日本電信電話(NTT)は,100Gb/sのネットワーク帯域を持つ仮想環境におけるトラフィック情報を収集し,リアルタイムに解析を行なうトラフィック監視システムを開発した(ニュースリリース)。
近年,仮想環境を利用し,仮想マシンなどのネットワークリソースを動的に組み替えることで,多様なサービスが提供されており,また100Gb/sの帯域を持つ高速なネットワークを様々なパケットが通る状況となっている。
それらのサービスのセキュリティ対策や障害発生時の問題切り分けには,変動する仮想マシン単位のトラフィック状況等を逐次把握する必要があり,性能やコスト面でハードルがあった。そこでNTTでは100Gb/sネットワークに対応した,仮想マシンごとの運用状況を可視化できるトラフィック監視システムを開発した。
汎用サーバとFPGA搭載NIC(Network Interface Card)で構成することで,100Gb/s仮想ネットワークをリアルタイムに監視できる経済的なトラフィック監視システムを開発した。複雑にカプセル化された仮想環境においても,ヘッダ内の20種のフィールドから任意の組み合わせでパケットを識別することができ,仮想マシンごとのパケット情報を収集してリアルタイムに可視化する。
監視対象ネットワークからパケットをタップして入力し単独で解析するため,監視対象に影響を及ぼすこともない。未登録ユーザの不審なトラフィック検知や,DOS攻撃による集中トラフィック(セキュリティインシデント)等の自動検知も可能。このシステムを用いることで,迅速かつ効率的にインシデント検知や障害の予測/解析,ネットワークの復旧を行なえるという。
今回,以下の開発を行なうことで,高速なトラフィック監視システムを経済的に実現した。
①仮想マシン単位の見える化
回路規模をおさえつつ,ヘッダ内の20種のフィールドから任意の組み合わせでパケット識別を可能とし,仮想マシン単位の通信量が宛先やプロトコルごとに可視化した。
②無中断ルール更新
ルールテーブルを現用面と待機面の2面設け,ルール更新の際には待機面にルールを書き込み,面を瞬時に切り替える機構を開発。動作を停止せず無中断でルールを更新できる。
③マイクロバースト検出
100Gb/sネットワークにおいて1ミリ秒以下の分解能で検出可能となった。高い分解能でトラフィック量を把握できるため,これまで特定が困難であったネットワーク障害の原因解明に貢献できる。
同社は今後,他システムとの連携を視野に,インシデントや障害の検知から解決まで,より高度な機能の実現をめざすとしている。
