コラム/技術的な情報

NDRをより効果的に使えるNPBの役割~ロードバランス編~

 昨今、セキュリティ対策の考え方は従来の社内を安全圏と考える境界防御型から、全てのトラフィックを信用せず、安全性や正当性を検証するゼロトラスト型にシフトしています。
 その理由はサイバー攻撃が激化していたことに加え、テレワークの浸透、クラウドサービスの利用拡大など、守るべき情報が社外に分散したことで、今後のセキュリティ対策を根本から変えていく必要があったためです。
 そのため、IPS/IDS、WAF、ファイアーウォールによる不正侵入の検知・防御を行う従来型のセキュリティ対策では不十分とされ、現在はネットワークの全体を監視し、ゲート側で脅威の検知・対処をするNDR(Network Detection and Response)によるセキュリティ対策に注目が集まっています。
 Keysight Technologies社製ネットワークパケットブローカー(NPB)であるVisionシリーズは従来のIPS/IDSなどの各セキュリティ製品はもちろん、NDRとも相性が非常に良い製品です。
 前回はNPBの機能であるVLANタギングについてまとめましたが、今回はロードバランス機能について、当社のプラットフォーム事業グループ ITプロダクト&サービス事業本部 ネットワーク部 技術課 片岡 隆一朗氏に聞いてみました。

――ロードバランス機能について教えてください。

 一般的にいわれるロードバランサーと同様で、冗長化したサーバに流れるパケットを振り分けて負荷分散させる機能です。もちろん対象のサーバが故障等でダウンしてしまった場合にはパケットをそのサーバに送信させることはありません。
 そのため、この機能を利用していれば、ネットワークやサーバ等のメンテナンスをする場合であってもサービスを停止せずにメンテナンスを行うことができます。
 この機能はVisionのネットスタックで利用できるものですので、全機種でご利用いただけますし、ほかの機能との併用も可能です。

――パケットの分類方法を教えてください。

 L2ヘッダの情報だけで分類するか、L3ヘッダ以上の情報を含めて分類するかを選択できます。
 L2ヘッダの情報で分類する場合にはMACアドレスかイーサタイプしかありませんので、その2点で分類することになります。L3ヘッダ以上の情報で分類する場合はIPv4パケット、IPv6パケットやMPLSパケットごとにそれぞれの分類方法を選択できます。
 無論、VisionはNetwork Ports、Dynamic Filters、Tool Portsの3階層で管理されていますが、出力ポートであるTool Portsでのみ設定することが可能です。

――この機能を利用する際の注意点はありますか?

 ロードバランスを設定する際、通信量の合計値がロードバランスを行うポートの帯域上限値に満たない量のトラフィックしか流れてきていない場合でもパケットロスが起きない保証はありません。
 例えば、1Gbpsの帯域を持つ二つのポート(AポートとBポートとします)でロードバランスを行う場合に、通信量の合計値が2Gbpsであっても、ロードバランスを行った結果、Aポートに1.2Gbps、Bポートに0.8Gbpsとなるケースがあります。この場合、Bポートの処理は問題ありませんが、Aポートは処理できる容量を超えた0.2Gbps分処理を行えないため、0.2Gbps分のパケットロスが発生し、パケットロスしたパケットを取り戻すことはできません。
 この事象を改善するためにパケットスタックにはバッファリング機能があります。この機能では各ポートにバッファを持たせることができるため、出力可能帯域以上のトラフィックを受け取った場合でも、廃棄せずに一度ためておき、ポートの処理が空いたタイミングでデータを流すという事ができます。

<ロードバランスの対象とするポートの設定>
 1.Addメニュー内、[Port Group]→[Load Barance]を選択し、設定画面表示後、[Port]タブを開く

ロードバランスの対象とするポートの設定1

 2.[Add Port]ボタンからロードバランスの設定をしたいポートを選択、追加する

ロードバランスの対象とするポートの設定2

 3.ロードバランスの対象とするポートの設定完了

ロードバランスの対象とするポートの設定3

 ※ロードバランス設定をした機器の詳細確認や、フィルタ、VLANタギング等の機能設定を行いたい場合は、後述する各ポートの設定画面から行うことができます。

<ロードバランスの分類設定>
 1.SYSTEMメニュー内、[Setting]を開き、[Tool Port Group Load Balance Setting]内を選択

ロードバランスの分類設定1

 2.以下の設定画面が開き、必要な設定を行う
 (*が付いている項目は必須項目のため、外すことはできません。)

ロードバランスの分類設定2

設定における注意点:
 分類項目をMACアドレスのみにしている場合、セッション情報の判断ができません。同一セッションの通信を単一のサーバに送りたい場合は5tuple(IPアドレス、プロトコル番号、ポート番号)を設定ください。

<通信量の確認方法>
 対象のロードバランスを右クリックし、[Statics]内にある[View Statics]を選択すると以下の画面が表示され、詳細を確認したい項目をクリックすると詳細なパケット情報が表示される

通信量の確認方法1
通信量の確認方法2
通信量の確認方法3

 ※ロードバランスを設定したポートそれぞれの詳細を確認・設定したい場合は、対象のロードバランスを右クリックし、[Port Group Port(s) Properties…]から行えます。

通信量の確認方法4

 ※ロードバランス設定をした物理ポートごとに通信量を確認したい場合は、対象のロードバランスを右クリックし、[Statics]内、[View Port Statics…]を選択すると表示されます。

通信量の確認方法5

Visionシリーズに関するご相談、価格のお問い合わせはこちらから
https://itps.scsk.jp/ixia/inquiry

製品に関するご質問・資料請求はこちらまで

03-5859-3034 平日 9:30 ~ 17:00(年末年始、当社指定休業日を除く)

お問い合わせ・資料請求