今回のブログ記事は、前回ご紹介した「アライドテレシス レイヤー2plus ギガビット・インテリジェント・スイッチ CentreCom x230のPRTGデバイステンプレートの提供を開始」に続き、アライドテレシス様にお借りしたCentreCom x230をどのようにBlueVault io nProbeで見える化するか?をテーマに執筆しております。
(2022年2月9日(水) ebookの記載を追加)
文:ジュピターテクノロジー よしひろ
- (2022年2月9日(水) 追記)2022年2月9日(水)に、本ブログ記事のシリーズ【ntopng and nProbeによる高速トラフィック分析入門】がもととなったebookを弊社サイトに無料公開しました。本サイトで紹介する以上の内容が盛だくさんで、かつ本ブログ執筆当時ではntopngのバージョンが4系でしたが、こちらのebookは5系を対象に執筆しております。是非、無料のebook「ntopによる高速トラフィック分析入門(ntopngバージョン5.0.2系)」をご入手ください。ダウンロードは、こちらからお願いします。
遠隔拠点に置いたCentreCom x230を通るトラフィックを見える化する
本記事では、BlueVault io nProbe(詳細は、こちらのカタログをご一読ください)とCentreCom x230のミラーポートを接続し、トラフィックのフロー情報をntopngに送信することでネットワークトラフィックを見える化する方法をご紹介します。
今回ご紹介する接続構成は本社にntopngを、遠隔拠点にCentreCom x230とBlueVault io nProbeを配置します。
※画像をクリックすると拡大します
図1 構成イメージ
CentreCom x230の初期設定
弊社の検証環境に設置したCentreCom x230の初期設定は、コンソールケーブルでログインして行いました。
コンソールターミナルの設定や初期接続方法の詳細は、「CentreCOM x230シリーズ コマンドリファレンス 5.4.4」をご参照ください。
CentreCom x230のミラーポート設定
BlueVault io nProbeのNICに直接接続するCentreCom x230のミラーポートを設定します。
弊社の環境は、port1.0.17が上位ルータに接続されているので該当ポートに流れるトラフィックをIN/OUT両方向ともport1.0.24にミラーする設定を施しました。
interface port1.0.24switchportswitchport mode accessmirror interface port1.0.17 direction both
検証時の接続は、図2の通りです。
ミラーポートにnProbe BlueVault io nProbeを接続した写真です。
図2 BlueVault io nProbeとCentreCom x230の接続
CentreCom x230を徹底見える化
ミラーポート+nProbeによる徹底見える化
図2の通りntopngにログインすると、インターフェイス選択で「allied-ZMQ」が確認できます。(こちらの名称は、筆者が分かりやすいように編集したものです)
図3のプルダウンメニューにいくつかインターフェイスが確認できますが、ntopngは物理インターフェイス単位、仮想インターフェイス(エクスポーター、フィルタ単位... etc)でトラフィックを分けて分析することができます。
例えば図3の「C841-Mirror(enp3s0f0)」は、Cisco841のミラーポートに接続したインターフェイスですし、「Fortigate6..」はFortigate60Eから受信したNetFlow情報を表示してくれます。
図3 CentreCom x230ミラーポート+nProbe
リアルタイムダッシュボード
ntopngログイン後最初の画面は、図4のリアルタイムダッシュボード(4.2系ではトラフィックダッシュボード)です。
この画面で確認できるのは、監視インターフェイスごとの
- 上位ローカルトーカー
- 上位リモート先
- 上位アプリケーショントラフィック
- 昨日の上位アプリケーショントラフィック
- 全インターフェイスのリアルタイムトラフィック
- 昨日の全インターフェイストラフィック
6種類の統計をリアルタイムで確認することができます。
図4 リアルタイムダッシュボード
フロー
次に画面左メニューから「フロー」をクリックします。
こちらの画面では、現在監視しているインターフェース上で今確認できるフローが表示されます。
例えば、あなたがファイルサーバーから大きなファイルのダウンロードを開始すると、アプリケーション名SMBv23として、あなたが利用しているパソコンのIPアドレス、サーバーのIPアドレス、帯域情報がこちらの画面で確認できます。
また、アプリケーション、クライアント、サーバーのリンクがアクティブになっておりますので、それぞれの画面にジャンプすることができます。
図5 アクティブフロー
ホスト
画面左メニューから「ホスト」>「ホスト」をクリックします。
図6は、「IPバージョン」プルダウンメニューで、「IPv4のみ」を選択したものです。
こちらの画面では、現在監視しているインターフェース上で今確認できるホストが表示されます。
「フィルターホスト」プルダウンメニューで、「ローカルホストのみ」や「リモートホストのみ」を選択し、現在通信が行われているホストを一覧表示、そしてそれぞれのホストのホーム画面にジャンプすることができます。
図6 ローカルホスト
ホストマップ
画面左メニューから「ホスト」>「ホストマップ」(4.2系ではホストエクスプローラ)をクリックします。
図7のホストマップ画面が表示されます。
こちらで、ntopngが付加したスコアとフローの大きさを一目で確認することができます。
例えば、図7のようにスコアが大きいローカルホストがあれば何かしらの問題や不正な通信を行っているホストである可能性が高いです。
ホストマップから、ネットワークに起きている問題を発見してください。
図7 ホストマップ
ホストジオマップ
画面左メニューから「ホスト」>「ジオマップ」をクリックします。
図8のようにMAXMINDデーターベースを活用して、パブリックIPアドレスの地域をマップ上に表示してくれます。
自社に所属するホストが、どこの国や地域と通信をしているかを把握してください。
図8 ホストジオマップ
ホストプール
画面左メニューから「ホスト」>「ホストプール」をクリックします。
例えば、あなたのオフィスが複数フロアありそれぞれIPアドレスのサブネットが異なるのであれば、このホストプール機能を使ってグループ化してください。
フロアごとのホストに素早くアクセスできるばかりではなく、各フロアが利用しているトラフィック量やアプリケーショントラフィックの送受信量を把握することができます。
図9 ホストプール
上位ホスト
画面左メニューから「ホスト」>「上位ホスト」をクリックします。
図10のようにトラフィック量が多いホストが表示され、リアルタイムでトラフィック量ステータスを表示してくれます。
ネットワークが重いといった場合に、どのホストが原因となっているか?は、こちらの画面を使って追跡することもできます
※ホストの詳細追跡に関しては、弊社では「ntopng and nProbeによる高速トラフィック分析入門(第4章 ネットワーク見える化追加設定)」で紹介しているnIndexの利用を推奨します。
図10 上位ホスト
インターフェイス
画面左メニューから「インターフェイス」をクリックします。
監視インターフェイスのホーム画面に遷移します。
ここから、アプリケーション分析、長期分析グラフ、ネットワークごとのトラフィック分析、設定といった様々なメニューに飛ぶことができます。
ntopngを使った分析では、こちらのメニューをもっとも多用することになります。
ホーム画面で主に確認できるのは、
- リモート or ローカルのトラフィック量割合
- IPv4, IPv6そしてその他でのトラフィック割合
- 総トラフィック量
となります。
ここから詳細分析に入るには、「グラフ」マークをクリックしてください。
図11 インターフェイストップ
このグラフのX軸の精度ですが、プルダウンメニューの「トラフィック」であれば驚きの1秒となり何時何分何十秒に何が起こっていたのか?を把握することができます。
そして、図10の説明でご紹介したnIndexを設定すればこの画面から単一のフローまでドリルダウンすることができるのです。
単一フローを表示したものが図13となります
フローコレクターの最小単位は、もちろん単一フローです。