VSS FAQ
【No Intelligence TAP】
【Intelligence TAP】
- 質問1:VSS対応ブラウザを教えてください
- 質問2:各ポートのリンクアップ時のLED点灯や色について教えていただけますか
- 質問3:Management Portへの接続が実Trafficに影響を及ぼすことはありますでしょうか
- 質問4:受信したトラフィックを解析装置に転送する際、転送先ポートの個数制限などの懸念事項を教えていただけないでしょうか
- 質問5:他製品のTAPとカスケード接続を行った場合、不具合は発生しませんか
- 質問6:TAP接続時にループは発生しませんか
- 質問7:再起動時に通信はどれくらいの間切れるのでしょうか
- 質問8:VSS製品の実行電圧の最大値を教えてください
【光ファイバーTAP】
[No Intelligence]
- 質問1:Network PortのTx側にのみケーブルを差し込んだ場合でもMonitor PortからのMirroringパケットの出力はありますか
- 質問2:光の分岐率は70:30や50:50などがありますが、それぞれどのような用途で使用しますか
[Intelligence]
【Protector Series】
【vMC】
【基本設定】
【Filter設定】
- 質問1:3つ以上のMAC Address / IPをFilteringすることができません
- 質問2:IPv6をFilteringする方法を教えてください
- 質問3:Condition項目の記述に制限はありますか
【Monitor設定】
【オプションライセンスについて】
【全体】
【vCapacity】
【De-duplication】
- 質問1:TTLが異なる場合において、VSSのDe-duplication機能はサポートしていますか
- 質問2:De-duplicationを有効にする上で、Time windowの推奨値を教えてください
【High Data Burst Buffer】
【管理】
【ライセンス】
【MTBF】
【SNMP】
【ログ】
【認証 / セキュリティ】
【認証】
【セキュリティ】
【冗長】
【保障】
【製品仕様】
【No Intelligence TAP】
質問1:Negotiationを100M固定(=ロータリースイッチを#2に設定)にしたところ、ポートのリンクアップが確認できなくなりました
回答:
背面のロータリースイッチの2番は接続している対向の機器が
Auto-MDIX及びAuto-negotiationがオフになっている場合にのみ使用することが推奨とされております。
固定⇔自動で接続すると障害の原因となる事例が報告されております。
またロータリースイッチを2番に合わせてしまうと
ネットワークポートのABのジャックはそれぞれ
Network Port A ... MDIXに固定
Network Port B ... MDIに固定
されます。
以上のことから以下の項目をご確認ください
1) ループバック接続でのリンクの状態
2) TAPを経由せず、直接接続をした際のリンクの状態
3) ケーブルをクロスケーブルへ変更後、TAPへ接続した際のリンクの状態
上記項目の1), 2)でリンクアップの確認ができ、且つ3)の接続でリンクアップが確認できなかった場合
弊社サポートセンターまでお問い合わせください。
【Intelligence TAP】
質問1:VSS対応ブラウザを教えてください
回答:
VSS対応ブラウザは
Internet Explorer 7.0, Mozilla Firefox 3.6, Google Chrome 17.0, Apple Safari 5.0以上
となります。
質問2:各ポートのリンクアップ時のLED点灯や色について教えていただけますか
回答:
ポートの下にあるLEDランプはそれぞれ
- 10G接続 ... 緑色
- それ以外 ... オレンジ色
質問3:Management Portへの接続が実Trafficに影響を及ぼすことはありますでしょうか
回答:
装置はネットワークデータ処理部(ネットワーク信号の分岐、アグリゲーション、モニタポートへの出力)と
装置を制御・管理する制御部(組み込み型CPUボード)で構成されています。
ネットワークデータの処理部と制御部は制御信号バスで接続され、
ネットワーク信号の制御部への流入はございません。
質問4:受信したトラフィックを解析装置に転送する際、転送先ポートの個数制限などの懸念事項を教えていただけないでしょうか
回答:
ポートのI/O設定は自在で、また入出力マトリックスも柔軟に対応可能でございます。
例えばV24L.P-SPANを例にとると、1入力 -> 12モニタ出力や 23入力 -> 1モニタ出力も構成可能です。
ただし、複数ポートのトラフィックをアグリゲーションする際はトラフィックの量やバースト時間をご検討いただく必要がございます。
10Gの帯域をご利用する場合、帯域の単位"bps"は秒間計測ですが、10Gにおける1秒は大変長い時間であるため
大量のパケットが瞬時に流れて出力帯域のオーバーフローが簡単に発生してしまいます。
Inteligent TAPは内部にバッファを持っており、
内部構成によりダイナミックに容量を都度構成し直しておりますが
10Gでのオーバーフローは1秒も持ちません。
質問5:他製品のTAPとカスケード接続を行った場合、不具合は発生しませんか
回答:
VSSはオリジナルのプロトコルでデータを カプセル化し、データを出力するといったことは行いませんので 他製品との接続に依存しません。
またそのような不具合も確認されていません。
質問6:TAP接続時にループは発生しませんか
回答:
Spanモードに設定したポートは入力のみ、 Monitorモードに設定したポートは出力のみのポートに物理的に切り替わります。
このため、通信の逆流が起こったりするようなことはありません。
また指定した出力先以外のポートへ通信が漏れたりするようなことはありません。
よって、予期せぬループが発生するようなことは起こりません。
質問7:再起動時に通信はどれくらいの間切れるのでしょうか
回答:
およそ10~15秒間ポート間の通信は切断されます
質問8:VSS製品の実行電圧の最大値を教えてください
回答:
例えばV24_LP_NJ-H2Fの場合、
ホットスワップ対応機器:
AC Input Voltage: 100-240V, 50/60 Hz -----> Maximum Power consumption: 216.5W, 2.41A.
DC Input Voltage: -48V ----------------------> Maximum Power consumption: 215.9W, 5.4A.
ホットスワップ未対応:
AC Input Voltage: 100-240V, 50/60 Hz -----> Maximum Power consumption: 290W, 4.5A.
DC Input Voltage: -48V ----------------------> Maximum Power consumption: 290W, 7.2A.
となります。 他の製品について詳細な情報がご必要であれば別途お問い合わせください。
【光ファイバーTAP】
[No Intelligence]
質問1:Network PortのTx側にのみケーブルを差し込んだ場合でもMonitor PortからのMirroringパケットの出力はありますか
回答:
光ファイバーTAPは内部で物理的にSplittingされている仕様なので
たとえ出力ポートにおいてリンクが上がってなくても対応したMonitorポートからMirrorされたパケットが出力されます。
質問2:光の分岐率は70:30や50:50などがありますが、それぞれどのような用途で使用しますか
回答:
光の分岐率の選択はTAPからの物理的な距離によって決めていただければと存じます。
例えばTAPとモニター装置が同セグメント(※)にある場合は70:30の分岐率での分岐率を推奨いたします。
セグメントが異なり距離的に遠くなる位置になる場合は
コピーした光の強さが入力した光の強さのおよそ30/100となるため光が届かなくなる可能性がございます。
したがってこの場合は50:50を推奨いたします。
※同セグメント...ここではリピータハブやスイッチングハブで区切られている範囲という意味で使用しています。
[Intelligence]
質問1:1芯で接続する際には強制リンクアップは必要でしょうか
回答:
VSS側でLinkUpを確認していないとポートがダウンしていると
(VSS側で)判断されてしまうためTxポートからTrafficを送ることはありません。
従って, 必須ということになります。
※強制リンクアップは対象ポートにおいて, ACKを内部へ返し、疑似的にポートリンクを上げる仕様でございます。
質問2:No Intelligenceの光TAP接続とのL1レベルの動作の違いを教えてください
回答:
Intelligence TAPのMonitor送信は光信号を電気信号に一度変換した後に
PHYチップを経由してモニターポートへ光信号にRegenerateし、
対向ポートへ送信するL2レベルの処理となります。
PHYチップを管理するネットワークデータ処理部はLinkのUp/DownをベースにTraffic制御を行うので
Linkの確立がないポートへはRegenerateしないことになります。
一方で、光TAP接続は内部で光を物理的にSeparateするL1レベルの処理なので
ポートのLink Up/Downの確認は必要ございません。
【Protector Series】
質問1:シングルポートのみでもヘルスチェックパケットをトリガーとして使用することは可能ですか
回答:
可能でございます。
例えば以下の配線を組んでいるとします。
- Network Bypass Mode ... Port1, Port2
- Bypass Monitor Mode(※) ... Port3, Port4, Port5 (※ただし、Port3, Port4はIPSのInterfaceに接続、Port5はIPSのManagement Portに接続)
この時Port5からIPSのManagement Portへ送信されたヘルスチェックパケットに対し、
IPSのManagement Portから返却されたパケットが規定の条件を満たさなかった場合、
ただちにPort3,Port4の接続を切り、Port1とPort2の通信をダイレクトにつなげるという動作が可能でございます。
【vMC】
質問1:vMCとは何ですか
回答:
vMCとはサーバー上で接続するVSS機器全てを一元管理する機能です。
回答:
Network上でサーバとMnagementポートを接続するのみで使用が可能です。
Software versionなどの制限はございません。
ただし、サーバ上でvMC Softwareを起動させるためにはServer上に
- Memory: 4GB RAM (推奨: 8GB RAM)
- Hard Drive: 8GB free space (推奨: 16GB free space)
- Processor: Dual core2 @ 2.93GHz on Dedicated Server (推奨: Physical Server)
- Debian 64-bit (もしくはそれ以降)
- Windows 2008 Server R2 64 bit (もしくはそれ以降)
またServerにはMySQL 5.1.x (もしくはそれ以降)をインストールする必要がございます。
※以下に簡単なインストール手順を示します。
1)MySQLをrootユーザでインストールします
$ sudo apt-get install mysql-server-5.1
2)MySQLをサーバー上で起動させます
$ sudo /usr/bin/mysqld_safe&
回答:
こちらをクリックし、Server用とClient用のSoftwareをインストールしてください。
[Server側の設定手順]
1) Debian上で起動させる場合
- 新規ユーザを作成します
- vMCのInstallationが既にある場合は"vssnmsserver"フォルダを消去してください
$ sudo rm -rf vssnmsserver - vMC Serverのzipファイルをrootディレクトリにコピーします
- コピーしたzipファイルを解凍します
$ sudo unzip VSSNMSServer.zip - vssnmsserver/binディレクトリへ移動します
$ cd vssnmsserver/bin - vMCデータベースをインストールします
$ sudo sh vMC.sh -installdb - パスワードを要求された場合、MySQLで設定したパスワードを入力します
- vMCサーバーを起動させます
$ sudo sh vMC.sh -startserver - パスワードを要求されたら"nms"と入力し、決定してください
- vMCサーバーを止める場合は以下のコマンドを入力します
$ sudo sh vMC.sh -stopserver (※vMC起動中は入力する必要はございません)
2) Windows上で起動させる場合
- vssnmsserver.zipファイルを用意します
- コマンドプロンプトを起動させ、"vssnmsserver/bin"フォルダへ移動します
- インストールを実行します
vMC.bat -installdb
※パスワードを要求されたらMySQLで設定したパスワードを実行してください - vMCサーバーを起動させます
vMC.bat -startserver - vMCサーバーを止める場合は以下のコマンドを入力します
vMC.bat -stopserver (※vMC起動中は入力する必要はございません)
[Client側の設定手順]
- vMC Clientのzipファイルを解凍します
- Linuxを使用している場合はclientアプリケーションを走らせます。
$ sudo sh startVSSvMC.sh - Windowsを使用している場合はstartVSSvMC.batファイルのショートカットをデスクトップ上に作成し、startVSSvMC.batファイルを走らせます。
- ID,パスワードを入力し、vMCサーバーにログインします
尚、Hardware上の容量は
- Memory: 2GB RAM (推奨: 4GB RAM)
- Hard Drive: 4GB free space (推奨: 8GB free space)
- Processor: Standard laptop or desktop PC (推奨: Deal core2 @ 2.93GHz)
- Linux (32-bit version)
- Windows 7 (もしくはそれ以降)
【基本設定】
【Filter設定】
質問1:3つ以上のMAC Address / IPをfilteringすることができません
回答:
"Quick", "Detailed"タブ内では、同レイヤにおける3つ以上のFiltering policyの設定を投入することはできません。
この場合、"Condition:"に直接Filtering対象を書き込む必要があります。
またハイフン"-"は対応していないため、連続したパラメータをFilteringする際には一つずつ記入する必要がございます。
例) Source IP: 192.168.0.1 ~ 192.168.0.3をFilteringする場合
○ ( IP Source 192.168.0.1 or IP Source 192.168.0.2 or IP Source 192.168.0.3)
× ( IP Source 192.168.0.1 - IP Source 192.168.0.3 )
質問2:IPv6をFilteringする方法を教えてください
回答:
GUI -> Filter Libraryの"Detailed"タブの項目にて、 Etype項目をIPv6に設定してください。
Condition欄には"EType 86DD"と表示されます。 デフォルト(記述なしの場合)はIPv4が対象です。
回答:
GUI -> Filter Libraryの"Quick"項目にて該当する項目にチェックを入れることで任意のfilterを簡易的に作成することができます。
このときCondition欄に条件式が自動的に付与されますが、この条件式を書き加えることでPolicyを増やすことが可能です。
書き込む際には下記の制限があります。
- 書き込むことができる文字は半角英数のみです。
- 大文字・小文字の区別はありません。
- 一つのFilterに書き込める最大文字数はスペースを含め、 4,000字までとなります。
【Monitor設定】
質問1:複数のポートからのTrafficを集約することでVSS内部において一時的にポートの帯域を超えた容量になってしまいました
このTrafficをFilteringしてMonitorポートへ出力することを考えているのですが、内部でPacketの損失は発生するのでしょうか
回答:
VSS内部の動きは入力ポートから受け取ったTrafficをBufferingしたのちにFilteringをして集約致します。
よってMonitorポートから出力されるのはFiltering処理された後のTrafficとなります。
従いまして集約されたTrafficがポートの容量以下であればPacketのロスは発生しません。
【オプションライセンスについて】
【全体】
質問1:Activateしたはずのライセンスをポートに組み込むことができません
回答:
VSSのライセンスには入力/出力ポート専用のライセンスがあります。
下記にそれぞれ専用のライセンスをまとめましたので参照ください。
- 入力ポート専用ライセンス ... Port Stamping, vSlice,
- 出力ポート専用ライセンス ... Packet Dedupulication,
- 入力出力ポート兼用ライセンス ... Time Stampling, GTP Decapsulation, vCapacity, High Data Burst Buffer
【vCapacity】
質問1:vCapacityをオプションで購入したのですが、保存したfileの確認/取得ができません
回答:
保存したfileはVSS機器のftpサーバへ保管されます。
VSS機器へftp接続をし、ユーザ名とパスワードを入力ください。
"vCapacity"ディレクトリをクリックし、 "utilization_x_xxxxxxxxx"をダウンロードすることでfileを取得することができます。
質問2:保存したfileを描画する手順を教えてください
回答:
図を描画するには こちら(※パスワード取得には弊社までお問い合わせください) のtemplateファイルの他に
以下のソフトをダウンロードする必要があります。
例)
1) Cドライブの下にPython26をインストールします。
2) Python26のディレクトリにtemplateファイル(= vcapacity_grapher-rel-0 4 362)を置きます。
3) "vcapacity_grapher-rel-0 4 362"ディレクトリに取得したvCapacity fileを置きます。
4) コマンドプロンプトを開き、Python26ディレクトリに移動します
C:\Users\hoge>cd C:\Python26
5) 以下の太字コマンドを実行することで取得したfileを描画することができます。
C:\Python26>python "vcapacity_grapher-rel-0 4 362\vcgraph.py" "vcapacity_grapher-rel-0 4 362\utilization_x_xxxxxxxx"
【De-duplication】
質問1:TTLが異なる場合において、VSSのDe-duplication機能はサポートしていますか
回答:
Software version 2.x.xxはレイヤ2までのフレームまでしか対応していないためduplex packetは破棄されません。
TTLにつきましては今後対応する予定です。
質問2:De-duplicationを有効にする上で、Time windowの推奨値を教えてください
回答:
Time windowの推奨値はデフォルト値の100msになります。
【High Data Burst Buffer】
質問1:High Data Burst Buffer機能(以下:HDDB機能)におけるBufferサイズを教えてください
回答:
HDBB機能がインストールされた10Gポートにおいて、300,000 1500-byteパケットをバッファリングすることが可能でございます。
【管理】
【ライセンス】
質問1:ポートライセンスについて仕様を教えてください
回答:
VSS製品のライセンスは各ポートのMACアドレスに紐付いています。
したがいまして、任意のポート間でのライセンスの移行はできません。
また、ライセンスに期限はございません。
質問2:製品購入後、Software Baseで追加可能なライセンスを教えてください
回答:
追加購入可能なライセンスは以下の15種になります。
Filter(※), Load Balancing(※), vStack(※), vSlice, Port/Time Stamping,
MPLS/VLAN Stripping, GTP De-encapsulation, vCapacity,
Packet Optimization, MPLS De-encapsulation, vStack over TCPIP,
Packet De-duplication, Packet Fragment Reassembly, GTP IMSI Balancing,
PTPv2 Time Sync for Time Stamping
(※ エキスパートモデルにおいて標準装備)
一方、追加購入がHardware BaseになるライセンスはHigh Data Burst Buffer, vSpoolになります。
Hardware Baseのライセンスを追加で購入される場合は一度筐体をメーカへ配送し
Bufferを組み込みなおす必要がございますので弊社までご連絡ください。
またHigh Data Burst BufferをActivateしたポートは これらのライセンスを併用して使うことはできません。
High Data Burst Bufferの機能(ライセンス)は出荷前に物理的に筐体に組み込む必要があるので
機器購入後からの追加/変更は原則的にできません。
【MTBF】
質問1:各製品のMTBF(平均故障間隔)を教えてください
回答:
各機種の型番とMTBFの関係は以下になります。
機器型番 | MTBF [Total operating hours] |
v24 | 773,760 |
V1.1 C.C-F | 8,946,360 |
V1.1 L.L-0 | 3,142,128 |
V 1.3 C.C-E-IS | 1,275,480 |
v6.6 L.L-O | 1,032,264 |
v2.2 L.L-O | 1,032,264 |
v12.12 L.L-O | 1,032,264 |
v12.4 C.C-F-V3 | 678,432 |
V8C-F-FV3 | 1,990,000 |
【SNMP】
質問1:サポートしているSNMPのバージョンを教えてください
回答:
VSSはSNMP v1, v2(v2c), v3をサポートしています。
質問2:SNMP Trapが上がる条件を教えてください
回答:
Trapは下記7点の条件でマネージャへ送信されます。
- VSS機器へのログイン/ログアウト
- VSS機器へのログインの失敗
- 設定変更時
- PortのLink Up/Down
- 片側電源の抜線/接続
- VSS機器における電源供給の著しい低下/復旧
- VSS内部温度の異常/復旧
質問3:上記条件の一部をオフにすることはできますか
回答:
VSSではTrapの一部を上がらないように設定することはできません。
したがいまして特定のTrapのみの情報が必要であれば、VSSより下のスイッチやサーバで破棄する設定を入れる必要がございます。
【ログ】
質問1:ログに関してですが、VSS内部にも保存されていますでしょうか
回答:
VSS内部にはログを保存する機能はございません。ログが必要な場合、別途Syslogを設定する必要がございます。
また、Syslog serverへ出力されるログは
- システムの再起動
- PortのLink Up/Down
- Cold start実行(電源ケーブルの接続時)
- 片側電源の抜線/接続
- Triggerの実行
【認証 / セキュリティ】
【認証】
質問1:あらかじめ存在するアカウントは削除することは可能でしょうか
回答:
予め用意されているユーザは管理者ユーザのみであり
こちらは削除することは不可能でございます。
(ただしIDの変更は可能です)
質問2:ローカルユーザを登録する場合、最大いくつのユーザ登録が可能でしょうか
回答:
ローカルユーザは最大で10個登録することが出来ます。 それ以上登録が必要な場合は外部認証サーバとの連携が必要になります。
また管理者でないユーザを登録する際には"System Settings"のチェックをはずすことを推奨致します。
(チェックがついている場合、そのユーザは管理者を含む他のユーザのパスワードや設定の変更をすることが可能となってしまいます)
質問3:Passwordの最小文字数と最大文字数を教えてください
回答:
Passwordの最大文字数はBasic TAPとIntelligence TAPでそれぞれ異なります。
- Basic TAP ... 最大10文字※ (ASCII)
- Intelligence TAP ... 最大64文字 (ASCII)
尚、最小文字数はどちらも0文字となります。
質問4:IDパスワードの管理は暗号化して保持することは可能でしょうか
回答:
VSSへはlinuxでのログインは不可能であり、telnet, SSHを使用したログインになります。
その際、CLIコマンドとなるため、ID,パスワードの秘匿には問題ございません。
質問5:RADIUSサーバと連携をとる場合、アトリビュート(=アクセスコントロールリスト)の記載方法を教えてください
回答:
例えばV24の場合、アトリビュートの記載方法は以下になります。
"Ports=1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24;
Access=SystemSettings,NetworkPortSettings,MonitorPortSettings,FilterLibrary,FiltterSettings/Maps"
ここでは全てのポート、及びアクセス権を許可することになっていますが
このうち任意のポート及びアクセス権を選択することで制限を設けることが可能でございます。
また記述にはワイルドカード(=*)も有効であり、
"Ports=*;Access=*"
は上記の例と同じ意味を持ちます。
【セキュリティ】
質問1:ホスト上で動作しているサービスのソフトウェア名、バージョンなどを可能な限り秘匿することは可能でしょうか
回答:
APIをサポートしておりますのでAPIで独自のGUIを提供する必要がございます。
【冗長】
質問1:vStack+を使用して機器を冗長する場合の注意点を教えてください
回答:
vStack+ only, vStack+ over TCP/IPを使用して機器を冗長する場合
Stackingしている機器のSoftware versionは全て同一のものでなければなりません。
質問2:vStack+ over IP機能の概要を教えてください
回答:
vStack+ over IP機能はスタック接続経路のモニタリングフレームをIPでカプセリングして遠方の装置に転送致します。
※監視ネットワークフレームをカプセリングするため伝送効率はラインレートまで出ません。
また設定可能なパラメータは以下になります。
- Source IPアドレスとTCPポートナンバー
- Destination IPアドレスとTCPポートナンバー
- サブネットマスク
- デフォルトゲートウェイ
- MTUサイズ (bytes)
- TCPモード (Server or Client)
- 暗号化のOn/Off, 及び暗号key
【保障】
質問1:VSSの保障費用を教えてください
回答:
初年度は無償でついております。
2年目以降の目安は以下になります。
1年間の延長保障費 ... 製品定価の10%
2年間の延長保障費 ... 製品定価の15%
3年間の延長保障費 ... 製品定価の20%
4年間の延長保障費 ... 製品定価の30%
5年間の延長保障費 ... 製品定価の40%