2.30. アプリケーション解析機能の設定

2.30.1. アプリケーション解析機能概要

IX-Rルータのアプリケーション解析機能を利用することで、特定のアプリケーション通信(Zoomなど)に対してさまざまなトラフィック制御と解析をすることができます。

アプリケーション解析機能は、NetMeisterと接続後に動作を開始します。

また、この機能は一部の詳細設定を除きNetMeisterサービスから設定や管理を行います。

NetMeisterでの画面表示や設定方法につきましては、NetMeisterのマニュアルを参照してください。

2.30.2. 機能一覧

通信のパケットを解析して利用されているアプリケーションを識別します。特定のアプリケーションが利用されていた場合、以下の機能を適用することができます。

機能

説明

トラフィックのローカルブレイクアウト
送信先のWAN側インタフェースをアプリケーションごとに指定することで、
アプリケーション単位の負荷分散を実現することができます。

トラフィックグラフ
時間帯ごとの通信量をアプリケーションごとにグラフ等で確認できます。
グラフの確認はNetMeisterサービスで可能です。

トラフィック制限機能
アプリケーションごとに帯域制御をすることができます。
特定のアプリケーションによる通信帯域の圧迫を防止することができます。
設定はNetMeisterサービスで制御します。

2.30.3. 注意事項

2.30.3.1. NetMeisterとの接続について

アプリケーション解析を利用するには、NetMeisterとの接続を常時維持する必要があります。NetMeisterとの接続状況は、NetMeisterサービス上で確認可能です。

2.30.3.2. 解析対象について

  • 対象トラフィック

    • IPv6トラフィックには対応しておりません。

  • プロキシ環境での解析

    • インターネットアクセスにプロキシサーバーを使用している場合、プロキシサーバー宛へのパケットは解析対象外になります。

2.30.3.3. URLオフロード併用について

  • 併用できない機能

    • URLオフロードデータベースの指定コマンド(url)で、"NetMeister"以外のデータベースを指定した場合、アプリケーション解析機能はご利用いただけません。

  • 設定値の決定

    • アドレスキャッシュや更新周期など一部設定はアプリケーション解析機能の設定のどちらかの値を使用して動作します。詳細は、「URLオフロード併用」の項目をご確認ください。

2.30.4. WAN・LANインタフェースの指定

2.30.4.1. アプリケーション解析機能におけるWAN・LANインタフェース

../_images/31-7_application_analysis1.svg

図 2.30.1 WANインタフェースとLANインタフェース

図のように、アプリケーション解析機能においてWANインタフェースとLANインタフェースは以下のように定義します。WAN・LANインタフェースはそれぞれ複数設定することができます。

  • WANインタフェース

    • IPv4インターネットとの通信に使用するインタフェース。
      NetMeisterで指定したアプリケーションのローカルブレイクアウト先インタフェースとして利用します。すべての送信先となるインタフェースをWANインタフェースとして指定する必要があります。
      Tunnelインタフェースを利用してインターネット接続する場合、WANインタフェースとしてTunnelインタフェースを指定する必要があります。たとえば、VPNやIPoE(MAP-E、DS-Liteなど)のような、Tunnelインタフェースを経由してクラウドサービスと接続する場合、WANインタフェースはそれらのTunnelインタフェースをすべて指定する必要があります。

  • LANインタフェース

    • クライアントとの通信に使用するインタフェース。
      指定したインタフェースを通過するトラフィックに対してアプリケーション種別の判定を実施し、各種アプリケーション解析機能を利用できるようになります。

2.30.4.2. WAN・LANインタフェースの確認方法

装置のどのインタフェースがWAN・LANに指定されているかは、show running-configコマンドで表示されるsystem information情報で確認が可能です。

デフォルト設定の場合、system informationの設定は表示されません。

2.30.4.3. WAN・LAN対象インタフェース

  • デフォルト設定

    • デフォルト設定ではWAN・LANインタフェースは以下のインタフェースが割り当てられます。個別にインタフェースを指定する場合、system informationコマンドで設定が必要になります。

      対象インタフェース

      備考

      WAN
      GigaEthernet0.0
      GigaEthernet0.1

      IPアドレスが振られている場合にWANとして割り当て

      LAN

      GigaEthernetX.0

      X:対象プラットフォームで一番大きいインタフェース番号

  • 個別設定

    • system informationコマンドを設定することで、個別に対象インタフェースを設定することができます。詳細な設定については次項「設定方法」を参照してください。

2.30.4.4. 設定方法

アプリケーション解析機能の対象にする場合、以下のコマンドで設定する必要があります。

設定可能なWAN・LANインタフェース番号はそれぞれ最大20までになります。

  • グローバルコンフィグモード

    項目

    説明

    system information

    WAN、LANインタフェース割り当て設定
    リスト 2.30.1 表示例
    Router(config)# show running-config
          ;
system information lan 1 GigaEthernet2.0
system information wan 1 GigaEthernet0.0

構成によりWANとして指定するインタフェースが異なります。主な構成例でWANとして指定するインタフェースを以下に示します。

構成

WANインタフェース(WANアドレスが割り当てられているインタフェース)

DS-Lite

Tunnelインタフェース

DHCP

ip address dhcpを設定しているインタフェース

PPP

ip address ipcpを設定しているインタフェース

MAP-E

Tunnelインタフェース

2.30.4.4.1. 注意事項

  • Webコンソール利用時

    Webコンソールで設定をしている場合、以下のsystem informationコマンドが設定されている場合があります。

    system information lan 1
    system information wan 1
    system information wan 2

    この設定を変更した場合、Webコンソールが動作しなくなる可能性がありますのでご注意ください。設定を追加する場合、上記のコマンドで設定されている番号とインタフェースに重複しないような番号とインタフェースを設定してください。

  • NetMeisterサービス利用時

    一部のNetMeisterサービスでは以下のsystem informationコマンドの設定を参照して機能が動作しています。

    NetMeisterサービス機能

    該当コマンド

    ダイナミックVPN
    system information wan 1
    system information lan 1

    リモートログイン

    system information lan 1

    そのため、手動設定する際は使用する環境に合わせてsystem informationコマンドの設定をしてください。設定を追加する場合、上記のコマンドで設定されている番号とインタフェースに重複しないような番号とインタフェースを設定してください。

2.30.5. トラフィックのローカルブレイクアウトについて

NetMeisterで指定したアプリケーションをWANへローカルブレイクアウトします。

NetMeisterサービスにて任意のインタフェースをローカルブレイクアウト先とする場合、system informationコマンドでWAN側インタフェースとして設定する必要があります。

また、ロールブレイクアウト先に関係なく送信先となるインタフェースはWAN側インタフェースとして設定する必要があります。

2.30.6. URLオフロード併用

2.30.6.1. 共有する設定

以下の設定は、アプリケーション解析機能の設定と比較して設定値が大きい方を使用します。

  • アドレスキャッシュ設定(url-offload address-cache)

    • 最大キャッシュ数

    • ネガティブキャッシュの保持時間

    • ポジティブキャッシュの保持時間

  • 更新周期設定(update-interval)

アプリケーション解析機能では、それぞれ以下の固定値が設定されています。

設定値

アプリケーション解析

最大保持キャッシュ数

65535

ネガティブキャッシュの保持時間

1800

ポジティブキャッシュの保持時間

600

更新周期

24

2.30.6.2. 判定の優先度

以下の順序でオフロード判定が行われます。最初にヒットした条件で処理は実施され、以降の条件は無視されます。

  1. ルートマップ設定(ルートマップが同一名で複数ある場合、優先度の高いルートマップから判定を行います)

  2. 外部定義ファイル(NetMeisterサービスより取得)

2.30.7. 情報の確認

2.30.7.1. CLI表示

以下のコマンドでアプリケーション解析機能関連の状態を確認できます。

  • グローバルコンフィグモード

    項目

    説明

    show app-analytics status

    アプリケーション解析機能の状態表示

    show app-analytics database

    アプリケーション解析データベースの表示

    show app-analytics address-cache

    アプリケーション解析アドレスキャッシュの表示

    show app-analytics session-cache

    アプリケーション解析セッションキャッシュの表示

    show app-analytics statistics

    アプリケーション解析機能の統計情報表示

状態表示では、アプリケーション解析機能の統計が確認できます。

リスト 2.30.2 表示例
Router(config)# show app-analytics status
DataBase Information:
  Update: 1636096669
  Total 168 entries, URL 46 entries, IPv4 122 entries
  Total 0 packets analyzed, 0 packets matched.
Setting Information:
  Update: 2022/08/01 13:03:18
  Setting data:
    Application          Transmit Interface  UTM exclude  Rate(Mbps)
    Office365            ---                disable               ---
    Skype/Teams        ---                disable               ---
    WindowsUpdate      ---                disable               ---
    Box                 ---                disable               ---
    GSuite              ---                disable               ---
    AdobeCreativeCloud  ---                disable               ---
    Salesforce           ---                disable               ---
    Zoom               ---                disable               ---
    WebEX              ---               disable               ---
    UserDefined         ---                disable               ---

表示

内容

DataBase Information

Update

更新時間

Total xx entries

合計エントリ数

URL xx entries

URLエントリ数

IPv4 xx entries

IPv4アドレスエントリ数

Total xx packets analyzed

アプリケーション解析機能で解析したpacket数

xx packets matched

Databaseにヒットしたパケット数

Setting Information

Update

更新時間

Setting data
Application:アプリ名
Transmit Interface:送信先インタフェース
UTM exclude:UTM除外設定
Rate:トラフィック制限設定

データベース表示では、アプリケーション解析機能で使用しているデータベースの詳細情報を確認できます。

リスト 2.30.3 表示例
Router(config)# show app-analytics database
DataBase Information:
  Update: 1636096669
  Total 168 entries, URL 46 entries, IPv4 122 entries
DataBase entries : Application
  Office365
  Skype/Teams
  UserDefined
DataBase entries : URL
  *.example.com(Skype/Teams)
  *.example1.com(Office365)
  example2.com(Skype/Teams)
  *.example2.com(Skype/Teams)
  *.officeapps.live.com(Office365)
DataBase entries : IPv4
  203.0.113.0/24 (tcp, 80, Office365)
  198.51.100.0/24 (udp, 3478-3481, Skype/Teams)

表示

内容

DataBase Information

Update

更新時間

Total xx entries

合計エントリ数

URL xx entries

URLエントリ数

IPv4 xx entries

IPv4アドレスエントリ数

DataBase entries : Application

データベースで保持しているアプリケーション名

DataBase entries : URL

データベースで保持しているURL集

DataBase entries : IPv4

データベースで保持しているIPv4アドレス集

アドレスキャッシュ表示では、アドレスキャッシュエントリに紐づくアプリケーション名を確認することができます。

リスト 2.30.4 表示例
Router(config)# show app-analytics address-cache
Address-Cache - 56 entries, 56 max entries, 0 overflows
Codes: p - positive, n - negative
  Prot  Destination Addr:Port  Remain Time  Reference Source
n tcp   192.0.2.1:443              0:09:59  ---
p tcp   203.0.113.1:443            0:19:49  203.0.113.0/24 (tcp, 443, Office365)

表示

内容

Address-Cache

アドレスキャッシュ情報

xx entries

エントリ数

xx max entries

最大エントリ数

xx overflows

オーバフロー数

セッションキャッシュ表示では、セッションキャッシュエントリに紐づくアプリケーション名を確認することができます。

リスト 2.30.5 表示例
Router(config)# show app-analytics session-cache
Session-Cache - 1 entries, 4 max entries, 0 overflows, 0 drops
Prot  Source Addr:Port       Destination Addr:Port  Remain Time  Reference Source
tcp   192.0.2.3:51232          203.0.113.1:443          0:00:47  203.0.113.0/24 (tcp, 443, Office365)

表示

内容

Session-Cache

セッションキャッシュ情報

xx entries

エントリ数

xx max entries

最大エントリ数

xx overflows

オーバフロー数

xx drops

廃棄数