問題に取り組む際には、ネットワーク・トレースを送ってもらうようにお願いすることが多いです。ネットワーク・トレースは、問題の根本的な原因を指摘することがよくあります。 最低限、問題領域を管理可能なものに減らすことができます。例えば、ネットワークプリンタがゴミを印刷し始めたとき、私たちは数日かけてTTPを調べました。別のケースでは、数千マイル離れたモジュール間の OSL パフォーマンスの問題がネットワークの問題のように見えましたが、トレースを見ると明らかに問題はサーバモジュールにあることがわかりました。 ネットワークトレースがなければ、私はまだ両方の問題に取り組んでいたでしょう。
ネットワークトレースの方法は?3つの可能性があります
パケット監視装置
VOS packet_monitor コマンドを使用すると、いくつかの制限はありますが、モジュールがネットワークとの間で送受信するすべてのものを監視することができます。詳細については、http://community.stratus.com/blog/openvos/getting-most-out-packetmonitor および http://stratadoc.stratus.com/vos/17.0.1/r419-09/wwhelp/wwhimpl/js/html/wwhelp.htm?context=r419-09&file=ch9r419-09i.htmlを参照してください。
packet_monitorコマンドにはいくつかの制限があります。送信されたと報告されたフレームが実際に送信されたかどうかを 100% 確信することはできません。たとえば、アダプタのエラーによってフレームが送信されない場合があります。また、CRCエラーなどのエラーで受信したフレームは、packet_monitorが確認できるように上流には送信されません。packet_monitor はアダプタをプロミスキュアスモードにはしないので、アダプタまたはブロードキャストアドレスに宛てられたフレームだけが上流に渡されます。packet_monitor が 1 秒に 1 フレームだけ報告している間に、リンクが 90%ビジー状態になることがあります。
一般的に、packet_monitor のようなホストベースのモニタは、他の形態のトレースの追加として、または他の形態のネットワークトレースが利用できない場合にのみ有用です。
ポートミラーリング 別名 SPAN (Switch Port for ANalysis) ポート
ミラーポートまたはスパンポートは、スイッチの1つまたは複数のポート(またはVLAN)上で見られるすべてのトラフィックを複製するスイッチ上のポートです。ミラーポートは、ネットワーク・モニタリング・アプライアンスに接続する必要があります。このアプライアンスは、特殊な目的のデバイス、またはWireshark(http://www.wireshark.org/)やtcpdumpなどのホストベースのモニタを搭載したLinux またはMicrosoft(Windows )を実行しているPCであってもかまいません。ミラーポートのセットアップは簡単で、スイッチでいくつかのコマンドを入力するだけです。
残念ながら、ミラーポートを使用することにはいくつかの大きな欠点があります。まず、ポートが正しく設定されている必要があります。ポートが正しく設定されていないと、ネットワークトレースでフレームが欠落したり、重複したりする可能性があります。第二に、スイッチはどのようなタイプのエラーでもフレームを複製しないので、これらのフレームはトレースされません。第三に、ビジー状態のスイッチは、ミラーポートにフレームを複製する代わりにフレームをドロップする可能性があります。第四に、VLAN全体、または複数のスイッチポート、または1つの全二重ポートからのフレームを受け入れているミラーポートが過負荷になり、一部のフレームをドロップする可能性があります。第五に、スイッチとホストの間に導入されたエラーは、全く異なるスイッチポートに接続されたネットワーク監視アプリケーションでは見ることができません。同様に、ミラーポートとネットワークアプリケーションの間で発生したエラーは、ホストがスイッチから実際に受信したものをネットワークアプリケーションに歪んだビューを与えることになります。
ネットワークタップ
タップは、スイッチとホスト間を接続するパッシブデバイスで、文字通りネットワーク接続にタップします。ミラーポートと同様に、ネットワークアプライアンスに接続する必要がありますが、ミラーポートよりもデメリットは少ないです。
第一に、一般的には何の設定も必要ありません。第二に、より高度なタップは、電源のみに依存してフレームを監視ポートにレプリケートします。 電源に障害が発生した場合、これらのタップはネットワークポート間でフレームを転送し続け、レプリケー ションのみが停止します。第三に、タップの機能は1つだけで、ネットワーク・モニタ・アプリケーションにフレームをレプリケートして転送するだけです。タップは、大量のトラフィックに圧倒される可能性がはるかに低くなります。さらに、アグリゲーション・タップにはバッファ・スペースがあるため、フレームを落とすことなく全二重リンクで大量のトラフィックを転送することができます。もちろん、持続的な高レートでもバッファを圧倒する可能性があります。アグリゲーションタップは、複数の入力を組み合わせることもできます。例えば、2 ポートのデバイスでは、アダプタの二重ペアのアクティブアダプタとスタンバイアダプタの両方を監視することができます。これにより、アダプタのフェイルオーバーがあっても継続的な監視が可能になります。最後に、ホスト・アダプタにタップを接続することで、ネットワーク監視アプリケーションがホスト・アダプタから出るすべてのフレームと、スイッチからホスト・アダプタに到着するすべてのフレームを見ることを可能な限り保証します。
多くのタップがミラーポートに共通する欠点は、破損したフレームをドロップすることです。多くのネットワーク監視アプライアンス、特に市販のイーサネットハードウェアを搭載したPCだけのものは、破損したフレームもドロップするため、タップのメーカーはこれを重大な障害とは考えていません。
タップとスイッチ・ポートに関する詳細なコメントは、http://www.lovemytool.com/blog/2007/08/span-ports-or-t.html または http://taosecurity.blogspot.com/2009/01/why-network-taps.htm l を参照するか、お気に入りの検索エンジンに「ネットワーク・タップとスパン・ポート」と入力してください。
モニタリングの課題
最初の課題は、いつ、どのくらいの期間監視するかということです。理想的には、本番システムの重要なネットワークリンクは継続的に監視されるべきです。問題が最初に発生したときに問題を捕捉し、ネットワークトレースを手元に持っていれば、問題に遭遇してモニタリングを設定し、それを複製しようとしたり、再び問題が発生するのを待ったりするよりもはるかに迅速に実行することができます。トレースファイルは大容量になる可能性があります。ギガビットリンクに50%の負荷がかかると、1秒間に約62.5メガバイト、1分間に3.75ギガバイトのデータが生成されます。トレースファイルは、最悪の場合の応答時間よりも長く保存する必要はありません。報告された問題に1時間で対応できるのであれば、1時間分のトレースデータを保存しておけばよいことになります。トレースデータを保存しておけば保存しておくほど、対応に余裕ができたり、調査が必要な問題があったことを認識したりすることができます。 大容量のディスクは、少なくとも障害発生時のコストに比べればかなり安価なので、トレースデータを保存するために1テラバイトサイズのディスクドライブを1台以上購入することを検討してください。
スパンポートを使用している場合、このレベルの監視を維持することは難しいかもしれません。複雑なネットワークでは、ネットワーク管理者は様々な方向に引っ張られているため、スパンポートを維持し、何か問題が発生した場合に備えて継続的な監視を行うことが難しい場合があります。
一方、ホストの隣に設置されたネットワークタップは、そのホスト専用です。高度なネットワーク監視アプライアンスを購入することもできますが、1テラバイトのハードディスクを搭載した基本的なPCでLinux またはWindows を実行し、tsharkプログラム(wiresharkの非GUIインターフェース)を実行することで始めることができます。このセットアップで 266 分のトレースデータ(500 mbps のデータレートを仮定)が得られ、ほとんどの目的には完全に適しています。 1テラバイトのドライブなら、100ドル以下で購入することができます。
基盤となるネットワークの健全性は、継続的に利用可能なアプリケーションに不可欠です。 日常的にネットワークアクティビティの正確なトレースをキャプチャする努力をしてください。 問題が発生した場合、問題の再発を待たずに迅速に解決することができます。 ボーナスとして、トレースデータを分析して、以前は隠されていたネットワークについての情報を知ることもできます。
メンバー