ポート ミラーリングを使用してDPIを有効にする

ネットワーク装置を通過するトラフィック パケットは、検査のために同じ装置のポートにミラーリングできます。また、複数の(WAN/LAN/アップリンク)ポート トラフィックをミラーリングして検査用に設定することもできます。複数の装置からのパケットを検査する場合、ミラーリングしたパケットを保存して、NetFlow Analyzerサーバーにアップロードできます。リアルタイム パケット キャプチャは、NetFlow Analyzerサーバーがミラーポートに直接接続されている場合にのみ機能します。

 

DPIのしくみ

上記の図では、ポート1、2、7、8は、監視用の装置の最後のポート(ポート24)にミラーリングされています。ここで、ミラーリングされたネットワーク パケットはすべて、直接接続のあるOpManagerサーバーに到達します。

メモ:複数の装置を監視する場合は、ミラーリングしたパケットを個別に保存し、NetFlow Analyzerにインポートしてオフライン レポートを生成する必要があります。

ポート ミラーリング コマンドはベンダーによって異なります。コマンドは、各装置ベンダーの資料や担当者にも確認ください。

以下は、HP製スイッチのポート ミラーリングの例です。

DPIコマンド

以下のコマンドでは、23個のポートすべてを最後の24番目のポートにミラーリングしています。

DPIコマンドのイメージ

これらのネットワーク パケットを受信すると、ManageEngineは捕捉したパケットを分析してレポートを生成します。

TCP分析

ManageEngineはすべてのパケットを捕捉していますが、最初のフェーズとして、TCPパケットの分析を導入しました。残りは今後サポート予定です。DPI機能を使用して、アプリケーション応答時間(ART:Application Response Time)、ネットワーク応答時間(NRT:Network Response Time)、使用されたURL、トラフィック使用率(アクティブ/非アクティブ)を計算できます。

これらのレポートでは、特定時刻に帯域を消費していたものが何かを把握でき、ネットワーク コストのコントロールが容易となります。

DPIでは、ART、NRTおよびURLに関する情報を取得します。
NRT:ネットワーク応答時間は、TCP_SYNパケットとそのACK(肯定応答)の間の時間差です。
ART:アプリケーション応答時間は、TCP_DATAパケットとそのACK(肯定応答)の間の時間差です。
URL:データ パケットに含まれるURLの詳細です。