InMon Traffic Sentinel 4.0 のご紹介

InMon Traffic Sentinel 4.0 のリリースが開始されました(2009年6月5日リリース)。Traffic Sentinel 4.0 は、保守契約加入ユーザの方々は、無償でこのバージョンへのアップグレードが可能です。

Note: Traffic Sentinel 4.0向けに書き加えられたチュートリアルをご確認ください。特に、TrafficSentinelの設定や使用法には、TrafficSentinelの設定 - ステップバイステップ・ガイドを参照ください。

新機能のご紹介:

  1. トラフィック・コントローラー
  2. Layer 2とトポロジーディスカバーとホスト・ロケーションの改善
  3. 非sFlowエージェントに対するオートディスカバー
  4. パフォーマンス
  5. 設定ファイルの直接編集
  6. IPv6 エージェントとエージェント範囲
  7. IPv6 Snort® ルールのサポート
  8. イベントのみ(Events-only)レポート
  9. ICMP unreachable port
  10. VPLS デコード
  11. イベント・フォワーディングの改善
  12. NetFlow v5 フォワーディング
  13. 診断ツールの改善

トラフィック・コントローラー

新機能のコントローラーでは、トラフィック測定を根拠とした自動的にプライオリティ・レートリミット・ブロックコントロールを適用します。

このダイアグラムは、トラフィックのコントロールの動作のシーケンスを示しています。"closed-loop control system"でのこの一連の流れは、大量のトラフィックのソースをコントロールすることによってネットワークパフォーマンスを維持するように設計されています。Step 1では、ホストが大量のトラフィックを生成し始めます。Step 2では、Traffic Sentinelは、マルチベンダーで標準な sFlow® を使用して、ネットワークを流れるトラフィックを常時モニターし、ホストからのトラフィックの増加を即座に検知し、また、ホストのロケーションと、そのホストが接続しているスイッチのポートを識別します。Step 3では、Traffic Sentinelは、プリセットされたリミット(クォータ)に対するホストのトラフィックレベルをチェックし、もしそのホストが、クォータを超過した場合、コントロールを実施します。Step 4では、ホストがネットワークへ接続しているアクセススイッチで、選択されたコントロールが適用されるよう再設定が実施されます。Step 5では、プライオリティ・コントロールが使用されるときのみ、適用されます。プライオリティ・コントロールは、2つのパートから構成されており、一つ目は、アクセススイッチで、低プライオリティとしてホストからパケットがマーキングされている事であり、二つ目は、ネットワーク内の他の場所で輻輳が発生していることで、その輻輳しているデバイスは、マークしたホストによって消費される帯域幅使用率を減少させるために、マークされているパケットを選択的にドロップします。最後に、Traffic Sentinelは、トラフィックのモニターを継続し、 ホストからのトラフィックが許容レベル以下になったと検知したとき、コントロールは解除されます。

Layer 2トポロジー・ディスカバーとホスト・ロケーションの改善

トポロジー・ディスカバー・プログラムを全面的に書き換え、この新ディスカバリー・エンジンによって、スイッチ間のリンクの識別を改良し、スイッチポートに接続されたホストのロケーションの把握の正確性が向上しました。Port-Based VLAN も、自動的にディスカバーされトラフィック(Traffic)>ステータス(Status)ページやレポート内に表示されます。

非sFlowエージェントに対するオートディスカバー

エージェント範囲でアドレスをスキャニングするとsFlow MIBをサポートしていない場合でもSNMPに反応する全てのデバイスがディスカバーされるようになりました。Traffic Sentinelは、ポーリングを開始させるためにAgentのSectionに明示的に対象デバイスを記述することを行う必要なく、自動的にSNMPを使用してディスカバーされたデバイス上のインターフェースをモニターします。

パフォーマンス

Traffic Sentinelのデータベースの改善を行い、クエリの高速化とクエリ実行時のメモリ所要量の低減を行いました。特に、新機能のマルチクエリで顕著で、単一のクエリを実行できる程度の時間で、クエリの一括処理が可能になります。

設定ファイルの直接編集

従来は、ダウンロード・アップロードのオペレーションが要求された多くのファイルが、Webブラウザを経由して直接編集可能になりました。セキュリティ(Signatures)>設定(Configure) や ファイル(File)>設定(Configure)>XML や ファイル(File)>ログ(Logs)>etc/config ページで直接編集か可能です。

IPv6 エージェントとエージェント範囲

Traffic Sentinelは、IPv6を使用したディスカバリーとモニタリングをサポートしました。IPv6エージェントでは、SNMP over IPv6使用したポーリングが可能で、Traffic Sentinelは、sFlow/NetFlow over IPv6を受信することが可能です。

IPv6 Snort® ルールのサポート

セキュリティ(Signatures)>設定(Configure)ファイルでは、ルール内にSourceやDestinationアドレスレンジを指定する場合、IPv6のアドレスやCIDRを含めることが可能です。コンフィグレーションでIPv6 CIDRを指定すると、ルール内にゾーンやグループを使用するときに、自動的に適用されます。

イベントのみ(Events-only)レポート

レポート(Reports)>スケジュール(Schedule)ページに保持(Keep) オプションが追加されました。イベントのみ(Events Only) を選択すると、イベントを生成するよう設定されたレポートに対して便利なオプションです。このオプションをセットしたとき、イベントが生成されたときのみ、レポートのコピーが保存されます。Emailの受信者は、イベントが生成されたときのみコピーを受信します。

ICMP unreachable port

ホスト上でサポートされていないプロトコルを使用してホストに接続しようとする試みが発生した時、ICMP Port Unreachableメッセージが生成されます。Traffic Sentinelは、sFlowを使用してこれらのメッセージをキャプチャし、データベースの新規フィールドである ICMP Unreachable Port (icmpunreachableport)に情報を格納します。ICMP Unreachable Port フィールドは、ネットワーク上でスキャニングしているホストを検知するのに有益な方法です。新規のSecurity>ICMP Port Unreachableクエリでは、スキャニングしているホストや接続しようとしているポートを検知するためにこのデータが利用されます。

VPLS デコード

Traffic Sentinelは、VPLS (Virtual Private LAN Service)トンネルをデコードすることが可能で、VPLS上で動作しているコネクションやプロトコルの測定が可能です。MACアドレスのペア間の大量のレイヤー2フローとして単純に表示されるかわりに、Traffic Sentinelは、トンネル上で動作しているTCP/IPコネクションを表示します。

イベント・フォワーディングの改善

EmailやSyslogやSNMP Trapによるイベント・フォワーディングは、ファイル(File)>転送(Forwarding)>イベント(Events)ページで設定できます。イベントは、Severity(重要度)やType(タイプ)によってフィルタリング可能です。Syslogイベントは、直接、リモートSyslogサーバーに送信することが可能です。

NetFlow v5 フォワーディング

ファイル(File)>転送(Forwarding)>フロー(Flows)ページ上に、NetFlow version 5としてフローを転送可能な新たなフォーマット・オプションが追加されました。これは、sFlowをサポートしていないアプリケーションにエクスポートするときに有効です。sFlowをサポートするアプリケーションに対しては、sFlowはより詳細な情報を含み、パケットロスにあまりセンシティブでなく、また、フロー同様にインターフェースカウンター情報も含まれるため、常にsFlowのフォーマットをセットすることを推奨します。

診断ツールの改善

新規、ファイル(File)>設定(Configure)>ステータス(Status)ページで、各デバイスをモニタリングするときに適用されているコンフィグレーション設定の詳細を提供します。また、デバイスへの接続性のテストツールやトラブルシューティングのための詳細なステータス情報を提供します。
ファイル(File)>ステータス(Status)ページ上のリンクでは、トラブルシューティングの利用できる、CPUやディスクの使用内容についての追加情報を提供します。

データベースの更新処理について

Sentinel 4.0 は、旧Sentinel 1.0/2.0 サーバーに、既存の設定やトラフィックデータを保持したまま、直接アップグレードインストールが可能です。しかし、トラフィック・データ・ファイルに対しては、バージョン4.0を最初にインストールしたときに起動される自動フォーマット更新処理が実施されます。この更新処理は、ある程度の時間がかかります(処理は、最新のデータから古いデータに向かって更新され、おおよそ、1MByte/secの処理速度で実行されます。)。トラフィック・ヒストリー・ファイルは、それらが更新されるまで、READすることはできません。更新状況は、ログ・ファイルの /usr/local/inmsf/log/updateDB.log で確認することができます。いったん、トラフィック・ヒストリー・ファイルがバージョン4へ更新されると、それらを、再度Traffic Sentinel バージョン1/2で読むことはできません。もし、ロールバックを行う可能性がある場合は、更新処理を実施する前にトラフィック・ヒストリー・ファイルのバックアップを取得しなければなりません。Sentinel3.0からのアップグレードの場合は、データベースの更新処理はありません。

サポートについて

Sentinel4.0のリリースに伴い、旧バージョンのTraffic Server/ Sentinel1.0&2.0 のサポートは終了させていただきます。
また、Sentinel3.0でのバグフィックスや機能強化も終了いたします。
Sentinel3.0でのバグフィックスや機能強化の必要性が発生した場合は、Sentinel4.0の最新リビジョンにて行います。