クリーンなネットワーク トラフィックの重要性
CEM の問題の多くは、TIM に転送されるネットワーク トラフィックがクリーンでないために発生します。 クリーンなネットワーク トラフィックは、完全で(すべてのパケットを含む)、破損しておらず、ボリュームが非常に大きい場合は順序が大きく乱れていない必要があります。 TIM が実際のコピーでなく、不完全で変更されたネットワーク データを受信すると、問題が発生します。
apmdevops98jp
CEM の問題の多くは、TIM に転送されるネットワーク トラフィックがクリーンでないために発生します。 クリーンなネットワーク トラフィックは、完全で(すべてのパケットを含む)、破損しておらず、ボリュームが非常に大きい場合は順序が大きく乱れていない必要があります。 TIM が実際のコピーでなく、不完全で変更されたネットワーク データを受信すると、問題が発生します。
標準のネットワーク トラフィックは、双方向の全二重通信フローです。 データは、クライアントとアプリケーション サーバの間で送受信されます。 2 つの通信パートナーを必要とする TCP/IP プロトコルは、送信エラーを処理します。 TCP/IP は、パケットが失われたか、ドロップされたか、欠落しているときに、それらを検出して再送信します。
ミラー ポートは、あるスイッチから送信先(または監視)スイッチのポートにパケットのコピーを送信します。 Cisco 環境では、スイッチド ポート アナライザ(SPAN)機能によってポート ミラーリングが実現します。 SPAN により、スイッチ上の物理ポートからそのスイッチ上の別のポートにトラフィックをコピーできます。
SPAN によってネットワーク トラフィックが処理される仕組み
SPAN データ プロバイダ ポート(プロバイダ)は、ネットワーク トラフィックを転送します。 プロバイダ ポートは、1 つまたは複数の物理データ収集ポートからトラフィックをコピーして集約します。 SPAN ポート キャプチャ デバイスは、全二重のデータ フィードを取得し、データを集約して、1 つのフィードを介してデータを送信します。 フローは、SPAN プロバイダ ポート デバイスからミラー レシーバまでです。 CEM では、ミラー レシーバは TIM キャプチャ ポートです。
SPAN は、ネットワーク トラフィックのパケットを部分的に揃え、一方向のフィードを介した送受信トラフィックの組み合わせを提供します。 物理データのパイプは、名前付きリンクです。 スイッチに向かう複数のリンクを想像してください。 データ パケットは、ランダムな順序で結合され、SPAN によって一方向のリンクから TIM に送信されます。 パケットがドロップされたときは、欠落したパケットを復旧するための TCP/IP プロトコルはありません。 TIM は、不完全なデータを受信したことをデータの収集デバイスに通知できません。
SPAN プロバイダ ポートは、ハードウェアおよびメディアのエラーに関するパケットを破棄します。 使用率が SPAN のプロバイダの物理リンクの容量を超えたときに、パケットがドロップされます。 パケットは完全に削除されるため、TCP/IP および TIM はこれらのエラーを修正できません。
特に高バースト転送中に、SPAN プロバイダ ポートの物理メディア制限を超えることがあります。 たとえば、SPAN ポートは送信および受信方向でそれぞれ 1 Gbps で受信データを処理します。 ただし、SPAN プロバイダ ポートは、1 つのみの集計されたフィードで、これら 2 つのフィードを TIM に提供する必要があります。 集計されたフィードには、1 Gbps などの物理的な制限があります。 この状況では 1 Gbps が 2 倍になり、これを 1 Gbps の一方向データ フィードに収める必要があります。 ミラー ポートのトラフィックの合計量は、設定に追加される双方向の物理ポートごとに増加します。 たとえば、20 個の物理ポートでは、SPAN プロバイダ ポートへの転送が、最悪の場合に 40 Gbps になります。 10 Gbps の SPAN プロバイダ ポート デバイスでも、すぐに物理的な最大容量に到達します。
SPAN プロバイダ ポートで複数のデータ フローを再配置する必要がある場合は、マイクロ バーストおよび優先度の高いトラフィックでパケットの不整合が発生する場合があります。 集約される SPAN ポートが増えると、より多くの不整合が発生します。 さまざまな受信フローのパケットの順序は、集約された送信フローで異なります。
スイッチには、SPAN ポート キャプチャ デバイスに対する多くの受信物理データ収集ポートを一度に設定できます。 複数の受信データ リンク、データの集約、および廃棄およびドロップされたパケットが組み合わさって、SPAN と TIM の間のほとんどの問題が発生します。 Ixia Anue や Gigamon などのベンダーから入手できる SPAN ポート集約ツールを展開して、SPAN トラフィックの多くの問題を防ぐことができます。
ネットワーク タップによってネットワーク トラフィックが処理される仕組み
ネットワーク タップは、データの実際のコピーを提供します。 タップは、2 つの物理リンクを介して 1 つの物理データ収集ポートからミラー レシーバ ポートにデータを送信します。 送信および受信したデータ ストリームは、SPAN の 1 つのみのリンクとは異なり、それぞれ物理リンクを持ちます。 2 つのリンクは、ネットワーク タップが物理メディア容量のオーバー サブスクリプションを回避するのに役立ちます。
このベストプラクティスは、TIM に実際のトラフィックのコピーを提供するために使用します。
- インライン モードでインストールされているネットワーク タップ
- TIM に 2 つのデータ ストリームを転送します。送信および受信トラフィックのそれぞれに 1 つのデータ ストリームを指定します。
TIM の監視およびクリーンでないトラフィック
多くのネットワーク監視ツールは、OSI アプリケーション レイヤ 4 の TCP/IP パケット ヘッダのみを監視します。 対照的に、TIM は、クライアント ブラウザと OSI アプリケーション レイヤ 7 上の Web サーバの間の通信フローを監視します。 ネットワーク タップまたは SPAN ポートは、TIM にトラフィックを転送するデータ収集デバイスとして機能します。 この通信では、SPAN プロバイダで、多数のパケットから構成される完全なメッセージを転送する必要があります。 TIM は、クライアント ブラウザと Web サーバの間で送信される、HTTP および HTML コードを分析するすべてのパケットを再構築します。 TIM は、統計収集、障害の特定、および不正トラフィックのデータ収集の有効なトランザクションを評価するのにこの分析を使用します。
デフォルトでは、TIM は認識しているトランザクションのみを追跡します。 TIM は、以前に定義および構成されたトランザクション定義の一致に基づくトランザクションを検出します。 TIM では、定義されていないトランザクションは検出されません。 トランザクションの検出と識別は、HTTP 通信で HTTP 要求にリンクされます。 正確な監視とレポートを行うには、TIM にネットワーク トラフィックの実際のコピーが必要です。 TIM が破損したトラフィックを受信し、リクエスト ヘッダが見つからない場合、通信は無視されます。 TIM でリクエスト ヘッダが確認されたが、応答ヘッダの一部またはすべてが見つからない場合、TIM は障害を生成します。 トラフィックが不完全な場合、TIM はネットワーク トラフィックの実際のコピーを検出および監視しません。 パケットの一部が失われると、ネットワーク トラフィックの実際のコピーでなく、類似のバージョンになります。 この問題は、TIM ではなく、データを提供するインフラストラクチャに付随します。
クリーンでないトラフィックによる TIM の問題
TIM に転送されるトラフィックがクリーンでない場合、以下の問題が発生することがあります。
- トランザクションを記録できない
- トランザクションを監視できない
- HTTPS トラフィックを復号化できないか、復号化が一部のみに限られる。 SSL エラーは、TIM ログに記録されます。
- コンポーネント障害が一部であるか、見つからない。TIM がピーク時にこれらの障害をレポートする場合は、おそらくミラー ポート機器が過負荷状態であり、トラフィックがドロップされます。
- Out of Order Queued Bytes キューが高くなる。TIM が、パケットの順序を変更して、データを分析することができる適切な順序にする必要があります。 TIM には、不整合パケットをバッファするメモリが必要です。 TIM ログの Out of Order Queued Bytes を確認します。 増加しているバッファ キューは、TIM が取得するデータの順序が乱れていることを示します。 たとえば、Web ページの末尾が先頭より前になります。 Out of Order Queued Bytes バッファが高い場合、データを提供するインフラストラクチャの問題を探します。
- データ収集デバイスのキャプチャ ポートへの品質不良のトラフィックで、疑似障害が発生する。 パケットがドロップされると、TIM でデータの実際のコピーは確認されません。 TIM では、実際のトラフィックではなく、受信する不完全なコピーのみにある障害を生成します。
- TIM で、完全な双方向のデータ交換を参照する必要がある。 1 つの方向が存在しない場合、TIM で欠落したトランザクション障害が生成されます。 たとえば、アプリケーション サーバからクライアントへの応答です。 TIM で応答のみが確認される場合、TIM はトランザクションを識別できません。このような状況は、CA Multi-port Monitor との TIM の統合にも影響します。 リクエストまたは応答のみがある場合は、CA Multi-port Monitor MTP の TIM の分析ページのメニュー グラフは空白です。
これらの問題が発生すると、TIM がクリーンでないデータをレポートして、実際の監視データをレポートできません。 TIM レポートのタイミングは遅れます。