Contenu connexe Similaire à シスコ装置を使い倒す!組込み機能による可視化からセキュリティ強化 (20) Plus de シスコシステムズ合同会社 (20) シスコ装置を使い倒す!組込み機能による可視化からセキュリティ強化2. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
• シスコ装置には、NetFlowをはじめとした豊富な管理機能がサポートされています。
• 特にNetFlowやIP-SLAとした可視化機能は、簡単に始めることができ、ネットワーク
基盤の可視化やセキュリティ強化など、昨今のインフラ要件にも低価格で応えられ、
急激に利用が増えています。
• 本セッションでは、機能概要から最新のトレンド、最初のコマンド、すぐに使えるGUI
~ManageEngineの使いどころまでご紹介します。
本日の内容
3. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
• シスコ装置には、NetFlowをはじめとした豊富な管理機能がサポートされています。
• 特にNetFlowやIP-SLAとした可視化機能は、簡単に始めることができ、ネットワーク
基盤の可視化やセキュリティ強化など、昨今のインフラ要件にも低価格で応えられ、
急激に利用が増えています。
• 本セッションでは、機能概要から最新のトレンド、最初のコマンド、すぐに使えるGUI
~ManageEngineの使いどころまでご紹介します。
本日の内容
Note: 装置種別やバージョンによって、サポートされている細かな違いやコマンドについて
は、この資料ではカバーされません。別途、設定ガイドやマニュアルを参照ください。
4. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
1. ネットワーク監視のトレンドと手軽に始めるアプローチ
• ManageEngine & Cisco
• ネットワーク可視化のトレンド
2. Cisco IOS IP-SLAによるアクティブモニタリング
• クラウドやウェブなどのHTTP通信
• 音声やビデオなどのUDP通信
3. Cisco IOS NetFlow/AVCによるパッシブモニタリング
• LAN/WANの可視化
• セキュリティへの活用
4. まとめ
本日のアジェンダ
5. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
ネットワーク監視のトレンドと
手軽に始めるアプローチ
6. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
昨今のネットワーク
本社
パブリッククラウド、SaaS
支社
支社
WAN
インターネット
在宅勤務
モバイルユーザ
在宅勤務
プライベート・パブリッククラウド基盤
プライベートクラウド
ますます運用、維持管理が大変に!
7. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
• 利用者
• 快適なこともあれば、快適でないこともある
• 応答時間が予想できない
• 問題の申告先がわからない…
• IT管理者
• 複雑で場当たり的な障害切り分け
• 管理対象や機器が増加する中で、責任範囲を拡大できるか?
• 容量計画・投資計画が難しい
• ネットワーク管理者とアプリケーション管理者の役割分担が難しい…
利用者と管理者の悩みの一例と本日のアプローチ
• ITサービス基盤の見える化、可視化
• 事前のトラブル回避、投資の最適化
• セキュリティ対策
• シンプル化、アジリティ(柔軟な変更)…
まずは
安く!
手軽に!
8. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Why Cisco && ManageEngine?
&&
https://gblogs.cisco.com/jp/category/cisco-ios/ https://www.manageengine.jp/products/NetFlow_Analyzer/
Cisco IOS/IOS-XEの管理機能をフル活用 リーズナブルな可視化ツール
9. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
身近になった高度な管理手法
• サポート機器の高機能化・低価格化 • NetFlow収集・分析ソフトウェアの普及
10年前
通信事業者、企業・組織向けルータ:
Cisco 7200企業・組織向けコアスイッチ:
Catalyst 6500シリーズ
オープンソースや数十万円の汎用ソフトウェアも普及、利用拡大
現在
企業・組織向けフロアスイッチ:
Catalyst2960X, Catalyst9300
Catalyst3850/3560
小規模拠点向け
無線LANコントローラ:
Cisco 2500 WLC
家庭、小規模拠点向けルータ:
Cisco841、Cisco 1100
企業・組織向けルータ:
ISR4331
小規模ルータやスイッチ、無線LANへ
もNetFlow利用が拡大
主な用途 NetFlow収集・分析ソフトウェア
流量課金
利用傾向分析・投
資計画
サービス品質管
理
事実証明
セキュリティ強化
pmacc
t
pmacct
10. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
ManageEngine = Cisco Technology Solutions Partner
ソース:ガートナー 2018/3https://marketplace.cisco.com/catalog/solution/142336?pid=148011
11. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
ネットワーク可視化の利用目的と普及の歴史
普及の歴史主な利用目的
目的の変化 - 管理者から利用者へ 技術革新 – より安価な実装、豊富なオプション
【従来】
• 流量課金 組織やグループ企業ごと
• 利用傾向分析 時間帯、アプリ、利用者
• 投資計画 帯域増設可否
• サービス品質管理 優先制御確認
• 事実証明 事故発生時のログ
【1990年代後半~】
• 通信事業者や大規模な企業・組織の基幹ネットワークに
おける監視
【2005年頃~】
• 一般企業・組織のWANへの利用拡大
主に通信事業者での投資判断のため正確なトラフィック流量把握が求められた → トラフィック流量に応じた正確なコスト配分
ネットワークセキュリティ分野での活用
ネットワーク利用内容/サービスレベル可視化
広範な音声やビデオトラフィックへの対応
クラウド普及によるトラフィックへの対応
【近年】 ※上記に加えて
• セキュリティ強化 内部犯行、不正通信
【2015年頃~】 ※WANに加えて
• 企業・組織のLANとクラウドへの利用拡大
DEMO1
12. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Cisco ルータ/スイッチで使える主な管理機能
IP-SLA NetFlow/AVC/NBAR/ART EEM
• アクティブモニタリング(能動
的な監視)
• HTTP、DNS、DHCP、UDP
ジッタ、パケットロスなど様々
なサービス測定
• TOS値や周期、パケット間隔
など細かな設定
• ルーティング連携などの実績
が豊富
• パッシブモニタリング(受動的な監視)
• 元々L3-L4、現在はL2-L7まで幅広く可視化
=> AVC (Application Visibility & Control)
• NetFlow version9、IPFIXとして標準化
=> NetFlow version 9(RFC3954)
=> IPFIX(RFC7011など)
• NBAR(NetworkBased Application
Recognition)と組合わせたシグネチャーベース
のアプリケーション識別
• サーバ応答時間や接続URL、ネットワーク遅延
とアプリケーション遅延など、高度な計測
• 全パケットメタデータ収集(1:1非サンプリング)
• Embedded Event
Manager
• 装置内で発生する“イベ
ント”を元に、“アクショ
ン”を発行
• IP-SLAやNetFlowと連
動した機能の作り込み
• ログ自動取得や状況に
応じた経路切り替えなど、
さまざまな自動化
ルータースイッチルータースイッチルータースイッチ 無線AP/WLC
13. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Cisco ルータ/スイッチで使える主な管理機能
IP-SLA NetFlow/AVC/NBAR/ART EEM
• アクティブモニタリング(能動
的な監視)
• HTTP、DNS、DHCP、UDP
ジッタ、パケットロスなど様々
なサービス測定
• TOS値や周期、パケット間隔
など細かな設定
• ルーティング連携などの実績
が豊富
• パッシブモニタリング(受動的な監視)
• 元々L3-L4、現在はL2-L7まで幅広く可視化
=> AVC (Application Visibility & Control)
• NetFlow version9、IPFIXとして標準化
=> NetFlow version 9(RFC3954)
=> IPFIX(RFC7011など)
• NBAR(NetworkBased Application
Recognition)と組合わせたシグネチャーベース
のアプリケーション識別
• サーバ応答時間や接続URL、ネットワーク遅延
とアプリケーション遅延など、高度な計測
• 全パケットメタデータ収集(1:1非サンプリング)
• Embedded Event
Manager
• 装置内で発生する“イベ
ント”を元に、“アクショ
ン”を発行
• IP-SLAやNetFlowと連
動した機能の作り込み
• ログ自動取得や状況に
応じた経路切り替えなど、
さまざまな自動化
ルータースイッチルータースイッチルータースイッチ 無線AP/WLC
ネットワークセキュリティ分野での活用
ネットワークサービスレベル可視化
広範な音声トラフィックへの対応
クラウド普及によるトラフィックへの対応
ネットワーク利用内容可視化
広範な音声やビデオトラフィックへの対応
クラウド普及によるトラフィックへの対応
14. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
IP SLAによるアクティブモニタリング
15. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
IOS IP SLA
IP Service Level Agreement
IPSLA
Sender
IPSLA
Responder
IP ホスト
IP-SLA対応
監視ツール(例:ManageEngine)
ルータ
ターゲット
IPSLA-テスト
例:RTT遅延表示(Max, Min, Ave)
任意のシスコルータ、スイッチで起動し、ポイント間の
ネットワークサービスレベルを常時測定
16. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
IP SLA設定と確認コマンド例
ip sla 101
http get http://www.webex.com
ip sla schedule 101 life forever start-time now
Router#show ip sla statistics 101
IPSLAs Latest Operation Statistics
IPSLA operation id: 101
Latest RTT: 672 milliseconds
Latest operation start time: *15:36:28.260 JST
Wed May 19 2010
Latest operation return code: OK
Latest DNS RTT: 50 ms
Latest TCP Connection RTT: 134 ms
Latest HTTP Transaction RTT: 488 ms
Number of successes: 24
Number of failures: 0
Operation time to live: Forever
Router(config-ip-sla)#?
IP SLAs entry configuration commands:
dhcp DHCP Operation
dns DNS Query Operation
ethernet Ethernet Operations
exit Exit Operation Configuration
ftp FTP Operation
http HTTP Operation
icmp-echo ICMP Echo Operation
icmp-jitter ICMP Jitter Operation
mpls MPLS Operation
path-echo Path Discovered ICMP Echo Operation
path-jitter Path Discovered ICMP Jitter Operation
tcp-connect TCP Connect Operation
udp-echo UDP Echo Operation
udp-jitter UDP Jitter Operation
よく使われている!
17. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
ip sla 100
http get http://ec2-<sample>.ap-northeast-1.compute.amazonaws.com name-server <ipaddr> cache disable
ip sla schedule 100 life forever start-time now
ip sla 101
http get http://www.zoho.co.jp/ name-server <ipaddr> cache disable
ip sla schedule 101 life forever start-time now
HTTP/RTT 可視化例
シスコ仮想ルータ
CSR1000V
ウェブサーバ
(EC2)
ウェブサーバ
(EC2)
シスコ仮想ルータ
CSR1000V
インターネット
HTTP GET
HTTP GET
AWS EC2
東京リージョン
AWS EC2
サンパウロ
リージョン
ゾーホージャパン
ウェブサイト
HTTP GET
ip sla 103
http get http://ec2-<sample>.sa-east-1.compute.amazonaws.com name-server <ipadd> cache disable
ip sla schedule 103 life forever start-time now
IP SLA Sender
DEMO2
18. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
HTTP/RTT 可視化例
CSR1K_AWS_TKY#sh ip sla statistics
IPSLAs Latest Operation Statistics
IPSLA operation id: 100
Latest RTT: 4 milliseconds
Latest operation start time: 08:33:18 UTC Mon Sep 3 2018
Latest operation return code: OK
Latest DNS RTT: 2 ms
Latest TCP Connection RTT: 1 ms
Latest HTTP Transaction RTT: 1 ms
Number of successes: 26
Number of failures: 0
Operation time to live: Forever
IPSLA operation id: 101
Latest RTT: 248 milliseconds
Latest operation start time: 08:33:45 UTC Mon Sep 3 2018
Latest operation return code: OK
Latest DNS RTT: 8 ms
Latest TCP Connection RTT: 79 ms
Latest HTTP Transaction RTT: 161 ms
Number of successes: 14
Number of failures: 0
Operation time to live: Forever
IPSLA operation id: 103
Latest RTT: 547 milliseconds
Latest operation start time: 08:33:46 UTC Mon Sep 3 2018
Latest operation return code: OK
Latest DNS RTT: 2 ms
Latest TCP Connection RTT: 273 ms
Latest HTTP Transaction RTT: 272 ms
Number of successes: 26
Number of failures: 0
Operation time to live: Forever
東京リージョン内
東京からサンパウロEC2
東京からzoho.co.jp
• AWS東京リージョンから、サンパウロリージョンへ
のTCPコネクションは、273ミリ秒程度遠かった
• AWS東京リージョンから、zoho.co.jpへのTCPコネ
クションは、79ミリ秒程度遠かった
19. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
UDP Jitter/Latency/Loss 可視化例
東京 – サンパウロ間
シスコ仮想ルータ
CSR1000V
ウェブサーバ
(EC2)
ウェブサーバ
(EC2)
シスコ仮想ルータ
CSR1000V
インターネット
UDP Jitter
AWS EC2
東京リージョン
AWS EC2
サンパウロ
リージョン
ip sla 200
udp-jitter <ipaddr_br> 55555 codec g711ulaw
tos 160
ip sla schedule 200 life forever start-time now
IP SLA Sender
IP SLA Responder
DEMO3
20. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
UDP Jitter/Latency/Loss 可視化例
東京 – サンパウロ間
IPSLA operation id: 200
Type of operation: udp-jitter
Latest RTT: 269 milliseconds
Latest operation start time: 08:32:51 UTC Mon Sep 3 2018
Latest operation return code: OK
RTT Values:
Number Of RTT: 1000 RTT Min/Avg/Max: 269/269/272 milliseconds
Latency one-way time:
Number of Latency one-way Samples: 1000
Source to Destination Latency one way Min/Avg/Max: 146/146/148 milliseconds
Destination to Source Latency one way Min/Avg/Max: 123/123/126 milliseconds
Jitter Time:
Number of SD Jitter Samples: 999
Number of DS Jitter Samples: 999
Source to Destination Jitter Min/Avg/Max: 0/1/2 milliseconds
Destination to Source Jitter Min/Avg/Max: 0/1/3 milliseconds
Over Threshold:
Number Of RTT Over Threshold: 0 (0%)
Packet Loss Values:
Loss Source to Destination: 0
Source to Destination Loss Periods Number: 0
Source to Destination Loss Period Length Min/Max: 0/0
Source to Destination Inter Loss Period Length Min/Max: 0/0
Loss Destination to Source: 0
Destination to Source Loss Periods Number: 0
Destination to Source Loss Period Length Min/Max: 0/0
Destination to Source Inter Loss Period Length Min/Max: 0/0
Out Of Sequence: 0 Tail Drop: 0
Packet Late Arrival: 0 Packet Skipped: 0
Voice Score Values:
Calculated Planning Impairment Factor (ICPIF): 4
MOS score: 4.27
Number of successes: 52
Number of failures: 0
Operation time to live: Forever
• 対向はIOS IP SLA Responderが機能
するため、行きと戻りのUDPストリーム
それぞれの性能測定が可能
• G711ulawの疑似UDPストリーム測定に
て、行きと戻りの合計は269ミリ秒程度
観測された
• パケットロスは、観測されなかった
21. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
GUIで分かりやすく
見たいんだけど?
履歴も確認したいし
手軽で、リーズナブルな
方がいいなぁ…
22. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
ManageEngine NetFlowAnalyzer
WAN RTTダッシュボード
ManageEngine NetFlowAnalyzer
VOIPモニターダッシュボード
ぜひゾーホー様にご相談ください!
23. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
参考:IP-SLAの測定結果に基づくアクションの設定
ip sla enable reaction-alerts
event manager applet ipsla-101-react
event ipsla operation-id 101 reaction-type rtt
action 1.0 syslog msg "IPSLA reaction detected."
action 2.0 if $_ipsla_measured_threshold_value gt $_ipsla_threshold_rising
action 3.0 puts "Rising threshold"
action 4.0 else
action 5.0 puts "Falling threshold"
action 6.0 end
IOSが提供する
システム変数
IPSLAからEEMへの通知
を有効化
上限以上
下限以下
IPSLA測定結果の上限・下限超過をトリガーに
EEMのアクションを起動できる
24. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
NetFlowによるパッシブモニタリング
25. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
• “A flow is defined as a unidirectional sequence of packets with some common properties that pass through a network
device. These collected flows are exported to an external device, the NetFlow collector. Network flows are highly granular;
for example, flow records include details such as IP addresses, packet and byte counts, timestamps, Type of Service (ToS),
application ports, input and output interfaces, etc. “
• フローとは、ネットワーク装置を通過する、共通の属性をもった一方通行の連続したパケットのことである
• フロー記録は、IPアドレスやパケットカウントやバイトカウント、タイムスタンプ、ToS、アプリケーションポート、入出力インター
フェースなどを含むことがある
• “Exported NetFlow data is used for a variety of purposes, including enterprise accounting and departmental chargebacks,
ISP billing, data warehousing, network monitoring, capacity planning, application monitoring and profiling, user monitoring and
profiling, security analysis, and data mining for marketing purposes.”
• 出力されたNetFlowデータは、多様な用途に使われ、例えば以下のような例がある
• 企業でのアカウンティング、部門チャージ、ISPによる課金、データウェアハウジング、ネットワーク監視、容量計画、アプリ
ケーション監視、アプリケーションプロファイリング、ユーザ監視、ユーザプロファイリング、セキュリティ分析、マーケティング
目的のデータマイニングなど
“フロー”とは
引用元 https://www.ietf.org/rfc/rfc3954.txt
26. フロー情報 パケット数 Bytes/Packet
Address, ports, … 11000 1528
NetFlowパケット出力
(NetFlow Data Export)
NetFlowコレクタ:
レポート用途など
パケット属性からフローテーブルを作成
NetFlowキャッシュパケット識別
7つのフローキー(識別)
トラフィック
送信元IPアドレス
宛先IPアドレス
送信元ポート
宛先ポート
レイヤ3プロトコル
TOSバイト (DSCP)*
入力インターフェース*
1. 測定
2. 出力
NetFlowとは
フロー(=共通の属性をもつ一連の連続したパケット)単位での計測
• 一般的に、フローを7つの要素で識別
• VLAN/MACアドレス、アクセスURLや音声/ビデオストリームに対応する装置も一般的
• (Cisco Flexible NetFlow)
3. 受信・解析
29. 主な
管理技術
Syslog SNMP 可視化専用機
(プローブ)
sFlow
RFC3176 (Informational)
NetFlow
RFC3954, RFC7011(Standards)他
利用用途 装置管理 通信可視化
具体例 ポートup/down、経路情報
の変化、部品障害
CPU、メモリ利用率、温度、
ポート毎通信量
全パケットを傍受・蓄積 パケットをサンプリングし
てサーバに出力
通信フローテーブルを装置が作
成してサーバに出力
情報精度 〇
イベントごとにテキスト出力
〇
平均値
(1分、5分など)
◎
完全な再現が可能
※すべて保存した場合
△
• 通常は1:1000、1:4000
等のサンプリング
• セキュリティ統計的な
解析用途
• ログ証跡には不十分
◎
全パケットの通信フロー情報のみ
を出力
解析の
しやすさ
△
• イベント発生ごとにテキ
ストで出力
• 1パケットにつき1イベン
ト
• テキスト情報のため解析
負荷が高い
〇
管理対象ごとに都度取得
△
データ量が膨大のため
解析負荷が高い
〇
• サンプリングされたパ
ケットヘッダを定期的に
出力
• ヘッダ情報のみ
◎
• 複数フローデータを定期的に
出力
• 一般的に一つのパケットにつ
き20~30のフロー情報格納
• ヘッダ以外の情報(URL等)も
オプション対応
コスト ◎
• 機器標準サポート
• 汎用管理サーバ
◎
• 機器標準サポート
• 汎用管理サーバ
×
• 高価な専用機の配
置が必要
• ディスク量が膨大・
高価
〇
• 多くの装置でサポート
• 対応サーバ必要
• 安価
〇
• 多くの装置でサポート
• 対応サーバ必要
• 近年安価になりつつある
評価 装置ログの管理として定着 装置監視として定着 ポイントを絞った障害解
析に最適
安価だがサンプリングのため、
利用用途が限定的
LAN、WAN全体の広範囲な可視化と
証跡、セキュリティへの活用
【参考】主なネットワーク管理技術の比較
各技術は排他ではなく、必要に応じて組合せて利用するのが一般的
30. 境界セキュリティ
(Web Proxyなど)やログ情報
からの脅威活動
• 従来の境界セキュリティ機器やSIEM*では、入り口・出口
でのみ通信情報を把握 (送信元、宛先アドレスのみ)
• ネットワーク全体での脅威の活動状況の把握が困難
192.168.19.3
10.85.232.4
10.4.51.5
192.168.132.99
10.43.223.221
10.200.21.110
10.51.51.0/24
10.51.52.0/24
10.51.53.0/24
インターネット
NetFlowを活用した
脅威の活動
192.168.19.3
10.85.232.4
10.4.51.5
192.168.132.99
10.43.223.221
10.200.21.110
10.51.51.0/24
10.51.52.0/24
10.51.53.0/24
インターネット
① フィッシングを
きっかけとして感染
(ゼロデイ)
② 内部感染拡大
③ 内部感染拡大(管理職端末への感染)
④ ファイル(DB)サーバからの
情報ダウンロード
⑤ 外部への情報持ち出し
(暗号化・独自プロトコル)
社員
社員
サーバー
ハイリスク
セグメント
• 脅威の全体の活動状況を可視化
• 認証情報(端末認証)と連携することで、ユーザ名特定
• 「誰の端末で」マルウェアの活動が行われているかまで把握
脅威活動の見える化
ネットワーク基盤全体での脅威活動を可視化し、境界型セキュリティを補完
*SIEM: Security Inf ormation and Ev ent Management - セキュリティ情報イベント管理
機器やソフトウェアの動作状況のログを一元的に蓄積・管理し、脅威となる事象を検知・分析するシステム
警備員 監視カメラ
32. NetFlow version 9の一般的な設定例
flow record Rec
match ipv4 source address
match ipv4 destination address
match transport source-port
match transport destination-port
match interface input
match ipv4 tos
match ipv4 protocol
collect counter bytes long
collect counter packets long
collect timestamp sys-uptime first
collect timestamp sys-uptime last
collect transport tcp flags
flow exporter Exp
destination <ipaddr>
transport udp 9996
flow monitor Mon
record Rec
exporter Exp
interface GigabitEthernet1
ip flow monitor Mon input
ip flow monitor Mon output
ip address dhcp
ip nat outside
フロー・レコード
フロー・エクスポータ
フロー・モニター
NetFlowを適用
1. フロー測定内容と出力方法を設定 2. フローモニター
としてまとめる
3. 当該インターフェースに適用
35. AVC/NBAR
DEMO5
IP-SLA NetFlow/AVC/NBAR/ART EEM
• アクティブモニタリング(能動
的な監視)
• HTTP、DNS、DHCP、UDP
ジッタ、パケットロスなど様々
なサービス測定
• TOS値や周期、パケット間隔
など細かな設定
• ルーティング連携などの実績
が豊富
• パッシブモニタリング(受動的な監視)
• 元々L3-L4、現在はL2-L7まで幅広く可視化
=> AVC (Application Visibility & Control)
• NetFlow version9、IPFIXとして標準化
=> NetFlow version 9(RFC3954)
=> IPFIX(RFC7011など)
• NBAR(Network Based Application
Recognition)と組合わせたシグネチャーベー
スのアプリケーション識別
• サーバ応答時間や接続URL、ネットワーク遅延
とアプリケーション遅延など、高度な計測
• 全パケットメタデータ収集(1:1非サンプリング)
• Embedded Event
Manager
• 装置内で発生する“イベ
ント”を元に、“アクショ
ン”を発行
• IP-SLAやNetFlowと連
動した機能の作り込み
• ログ自動取得や状況に
応じた経路切り替えなど、
さまざまな自動化
ルータースイッチルータースイッチルータースイッチ 無線AP/WLC
36. IOS-XE ART
アプリケーション応答時間とネットワーク遅延の測定
WAN
SiSi
Netflow v9 Netflow v9
TCP系
トラフィック
性能計測
*ART … Application Response Time
一般的な呼称。IOS機能としても実装。AVCに統合され、
NetFlowの拡張として実装されている。
問題:拠点の性能問題を可視化したい
• 特定アプリケーションに対し、ユーザから不満があがっている
• ネットワークかサーバか、サービス品質低下の原因を識別したい
解決:性能低下の原因特定にARTを活用
• 品質低下のコネクション情報から以下を特定
• トランザクションタイム (TT)
• WAN遅延 (SND)
• LAN遅延 (CND)
• サーバプロセス時間 (AD)
NetFlowコレクター
38. ARTメトリックス値の測定
• Response Time (RT)
• t(First response pkt) – t(Last request pkt)
• Transaction Time (TT)
• t(Last response pkt) – t(First request pkt)
• Network Delay (ND)
• ND = CND + SND
• Application Delay (AD)
• AD = RT – SND
ユーザ体感値
の定量化
T T
クライアント
IOS-XE
サーバ
X
SYN
SYN-ACK
ACK 6
Request 1
ACK
DATA 4
DATA 3
DATA 5
DATA 3
Request 1 (Cont)
X
DATA 4
DATA 1
Request 2
DATA 6
DATA 2
ACK 3
ACK
SND
CND
Request
Response
サーバ性能問題
の識別
再送
RT
40. LANスイッチ - 有線LAN/無線LANの可視化設定例
flow record W-Rec-1
match ipv4 protocol
match ipv4 source address
match ipv4 destination address
match transport source-port
match transport destination-port
match flow direction
match application name
match wireless ssid
collect counter bytes long
collect counter packets long
collect wireless ap mac address
collect wireless client mac address
!
flow exporter Exp
destination 10.71.154.88
source Vlan55
transport udp 9991
template data timeout 60
option usermac-table
option interface-table timeout 60
C3850-01#sh run | sec wlan
wlan NMS 1 NMS
client vlan AP-test
ip dhcp server 10.71.154.54
ip flow monitor W-Mon-1 input
ip flow monitor W-Mon-1 output
no shutdown
C3850-01#sh run int gi 1/0/1
!
interface GigabitEthernet1/0/1
switchport mode trunk
ip flow monitor Mon-1 input
ip flow monitor Mon-1 output
flow monitor W-Mon-1
exporter Exp
cache timeout inactive 60
cache timeout active 120
record W-Rec-1
1. フロー測定内容と出力方法を設定 2. フローモニター
としてまとめる
3. 当該インターフェースに適用
42. Router#sh run flow record type performance-monitor ZOHO-FLOWRECORD-MEDIA
Current configuration:
!
flow record type performance-monitor ZOHO-FLOWRECORD-MEDIA
match flow direction
match ipv4 destination address
match ipv4 protocol
match ipv4 source address
match transport destination-port
match transport rtp ssrc
match transport source-port
collect application media bytes counter
collect application media bytes rate
collect application media event
collect application media packets counter
collect application media packets rate
collect application name
collect counter bytes
collect counter bytes rate
collect counter packets
collect interface input
collect interface output
collect ipv4 dscp
collect ipv4 ttl
collect monitor event
collect routing forwarding-status
collect timestamp interval
collect transport event packet-loss counter
collect transport packets expected counter
collect transport packets lost counter
collect transport packets lost rate
collect transport rtp jitter maximum
collect transport rtp jitter mean
collect transport rtp jitter minimum
Performance Monitorによる
高度な計測設定例
NetFlowの拡張
Router#sh run flow record type performance-monitor ZOHO-FLOWRECORD-AVC
Current configuration:
!
flow record type performance-monitor ZOHO-FLOWRECORD-AVC
match application name account-on-resolution
match connection client ipv4 address
match connection server ipv4 address
match connection server transport port
match ipv4 protocol
match routing vrf input
collect application http host
collect application ssl common-name
collect connection client counter bytes long
collect connection client counter bytes network long
collect connection client counter packets long
collect connection client counter packets retransmitted
collect connection delay application sum
collect connection delay network client-to-server sum
collect connection delay network to-client sum
collect connection delay network to-server sum
collect connection delay response client-to-server sum
collect connection delay response to-server histogram late
collect connection delay response to-server sum
collect connection initiator
collect connection new-connections
collect connection server counter bytes long
collect connection server counter bytes network long
collect connection server counter packets long
collect connection server counter responses
collect connection sum-duration
collect connection transaction counter complete
collect connection transaction duration max
collect connection transaction duration min
collect connection transaction duration sum
collect interface input
collect interface output
collect ipv4 destination address
collect ipv4 dscp
collect ipv4 source address
collect ipv4 ttl
• Flow monitor, exporter, interfaceの設定は省略
• 主にルーターでサポート
UDP性能計測
TCP性能計測
DEMO6
46. ネットワーク監視・可視化のステップ
1.一般的なネットワーク監視 – SNMP/Syslog
2. 通信の見える化– NetFlow
4. ネットワーク自動制御・隔離 – Network as a Enforcer
3. 脅威活動の見える化– Network as a Sensor
1. 一般的なネットワーク監視- 装置の管理・可視化・異常検知
2. 通信の見える化- ネットワーク基盤上での全通信可視化
3. 脅威活動の見える化- ネットワークをセキュリティセンサーとして活用
4. ネットワーク自動制御・隔離 - 自動検知と連動した自動隔離、変更
5. 暗号通信のメタデータ解析–セキュリティとプライバシー両立
5. 暗号化トラフィックの解析 - ETA
6. クラウドでの脅威レベル把握 - Cognitive
本日の対象範囲
48. • Cisco Japan Blog
• https://gblogs.cisco.com/jp/
• https://gblogs.cisco.com/jp/author/kazumasaikuta
• DEMO動画
• https://www.youtube.com/user/ciscojsolse/videos
• Cisco WAN実践ケーススタディ(インプレスジャパン)、その他
• http://www.amazon.co.jp/dp/4844326104
• 第6章 シスコWAN機器での高付加価値サービス
• 6.1 情報収集モデルの比較
• 6.2 IOS IP SLA機能を利用したネットワークサービスレベルの測定
• 6.3 IOS NetFlow機能を利用したトラフィックフロー統計情報の提供
• 6.4 IOS EEM機能を利用した高度なカスタマイズ
参考
50. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
さらに使い倒す!
51. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
IP SLAオブジェクトと連動したSNSへの通知例
EEM
1. トラッキングオブジェクトの状態遷移をトリガーとして
Python スクリプトを実行
2. Cisco WebEx Team に通知
(任意のメッセージなど)
REST API (HTTPS)
Cisco Webex Teams
DEMO7
52. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
EEM設定例
track 200 ip sla 200
event manager directory user policy "bootflash:/”
event manager applet BrUP
event track 200 state up
action 100 syslog msg "State to Br Change to UP"
action 200 cli command "enable"
action 205 cli command "guestshell run python /bootflash/message.py UP”
event manager applet BrDown
event track 200 state down
action 200 cli command "enable"
action 205 cli command "guestshell run python /bootflash/message.py DOWN"
CSR1K_AWS_TKY#sho track
Track 200
IP SLA 200 state
State is Up
11 changes, last change 01:38:27
Latest operation return code: OK
Latest RTT (millisecs) 269
Tracked by:
EEM applet BrUP
EEM applet BrDown
53. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
EEMで実行するOn-box Pythonスクリプト例
CSR1K_AWS_TKY#guestshell
[guestshell@guestshell ~]$ cat /bootflash/message.py
import requests
import sys
ACCESS_TOKEN = ”Your_Access_Token"
ROOM_ID = ”Room_ID"
state = sys.argv[1]
def setHeaders():
accessToken_hdr = 'Bearer ' + ACCESS_TOKEN
spark_header = {'Authorization': accessToken_hdr, 'Content-Type': 'application/json; charset=utf-8'}
return spark_header
def postMsg(the_header,roomId,message,state):
message = '{"roomId":"' + roomId + '","text":"'+ state + message +'"}'
uri = 'https://api.ciscospark.com/v1/messages'
resp = requests.post(uri, data=message, headers=the_header)
print resp
message = ' -> ## UDP to Brazil is changed, Please check http://ec2-sample.ap-northeast-1.compute.amazonaws.com:8080/'
header=setHeaders()
postMsg(header,ROOM_ID,message,state)
54. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
• 装置内で実行される On-box 監視&カスタマイズ機能
• イベント検知→アクション実行
• イベント・アクションの組み合わせは自由
• 既存の IOS-XE 機能では不可能なロジックを作成
• アプレット版 (CLI), Tcl 版(スクリプト), Python 版(スクリプト)
• Pythonサポートは、一部の機器では対象外のため注意
• 幅広いサポート機器
• C800〜ASR1000, Cat2K, 3K, 4K, 6K, Nexus, XR…, Cat9K…
• イベント、アクションの細かなサポート内容はバージョンに依存
EEM 概要と Python サポート
55. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Embedded Event
Manager
Syslog
email
notification
SNMP set
Counter
CLI
Applets
SNMP
get
SNMP
notification
Application
specific
TCL
Policies
Reload or
switchover
EEM Applets
multi-event-correlation
IOS.sh
Policies
Actions
Event Detectors
Syslog
Event
Process
Scheduler
Database
Interface
Descriptor
Blocks
Syslog
ED
Watchdog
ED
Interface
Counter
ED
CLI
ED
OIR
ED
ERM
ED
EOT
ED
RF
ED
none
ED
GOLD
ED
XML
RPC
ED
SNMP
EDs
Remote:
• Notification
Local:
• Notification
• Get/Set
NetFlow
ED
IPSLA
ED
Route
ED
Timer
EDs
• Cron
• Count
down
HW
EDs
• Fan
• Temp
• Env
• ...
CDP
LLDP
ED
802.1x
ED
MAC
ED
Python
Policies
xxx
ED
…
EEM アーキテクチャ
…
56. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Cisco DevNetのご紹介
Http://developer.cisco.com
無料トレーニングあります! - 9/27-28 in TOKYO
後方ブースにて、チラシを配布しております(^^)
https://developer.cisco.com/events/DevNet-Express-Tokyo-DNA-09-2018-2/#/