Skip to content
ネスぺ学習メモ

ネットワーク監視とトラブルシューティング

ネットワークの安定稼働には、常時の監視と障害時の迅速な対応が不可欠です。試験では、SNMPの仕組み、バージョンごとの違い、トラブルシューティング手法(コマンドやパケット解析)が頻出です。

監視プロトコルの代表格:SNMP

Section titled “監視プロトコルの代表格:SNMP”

SNMP (Simple Network Management Protocol) は、TCP/IPネットワーク上の機器を監視・制御するための標準プロトコルです。UDP 161 (Polling) / 162 (Trap) を使用します。

基本構成

Section titled “基本構成”
  1. SNMPマネージャー: 監視を行うサーバー。
  2. SNMPエージェント: 監視対象の機器(ルータースイッチ、サーバー)。
  3. MIB (Management Information Base): 管理情報のデータベース。ツリー構造を持つ。
sequenceDiagram
    participant M as SNMPマネージャー<br/>(監視サーバー)
    participant A as SNMPエージェント<br/>(監視対象)

    Note over M, A: ポーリング (Polling)
    M->>A: GetRequest (情報要求)
    A-->>M: GetResponse (情報応答)
    M->>A: SetRequest (設定変更)
    A-->>M: GetResponse

    Note over M, A: トラップ (Trap)
    Note over A: 障害発生!
    A->>M: Trap (自発的に通知)
    Note over M: マネージャーは<br/>応答を返さない

SNMPのバージョン比較

Section titled “SNMPのバージョン比較”
バージョン特徴セキュリティ
SNMPv1最初期の実装。機能は限定的。コミュニティ名(平文)のみで認証。
SNMPv2cパフォーマンス向上。GetBulkRequest(一括取得)追加。コミュニティ名(平文)のみで認証。
SNMPv3セキュリティ強化が主眼。USM(ユーザーベース認証)と**VACM**(ビューベースアクセス制御)。認証(MD5/SHA)と暗号化(DES/AES)に対応。

トラフィック分析:NetFlow / sFlow

Section titled “トラフィック分析:NetFlow / sFlow”

パケットの中身ではなく、フロー情報(送信元/宛先IP、ポート、プロトコル、パケット数など)を統計情報として収集する技術です。

graph LR
    subgraph router["ルーター (Exporter)"]
        PKT["パケット処理"]
        CACHE["フローキャッシュ<br/>集計"]
    end

    COLLECTOR["NetFlowコレクター<br/>(分析サーバー)"]

    PKT -->|"情報を抽出"| CACHE
    CACHE -->|"定期的に送信<br/>(UDP)"| COLLECTOR

    style router fill:#fff3e0
    style COLLECTOR fill:#e3f2fd
技術特徴仕組み
NetFlowCisco独自(標準化されIPFIXへ)。全パケット(またはサンプリング)を見てフローを生成し、終了時や定期的に送信。
sFlowマルチベンダー対応。パケットをサンプリングして、そのままコレクターへ転送。解析はコレクター側で行うため機器負荷が軽い。

ログ管理:Syslog

Section titled “ログ管理:Syslog”

ネットワーク機器やサーバーのシステムログを収集・転送する標準規格です。UDP 514を使用するのが一般的ですが、信頼性が必要な場合はTCPTLSも使われます。

Syslogの重要度(Severity): 数字が小さいほど緊急度が高いです。

数値キーワード説明
0Emergencyシステム使用不能
1Alert直ちに行動が必要
2Critical致命的な状態
3Errorエラー状態
4Warning警告
5Notice正常だが注意が必要
6Informational情報メッセージ
7Debugデバッグ情報

トラブルシューティングの基本

Section titled “トラブルシューティングの基本”

切り分けのステップ

Section titled “切り分けのステップ”
  1. 物理層: ケーブルは繋がっているか?リンクランプは点灯しているか?
  2. データリンク層: MACアドレスは学習されているか?VLAN設定は正しいか?
  3. ネットワーク層: IPアドレスは正しいか?ルーティングはあるか?
  4. トランスポート層以上: ポートは開いているか?FWでブロックされていないか?

必須コマンド

Section titled “必須コマンド”
コマンド用途確認ポイント
[[ping]]疎通確認 (ICMP)応答があるか、パケットロス率、RTT(遅延時間)。
[[traceroute]]
(tracert)		経路確認どのルーターまで届いているか、どこで止まっているか。
[[arp]]ARPテーブル確認IPアドレスMACアドレスの対応が正しいか。
[[nslookup]]
([[dig]])		DNS名前解決ホスト名からIPアドレスが引けるか。
[[netstat]]
(ss)		接続状態確認ポートがLISTEN状態か、ESTABLISHEDか。

パケットキャプチャ

Section titled “パケットキャプチャ”

原因不明の通信トラブルでは、Wireshark[[tcpdump]]で実際のパケットを見るのが最終手段かつ最強の手段です。

  • TCP 3-way handshake: SYN -> SYN/ACK -> ACK が正しく行われているか。
  • 再送パケット: 同じシーケンス番号のパケットが何度も送られていないか(パケットロスを示唆)。
  • リセットパケット: 通信拒否を示す RST フラグが返ってきていないか。

試験対策のポイント

Section titled “試験対策のポイント”
  1. SNMPv3の要素: USM(認証・暗号化)とVACM(アクセス制御)という用語、v1/v2cのコミュニティ名の危険性。
  2. NetFlowとsFlowの違い: 集計して送るか(NetFlow)、サンプリングして生データを送るか(sFlow)。
  3. 障害検知: ポーリング(定期的確認)とトラップ(即時通知)の使い分け。トラップはUDPなのでロストする可能性がある点。
  4. コマンド出力の読み取り: 午後問題では、pingshow ip route などの実行結果から原因を特定させることが多い。