English

ネットワークトラフィックをキャプチャするには?ネットワークタップとポートミラー

ネットワーク トラフィックを分析するには、ネットワーク パケットを NTOP/NPROBE またはアウトオブバンド ネットワーク セキュリティおよび監視ツールに送信する必要があります。この問題には 2 つの解決策があります。

ポートミラーリング(SPAN とも呼ばれます)

ネットワークタップ(レプリケーション タップ、アグリゲーション タップ、アクティブ タップ、カッパー タップ、イーサネット タップなどとも呼ばれます)

2 つのソリューション (ポート ミラーとネットワーク タップ) の違いを説明する前に、イーサネットがどのように機能するかを理解することが重要です。 100M ビット以上では、ホストは通常​​全二重で通信します。これは、1 つのホストが送信 (Tx) と受信 (Rx) を同時に行うことができることを意味します。これは、1 つのホストに接続された 100 Mbit ケーブル上で、1 つのホストが送受信できるネットワーク トラフィックの総量 (Tx/Rx) が 2 × 100 Mbit = 200 Mbit であることを意味します。

ポート ミラーリングはアクティブなパケット レプリケーションです。つまり、ネットワーク デバイスがミラーリングされたポートにパケットをコピーする役割を物理的に担っています。

ネットワークスイッチポートミラー

これは、デバイスが何らかのリソース (CPU など) を使用してこのタスクを実行する必要があり、両方のトラフィック方向が同じポートに複製されることを意味します。前述したように、全二重リンクでは、これは次のことを意味します。

A -> B および B -> A

A の合計は、パケット損失が発生するまでのネットワーク速度を超えることはありません。これは、パケットをコピーするためのスペースが物理的に存在しないためです。ポート ミラーリングは、多くのスイッチ (すべてではありません) で実行できるため、優れた技術であることがわかりました。これは、50% を超える負荷でリンクを監視したり、ポートをより高速なポートに接続します (例: 100 Mbit ポートを 1 Gbit ポートにミラ​​ーリングします)。言うまでもなく、パケット ミラーリングではスイッチ リソースの交換が必要になる場合があり、これによりデバイスに負荷がかかり、交換パフォーマンスが低下する可能性があります。 1 つのポートを 1 つのポートに接続したり、1 つの VLAN を 1 つのポートに接続したりすることはできますが、通常、多くのポートを 1 つにコピーすることはできないことに注意してください。(パケット ミラーのように) 存在しません。

ネットワーク TAP (ターミナル アクセス ポイント)は完全にパッシブなハードウェア デバイスであり、ネットワーク上のトラフィックをパッシブにキャプチャできます。これは、ネットワーク内の 2 つのポイント間のトラフィックを監視するために一般的に使用されます。これら 2 つのポイント間のネットワークが物理ケーブルで構成されている場合、ネットワーク TAP がトラフィックをキャプチャする最適な方法である可能性があります。

ネットワーク TAP には、A ポート、B ポート、およびモニター ポートの少なくとも 3 つのポートがあります。ポイント A とポイント B の間にタップを配置するには、ポイント A とポイント B の間のネットワーク ケーブルを 1 対のケーブルに置き換えます。1 つは TAP の A ポートに接続され、もう 1 つは TAP の B ポートに接続されます。 TAP は 2 つのネットワーク ポイント間のすべてのトラフィックを通過させるため、これらのネットワーク ポイントは引き続き相互に接続されます。また、TAP はトラフィックをそのモニター ポートにコピーするため、分析デバイスがリッスンできるようになります。

ネットワーク TAP は、APS などの監視および収集デバイスによって一般的に使用されます。 TAP は、目立たず、ネットワーク上で検出されず、全二重および非共有ネットワークに対応でき、タップが動作を停止したり電源が失われたりしても、通常はトラフィックを通過させるため、セキュリティ アプリケーションでも使用できます。 。

ネットワークタップアグリゲーション

Network Taps ポートは受信ではなく送信のみを行うため、スイッチはポートの後ろに誰が座っているのかまったくわかりません。その結果、パケットがすべてのポートにブロードキャストされます。したがって、監視デバイスをスイッチに接続すると、そのデバイスはすべてのパケットを受信します。このメカニズムは、監視デバイスがスイッチにパケットを送信しない場合に機能することに注意してください。それ以外の場合、スイッチはタップされたパケットがそのデバイス向けのものではないとみなします。これを実現するには、TX ワイヤが接続されていないネットワーク ケーブルを使用するか、パケットをまったく送信しない IP レス (および DHCP レス) ネットワーク インターフェイスを使用します。最後に、パケットを失わないためにタップを使用したい場合は、方向をマージしないか、タップされた方向がマージ ポート (例: 1 Gbit) よりも遅いスイッチ (例: 100 Mbit) を使用することに注意してください。

ネットワークタップのレプリケーション

では、ネットワーク トラフィックをキャプチャするにはどうすればよいでしょうか?ネットワークタップとスイッチポートのミラーリング

1- 簡単な設定: [ネットワーク タップ] > [ポート ミラー]

2- ネットワーク パフォーマンスへの影響: ネットワーク タップ < ポート ミラー

3- キャプチャ、レプリケーション、集約、転送機能: ネットワーク タップ > ポート ミラー

4- トラフィック転送遅延: ネットワーク タップ < ポート ミラー

5- トラフィック前処理能力: ネットワーク タップ > ポート ミラー

ネットワークタップとポートミラーリング

投稿日時: 2022 年 3 月 30 日
Enter キーを押して検索するか、ESC キーを押して閉じます