ネットワーク運用チームがアクセス・ネットワークについて知るべき 4 つのこと|NetScout
|アプリケーション・ノート|

ネットワーク運用チームがアクセス・ネットワークについて知るべき4 つ
のこと

過去10年間でビジネスは、業務の計画と実践を行う際にアソシエイツのエンゲージメントを向上させるために、アソシエイツと顧客とのつながりにますます依存するようになっています。さらに、マシン・ツー・マシン (M2M) の通信を行うクラウド・ベースのモノのインターネット(IoT)の人気は、このようなデバイスの多くが IT運用チームの認識なしにネットワーク上で動作している場合があることから、IT運用チームと愛憎入り混じった関係を生じさせています。そのため壊滅的なセキュリティおよび運用上のリスクをもたらしています。言うまでもなく、最終的にすべてのモノをつなげるスイッチ・ネットワークは進化を続けており、構成とセキュリティの両方の視点から見て複雑化しています。このホワイトペーパーでは、スイッチ・ネットワークの現状とIT運用チームが可視性を必要とする主要な特性について検討します。このホワイトペーパーでは、チームによるスイッチ・ネットワークの維持管理の効率化を図るベスト・プラクティス、ITチーム間の協調関係の改善、人やモノのつながりをシームレスに保つことについて検討します。

今日のスイッチ・ネットワーク

スイッチ・ネットワークの役割は、90年代初頭にその構想が立てられて以来、年々変化を見せています。モバイル・ユーザーと自分のデバイスの持ち込み (BYOD) 製品の開発に伴い、スイッチ・ネットワークは多様化が進んだデバイス・タイプのエンド・デバイスを接続させると同時に、企業ネットワークのセキュリティを確保するという、重要性が増した役割を担っています。ネットワーク運用チームに管理の維持が求められる、今日のスイッチ・ネットワークの4つの重要な役割、および推奨されるベスト・プラクティスに目を向けてみましょう。

重要な役割 管理すべき主要な特性
接続性 デバイスに対して、PoE (パワー・オーバー・イーサネット)、デュプレックス、スピード、そしてスピード化を促進するリンク・コントロールを提供します。
認証とアドレス指定 デバイスとユーザー認証メカニズム、およびアドレスとアクセスのプロビジョニング・サービス。
ルーティング スイッチと VLANトポロジー、およびDNS、ゲートウェイ、NATなどのIPパケットをクライアントからそのターゲットに転送するパケット・ルーティング・サービス。
効率 伝送効率つまりユーザー・エクスペリエンスに影響する、ネットワーク・パスの帯域幅、パケット損失、遅延およびジッターの特性。

スイッチ・ネットワークが接続デバイスをつなげ、それらにアクセスのプロビジョンを行うために連動する仕組み

接続性

接続の電源
PoE (パワー・オーバー・イーサネット) は、導入とメンテナンスのコストを軽減することから、エンド・デバイスへの電源供給の一般的な方法となっています。アクセス・ポイント、VoIP電話、また最近では IoTsといった多くのネットワーク・デバイスは実質的に全てPoEから電源供給を受けています。PoEはIEEE802.3 規格を基準とし、デバイスは電圧とワット数によって分類されます。PoEデバイスは、2種類に分類されます:

  1. イーサネット・ケーブル上で電力を供給する給電機器 (PSE) 。新しい配備環境では、通常PSEはスイッチで、一般にエンドスパンと呼ばれています。ミッドスパンと呼ばれるPoEインジェクターは、追加導入される新部品としてPoE未対応スイッチとPoE駆動デバイスの中間に配置されます。PSEによってサポートされるPoE規格に基づき、これはPoEタイプ、0 〜 4 に分類されます (表1を参照) 。PSEは、2つのモードで動作します。モード A PSEは、UTPケーブルの 4 ペア上の 12、36 ペアを使用して電力供給を受け 、モード B PSEはスペア・ペア 45 および 78 を使用します。ここで注意すべき重要な点は、PSEは電力が供給されるモードを定義することです。この規格では、PSEがモードAとBの両方をサポートすることは要求されません。
  2. 受電機器 (PD) は、給電機器によって電源供給を受けるデバイスです。つまり、エネルギーを消費します。802.3afと 802.3at準拠のPDは、モードAとBの「両方」に対応できなくてはなりません。PDによって消費されるワット数に基づき、これは PoEクラス、0 〜 4 に分類されます (表 2 を参照) 。

 

POEタイプ 一般名 関連規格 使用ペア PSEポートへの最大電力 PDへの最大電力
1 PoE 802.3af 2 15.4W 12.95W
2 PoE+、PoE Plus 802.3at 2 30W 25.5W
3 4対タイプのPoE、PoE++、UPoE# 802.3bt* 4 60W 51W
4 より高電力のPoE 802.3bt* 4 100W 

表 1:PoE PSEタイプ
番号:UPoEは、Cisco独自の「デジタル・シーリング」ソリューションにおける分類基準です。
*:802.3btは、2018 年初頭に承認される予定のIEEE 提案規格です。

PoEクラス タイプ / 規格 DC電圧(PSE) DC電圧(PD) PSEポートからの最小電力 PDによって消費される電力
0 1 / 802.3af 44 〜 57V 37 ~ 57V 15.4W 0.44 〜 12.95W
2 1 / 802.3af 44 〜 57V 37 ~ 57V 4.5W 0.44 〜 3.84W
3 1 / 802.3af 44 〜 57V 37 ~ 57V 7.5W 3.84 〜 6.49W
4 1 / 802.3af 44 〜 57V 37 ~ 57V 15.4W 6.49 〜 12.95W
4 1 / 802.3af 50 〜 57V 42.5 〜 57V 30W 12.95 〜 25.5W

表 2:PoE PDクラス

802.3 規格では、PSEが適切な電圧 / 電流のプロビジョニングを行うことができるように、LLDPは PDがPSE と通信するのに使用されるプロトコルおよび分類されるクラスとして定義されます。しかし、この規格が承認されるまで、シスコ・ディスカバリー・プロトコル (CDP) など、市場には独自プロトコルを使用するPoEデバイスがあります。必ずしも全てのPoEデバイスが完全準拠しているとは限らないため、確認が必要になります。

起こり得る問題:
ネットワーク運用チームの課題は、異なるクラスに分類されるPDのネットワークへの導入が増えるにつれて、PSEの電力バジェット (電力割当量) のほか、PDとPSEの相互接続性の管理と理解が必要になることです。さらに、必ずしもPoEの導入のすべてが規格に準拠しているとも、既存のケーブル・システムがPoEに対応できるとも限りません。

症状 考えられる原因
電力供給がない 1. ケーブルの障害:
  • a. 断線 (オープン) / 短絡 (ショート)
  • b.モード B PSEと 2 ペア・ケーブルの併用。
2.PSEとPDに互換性がない (タイプまたはモードが異なる)
3.PSEポートがPoEを提供するように有効化されていない
4.PSEおよび / またはPDは規格に完全準拠していない (例:PDの受電されているペア上に 25 オームの電流がないか、モードAとBの両方をサポートしていない) 。
5.PSEに接続されたPDの全てに電力を供給するだけの電力バジェット (電力割当量) がない。
断続的にドロップ・オフする (電源電圧が落ちる) 1. ケーブルの障害:
  • a. 長すぎる (100m 以上)
  • b. 抵抗が大きすぎる
2.最大限の電力消費率で動作中の接続されたPDを全てサポートするだけの電力バジェット (電力割当量) がPSEにない (例:電動式セキュリティ・カメラがスキャン中) 。

ベスト・プラクティス

  1. PoEの機能についての理解を高めるトレーニングをスタッフに提供する。
  2. 機器の仕様をよく読み、規格準拠の機器のみを導入する。イーサネットYケーブル (すでにタブーです) または48VDC供給をすべての「使用されていない」ペアに固定する「8-ポート PoEパッシブ・スプリッター」などの規格外のミッドスパンPSE の使用を避ける。
  3. PSEとPDのワット数を記録する。
  4. PDの変更や追加を行う際、PSEが接続されているPDをすべてサポートできることを確認する。
  5. 展開とトラブルシューティング中、チームが PD、PSE、およびケーブルを検証する標準化されたツールと手順を提供する (例:PD側に電圧とワット数が利用可能であり、要件が満たされていることを確認する) 。

 

リンクの接続性

接続デバイスに関して他に考慮すべき点は、デバイスとネットワークのリンク・プロセスです。最初に考慮すべき点は、エンド・デバイスとスイッチ間のケーブルがリンクをサポートできる必要があることです。今日の構内配線システムのほとんどでは、展開中に4対がすべて接続され、100 m 以下の長さで認定されていることが要求されます。これは、以下の表に示すように、最大1Gbpsの全てのネットワークをサポートする要件を満たします。以下の表 2 は、異なるタイプの展開のサポートに必要なケーブルの最小必要条件を示します。アップグレード中、損傷や文書化されていない変更から生じる問題を避けるため、配線システムを再認定することが重要になります。

スタンダード 認証レベル 使用ペア
10BASE-T Cat3 12 & 36
100BASE-T Cat5 12 & 36
1000BASE - T Cat5 12、36、45、78

リンク・プロセスのネゴシエーションは、速度、デュプレックス、ケーブル・ペアを確立してデータ通信を可能にするため、エンド・デバイスとスイッチとの間で実行されます。オート・ネゴシエーションがスイッチ・ポートとネットワーク・インターフェース・カード (NIC) 上でデフォルトで設定されるようになったことで、このプロセスの問題は以前ほど目立たなくなり、そのため一般に相互接続性の維持と理解が向上しています。以下の表は、NIC またはスイッチのいずれかが特定の速度および / またはデュプレックスを使用するように手動で設定されている場合のランダムな状況を示します。原則として、一方を強制的に設定する場合、もう一方も同様の設定に強制する必要があります。つまり、一方でオート・ネゴシエーションを実行している場合は、もう一方でもオート・ネゴシエーションを実行させる必要があります。一方がオートに設定され、もう一方がオートに設定されていない状況でリンクが確立しているとしても、オート側は定期的に再ネゴシエーションを試みることから、一時的なリンク損失が発生します。10G 対応スイッチの価格の低下に伴い、1/10G ポート搭載のスイッチの採用が増え始めています。ほとんどの場合、1/10G スイッチ・ポートはハーフ・デュプレックス (半二重) とオート・ネゴシエーションをサポートしていません。したがって、接続が確立する前提として、スイッチ・ポートと NIC の両方が一致する必要があります。


リンク設定に基づいた 10/100/1000Mbps イーサネットと NIC のリンク結果

起こり得る問題:

症状 原因
リンクが確立できない (リンク・ランプ未点灯 / 未点滅) ケーブル配線障害
  - 送信ペアがオープン (断線) 、 ショート (短絡)
不適切なファイバー SFP の使用:シングルモードとマルチモードの比較
スイッチと NIC 間のリンク設定の不一致
最適と言えないリンク速度 / デュプレックス、断続的な接続 NIC またはスイッチのいずれかがオート・ネゴシエーションに設定されていたが、もう一方は 10/100/1000 Mbps リンクに対して一定のレートに設定されていた
ケーブル配線障害
  - スプリット・ペア

ベスト・プラクティス

  1. 10/100/1000 Mbps ポートの NIC とスイッチ・ポートにオート・ネゴシエーションを使用する。1/10G スイッチ・ポートの場合、必要な速度にハードコードして設定を固定する。
  2. 使用スイッチ・ポートと構内配線経路の設定を記録し、さらに重要な点として、この情報にチーム・メンバーのそれぞれが簡単にアクセスできるようにする。
  3. 直接 LLDP を使用するか、管理システムを通して、現在のスイッチ・ポートのリンク構成を容易に確認できる方法を用意する。最良の方法は、搭載されたリンク機能とペアに確立されたリンク / デュプレックスを観察するために、NIC とスイッチの間に直列 (インライン) 接続が可能なパッシブ・ツールを備えておくことです。

 


スイッチ・ポートでは、PoE タイプ / クラスに対する PoE のテストを実行して、PD クラスに利用可能な TruePower™ を表示することができます。

リンク・テストは、スイッチ・ポートのリンク機能を示します。

スイッチとデバイスの間に提供および使用される速度 / デュプレックスを示すインライン解析。

認証

デバイスがネットワーク上の他のデバイスと通信可能な状態になる前に、3つの目的のために、デバイスの認証プロセスが要求されます:セキュリティ、アドレスおよびアクセスのプロビジョニング。認証は、許可されたデバイスのネットワークへのアクセスを可能にするだけでなく、不正デバイスがネットーワクに接続することを防止します。

従来、 Wi-Fi デバイスのみに認証が必要で、ケーブル接続型デバイスはほぼプラグ・アンド・プレイでした。IoT デバイスの急増に伴い、デバイスの認証はこれまで以上に重要性を増しています。認証メカニズムは多くありますが、DHCP サービスと組み合わせた 802.1x と Radius に基づく認証が最も一般的に使用されています。802.1x ベースの認証など、認証プロセス中に少なくとも以下の 3 つが関与します。
  1. サプリカント:セキュリティ・カメラなど、ネットワークへのアクセス許可を求める要素。
  2. 認証者:スイッチまたは Wi-Fi アクセス・ポイントなど、サプリカントがネットワークにアクセスする手段となる要素。
  3. 認証サーバー:サプリカントがネットワーク・リソースにアクセスできるかどうかを決定するために使用される情報を含む。それは、典型的にRadius プロトコルを実行しているサーバーです。認証メカニズムは、デバイスの MAC アドレス、BYOD 用ゲスト SSID に対するゲスト・パスワードなどのユーザー・アカウント、またはセキュリティ・カメラのスマート・カードにプログラムされたプライベート認証を基準にできます。以下の例では、固定位置のセキュリティ・カメラがどのように認証されるかを示します。このケースでは、Wi-Fi エンド・デバイスが認証される際によく見られる、セキュリティ強化を目的とした EAP プロトコルが使用されています。

 

上記の例では、認証者は、認証リクエストを認証サーバーに伝達するプロキシとしての役割を果たします。デバイスが認証されると、デバイスは IP アドレスを取得するために、DHCP リクエストをローカル DHCP サーバーに送信することができます。これは認証されるまで実行できません。ここで注意すべき重要な点は、認証情報と割り当てられた IP アドレス・プールが一致しなければならないという点です。Wi-Fi ユーザー認証を例としましょう。:

ゲスト BYOD デバイスがゲスト SSID を介してネットワークに対して認証されると、企業 SSID に接続されている企業ユーザーは VLAN に送信される一方で、AP はトラフィックを VLAN 1 に送信するように設定されます101。これらの VLAN は WLAN ネットワーク向けのスイッチで設定する必要があります。また、デバイスにIP アドレスが提供できるように、各 VLAN はレイヤ 2 ブロードキャスト・メカニズムを介してローカル DHCP サーバーに接続される必要があります。場合によっては、 Wi-Fi コントローラーなどの DHCP プロトコル・ブリッジは、 異なる VLAN 上のクライアントから DHCP リクエストを単一の DHCP サーバーに転送するのに使用することができます。一般に、異なるグループに属するクライアントはそれぞれ個別の一連のネットワークのアセットにアクセスできるというように、各 VLAN の IP アドレスは、以下に示すように相互に排他的関係になります。

ユーザー・グループ SSID VLAN IP アドレス・プール アクセス可能なアセット
ゲスト ゲスト 1 10.10.10.1-10.10.11.255 制限されたインターネット帯域幅、ゲスト・プリンター
企業ユーザー 会社名 101 20.10.10.1-20.10.19.255 インターネット、企業 VPN、企業サーバー、プリンター…
セキュリティ・カメラ 201 20.10.20.1-20.10.21.255 ビデオ・サーバーとストレージ
ネットワーク管理者 NetAdmin 301 20.10.30.1-20.10.30.127 Wi-Fi コントローラー、スイッチ / ルーター管理ポート

IP アドレスをデバイスに割り当てる他、DHCP はエンド・デバイスの運用に不可欠なその他の重要な情報を提供できます。たとえば、VoIP 電話は、DHCP オプション・コード 66 (TFTP サーバー) または 150 (VoIP 構成サーバー) を介して使用する目的として、コール・マネージャーのアドレスと SIP ポート番号を含む構成サーバーの IP アドレスを受信します。
以下の表は、一般に使用される DHCP オプションとそのコード番号を示しています。

DNS オプション・コード 詳細
1 サブネット・マスク (ルーター・オプション、オプション 3 両方が含まれる場合 の後に送信する)
3 ルーター
6 DNS サーバー (優先順位で表示されるはずです)
15 DNS ドメイン名 (優先順位で表示されるはずです)
44 WINS サーバー (NetBIOS ネーム・サーバー)
45 NetBIOS データグラム配布サーバー (NBDD)
46 WINS / NetBIOS ノード・タイプ
47 NetBIOS スコープ ID
51 リース期間
66 TFTP サーバー名 (RFC2132) またはネーム・フィールド内 (RFC2131)
150 VoIP 構成サーバーの IP アドレス [オプション 66 (RFC5859) に優先]

起こり得る問題:

症状 考えられる原因
IP アドレスを取得できない 認証問題
  - 不適切なエンド・デバイスの設定 (認証プロトコル、誤った認証)
  - エンド・デバイスの設定が認証サーバー上にない
利用可能な IP アドレスがない
  - IP アドレス・プールの不足
ネットワークの問題
  - VLAN から DHCP サーバーに到達できない
誤った IP アドレス ネットワークの問題
  - 誤った VLAN が割り当てられている
複数の DHCP サーバーが存在する場合、不適切または不正な DHCP サーバーが IP アドレスを提供します

ベスト・プラクティス

  1. スイッチの VLAN 構成、スイッチ・ツー・スイッチのアップリンク・ポート、VLAN とユーザー・グループ / アドレスの相関関係、各 VLAN / ブロードキャスト・ドメインに対してプロビジョニングされた DHCP を記録します。
  2. スイッチ・ネットワークの設定とトラブルシューティングを担当するチーム・メンバーによってアクセス可能な記録を作成します。
  3. 任意のチーム・メンバーがクライアントの現場から適切な VLAN とアドレスへのスイッチ構成を検証できるように、標準化されたテスト・ワークフローとプロセスを設定します。
  4. 不正 DHCP サーバーや、ユーザー認証情報によってクライアントに提供された IP アドレスとオプションを検出するために、ネットワークから全ての DHCP 応答への可視性を提供できるツールを備えておきます。

 


OneTouch AT は、EAP を使用して 802.1x をサポートし、ユーザーの設定をエミュレートします。

複数の DHCP 応答が受信されているか、また提供されたパラメータは何かを判断します。

スイッチ・ポートで設定された VLAN の可視性、また利用率や接続されたデバイス数など、その他のステータスを取得します。

ルーティング

エンド・デバイスが IP アドレスと重要な構成情報の取得を完了すると、ネットワーク上の他のデバイスと通信できるようになります。ルーティングは、ネットワークが多様な IP ベースのデバイスを私有および公有ネットワークにわたって接続するために使用する基本メカニズムです。ネットワーク上には、ネットワーク運用チームが知るべき、またはチームに注目させるべき、この機能を促進する重要かつ基本的なサービスが多く存在します。

ルーティング要素 詳細
VLAN 仮想 LAN は、スイッチがエンド・デバイスとスイッチ・ポートをブロードキャスト・ドメインにグループ化することを可能にするレイヤ 2 のメカニズムです。
ルーター ルーター は、ネットワークをつなぎ、ネットワーク間でトラフィックを転送するデバイスです。ルーターは、少なくとも 2 つ(あるネットワークに物理的に接続された1 つと別のネットワークに物理的に接続された 1 つ)のネットワーク・インターフェース・カード(NIC)を搭載します。ルーターによっては、特定の周知のポートにトラフィックの許可を限定するように構成することができます。特別なポートを用いてプロトコル上で実行されるアプリケーションは、これらのポートを解放するための構成変更を必要とします。
DNS DNSサーバーとも呼ばれるドメイン・ネーム・サーバーは、ドメイン名を IP アドレスにマッピングする大規模なデータベースを管理します。URL をウェブ・ブラウザに入力すると、デフォルト DNS サーバーは、適切なウェブ・サーバーに対して IP アドレスへの名前解決を行うために、そのリソースを使用します。
NAT ネットワーク・アドレス変換は、ルーターなどの単一のデバイスがインターネット (または「パブリック・ネットワーク」) とローカル (または「プライベート」) ネットワークのエージェント (仲介者) としての機能を果たすことを可能にします。これは、単一または少数の認識された IP アドレスが、認識されていない IP アドレスのデバイスのグループ全体を代表する必要があることを意味しています。

これらのサービスがどのように連動するかは、以下の例のように要約できます。:
クライアントがイントラネットのサーバーに通信しています

  1. クライアントはサーバー名を認識しています
  2. クライアントはクエリーをデフォルト DNS IP (DHCP からのパラメータ) に送信します
      a.デフォルト DNS が同じ IP サブネット上にない場合は、その VLAN 上のデフォルト・ルーターにクエリーが送信されます
      b.ルーターはクエリーを DNS IP サブネットに接続されているルーター・ポートに転送します。VLAN ID はほぼ変更されます
  3. DNS サーバーは、必要に応じてルーターを介して、イントラネット・サーバーの IP アドレスで応答します
  4. 接続リクエストをイントラネット・サーバーの IP アドレスに、必要に応じて再度ルーターを介して送信します
  5. ルーターはクエリーをイントラネット・サブネットに接続されているルーター・ポートに転送し、VLAN ID が変更されます
クライアントがインターネットに接続します
  1. はじめの 4 つのステップは、サーバー名がウェブ・ブラウザを介したウェブサイトである可能性があることを除いて、イントラネット・サーバーに通信する際と同様です
  2. ルーターは、 IP パケットをインターネット・リンクに接続されているルーター・ポートに転送します
  3. NAT が使用されている場合、クライアント A のソース・アドレスを、NAT はイントラネット・リンクを転送する前に、認識可能なパブリック・アドレスに変更します

 

起こり得る問題:

症状 考えられる原因
同じ VLAN 上の全ユーザーがイントラネット・サーバーに接続できません 誤った IP アドレスまたはデフォルト DNS の障害
ルーターに到達できない、またはルーターの障害
破損している、またはオーバーサブスクライブされた VLAN トランク・パス
同じ VLAN 上の全ユーザーがインターネットに接続できません インターネットへのルーター・ポートまたはリンクがダウンしている
ルーターに到達できない、またはルーターの障害
DNS に到達できない、またはDNS の障害
NAT の障害
一部のアプリケーションが実行できません ルーターがアプリケーションに要求されるプロトコル・ポートをブロックした可能性があります
VoIP コールが機能しない コール・マネージャーに連絡がつかない?
DHCP VoIP 構成サーバーの情報が利用できない、もしくは、誤って構成されている?

ベスト・プラクティス

  1. インストール中、技術者が、各証明書を使用して VLAN エッジから、ローカル・ルーターとクリティカルなサーバー、イントラネット、インターネットへのアクセシビリティとパスをサンプルチェックきるように、標準化されたツールと手順を用意する。
  2. トラブルシューティング中、参照用に、ユーザー / デバイスの証明書に基づきクライアントにプロビジョニングされるべき、正しいデフォルト・ルーター、DNS IP アドレスを記録する。チームが情報にアクセスできるようにする。
  3. トラブルシューティング用に、使用されているトレース・ルートとスイッチ・パスを表示できるツールを備えて、ローカル・サブネット / ブロードキャスト・ドメイン範囲外のアセットにアクセスする際に、DNS プロセスの合否を記録しておく。

 


TCP 接続を実行して、DNS 解決とサーバーへの接続性、およびその両方のレスポンス・タイムを確認する。

ゲートウェイ / ルーターが到達可能であることを検証する。

スイッチ・ポートとターゲット・デバイス間のスイッチ・パスを判断する。

効率

接続性、認証、ルートの検証が完了したら、最後に重要な点として、ネットワークがアプリケーション・トラフィックの効率的な配信を促進できることを確認する。ネットワークが原因で、アプリケーションのユーザー・エクスペリエンスに影響する可能性がある重要な要素がいくつかあります。

  1. 利用可能な帯域幅は、特に WAN リンク上のサービスのプロビジョニング・クラスのほか、ネットワーク負荷量に影響する可能性があります。
  2. 使用するネットワーク・パスは横断待ち時間だけでなく、利用可能な帯域幅に影響する可能性があります。
  3. アプリケーション・トランザクションを再設計する可能性を持つロード・バランサーや WAN アクセラレータのようなスマート・デバイス。
ネットワークの設計はこのような要素に大きく影響することから、ネットワーク運用チームの役割は、ネットワークが展開される前にアプリケーションをサポートすることができ、ネットワーク負荷がなく、さらにネットワークが展開された後にネットワークが利用可能な設計を検証することにあります。最も頻繁にテストされるパラメータは、:情報速度(IR)または帯域幅、ジッター、遅延、パケット損失です。ネットワーク・テストで最も頻繁に使用されている 3 つのアプローチは、iPerf、IETF RFC2544 および ITU Y.1564です。以下の表は、3つのテストの比較を示します。

 

  RFC2544 iPerf Y.1564
フレーム・タイプ UDP のみ TCP、UDP UDP
主要なネットワーク・テストの対象 情報速度、遅延、データ損失。ジッターはオプション TCP:情報速度、
UDP:情報速度、
遅延、ジッター、データ損失
情報速度、遅延、ジッター、データ損失、CBS、およびEMS
主な調整可能なパラメータ IPv4、DSCP、TOS および VLAN
7つのフレーム・サイズ (バイト):
64、128、256、512、1024、
1280、1518;同じポート番号
送受信
IPv4またはIPv6、
DSCP、TOSおよびVLAN;
TCP:送信バイト総数、
MTU/MSS、TCP Window サイズ、
および送信ファイル;UDP:
ユーザー定義のフレーム;サイズ
異なるポート番号の送受信
IPv4またはIPv6、
レイヤ 3 タグ:MPLS、
802.1p、802.1ad、
DSCPおよびCOS
ストリーム・プロファイル:MTU、
CIR、EIR、EMIX
異なるポート番号の送受信
同時接続数 1 多重 多重
HW プラットフォーム プロフェッショナル用テスト機器 Window/Linux/Unixベースのコンピューター プロフェッショナル用テスト機器
利点 最大限の帯域幅に対応するシンプルな構成 TCPおよびUDPテスト
マルチストリーム・テスト
BSDライセンスの下で無償
TCPおよびUDPテスト
マルチストリーム・テスト
短時間のテスト
短所 UDP のみ
専用HWが必要
NICドライバ・コマンド・ラインUIで制御される伝送速度 エンタープライズLANに通常見られない複雑な構成 (専用HWが必要)

これら3つのテストのアプローチのうち最初に使用されたのはRFC2544で、今日もなお、最も広く使われています。現在までエンド・ツー・エンドのネットワーク・パフォーマンスの検証に十分に対応しています。iPerfは、TCPフローによる帯域幅テストを実行する機能と展開にかかるコストの低さから、ネットワーク・エンジニアのコミュニティで注目を集めてきています。Y.1564は、SLAが必須である際、主にメトロ・ネットワーク・リンクのために使用されます。エンタープライズでは広く採用されていません。

アプリケーションの速度が低下する原因
ユーザーからネットワーク・パフォーマンスが遅いと苦情があった場合に、原因がネットワークにあるかを判断するために尋ねる質問がいくつかあります。
  a.影響を受けているアプリケーションは何か?リアルタイムの音声 / データまたはデータ・トラフィック
  b.企業アプリケーションではない場合、アプリケーション・ストリームが企業ネットワークの範囲内に制限されているかを判断する質問を尋ねてください。
  c.影響を受けているクライアントの数は?これらのクライアント間の関係はどのようなものか?

症状 考えられる問題
単一のイントラネット・アプリケーションの全ユーザーが遅いパフォーマンスの影響を受けている アプリケーションまたはサーバーの問題
アプリケーション・サーバーに通じるネットワークに不具合がある
単一のインターネット・アプリケーションの全ユーザーが遅いパフォーマンスの影響を受けている インターネット・アプリケーションの問題
インターネット・アプリケーションのフローがブロックされている
単一の個人がアプリケーションの悪影響を受けている クライアントのデバイスまたはアカウントの設定
クライアントからネットワークへの接続性の問題 (特にWi-Fi接続の場合)
同じ VLANの少数のユーザーが悪いパフォーマンスによる影響を受けている VLANからアプリケーション・ネットワークへのパスの問題
VLANグループのプロビジョニングの問題

ベスト・プラクティス:
展開中:

  1. 最も脆弱なリンクの最大の帯域幅に通じる不可欠なパス間のエンド・ツー・エンド・リンク、および最も脆弱なリンクのSLAの要件に対してネットワーク・パフォーマンス・テストを実行してください。利用できるSLAパラメータがない場合は、以下のガイドラインを使用できます。150ミリ秒以下の一方向のエンド・ツー・エンドの遅延 、100ミリ秒以下のジッター、1%以下のパケット損失。
  2. 事後の参考のためにリンクのテスト結果を記録してください。
トラブルシューティング中:
  1. TCPアプリケーションの場合、サーバーへの TCP接続テストを試みてください。テストが最小限の遅延で100%で完了した場合、ネットワークの遅延ではなく、サーバー自体に問題がある可能性が高いと考えられます。次のステップは、原因としてネットワークを完全に除外するために、クライアントとサーバーの間のネットワーク・パス上のパケット損失が許容範囲内であることを証明します。通常、アプリケーションに要求される最大情報速度として 1% 以下の損失率が望ましいとされています。サーバーが企業ネットワークの範囲外にある場合、検証が必要なのは、ストリームがネットワークを離れる前のポイントまでのみです。
  2. アプリケーションがリアルタイムの音声 / ビデオの場合、一部のVoIP電話はコールのジッター / パケット損失の統計を提供します。そうでなければ、 RFC2544またはiPerfテストをターゲットのエンド・ポイントに対して実行できます。典型的な音声とビデオは、音声 / メディア・ストリームのレートとほぼ同じUDPストリーム・レートで、150ミリ秒以下の一方向のエンド・ツー・エンド遅延、40ミリ秒以下のジッター、および1% 以下のパケット損失率が要求されます。
  3. すべてのテスト結果を記録してください。原因がネットワークでなければ、アプリケーションの両側(クライアントとサーバーの周辺)でアプリケーション・トランザクションのキャプチャを試みてください。最良のアプローチは、インライン (直列) TAPまたはSPAN / ミラー・ポートを介してキャプチャすることです。

 



アプリケーション・サーバーへの接続性を試し、DNS解決、およびその両方のレスポンス・タイムを確認してください。

OneTouch ATのパフォーマンス・テストで、ルーターへの有線リンクのパフォーマンスを確認してください。最大1Gbpsの上りおよび下りスループットの他、損失、ジッター、遅延を測定してください。

スイッチとデバイス間のパケット・インラインをキャプチャし、フィルタを適用して、関連情報をSD-RAMに保存してください。

全てをまとめる

今日ネットワーク・チームがスイッチ・ネットワークに効率的に対応するには、チームはそれを可能にする技術の最新知識を常に取り入れる必要があります。また、ここで肝心な点は、チーム・メンバーが構築したネットワーク構成などの情報だけでなく、トラブルシューティングや展開中のオンサイトの情報を効果的に共有することです。最善の努力にも関わらず、全メンバーが同じスキル・レベルを有しているとは限りません。市場には様々な利用可能なフリーウェアやツールがありますが、各チーム・メンバーがこうしたツールを活用する知識や、テスト結果を解釈し共有する知識を備えているわけではありません。また、フリーウェアは資料や容易に共有できるテスト・レポートの不十分さでもよく知られています。ネットワークに関するリアルタイムの情報を保存し共有する能力は、トラブルシューティングを実行中にチーム間の協力を改善するだけでなく、サービス・プロバイダーなどのサードパーティに起因する問題を解決するために、そのサードパーティの援助を求める際に証拠として重要な役割も果たします。


NETSCOUTハンドヘルド型ネットワーク・テスト・ツールは、ネットワーク運用チームに可視性を得る手段を提供するだけでなく、この一連のツールはチームがより効果的になることに役立つ2つの重要な特徴を備えています。

1. プログラム可能な標準化されたテスト・プロセスをサポートする自動化されたテスト。
これらのツールは、ユーザーによるプログラムが可能な合否範囲と自動レポート機能を備え、ボタンを押すだけの操作で、スイッチ・ネットワークの4 つの全域にわたる可視性を提供するオートテストが用意されています。テストの異なる詳細レベルと複雑度を提供する、3つのオプションが選択できます。

オートテスト機能             LinkSprinter
            LinkRunner
            OneTouch AT
接続性 – PoE タイプ1 タイプ1 と 2 、
TruePower機能
タイプ1 と 2 、
TruePower機能
接続性 - リンク 10/100/1000Mbps
メタル線
10/100/1000Mbps
メタルまたはファイバー
10/100/1000Mbps
メタル線とファイバー、および
最大802.11ac
接続性 – スイッチID LLDP / CDPレポート
スイッチ名 / ポート番号
LLDP / CDPレポート
スイッチ名 / ポート番号
LLDP / CDPレポート
スイッチ名 / ポート番号
認証 802.1x / EAP 802.1x / EAP
住所 DHCPおよびスタティック DHCPおよびスタティック DHCPおよびスタティック
VLAN ID
ルーティング ゲートウェイ、
Ping 1 IPデバイス
DNS解決機能
ゲートウェイ、
Ping 10 IPデバイス
DNS解決機能
ゲートウェイ、
Ping、TCP接続、
電子メール、FTP、IGMP 機能、
ユーザー向け WEB テスト
定義可能なデバイス数
効率 Pingテストのレスポンス・タイム Pingテストのレスポンス・タイム ルート・テストの
レスポンス・タイム
最大1GbpsのRFC2544
注目すべきツール • モバイル・アプリから
Wi-Fiを介して
テスト結果を表示
• PoEまたは第三電池駆動
• 障害箇所までの距離
• ケーブル・トレース用
トーン生成器
• ケーブル・テスト用
ワイヤマップ
• 障害箇所までの距離
• パケット・キャプチャ
• インラインPoEおよびVoIP解析
• デバイス検知および
インベントリー・レポート
• リモート・コントロール
• 障害箇所までの距離

表:スイッチ・ネットワーク用NETSCOUT ハンドヘルド型ネットワーク・テストの主要機能の比較

2.テスト結果の保管と共有のためのクラウド・ポータルを通した協調的なワークフロー。

ネットワーク運用チームを通じて可視性と協調性を促進するために、NETSCOUTハンドヘルド型テスト・ツールはクラウド・ベースの結果と Link-Liveと呼ばれるレポート管理データベースを共有します。これは、あらゆるハンドヘルド型ツールから得られたテスト結果の自動アップロードをサポートする無償のクラウド・ベース・サービスです。ネットワークの展開中、日ごとにテストされるスイッチ・ポート、そのリンク速度、デュプレックス分布、および PoE テスト結果を表示する進捗状況レポートを容易に生成できます。トラブルシューティング中、変更を素早く特定するために、スイッチ・ポートから得られた以前のテスト結果を現在のテスト結果に比較することができます。

 

図:テスト結果の要約が表示されたLink-Liveの結果ダッシュボード

図:詳細情報が表示された拡張テスト結果

図:一定期間にわたるテスト結果に基づく進捗状況が表示されたLink-Liveからの要約レポート

まとめ 

スイッチ・ネットワークは、単にデバイスをネットワークに接続することから、電力の供給、デバイスとユーザーの認証、そしてトラフィックの効果的かつ自動的なルーティングを行うように進化しています。ネットワーク運用チームは、採用した技術の知識に加えて、デバイスとユーザーが絶えず移動し、新しいM2Mデバイスが追加されているエッジの周辺を中心に、スイッチ・ネットワーク上で行われる構築と変更への可視性を得る方法についての知識を維持する必要があります。テスト・プロセスの標準化を可能にするベスト・プラクティスを使用して、設計や構成からリアルタイムでの現場のステータスまでの情報を共有することは、チームの総合的な効率化を図ります。NETSCOUTハンドヘルド型ネットワーク・テスト・ツールは最高クラスのテスト機能と自動化されたテスト・プロセスを提供し、ネットワーク運用チームの効率性を向上するとともに、チームによるスイッチ・ネットワークの 4 つの主要領域の管理を可能にします。

 
 
Powered By OneLink