本記事では、Catoクラウドを運用するにあたって、特に知っておくべきIT用語をピックアップして解説していきます。
Catoクラウドの運用においては、多くのネットワーク・セキュリティに関する専門用語が登場します。
これらの用語を知識として持っている方も多いかと思いますが、具体的にCatoでどのように扱われているか、実例を交えながらご説明します。
今回は【ネットワーク編】と題して、ネットワーク用語を取り上げてご説明していきます。
今後【セキュリティ編】【応用編】を随時公開予定です。
そもそもSASEとは、Catoクラウドとは何か、が知りたい方は以下の記事をご覧いただければと思います。
・世界初のSASEプラットフォーム Catoクラウドとは? – TechHarmony (usize-tech.com)
それでは早速、用語解説を始めていきます。
パケット
パケット(Packet)とは、データ転送において、効率よくデータを送るために小分けした単位のことです。
Catoでは、パケットがネットワーク上できちんと転送できているか、パケットロス率としてモニタリングできます。
ネットワーク運用で起こりうるケースとして、通常はスループットに比例してパケット数も増えるものですが、スループットは低いがパケット数が多いケースがあります。
小さなパケットを大量に送信している状態です。
この状態のとき、ルータやスイッチなどの性能制限によって、一定時間に処理できるパケット数に上限があり、期待した性能が出ないことがあります。
パケットロスと似た用語に、Catoではディスカードがあります。
ディスカードは、拠点の最大帯域を超えた通信が発生し、Socketがパケットを破棄したときに発生します。
ディスカードが多い時には、後程解説するスループットと合わせて最大帯域の増速をご検討いただければと思います。
トラブル時など性能グラフを見るときは、スループットだけでなくパケット数やディスカードも確認ポイントとなります。
フロー
フロー(Flow)とは、ある特定のデータ通信の流れを指します。
これは、特定の送信元と受信先の間でやり取りされる一連のパケットを意味します。フローの具体的な要素としては、IPアドレス / ポート番号 / プロトコルの情報で構成されています。
また、ホストごとにもフロー数を見ることができ、特定のホストだけが異常な値を検出している場合にはセキュリティインシデントが発生している可能性も考えられます。
そういった調査観点でもフロー数をモニタリングすることは重要と言えます。
従来のネットワーク機器では、フロー数に比例してメモリを利用しています。ネットワーク機器上で、フローごとにNATや動的なFWルールの管理をしているため、機器のメモリ量に依存して同時に通信可能なフロー数に上限があります。
ただし、Catoではソフトウェアによってこれらの機能を実現しスケールアウトしています。Catoでは実質的なフロー数の上限は存在していないとも言えます。
トラフィック・スループット
トラフィック(Traffic)とは、回線・ケーブルを流れるデータやその総量のことを言います。
また、トラフィックと近しい言葉に、スループット(=帯域)があります。
トラフィックがデータ総量であるのに対して、スループットは単位時間あたりに流れるデータ量のことを言います。
一般的なモバイル通信におけるトラッフィクの平日の一日の推移としては、お昼時間帯や帰宅時間帯がピークになり、深夜から早朝にかけた時間帯が少ない傾向にあります。
また、企業においては、勤務開始の午前9時前後がピークになった後なだらかになり、お昼時間帯には再度Youtubeなどへのアクセスが増えるためやや上昇、勤務終了以降の18時ごろから段々と少なくなるという傾向にあります。
さらに、回線・ケーブルごとに利用可能な最大帯域が決められています。
これは、ISPとの契約時に回線ごとに決めるもので、最大帯域を大きくするほど費用もそれに応じて高くなります。
最大帯域を超えると、パケットの破棄や通信遅延が発生してしまうため、想定される帯域と予算を天秤にかけながら、ネットワーク設計者は契約帯域を決定する必要があります。
通信が不安定になった際には、こちらのグラフで最大帯域を超過していないか確認いただくのも1つの切り分け方法と言えます。
スループットが最大帯域に張り付いているような状況の際には、契約帯域の増速をご検討いただければと思います。
QoS
QoS(キューオーエス)とは、「Quality of Service」の略称で、日本語では「サービス品質」と訳されます。
インターネットや社内ネットワークなどで、データを送受信する際の品質を確保するための仕組みです。
QoSは、重要なデータが遅延したり止まったりしないように、どのデータを優先して送るかを決めて品質を確保します。
通常、回線の最大帯域を超えるトラフィックが発生すると、通信機器で遅延やパケットの破棄が発生します。
このような問題を解決する仕組みがQoSです。QoSには優先制御や帯域制御といった制御の種類があります。
優先制御であれば、例えばWeb会議のような即時性が求められる通信に対して優先度を高く設定することが多いです。
一方で、メールのような急がない通信では、優先度を低く設定することがあります。
この制御によって、Web会議の快適な通信を実現できます。
CatoクラウドでもQoSの仕組みが導入されています。詳細を知りたい方は、以下の記事をご覧ください。
・CatoクラウドのQoSについて – TechHarmony (usize-tech.com)
ルーティングテーブル
ルーティングテーブルとは、主にルータやL3スイッチなどのネットワーク機器がデータをどこに送るかを決定するために使用するテーブルのことです。
また、ネットワーク機器に限らずPCやサーバのようなIPアドレスで通信する、ほぼ全ての機器がルーティングテーブルを持って通信しています。
例えば皆さんお使いのPC上で、Windowsであれば、コマンドプロンプトで route print というコマンドを打てばルーティングテーブルを見られます。
ルーティングテーブルは、基本的には次の要素で構成されています。
• 宛先IPアドレスもしくはサブネット:最終的なデータ転送先のIPアドレスもしくはサブネット。
• ゲートウェイ:データが次に送られる中間地点のIPアドレス。
• 出力インターフェース:データが送信されるネットワーク機器のポート
• メトリック:ルートの優先順位を示す値。小さいほど優先度は高くなる。
Catoに限らず、ルーティングテーブルはネットワーク構成を考えるうえで、まず最初に検討を始める部分と言えます。
DHCP
DHCPは、「Dynamic Host Configuration Protocol」の略称で、ネットワーク管理プロトコルの一つです。
ネットワーク内の機器に自動的にIPアドレスを割り当てる際に主に使用されます。
DHCPはIPアドレスの他、IPアドレスのサブネットマスク、ネットワーク内で利用可能なDNSサーバのIPアドレス、外部ネットワークとの出入り口であるデフォルトゲートウェイのIPアドレス、割り当てられたアドレスのリース期間(使用期限)などの情報を通知します。
DHCPの利点は、機器利用者が手動で設定することなく、ネットワーク管理者が適切な設定を自動で適用できることです。
DHCPは、ネットワーク管理者にとって、IPアドレスの管理負担軽減のため有効なプロトコルとなっています。
ドメイン名・FQDN
ドメイン名とは、ネットワーク上に存在するコンピュータやネットワークを識別するための名前のことです。
コンピュータやネットワークを識別する際、IPアドレスが利用されますが、単なる数字の羅列のため人間が覚えづらく識別しづらいです。
そのため、識別しやすいように、文字・記号を組み合わせたドメイン名をつけることができます。
例えばGoogleであれば、「www.google.co.jp」にアクセスします。
上図のように、ドメインは実世界の住所表示のように広い領域を指す名前から順に範囲を狭めていく階層構造になっています。
各階層の識別名を「.」で区切って表記されています。
一番右が最上位階層で、左に向かって階層が下がっていきます。
それぞれ右からトップレベルドメイン(jp)、セカンドレベルドメイン(co)、サードレベルドメイン(google)呼ばれます。
また、特に実際にアクセス先となる「www.google.co.jp」は「FQDN」(完全修飾ドメイン名)とも呼ばれます。
なお、Catoでは、FWルールを設定する際、ドメイン名とFQDNを区別して設定する仕様になっています。
仮にgoogle.co.jp配下のサブドメインをすべて制御したい場合はDomainを選択、www.google.co.jpを完全一致で個別に制御したい場合にはFQDNを選択します。
このように、Catoに限らず用語ごとの設定仕様をよく確認することも実際の設定作業において重要になります。
DNS
DNSとは、「Domain Name System」の略称で、上記で説明したドメイン名とIPアドレスの対応関係をネットワーク上で管理しているシステムのことです。
外部からのドメイン名の問い合わせ解決するサーバをDNSサーバと呼びます。
反対にDNSサーバへ問い合わせするコンピュータをDNSクライアントもしくはDNSリゾルバと言います。
また、ドメイン名とIPアドレスの対応関係をサーバへの問い合わせによって明らかにすることを「名前解決」と呼びます。
ドメイン名から対応するIPアドレスを求めることを「正引き」、逆にIPアドレスからドメイン名を割り出すことを「逆引き」と呼ばれます。
ネットワーク設計において、特に社内ネットワークなどでFQDNを使った通信がある場合には、どのDNSサーバへ問い合わせするかを意識して設計することが必要です。
まとめ
いかがでしたでしょうか。
すでに理解できていた用語もあれば、人によってはあいまいに理解して誤用していた用語もあったのではないでしょうか。
本記事では、ネットワーク設計・運用において特に重要な用語を取り上げています。
Catoクラウドの初期設定や障害調査で用語の意味が理解できない場面で、ぜひ本記事に立ち戻ってご活用いただければ幸いです。
今後続編として、【セキュリティ編】【応用編】の投稿も予定しています。