OTT可視化
多くのISPは、自社のバックボーンにどのようなトラフィックが流れているのかその傾向性を把握しようと努めています。ただし、その手法、レベル感は各社バラバラです。本ページでは、各手法のメリット、デメリットに関する解説と、昨今注目されているフロー情報を活用したOTT可視化について紹介します。
可視化にまつわる手法について
-
SNMP
インターフェース単位でのトラフィックを取得します。MRTGによるグラフ化が一般的です。
メリット:
フリーソフトがあり、コスト的なメリットがあります。ただし、別途グラフ描画のためのシステムを構築する必要がある場合があり、その場合はコストが発生します。デメリット:
インターフェース単位での流量の取得のみです。そのため、サービスごと、送信先・送信元ごとの情報を得ることができません。L7レベルの可視化はできません。 -
フローコレクター
Routerからフロー情報を送出します。
送出されたフロー情報を受け取りレポートを生成します。メリット:
ネットワーク全体を俯瞰的に可視化することができます。レポーティングだけではなく、DDoS攻撃の検知ができます。コストは発生しますが、さまざまなレポートが提供されるため、コストパフォーマンスは高いです。デメリット:
L3-L4レベルの可視化ができますが、L7レベルの可視化はできません。 -
パケットキャプチャー
ネットワーク機器よりミラー(コピー)します。通信の全て(ペイロード部分含む)を記録していきます。通信内容の全てを分析することが可能です。
メリット:
L7レベルの可視化が可能です。デメリット:
トラフィック量、保存期間によってはストレージコストが膨大となります。一部の限られたネットワークのみで使用されるケースが多く、その場合、全体を俯瞰的に見ることはできません。
フローコレクターではL7レベルの情報は可視化できない?
L7レベルの可視化を実現するためには、「パケットキャプチャ製品」を導入する必要があります。
しかしながら、ISPのネットワークにおいて経路のすべてにキャプチャ製品を置くことは現実的ではありません。
その点、フローコレクターは、経路上に配置する必要がありません。フロー情報そのものには、L7レベルの情報はありませんが、フロー情報に含まれる送信元IPの情報をDNS参照することで、送信元のサービス名を割り出すことができます。
特にOver the Top(OTT)と言われるSNSや動画配信、ゲームなどのコンテンツは通信回線に影響を与えやすく、それらの通信の可視化はISPにとっては重要な課題になりつつあります。
DNS連携によるOTT可視化
SightlineとDNSを連携する場合、右図のような構成をとります。DNSあておよびもどりのパケットをTAP(あるいはミラー)し、InfiniStreamNG(ISNG)にパケットを流します。ISNGは受け取ったデータをDB化します。Sightlineとデータ連携することでSightlineはOTTアプリケーションを特定することができます。 他社製品では、DNSサーバーにモジュールを組み込み、そのモジュールとフローコレクターを連携させることでOTT可視化を実現しています。この方法のデメリットは、DNSサーバーへの負荷をかけてしまうリスクがあります。 どの企業もDNSへの追加・変更はサービスへの影響を懸念してあまり進んでやりたがらないでしょう。本構成ではその心配がありません。
DNS連携の検討が難しい場合
構成上の問題やコストの問題でISNGを導入することが難しい場合があります。また、すべてのOTTアプリケーションを可視化するのではなく、「よく使われる主要なOTTアプリケーションだけを特定できれば良い」という場合もあります。 NETSCOUT社のATLASでは、全世界の35%~40%程度の通信を監視対象としており、主要なOTT事業者が使用しているIPの情報を把握しています。それらの情報をSightlineに配信することで、主要なOTTアプリケーションを特定することができます。もちろん事業者が使用するIPに変更がある場合があります。その場合でも、変更を追随し配信をしてくれます。