーサイト・テクノロジー社のTAP製品を利用し、物理レイヤでトラフィックを取り出すことでネットワーク機器 への性能低下やボトルネックにならず、エラーフレームを含めて安全に取り出すことができます。 SPAN や TAP を利用すると入力ポート数が増えますが、NPB(ネットワークパケットブローカー)製品を利用し、 ポートの集約を行うことで、パケットを解析するモニター製品、セキュリティ製品の利用数もまとめることができ ます。 TAPインサイドCiscoサイトの情報について
下記サイトにSPANについての技術的な説明があり後半部分
にCatalyst 6500の仕様でのリスク表記がございましたので
ご参考までにご連絡させて頂きます。
http://www.cisco.com/cisco/web/support/JP/100/1008/1008210_41-j.html#support
「Catalyst 6500 シリーズでは、出力 SPAN はスーパーバイザで行われることに
注意することが重要です。この場合、出力SPAN の対象になるすべてのトラフィック
がファブリック上でスーパーバイザに送信されてから SPAN 宛先ポートに送信される
のが許可されます。これにより、相当のシステム リソースが使用され、ユーザ
トラフィックに影響が及ぶ可能性があります。
入力 SPAN は入力モジュールで行われるため、SPAN のパフォーマンスはすべての
構成しているレプリケーション エンジンの合計になります。
SPAN 機能のパフォーマンスは、レプリケーション エンジンで利用可能
な ASIC のパケット サイズおよび種類によって異なります。」
Network Tap / Port Aggregator
SW-HUB SW-HUB TX RX TX SW-HUB SW-HUB TX RX ネットワークの物理回線上にインラインで設置 安全に上り下りのトラフィックをそれぞれ出力 LANアナライザ、IDS、フォレンジックなどパッシブにデータを収集する製品と利用 単一リンク用、マルチリンク用モデル有 ネットワークタップとは異なり、上り下りトラフィックを合成し出力 専用バッファでバースト時もパケットロス防止 1ポートで収集するLANアナライザ、IDS、フォレンジックなどパッシブにデータを 収集する製品と利用 単一リンク用、マルチリンク用モデル有 ポートアグリゲーター TP-CU3-ST / TP-CU3-ZD モニタ製品 モニタ製品 モニタ製品 TP-1, 100 / TPX-10シリーズ TPX VHD-シリーズ ネットワークタップ TPA2-CU3Regeneration Tap
モニタ製品 モニタ製品 モニタ製品 モニタ製品 SW-HUB SW-HUB TX RX TX ネットワークの物理回線上にインラインで設置 安全に上り下りのトラフィックをそれぞれ出力 LANアナライザ、IDS、フォレンジックなどパッシブにデータを収集する製品と利用 TAPと同様の設置方法で、トラフィックは上り下りそれぞれ8出力可能 リジェネレーションタップ RG-CU3 モニタ製品 モニタ製品 モニタ製品 モニタ製品Bypass Switch
SW-HUB SW-HUB インライン製品 SW-HUB SW-HUB インライン製品 リンクダウン ハートビート 無応答、スローレスポンス バイパススイッチ(通常時) ネットワークの物理回線上にインラインで設置 インライン製品と接続 インライン製品の リンクダウン 時や ハートビート の応答が確認できない場合、 インライン製品をバイパスしネットワークダウンを回避 透過型インライン製品となるFirewall、WAF、IPS、サンドボックスと利用 1回線用、多回線用モデル有 バイパススイッチ(作動時) I3BP-CU3 IBPVHD-CH-AC 1G/10G 4ライン用 x最大3モジュール Bypass、TAP、Regeneration、Aggregation設定可能Copper Tap
10/100/1000Base-Tをサポート
ゼロディレイ機能(ZDモデル)による電源喪失時のネットワーク断の回避
低遅延 (1G:0.75マイクロ秒、100M:1.4マイクロ秒、10M:10マイクロ秒)
リンクフォールト・ディテクト機能によるモニタ側へのリンク切れとリンクスピードの連携
背面のディップスイッチにより、各種設定やリンク固定が可能
前面のLED表示による電源ON/OFF、リンクスピードの確認が可能
専用ラックマウントで1Uに最大3ラインのタップを搭載可能(オプション)
標準電源冗長
TP-CU3-ZD
Fiber Tap
ポートに対する光の向き
入力光と分光方向
業界最大クラスのポート密度。1Uに最大24ラインのタップを搭載可能
1G
(SX/LX)
/10G
(SR/LR)
/40G
(SR/LR)
/100G
(SR/LR)
をサポート
分光比率 50:50 / 60:40 / 70:30 / 80:20 / 90:10 より選択
※ 40G-SRのコネクタはMTP (最大12個搭載) 、分光比率は50:50 または 70:30のみ ※ 100G-SRのコネクタはMTP(最大12個搭載)、分光比率は50:50 または 70:30のみ
前面のファイバ保護用構造によりファイバの損傷を防止
専用工具なしでタップの増設が可能
電源無し
Flex Tapシリーズ
ネットワークパケットブローカー 主要機能
フィルタ コピー 集約/合成 IF変換 ストリッピング タギング トリミング タイムスタンプ 重複排除 1Gバースト プロテクション Payload IP Header VLAN/MPLS/GTP Payload IP Header Payload IP Header Timestamp 重複排除後 Payload IP Header VLANタグ ロードバランス 切り替え フィルタリング コピー 集約・合成 ロードバランス メディア変換P P P
バッファリングP P
P
P
P P P P
P P
P P
P P
パケットロスを極力解消するために バッファリングするAFM機能
Advanced Feature Modules NTO 全シリーズ対応 重複判定条件 1) パケット全体(ヘッダー含む) 2) IPヘッダー以降 3) IPペイロードのみ(IPヘッダー 以下は除く) FabricPATH対応Visionシリーズ 自動ルールエンジンとGUI
VLAN 1-3 VLAN 3-6 TCP 自動的に重複条件を検査し、ルールを作成 3. どのようにルールを自動コンパイルするのかNo. Criteria Action
0 VLAN 3 + TCP Tool 1, 2 & 3 1 VLAN 1-3 + TCP Tool 1 & 2 2 VLAN 4-6 + TCP Tool 2 & 3 3 VLAN 3 Tool 1 & 3 4 VLAN 1-2 Tool 1 5 VLAN 4-6 Tool 3 6 TCP Tool 2 7 Null Drop 自動的に重複条件を解決。必要な条件を簡素化 変更の影響無し – パケットロス無し マルチアクセスで設定変更可能
Web API であるRESTful APIを使用し、外部システムとの 連携による自動フィルター等の設定変更が可能
4. なぜこれがすごいのか 1. 何をしたいのか
Network Tool Control Panel で簡単な3つのフィルタ作成
2. どのように設定するのか Network SPAN ポート Tool Port #1 Tool Port #2 Tool Port #3 TCP SPANポート1つを3つのツールポートにそれぞれの条件で出力 入力ポート ダイナミックフィルタ 出力ポート
次世代NPB
(ネットワークパケットブローカー)Vision ONE
データマスキング IP Header Payload XXXX最新製品 Vision ONE
高集積ポート
SFP/SFP+
1/10G x 48ポート
QSFP+
40G
x 4ポート
※40Gはブレークアウトケーブル利用で10Gx4ポートに変換可能特長:
Visionシリーズの全機能を搭載
PacketStack(AFM)機能をライセンスとして160Gbps(10Gx16ポート)まで任意のポートに設定可能
インラインバイパス(LinkDown検知、HeartBeart検知(性能低下を検知可能))
Inline HA(高可用性)
ATI(Application and Threat Intelligence)プロセッサーで以下の技術を実現
DPIモニタおよびDPIフィルタ
IxFlowでxFlowエージェント機能(コレクター10台までサポート)
NetFlow v9、10とIPFIX対応
SSL/TLS復号機能(RSA、ECDH対応)で、復号パケットを任意ポートに出力可能
データマスク機能(クレジットカード番号、Emailなど柔軟に対応)で、加工済みデータを任意ポート
に出力可能
ATI
(Application and Threat Intelligence)プロセッサー機能
①DPIでL7フィルタリングとリアルタイム表示
アプリケーション、アプリケーションイベント 端末OS、ブラウザ種別 ジオロケーション③SSL/TLS復号
モニタリングツールに復号データを送信 サーバー証明書とキーをセット④データマスキング
カード番号や任意パターン②NetFlow / IPFIX ジェネレーション
IxFlowメタデータ :デバイス OS、ブラウザタイプ :キャリア BGP AS#、ジオロケーション :復号したSSL暗号タイプ、キー長さ Amazon、AOL、 Facebook、Gmail、 Google、Hulu、 iTunes、LINE、ニ コニコ動画、Yahoo など180種類以上Vision Edge 10s / 40 / 100
Vision Edge
モニタリング・ファブリックを構成する高密度ポート搭載 1G~100G
Vision E10s
Vision E40
Vision E100
タイプ 1G / 10G 1G /10G /40G対応 10G/25G/50G/100G対応 インターフェース 1G 48ポート 48ポート 10G 48ポート (ファンアウトケーブル利用48ポート or 72ポート 時) 128ポート 40G 6ポート 32ポート 25G 128ポート 50G 64ポート 100G 32ポート PacketStack(AFM) 〇(4ポート) ー 接続方法 SPAN SPAN / In-Line
寸法cm(RU)、重量 4.4 x 44.5 x 62.3(1U)、13.6Kg 4.4 x 44.2 x 47.3(1U)、8.7Kg 4.4 x 43.9 x 51.6(1U)、10.4Kg 電源(二重化、ホットスワップ対応) 90 to 260 VAC @ 50-60 Hz 90 to 264 VAC @ 50-60 Hz 90 to 264 VAC @ 50-60 Hz
IFC機能による Vision ONE / 7300 とのクラスタリングシス テムが可能
フィルタリング、アグリゲーション、リジェネレーション、ロードバランスが可能
Visionシリーズ 機器諸元
シリーズ Vision ONE VisionE10s Vision E40 Vision E100
RU 1RU 1RU 1RU 1RU
最大ポート数 64port 48port 72port 128port インターフェース 1G SFP 48ポート 48ポート 48ポート ー 10G SFP+ 追加16ポート (4x4ブレイクアウ48ポート ト) 48ポート 48ポート or 72ポート (ファンアウトケーブル利用 時) ー 1/10G SFP/SFP+ 48ポート 48ポート 48ポート ー 40G QSFP+ 4ポート ー 6ポート ー 100G CFP ー ー ー ー 10G QSFP28 ー ー ー 128ポート 25G QSFP28 ー ー ー 128ポート 40G QSFP28 ー ー ー 32ポート 50G QSFP28 ー ー ー 64ポート 100G QSFP28 ー ー ー 32ポート AFM 160Gbps 40Gbps ー ー 電源冗長 ○ ○ ○ ○ 寸法(高さx幅x奥行)cm 4.5 x 44.5 x 75.0 4.4 x 44.5 x 62.3 4.4 x 44.2 x 47.3 4.4 x 43.9 x 51.6 重量 16.5 kg 13.6 kg 8.7 kg 10.4 kg 動作温度 5℃~40℃ 0℃~50℃ 0℃~40℃ 0℃~45℃ 動作湿度 5%~85%(結露なきこと) 5%~95%(結露なきこと)
SSL
サンプルネットワークにIXIA製品を当てはめる
L3 L3SW L2 L2 L2 L2 IPS WAF IPS■利用監視製品
・セキュリティチェック
NGFW、IPS/SandBox
・SSL Visibilityを利用し、HTTPS内も検査
IPS
■追加予定
・セキュリティチェック
SandBox追加(Web用、Mail用)
フォレンジックツール
・ネットワーク可視化ツール
■検討
・ネットワークの冗長化
1GBASE-SX インライン SPAN SPANSSL
IXIA製品設置ポイント①
L3 L3SW L3 L2 L2 L2 IPS Bypassスイッチ IBP-8000 +DBM-200 Bypassスイッチ IBP-8000 +DBM-200 Forensic Monitoring■利用監視製品
・セキュリティチェック
NGFW、IPS/SandBox
・SSL Visibilityを利用し、HTTPS内も検査
IPS
■追加予定
・セキュリティチェック
SandBox追加(Web用、Mail用)
フォレンジックツール
・ネットワーク可視化ツール
■検討
・ネットワークの冗長化
TAPとVisionで集約・合成 TAPとVisionで集約・合成 TAPとVisionで集約・合成 ツールの最適化 TAPとVisionで集約・合成 常時モニターとトラブルシューティン グを実現 Visionシリーズ WAF インライン 1GBASE-SXIXIA製品設置ポイント②
L3 L3 L2 L2 L2 WAF IPS 1GBASE-SX インライン SSL Bypassスイッチ IBP-8000 +DBM-200 VisionEdge40/ VisionONE Bypass スイッチ Bypass スイッチ Forensic Monitoring■利用監視製品
・セキュリティチェック
NGFW、IPS/SandBox
・SSL Visibilityを利用し、HTTPS内も検査
IPS
■追加予定
・セキュリティチェック
SandBox追加(Web用、Mail用)
フォレンジックツール
・ネットワーク可視化ツール
■検討
・ネットワークの冗長化
TAPとVisionで集約・合成 TAPとVisionで集約・合成 TAPとVisionで集約・合成 ツールの最適化 TAPとVisionで集約・合成 常時モニターとトラブルシューティングを実現 Bypassスイッチで冗長化 VisionEdge/ONEのBypassスイッチは FlexTAP TPX-10-SR-50-60 Bypassスイッチを Bypassスイッチで 設置事例1 止めないネットワーク構築
課題:止めないネットワーク
障害時、メンテナンス時もネットワークは止めない 遠隔からでもメンテナンスができる
対応:Bypassスイッチによるインライン製品の冗長化 BypassSwith I3BP-CU3でPaloalto PA-3020を接続
効果: Paloalto保守対応時はBypassスイッチで迂回させ ることでネットワーク無停止 遠隔から迂回操作を行えるので、保守拠点から操作 可能 追加効果: 機器障害時以外で、インライン製品の性能低下時も バイパスすることでネットワーク性能を確保できた (Paloato処理能力を超えるセキュリティアタック 有。上位モデルへの検討)
Internet
Router SW-HUB I3BP-CU3事例2 ネットワーク可視化と障害対応
ネットワークの可視化、解析システムの利用・運用開始 課題:効率的なモニタリングポイント設計 多数のモニタリング回線のモニタリング 障害解析のためパケットロスゼロの仕組み 損害保険ジャパン日本興亜株式会社 社員数:26,380名 国内拠点数:1000拠点以上 ビジネスを支える大規模ネットワーク 営業系、情報系のクラウドサービス(SaaS)利用や拠点のシンクライアント化で通信量が激増。安定的な通信の 維持とパフォーマンス管理がより重要になった。事例2 ネットワーク可視化と障害対応
対応:TAPによるパケロスゼロ環境の準備とモニター ポイントの集約 回線にTAP TP-CU3-ZDを接続し、SPANによるパ ケロスを排除 SPANを止め、SW-HUB性能確保 TAPをVision5236で集約 Vision5236にnGenius InfiniStream2900を接続 Visionのポート切替で自由にモニタポイント変更 集約することでキャプチャツール台数を最小化・コ ストダウン 効果: nGeniusシリーズでネットワーク管理の実現 TAP+Vision導入で特定回線のモニタが迅速・容易 TAP導入で障害解析のためのSW-HUB設定変更か らの開放で運用者負荷低減 固定モニタポイントに影響なく追加ポイント設定 追加効果: TAP+Visionで集約し、見たいポイントを 遠隔から操作可能。 センターへの移動、入館手続き等の負荷低減 Visionは操作が容易で時短トレーニングで習得可能 データセンター データセンター 全 国 店 舗 メインデータ センター nGenius ONE InfiniStream Vision5236 TAP TP-CU3-ZD事例3 ネットワーク可視化とパケット加工
ネットワークの可視化、解析システムの利用 課題:既設モニタリングポイントと重複パケット設計 Core SW-HUBは、システムごとにVLAN付与。VLANヘッダが 異なる同じパケットが大量に流れる 重複データが再送と判断し、十分な解析が発揮できない 高負荷ポートをSPANするとパケットロスが心配。TX、RXそれぞ れでSPAN設定を行うと全てをSPANできない(設定の問題) 40GではSPAN設定できない(設定の問題) 100GでSPAN設定は性能上心配(性能低下、パケロス) NexusでSPANポートのバグがいくつか発生(仕様上の問題?) FabricPATHヘッダ、MPLS、VLANなど複数ヘッダーへの対応 (モニターツールは対応可能だが、その他ツールは未対応) 某銀行 業務系ネットワーク モニタリングはNexus6000シリーズのSPANポート運用 Nexus6000シリーズでSPANポート設定はできない SPANの集約はNexus5000シリーズで行い、10G 8ポートで出力 Cisco ASA システムA システムB システムC VLAN C VLAN B VLAN A 各システム通信はワンアーム接続のASA経由 システムごとにVLAN_ID 有 Core SW-HUB Nexus6000 10G-SR 10G-SR Aggregation SW-HUB Nexus5000 パケットモニターツール事例3 ネットワーク可視化とパケット加工
対応:SPANの集約とヘッダーストリッピングによる重複排除 SPANの集約(Vision筐体ポート数まで入力・出力OK) FabricPATHストリッピング MPLSストリッピングにも対応済み(Vision) VLANヘッダストリッピング 効果: FabricPATH削除により解析可能 VLANストリッピング+TCP/UDP重複排除でパケット削減効果大 複数セッションに見えていたが、1セッション解析(見やすい) Vision導入でCore SW-HUB設定変更から開放。運用者負荷低減 追加効果: Visionでキャプチャポイント、特定パケットを簡単に変更できる VLANストリッピング+レイヤ4重複排除で キャプチャパケット減少 複数セッションが1セッション解析 になりシステム全体に余裕ができ、更なポート集約が可能なった コアスイッチの設定変更作業減で、 システム導入時間削減、検証準備削減と作業ミス低減 高負荷ポート、40G/100G回線はTAPを検討(離線はネックだ が)することで、既存SPANポートもTAP利用の検討を開始 集約後のパケットロスをVisionで確認できる Cisco ASA システムA システムB システムC FlexTAP VLAN A 各システム通信はワンアーム接続のASA経由 システムごとにVLAN_ID 有 Core SW-HUB Nexus6000 10G-SR 集約 ヘッダ削除 重複排除 フィルタリング Vision5236 パケットモニターツール 40G LR FlexTAP事例4 複数セキュリティ製品とパケット転送
課題:全トラフィックの集約と大量パケットの遠隔転送 複数ビルのトラフィックの集約 大量の重複パケットの効率的な排除方法 どのように大量パケットをパケロス無しに遠隔転送 セキュリティツールごとの分配と性能 某政府系ネットワーク 関西データセンターにセキュリティ基盤に東京拠点の全トラフィックを転送し、センターで各種セキュリティ検査を 行う IDS、IPS、振る舞い検知、Forensic事例4 複数セキュリティ製品とパケット転送
Sensor Sensor Sensor拠点ビル
ネットワークTAP 10GBASE-LR 50個、10GBASE-SR 24個 Cisco ASR1006ネットワーク
フォレンジック
侵入防御
システム
ロードバランス出力 L2、3重複パケット排除 in 48line out 12line in 52line out 12line in 36line out 4line in 48line out 12line 重複排除 in4/out4 in 4line out ?line拠点ビル
Vision5288
Vision5288-AFM16MOD
データセンター
Vision5288-AFM16MOD
5288 5288 5288 5288 5236 5288 L2TP事例4 複数セキュリティ製品とパケット転送
課題:全トラフィックの集約と大量パケットの遠隔転送 複数ビル内のトラフィック集約 大量の重複パケットの効率的な排除方法 どのように大量パケットをパケロス無しに遠隔転送 セキュリティツールごとの分配と性能 某政府系ネットワーク 関西データセンターにセキュリティ基盤に東京拠点の全トラフィックを転送し、センターで各種セキュリティ検査を行う IDS、IPS、振る舞い検知、Forensic 対応:集約+ロードバランスで重複排除 ビルごとのTAPを集約 or 集約+重複排除 重複排除は16ポートロードバランス振分け+重複排除 ロードバランス分散後、再集約 遠隔転送は餅屋(SW-HUBによるL2TP)に任せて 安全+性能+拡張を確保 効果: ビル間を跨るトラフィックは思った以上に流れており、重複排除効果が高く、転送量が減少 追加効果: TAPの変更、SPAN接続、回線スピードの変更など発生するが、操作が簡単 機器の性能確保はハードウェア処理(FPGA)が安心、安全、性能確保(ソフトウェアは機能追加や柔軟性は高いけど)I X I A S E C U R I T Y F A B R I C 高信頼性な セキュリテ監視 アーキテクチャ 高パフォーマンス, 高信頼性 セキュリティ 高信頼性インライン スタンドアロンBypass 高耐久性 MTBF (A-S) NPB (アクティブ-アクティブ) 追加可能な簡単なインライン構成とデプロイ 高パフォーマンス プ ラットフォーム Vision ONE フルHAインライン,AFM / ATIP Vision Edge ソフトウエア-デファインNPB Vision 73007U 高密度 100G -10/1G対応 288 10G ポート 物理データセンタ ブランチ Bypass HAインライン Bypass VHD, HD 物理TAP 仮想TAP 生データの分岐 高密度Tap プライベート アクセス ブランチ・サイト データセンタ プライベート/パブリック 仮想環境に 完全対応 プライベート パブリック クラウド CloudLens Public コンテナベース・センサ 事前フィルタによる最適化 クラウドネイティブのスケールアウト CloudLens Private ゲストへ瞬時に接続 オーケストレーション対応 ソフトウエア デファイン アーキテクチャ 最適な拡張性 パテント取得フィルタ 容易なGUI IFC SDNファブリックコントローラ 分散構成 & 回復性 スケ―ラブル 目的に応じた ハイパフォーマンス テラビット/秒処理