ＳＣＳＫ株式会社

ＩＴエンジニアリング事業本部

ネットワーク部

Rev01-08

Ixia社 NTO （Net Tool Optimizer）のご紹介

2016年11月

Page, 2

ネットワークパケットブローカーとは

モニタリングツールの機能やパフォーマンスを最大限に引き出すことのできるインテリジェントなレイヤー１スイッチです。ネットワークのトラフィックをスイッチのSPANポート、もしくはネットワークタップ装置経由でパッシブに受信し、複数のモニタリング装置（アナライザ、DPI装置）やセキュリティ装置（IDS、フォレンジック）に供給することができます。

スイッチ or TAP セキュリティツール Ａ

モニタリングツール

ネットワークに影響を与えずに、データを引

き込む

セキュリティツール Ｂ

フィルタなどを行い、ネットワークに流れる同じデータを

各機器に振り分ける

Page, 3

ネットワークモニタリングの現状

インターネット

L2 SW L2 SW L2 SW

CORE SW2

CORE SW1

ROOTER2 ROOTER1

侵入検知

アプリケーションパフォーマンスモニタ

ネットワークパフォーマンスモニタ

ネットワークアナライザ

ネットワークデータレコーダ

TAP

課題② モニターポイントが分散しているため、 各種装置で部分的なデータしか取得できない

課題① SPANポートやTAPが不足しているため、 多様化するセキュリティ装置や監視装置の増設ができない

課題③ 増大するトラフィックに対して、モニタリング装置・セキュリティ装置の処理能力が追い付かない

Page, 4

ネットワークパケットブローカー導入による効果

L2 SW L2 SW L2 SW

ROUTER2 ROUTER1

インターネット

Ixia NTO

TAP

解決① SPANポートの不足解消 SPANポートとTAPからの分岐された信号を複数のモニタリング装置に分配。

解決③ 必要なデータのみを選択 フィルタリング、重複パケットの排除によりツール側のトラフィックを削減。

侵入検知・防御

アプリケーション性能管理

ネットワークアナライザ

情報漏洩防止

ネットワーク監査・証跡

Webセキュリティ

有効なツールを駆使し、 ネットワークやセキュリティ インシデントを多重監視できる

CORE SW2

CORE SW1

解決② モニターポイントの集約 多数のモニターポイントを集約することで、ツールの増設や監視ポイントの切り替えが容易に可能。

Page, 5

ネットワークパケットブローカーの主要機能

スイッチング

アグリゲーション

メディア変換

物理的にポートや結線の変更を行うことなく、モニターポイントとモニタリングツールの組み合わせを変更することが可能です。

複数のSPANポートやタップからトラフィックを集約し、１台のデバイスでモニタリングすることが可能です。複数のGigabit回線を集約し、10Gigabit対応のモニタリングツールで監視するといったことも可能です。

フィルタリング

コピー （複製）

スイッチのSPANポートやタップから取り込んだトラフィックを、あらかじめ指定した条件に従ってフィルタリングし、合致するパケットのみを出力側のポートへ振り分けます。

一箇所のモニターポイントから取り込んだトラフィックをコピーして、複数のモニタリングツールへ同時にトラフィックを分配することが可能です。複数製品による多重防御やモニタリングツールのリダンダント構成などで利用可能です。

入力ポートと出力ポートが異なるメディアでも利用することが可能です。たとえば、Gigabitファイバーで取り込んだ通信をGigabitカッパー対応のモニタリングツールで監視するということも可能です。

Page, 6

モニタリングツール接続の問題点と解決手法

NTOでSPANポートを集約し、センサー数を減らすことが可能です。

セグメント単位にセンサー配置は運用、コストが高い

NTOで複数SPANポートのトラフィックを複数生成することが可能です。また、処理能力が無い製品はフィルタにて必要トラフィックのみに限定することが可能です。

Switch IDS SPANポート

Switch IDS SPANポート

Switch IDS SPANポート

一台のスイッチで複数のSPANポートを設定するのは限界がある。

いくつもSPANポート設定はできない

製品Ａ

製品Ｂ

製品Ｃ

Switch

処理能力が低い製品を利用したい。新しい製品を比較、検討したい。

いくつもSPANポート設定はできない

製品Ａ

製品Ｂ

製品Ｃ

Switch

IDS

IDS Switch

Switch

Switch

SPANポート

SPANポート

SPANポート

IDS

IDS

IDS

IDS

Page, 7

Ｉｘｉａ 会社概要

本社：米国カリフォルニア州カラバサス

NASDAQ上場: XXIA

従業員数： 2,000人以上

1997年5月 設立

2012年6月 Anue Systems を買収

30カ国以上でグローバル展開

14年連続成長

イクシア日本法人 【本社】 東京都新宿区西新宿6-24-1 西新宿三井ビル11階 【YRPオフィス】 神奈川県横須賀市光の丘8-3 ＹＲＰベンチャー棟319号室

Page, 8

Ｉｘｉａ ＮＴＯ の特徴 – 三階層フィルタ

従来の設定 ＮＴＯの簡単な設定

ユーザーの声 “他ベンダーの機器では、あるフィルタを設定するのに4時間を費やし、さらにトライアンドエラーを繰り返しフィルタの適用がやっとできた。” “Ｉｘｉａ社のダイナミックフィルタ機能は、同じフィルタを設定するのに たったの10分で設定を終えることができた”

入力ポート 出力ポート ダイナミックフィルタ

Page, 9

Ｉｘｉａ ＮＴＯ の特徴 – 自動ルールエンジン

VLAN 1-3

VLAN 3-6

TCP

自動的に重複条件を検査し、ルールを作成

3. どのようにルールを自動コンパイルするのか

No. Criteria Action

0 VLAN 3 + TCP Tool 1, 2 & 3

1 VLAN 1-3 + TCP Tool 1 & 2

2 VLAN 4-6 + TCP Tool 2 & 3

3 VLAN 3 Tool 1 & 3

4 VLAN 1-2 Tool 1

5 VLAN 4-6 Tool 3

6 TCP Tool 2

7 Null Drop

自動的に重複条件を解決。必要な条件を簡素化

変更の影響無し – パケットロスなし

マルチアクセスで設定変更可能

Web API である RESTful API を使用し、外部システムとの連携による自動フィルタ等の設定変更が可能

4. なぜこれがすごいのか

Network SPANポート

Tool Port #1

Tool Port #2

Tool Port #3

SPANポート１つを３つのツールポートにそれぞれの条件で出力

TCP

1. 何をしたいのか

Network Tool Control Panel での簡単なフィルタ作成

2. どのように設定するのか

Page, 10

Ｉｘｉａ ＮＴＯ の特徴 - ロードバランス機能

トラフィックを複数のツールポートに等しく転送

同一セッションは同一ポートへ転送

Layer 2/3/4 hash でのトラフィック分散

複数の1Gツールで10Gネットワークにも対応可能

32ポートロードバランスへ対応

Page, 11

ＡＦＭ （Advanced Feature Module）

AFM16 AFM2 • 2ポート, 1G/10G （対応機種 ： NTO 5236 / 5273）

• 1G バーストプロテクション • パケットの重複排除 • VNTag ストリッピング • MPLS ストリッピング • GTP ストリッピング • トレイラー ストリッピング • パケットトリミング • タイムスタンピング

• 16ポート, 1G/10G （対応機種 ： NTO 5288 / 5293）

• 1G バーストプロテクション • パケットの重複排除 • VNTag ストリッピング • MPLS ストリッピング • GTP ストリッピング • トレイラー ストリッピング • パケットトリミング • タイムスタンピング • Cisco Fabric Path ストリッピング

Page, 12

パケット重複排除

VLAN間の通信や不正なスイッチ設定などに起因する重複パケットを排除することが可能。

重複パケットを除外することにより、モニタリング対象でないトラフィックを削減し、モニターツールの利用帯域を有効に活用することが可能。

Page, 13

VNTag ストリッピング / GTP ストリッピング

VNTagヘッダの削除が可能

DA(6) SA(6) VNTAG(6)

Ether type = 0x8926

Payload

DA(6) SA(6) Payload

GTP-Uヘッダの削除が可能

L2 L3 UDP GTP-U innerL3/L4 Payload

L2 innerL3/L4 Payload

Page, 14

Ｉｘｉａ ＮＴＯ 機能/導入効果まとめ

機能 効果

• ネットワークポート統合 • 複数のアクセスポイントからのデータ取得 • 10G/40G Network を 1G/10G Tools で監視可能

• パケット重複排除 • 必要なパケットのみツールに送信 • ツールレポートの正確性と応答時間の向上

• 入口、出口、中間のフィルタリング • モニタリングツールの活用度合いを上げる：ツールにとって必要なデータのみ抽出

• Packet Trimming / Protocol Stripping

• 個人・秘密情報を含むデータおよびヘッダーを削除してからツールにデータ送信

• 動的変更管理 • 物理結線の変更なしに、経路やフィルタリング条件を動的に変更可能

• 視覚的操作ときめ細かなアクセス制御

• 要員の生産性の向上

Page, 15

Ｉｘｉａ ＮＴＯ 機器諸元

シリーズ NTO 5204 NTO 5236 NTO 5288 Vision ONE

RU 1RU 1RU 2RU 1RU

最大ポート数 28port 28port 64port 64port

インターフェース

10/100/1000 20ポート 4ポート ー ー

1G SFP 4 24ポート 64ポート 48ポート

10G SFP+ 4 24ポート 64ポート 48ポート

追加16ポート （4x4ブレイクアウト）

1/10G SFP/SFP+ ー 24 64ポート 48ポート

40G QSFP＋ ー ー 16ポート 4ポート

100G CFP ー ー 4ポート ー

AFM ー 4ポート 64ポート 160Gbps

電源冗長 ー ー ○ ○

寸法（高さｘ幅ｘ奥行）cm 4.5 x 43.9 x 30.5 4.5 x 44.5 x 48.3 8.9 × 44.5 × 48.6 4.5 x 44.5 x 75.0

重量 5.7 kg 7 kg 16 kg 16.5kg

動作温度 0℃～30℃ 0℃～30℃ 5℃～40℃ 5℃～40℃

動作湿度 5% to 85% （結露なきこと） 5% to 85% （結露なきこと） 5% to 85% （結露なきこと） 5% to 85% （結露なきこと）

電源 1.27A @ 110VAC, 140W 1.27A @ 110VAC, 140W 90-240VAC, 2.36A @ 110VAC,

260W 6.6A @ 100VAC

Page, 16

各種モニタリング・セキュリティツールとの接続例

Cisco Juniper

Dell HP

Brocade

セキュリティセンサー IDS / IPS

アプリケーションパフォーマンスモニタ

ネットワーク分析

情報漏洩対策

ネットワークフォレンジック

McAfee BlueCoat EMC-RSA Intrusion Inc. WebSense Trustwave

Trustwave StillSecure Counter Snipe

Webセキュリティ

Compuware Endace

NetScout FLUKE

Narus SOLERA NetWitness

FireEye Imperva McAfee

ネットワーク機器からトラフィックを収集

入力トラフィックを ・コピー ・合成 ・フィルター を実施し、各種ツールへ送信

各種SIEMツールと連携

Page, 17

オートメーション機能 （外部機器連携）

SIEM / NMS

Data Recorder IDS/IPS

1. 異常が発生 2. 監視装置が異常を検知 3. オートメーションＡＰＩにより NTO へキャプチャ指示

キャプチャオートメーションのためのＡＰＩを提供

本書を無断で他に転載しないようお願いします。 本書は予告なしに変更されることがあります。

プラットフォームソリューション事業部門 ITエンジニアリング事業本部 ネットワーク部

〒135-8110 東京都江東区豊洲3-2-20 豊洲フロント TEL：03-5859-3034 / FAX：03-5859-3108 http://www.scsk.jp/ E-mail：ixia-info@ml.scsk.jp

＜製品、サービス、ソリューション、価格相談窓口＞

お問合せ、ご質問、ご依頼は、以下までお気軽にご連絡ください。 ※どのようなご質問やご相談も、お待ちしております。

ＳＣＳＫ株式会社