English

ネットワークトラフィックをキャプチャする方法は?ネットワークタップvsポートミラー

ネットワークトラフィックを分析するには、ネットワークパケットをNTOP/NProbeまたは帯域外のネットワークセキュリティおよび監視ツールに送信する必要があります。この問題には2つの解決策があります。

ポートミラーリング(スパンとも呼ばれます)

ネットワークタップ(複製タップ、集約タップ、アクティブタップ、銅タップ、イーサネットタップなどとも呼ばれます。)

2つのソリューション(ポートミラーとネットワークタップ)の違いを説明する前に、イーサネットがどのように機能するかを理解することが重要です。 100mbit以上で、ホストは通常​​、完全な二重で話します。つまり、1人のホストが(TX)を送信して(RX)同時に受信できることを意味します。これは、1つのホストに接続された100 MBITケーブルで、1つのホストが送信/受信できるネットワークトラフィック(TX/RX)の合計量は2×100 Mbit = 200 Mbitであることを意味します。

ポートミラーリングはアクティブなパケットレプリケーションです。つまり、ネットワークデバイスは、パケットをミラーポートにコピーするために物理的に責任を負います。

ネットワークスイッチポートミラー

これは、デバイスが何らかのリソース(CPUなど)を使用してこのタスクを実行する必要があり、両方のトラフィック方向が同じポートに複製されることを意味します。前述のように、完全なデュプレックスリンクで、これはそれを意味します

a-> bおよびb-> a

パケット損失が発生する前に、Aの合計はネットワーク速度を超えません。これは、パケットをコピーするスペースが物理的にないためです。ポートミラーリングは、50%を超える負荷でリンクを監視する場合、またはポートをより高速なポートにミラ​​ーリングする場合、パケット損失の欠点を持つスイッチのほとんどが多くのスイッチで実行できるため、ポートミラーリングは優れたテクニックであることがわかります(1 GBITポートのミラー100 MBITポート)。言うまでもなく、パケットミラーリングにはスイッチリソースを交換する必要がある場合があります。これにより、デバイスをロードし、交換パフォーマンスが低下する場合があります。 1つのポートを1つのポートに、または1つのVLANを1つのポートに接続できますが、通常、多くのポートを1にコピーすることはできません(したがって、パケットミラーとして)がありません。

ネットワークタップ(ターミナルアクセスポイント)完全にパッシブハードウェアデバイスであり、ネットワーク上のトラフィックを受動的にキャプチャできます。一般に、ネットワーク内の2つのポイント間のトラフィックを監視するために使用されます。これら2つのポイント間のネットワークが物理ケーブルで構成されている場合、ネットワークタップがトラフィックをキャプチャする最良の方法である場合があります。

ネットワークタップには、Aポート、Bポート、モニターポートの少なくとも3つのポートがあります。ポイントAとBの間にタップを配置するには、ポイントAとポイントBの間のネットワークケーブルがケーブルのペアに置き換えられ、1つはタップのAポートに、もう1つはタップのBポートに行きます。タップは、2つのネットワークポイント間のすべてのトラフィックを通過するため、互いに接続されています。 TAPはまた、トラフィックをモニターポートにコピーするため、分析デバイスを聞くことができます。

ネットワークタップは、APSなどの監視および収集デバイスによって一般的に使用されます。タップはセキュリティアプリケーションでも使用できます。なぜなら、それらは非閉塞性であり、ネットワーク上では検出できず、全二重および非共有ネットワークに対処でき、通常はタップが動作を停止したり電力を失ったりしてもパススルートラフィックを行うことができます。

ネットワークタップ集約

ネットワークTAPSポートは受信しないが送信のみであるため、スイッチにはポートの後ろに座っている人がいない。その結果、パケットをすべてのポートにブロードキャストします。したがって、監視デバイスをスイッチに接続すると、そのようなデバイスはすべてのパケットを受信します。監視デバイスがパケットをスイッチに送信しない場合、このメカニズムは機能することに注意してください。それ以外の場合、スイッチは、タップされたパケットがそのようなデバイス用ではないと想定します。それを達成するために、TXワイヤを接続していないネットワークケーブルを使用するか、パケットをまったく送信しないIP-レス(およびDHCP-レス)ネットワークインターフェイスを使用できます。最後に、パケットを紛失しないためにタップを使用する場合は、方向をマージしないか、タップされた方向がマージポート(1 gbitなど)が遅い(100 mbit)スイッチを使用しないことに注意してください。

ネットワークタップレプリケーション

それでは、ネットワークトラフィックをキャプチャする方法は?ネットワークタップvsスイッチポートミラー

1-簡単な構成:ネットワークタップ>ポートミラー

2-ネットワークパフォーマンスの影響:ネットワークタップ<ポートミラー

3-キャプチャ、複製、集約、転送能力:ネットワークタップ>ポートミラー

4-トラフィック転送レイテンシ:ネットワークタップ<ポートミラー

5-トラフィック前処理能力:ネットワークタップ>ポートミラー

ネットワークタップvsポートミラー

投稿時間:3月30日 - 2022年
Enterを押して検索するか、ESCを閉じます