Skip to main content

トラフィック可視化のための設定

トラフィック可視化のための設定

トラフィック可視化機能では、送信元/送信先ごとに、トラフィック量の割合や時系列的な推移を可視化することができます。
FITELnetルータを利用している拠点単位で、ユーザ様ご利用端末やSaaSごとに時系列的なトラフィック量の傾向をご確認いただけます。Web会議における音声/映像の乱れや遅延が発生した場合に、原因調査や対策検討のためにご活用いただけます。

sFlowエージェント機能を利用してトラフィックの送信元/送信先IPアドレスごとにトラフィック量の情報を取得します。トラフィックの送信先IPアドレスはローカルブレイクアウト(LBO)の仕組みを利用して、SaaS名/アプリケーション名に変換して出力することが可能です。

  • トラフィックの送信先IPアドレスのSaaS名/アプリケーション名への変換は、以下のいずれか、もしくは併用により可能です。
    • SaaS/アプリケーションの指定を行わずに可視化する方法
      ルータにf-rakunet appdbコマンドを設定することで、お客様にてSaaS/アプリケーションの指定を行わなくても、代表的なSaaS/アプリケーションの可視化が可能です。
    • SaaS/アプリケーションの指定を行って可視化する方法
      お客様にて可視化対象のSaaS/アプリケーションを指定することによる、可視化が可能です。FらくねっとのAPP/LBO管理サービスにて、Fらくねっと推奨ポリシーを選択いただくか、マイポリシーを登録/選択いただくことで実現できます。
  • トラフィック可視化を行いながら、一部のSaaS/アプリケーションを選択してLBOを行うような運用も可能です。

トラフィック可視化の画面表示については、トラフィック可視化のページをご参照ください。このページでは、トラフィック可視化のために必要な設定について解説します。

利用条件

  • 以下の機種/バージョンにてご利用可能です。
    • F70, F71:V01.12以降(f-rakunet appdbコマンド不使用の場合はV01.11(01)より可)
    • F220, F221:V01.14以降(f-rakunet appdbコマンド不使用の場合はV01.13(01)より可)
    • F225:V01.02以降(f-rakunet appdbコマンド不使用の場合はV01.01(01)より可)
    • F310:V01.02以降(f-rakunet appdbコマンド不使用の場合はV01.01(01)より可)
    • F220 EX, F221 EX:V10.12以降

ご利用いただくための設定

設定例1:トラフィック可視化を行う(LBOは行わない)

ルータにf-rakunet appdbコマンドを設定することで、お客様にてSaaS/アプリケーションの指定を行わずに、代表的なSaaS/アプリケーションの可視化が可能です。
機器に以下の設定を行ってください。

app enable
!
app-profile <機器プロファイル名> (*1)
 f-rakunet appdb (*2)
 dns-snooping enable
exit
!
f-rakunet app enable
!
interface <インタフェース名> <インタフェース番号> (*3)
 dns-snooping enable
exit
!
sflow-agent address <IPアドレス> (*4)
!
sflow app enable
!
sflow profile 1
 collector address local
 collector address f-rakunet
exit
!
sflow interface lan sflow-profile 1 sampling-rate <サンプリングレート(*5)>
!

*1 送信先IPアドレスをSaaS名/アプリケーション名に変換する場合に、app-profileの設定を行います。機器プロファイル名は、Fらくねっとで指定するプロファイル名と合わせる必要はありません。
*2 このコマンドにより、お客様指定のSaaS/アプリケーションが無くても、代表的なSaaS/アプリケーションを可視化対象とすることが可能です。

*3 DNS responseパケットを受信するインタフェースです(通常WANインタフェースとなります)。
*4 機器のsFlowエージェントとしてのIPアドレスを指定してください。
*5 サンプリングレートとして指定したパケット数ごとにフローサンプリングを行います。

補足1-1:プロキシ環境でトラフィック可視化を行う場合

設定例1はトラフィック送信元の端末が送信先の名前解決のために行うDNSの通信が、機器を経由することが前提となります(DNS snoopingを利用)。

プロキシ環境ではDNSの通信は機器を経由しませんので、以下のようにHTTP snoopingを設定してください(dns-snooping enable の代わりに http-snooping enable を設定)。DNS snoopingとHTTP snoopingの併用も可能です。

app-profile <機器プロファイル名>
 http-snooping enable
exit
!
interface <インタフェース名> <インタフェース番号> (*1)
 http-snooping enable
exit

*1 端末からのTCP接続要求(SYNパケット)を受信するインタフェースです(通常LANインタフェースとなります。dns-snooping enableとは異なるインタフェースとなりますので、ご注意ください)。

補足1-2:お客様にて可視化対象のSaaS/アプリケーションを指定する場合

f-rakunet appdbコマンドと併せて、お客様にて可視化対象のSaaS/アプリケーションを指定することによるトラフィック可視化も可能です。

  • Fらくねっとにて、LBOプロファイル設定の方法で、可視化対象のSaaSを含めたLBOプロファイルを登録してください。
    Fらくねっと推奨ポリシー以外のSaaSを可視化したい場合は、LBOポリシー設定の方法でポリシーを登録して、LBOプロファイルに含めてください。
  • LBOプロファイルの登録が完了したら、LBOプロファイルの適用の方法で機器に適用してください。
  • 設定例1のapp-profileの箇所を、以下のようにしてください。
app-profile <機器プロファイル名>
 f-rakunet appdb
 f-rakunet id <LBOプロファイル名(*1)>
 dns-snooping enable
exit

*1 Fらくねっとで指定するLBOプロファイル名と合わせてください。
※ f-rakunet appdbとf-rakunet idでSaaS/アプリケーションのドメインもしくはIPアドレスが重複する場合は、f-rakunet id優先となります。
※ f-rakunet appdbを設定しない場合は、お客様にて指定したSaaS/アプリケーションのみ可視化可能です。

設定例2:トラフィック可視化を行いながら、一部SaaSのLBOを行う

トラフィック可視化を行いながら、一部のSaaS/アプリケーションを選択してLBOを行うことが可能です。

  • Fらくねっとにて、LBOプロファイル設定の方法で、可視化かつLBO対象のSaaSを含めたLBOプロファイルを登録してください。
    Fらくねっと推奨ポリシー以外のSaaSを可視化/LBOしたい場合は、LBOポリシー設定の方法でポリシーを登録して、LBOプロファイルに含めてください。
  • LBOプロファイルの登録が完了したら、LBOプロファイルの適用の方法で2つのLBOプロファイルを機器に適用してください。
  • 機器に以下の設定を行ってください。LBOの設定は、lbo-profileではなく、app-profileにて行ってください。
    lbo-profileとapp-profileの2つの設定の同時利用には対応しておりません。
app enable
!
app-profile <機器プロファイル名> (*1) 
 f-rakunet appdb (*2)               ###可視化対象かつLBO非対象
 f-rakunet id <LBOプロファイル名(*3)> app-list 1  ###可視化かつLBO対象
 dns-snooping enable
exit
!
f-rakunet app enable
!
local-breakout enable
local-breakout app-list 1 ipv4 <ネクストホップ> (*4)
!
interface <インタフェース名> <インタフェース番号> (*5)
 dns-snooping enable
exit
!
sflow-agent address <IPアドレス> (*6)
!
sflow app enable
!
sflow profile 1
 collector address local
 collector address f-rakunet
exit
!
sflow interface lan sflow-profile 1 sampling-rate <サンプリングレート(*7)>
!

*1 送信先IPアドレスをSaaS名に変換する場合に、app-profileの設定を行います。機器プロファイル名は、Fらくねっとで指定するプロファイル名と合わせる必要はありません。
*2 トラフィック可視化のために指定します(f-rakunet appdbコマンドにより可視化されるSaaS/アプリケーションは、LBO対象とはなりません)。
*3 トラフィック可視化かつLBO対象のSaaS/アプリケーションを指定するために設定します。Fらくねっとで指定するLBOプロファイル名と合わせてください。
※ f-rakunet appdbとf-rakunet idでSaaS/アプリケーションのドメインもしくはIPアドレスが重複する場合は、f-rakunet id優先となります。

*4 LBO対象トラフィックのネクストホップを指定してください。
*5 DNS responseパケットを受信するインタフェースです。
*6 機器のsFlowエージェントとしてのIPアドレスを指定してください。
*7 サンプリングレートとして指定したパケット数ごとにフローサンプリングを行います。

プロキシ利用環境では以下のようにHTTP snoopingを設定してください(dns-snooping enable の代わりに http-snooping enable を設定)。DNS snoopingとHTTP snoopingの併用も可能です。

app-profile <機器プロファイル名>
 http-snooping enable
exit
!
local-breakout proxy-server ip any port <ポート番号>
!
interface <インタフェース名> <インタフェース番号> (*1)
 http-snooping enable
exit

*1 端末からのTCP接続要求(SYNパケット)を受信するインタフェースです(通常LANインタフェースとなります。dns-snooping enableとは異なるインタフェースとなりますので、ご注意ください)。