PR

澤部 直太 三菱総合研究所 情報技術研究センター
メディア&ネットワークシステム部

トラフィック監視ツールは3種類

トラフィックを監視するツールは3種類に分かれます。接続したセグメントの通信をすべて監視するネットワーク型ツール,自ホストにかかわる通信だけを監視するホスト型ツール,複数のセグメントのトラフィック情報を集中監視するSNMP型ツール――です。実際のトラフィック監視では,監視範囲や監視内容に応じて複数のツールを使い分けるのが一般的です。

図2 トラフィック監視ツールの種類は三つ
ネットワークを流れるパケットを監視する「ネットワーク型」,ホストのネットワーク・インタフェースを監視する「ホスト型」,マネージャがエージェント経由で監視する「SNMP型」――の三つがある。
 ネットワークを監視するツールには,専用のハードウエアを使うものや,パソコン上で稼働するソフトウエアで実現するものがあります。機能によって,ネットワークを監視する「ネットワーク型」,自ホストの通信だけを監視する「ホスト型」,リモート・モニタリングで監視する「SNMP型」に分かれます(図2[拡大表示])。種類ごとに監視の範囲や内容が異なります。

 どの種類を使うにしても,いざトラブルが発生したときに使い方が分からなくてマニュアルを読んでいるようでは,迅速な対応ができません。取り扱いに日ごろから慣れておくことが重要です。

サブネット全体を監視するネット型ツール

 ネットワーク型ツールは,接続するセグメントに流れるすべてのパケットを監視します。1台でコリジョン・ドメイン内のすべての端末のパケットを監視できるので,トラブル・シューティングに特に効果を発揮します。

 米ネットワーク・アソシエイツの「Sniffer」は,よく使われるネットワーク型ツールです。以前は専用ハードウエアが用いられていましたが,パソコンの性能向上に伴い,Windowsで動くソフトウエア・ベースの製品も販売されています。上位層のプロトコルの流れをトレースする機能や,ネットワークの障害を自動的に分析してオペレータに報告する機能など,機能が充実しているのが特徴です。

写真1 パフォーマンスモニタの画面
Windows NTが標準で備える運用管理ソフト。画面では,1秒あたりの送受信データグラムの数を時系列で表示している。
 UNIXでは,フリーソフトの「tcpdump」や米サン・マイクロシステムズのOS「Solaris」の標準コマンド「snoop」などが使えます。いずれもコマンド・ラインから実行するもので,標準では1パケット1行のテキスト情報を出力します。

手軽に導入できるホスト型ツール

 ホスト型ツールでは,自ホストに実装しているネットワーク・インタフェース上の通信を監視します。Windows NTの標準機能である「パフォーマンスモニタ」(写真1[拡大表示])や,UNIXの「netstat」コマンドがホスト型ツールの代表例です。サーバー用のOSは,ホスト型ツールとしての基本的機能を備えていることが多く,手軽に導入できるのが強みです。

 パフォーマンスモニタでは,時間単位の通信量などのグラフ表示が可能です。自ホストだけではなく,リモートにあるWindows NTホストの状況も一つのグラフに表示できるので,主要なNTサーバーの通信状況を短期間監視するといった用途に向いています。

 UNIXでネットワーク通信状況を確認するためには,netstatコマンドを使うのが良いでしょう。例えば「netstat -i -I(ネットワーク・インタフェース名)5」とすると,指定したネットワーク・インタフェースの入出力パケット数が,5秒ごとに表示されます。

管理情報をやり取りするSNMP型ツール

図3 RMON管理のネットワーク構成
セグメントのネットワーク管理情報をRMONエージェントがいったん収集しておく。収集した情報をRMONマネージャに集約することで,ネットワーク全体の混雑を調べる。SNMPの標準管理項目が個々のホストや機器の情報を中心に収集するのに対して,RMONの管理項目はネットワークの情報を収集するように定義されている。
 SNMP型ツールでは,SNMPプロトコルを使って,ネットワークの状況を把握します。ハブなどのネットワーク機器や各ホストでSNMPエージェント機能を動作させ,監視させたトラフィックをSNMPマネージャに集めて分析する仕組みです。SNMP型ツールは,SNMPエージェントの情報を収集して,ネットワーク全体の状況を監視します。

 SNMPを使うと,ネットワークの大まかな状況が分かります。SNMPエージェントの配置場所によって,特定のホストなどのトラフィック管理から,ネットワーク全体のトラフィック管理までが可能になります。複数のコリジョン・ドメインを同時に監視できるので,大規模ネットワークに向くツールです。

 SNMPではさまざまな機能が定義されていますが,特にスイッチング・ハブを用いたネットワークではRMONと呼ぶ機能が重要になります(図3[拡大表示])。RMONにはホスト間のトラフィック情報などが含まれているので,通信量の多いホストを探すことが可能になります。

 RMON機能は,スイッチング・ハブに内蔵するか,ミラーリング・ポートなどにRMONプローブと呼ばれる機器を接続して実現します。スイッチ・ネットワークには不可欠の機能と言えますが,高速LANでRMON機能を実現するには高速処理が可能なCPUが必要になるため,低価格のスイッチング・ハブには実装されていなかったり,一部の機能しか実装されていないというのが現状です。

 米ヒューレット・パッカードの「OpenView」は,SNMP型ツールの中で最も有名な製品の一つです。さまざまな機能がモジュールとして提供されていますが,特にネットワーク監視のために,基本的なSNMPエージェントの構成を管理する「Network Node Manager」や,RMONプローブの情報を取り扱う「NetMetrix」などが用意されています。

写真2 SNMP型ツールであるMRTGの画面
SNMPエージェント機能を持つルーターやハブ,ホストなどの管理情報を取得して見やすくグラフ化している。ネットワーク・インタフェースを流れるトラフィックの量などを時系列で把握したい場合などに,よく使われるツールである。
 MRTGは,GNU General Public Licenseに従ったフリーソフトです。プログラムの多くの部分がPerl言語で書かれていて,UNIXやWindows NTで稼働します(写真2[拡大表示])。SNMP型ツールなので,監視する対象はSNMPエージェント機能を持つルーターやハブなどです。また,UNIX上でSNMPエージェントを動作させてMRTGで監視するという使い方も可能です。

トラフィック監視以外のツールも組み合わせる

 ネットワーク上で発生するレスポンスやスループットの悪化を解決するには,トラフィック監視以外のツールも組み合わせると効率よく作業ができます。arp,nslookup,ping,telnet,tracerouteなどは,トラブル・シューティング時によく利用します。なじみのない方は,手元のホストで一度試してみるとよいでしょう。

用途に応じてツールを使い分ける

小規模なネットワークでは,ホスト型ツールによる監視を基本にし,障害の切り分けにネットワーク監視ツールを使うのが現実的です。サーバーが多いネットワークでは普段からネットワーク型ツールやSNMP型ツールを使う必要があります。スイッチング・ハブを導入している場合,監視範囲が限られるネットワーク型ツールを補完する方法を検討しておきます。

 トラフィック監視を実践するためには,どのようなツールを使って監視をするかを決める必要があります。新規に構築するネットワークの場合,「統合管理のできるシステムを」と力が入りますが,これまで何の監視もしてこなかった既設LANの場合は,手の付けやすいところから始めるとよいでしょう。

詳細監視はネットワーク型ツールで

 監視対象が少ないネットワークで混雑の有無を監視するといった場合には,ホスト型ツールが有効です。限られた数のサーバーしか存在しないクライアント・サーバー型アプリケーションやWebアプリケーションの利用状況などは,この方法で把握できます。

 ただし,ホスト型ツールでは,トラブル・シューティングができない場合もあります。トラブル時の原因追及にはクライアント側の調査も必要になる場合が多いからです。このような場合はネットワーク型のツールを使って,クライアントまで含めたネットワーク全体でトラフィックを監視する必要があります。

 また,サーバーの数が増えてくると,ホスト型ツールではトラフィックの監視が困難になります。このような場合,クライアントを含むネットワーク全体を監視するネットワーク型ツールやSNMP型ツールが必要です。

スイッチ・ネットでは監視方法が変わる

図4 スイッチング・ハブを使うとトラフィック監視が難しくなる最近の企業LANはトラフィック監視が難しくなっている。スイッチング・ハブが普及したことで,ホスト間の通信を調べにくくなった。また,通信の高速化によって単位時間あたりに監視しなければならないパケットが増えた。
 さらに,スイッチング・ハブによってコリジョン・ドメインを分割している場合,トラフィック監視の手法は変わります。従来の共有型のイーサネットでは,任意の1カ所でパケットを監視すれば,サブネット全体が把握できました。しかし,スイッチング・ハブでは,パケットが到達する範囲が限定されてしまうため,ネットワークの1カ所を監視しても,ハブを経由したサブネットの通信はほとんど把握できません(図4[拡大表示])。

 一部のスイッチング・ハブが備えるミラーリング・ポートにネットワーク型監視ツールをつなげば,特定ポートの通信をすべて監視できますが,それでもサブネット全体を監視できるわけではありません。そこでスイッチング・ハブを用いたLANにおけるトラフィック監視では,主にホスト型ツールやSNMP型ツールを使うことになります。

 特にネットワークを常時監視する場合は,SNMP型ツールを使って集中的に監視すると便利です。SNMPエージェント機能をルーターやスイッチング・ハブで稼働させ,SNMPマネージャ側の管理コンソールで集中監視するのです。

 問題が発生したときにホスト型ツールやSNMP型ツールでは原因が特定できない場合もあります。このような場合,ネットワーク型ツールを補助的に使います。問題が発生しているコリジョン・ドメインを推定して,ミラーリング・ポートを使用するか,監視する場所にリピータ・ハブを仮に設置して,ネットワーク型ツールで監視します。