よく使われるトラフィック容量の測定方法とは

ネットワークトラフィックの測定方法として、SNMP、パケットキャプチャ、NetFlowやsFlowを用いたものが有名です。ここでは、それぞれのトラフィック測定方法の特徴やメリット・デメリットを比較しながら解説します。

SNMPによるトラフィック測定

SNMP(Simple Network Management Protocol)はネットワーク内に存在する機器の状態の監視を目的として開発されたプロトコルです。 SNMPは世界的な標準規格としてRFCに定義されており、サーバーやネットワーク機器のベンダーや種類を問わずに利用可能です。トラフィック測定のほかにも、リソース(CPU使用率など)監視、プロセス監視や、機器の異常を知らせるSNMPトラップなどで用いられます。

一方、トラフィック測定に関しては、インターフェースごとのトラフィック総量しか測定することができません。たとえば、ネットワーク帯域に輻輳が発生した際に、帯域を通過するトラフィック量の総量や発生した時刻などについては確認できますが、より詳細な分析をすることはできません。

パケットキャプチャによるトラフィック測定

パケットキャプチャは、ネットワーク上を流れるパケットを収集し、トラフィックの詳細な解析を行う手法です。TCP/IPネットワークで通信を行う際、データは小包(packet)のように小さく分割されて送受信されます。この分割されたデータ(IPデータ)と、宛先/送信元情報などが含まれているIPヘッダを合わせたものを「パケット」と呼びます。

パケットキャプチャでは、通信に関するあらゆる情報を取得することができます。インターフェースごとのトラフィック量だけでなく、通信の内訳情報と付属するデータの中身を確認でき、詳細な原因の解析が可能です。

その反面、すべてのパケットを取得するため、データ量が非常に膨大となります。また、分析には専門知識や経験が必要とされることもあります。

NetFlow・sFlowによるトラフィック測定

NetFlowやsFlowは、ネットワークトラフィックの監視を目的に開発されたフロー技術です。ルーターやスイッチなどの多くのネットワーク機器に搭載されており、パケットのIPヘッダから「フローデータ」を生成します。
フローデータには、通信の内訳情報が含まれています。具体的には、送信元IPアドレス、宛先IPアドレス、TCP/UDPポート送信元番号、TCP/UDPポート宛先番号、L3プロトコル、Tosバイト(DSCP)、入力インターフェースなどがあります。

フローデータを活用することで、トラフィック量が測定できるほか、一般的なネットワーク帯域の輻輳の原因調査に必要十分な情報を取得することができます。たとえば、どの時刻に、どのIPアドレスが、どのアプリケーションを使用した通信を行っていたのか、といった内訳を見ることができます。トラフィック分析においてNetFlowやsFlowを用いる手法は、SNMPを用いる手法とパケットキャプチャの中間に位置すると言えます。

一方、NetFlowやsFlowを用いたトラフィック解析では、データの中身までは見ることができません。フローデータを活用するには、フローデータを見やすく整理する「フローコレクター」と呼ばれるツールが必要です。

主要なトラフィック測定方法の比較(まとめ)

 特徴データ量トラフィック解析
SNMP長期・概要タイプ少ないトラフィック総量のみ
パケットキャプチャ超短期・超詳細タイプ膨大トラフィック総量+通信の内訳情報+データの中身
NetFlow・sFlow長期・詳細タイプ大きくないトラフィック総量+通信の内訳情報

専門知識不要!わかりやすいフローコレクター

ManageEngineでは、NetFlow・sFlowなどを用いてトラフィック分析を行うフローコレクター「NetFlow Analyzer」を提供しています。トラフィック容量の測定だけでなく、宛先/送信元IPアドレスやアプリケーション情報など、通信の内訳まで確認できます。

これにより、「いつ・どこから・どこへ・どのような」通信を行ったのかをわかりやすく可視化できます。たとえば、ネットワーク帯域に輻輳が発生した際に、原因となる通信をわずか3ステップほどで調査することができます。直観的なインターフェースが特徴であり、誰でも簡単にトラフィック測定や分析を始めることができます。

インターフェースを流れる通信のアプリケーション毎の内訳

インターフェースを流れる通信のアプリケーション毎の内訳(NetFlow Analyzer)