English

ネットワークトラフィックをキャプチャする方法とは?ネットワークタップとポートミラーリングの違い

ネットワークトラフィックを分析するには、ネットワークパケットをNTOP/NPROBEまたはアウトオブバンドネットワークセキュリティおよび監視ツールに送信する必要があります。この問題には2つの解決策があります。

ポートミラーリング(SPANとも呼ばれる)

ネットワークタップ(レプリケーションタップ、アグリゲーションタップ、アクティブタップ、カッパータップ、イーサネットタップなどとも呼ばれます。)

2 つのソリューション (ポートミラーとネットワークタップ) の違いを説明する前に、イーサネットの仕組みを理解することが重要です。100 Mbit 以上では、ホストは通常​​全二重通信を行います。つまり、1 つのホストが送信 (Tx) と受信 (Rx) を同時に行うことができます。これは、1 つのホストに接続された 100 Mbit ケーブルでは、1 つのホストが送受信できるネットワーク トラフィックの総量が 2 × 100 Mbit = 200 Mbit であることを意味します。

ポートミラーリングはアクティブなパケット複製であり、ネットワークデバイスが物理的にパケットをミラーリングされたポートにコピーする責任を負います。

ネットワークスイッチのポートミラーリング

これは、デバイスが何らかのリソース(CPUなど)を使用してこのタスクを実行する必要があり、トラフィックの双方向が同じポートに複製されることを意味します。前述のように、全二重リンクでは、

A → B および B → A

パケット損失が発生する前に、A の合計がネットワーク速度を超えることはありません。これは、物理的にパケットをコピーするスペースがないためです。ポートミラーリングは多くのスイッチで実行できるため優れた技術であることがわかります (ただし、すべてではありません)。ほとんどのスイッチはパケット損失の欠点があるため、50% を超える負荷でリンクを監視したり、ポートをより高速なポートにミラ​​ーリングしたり (たとえば、100 Mbit ポートを 1 Gbit ポートにミラ​​ーリング) します。パケットミラーリングではスイッチのリソースを交換する必要がある場合があり、デバイスに負荷がかかり、交換パフォーマンスが低下する可能性があることは言うまでもありません。1 つのポートを 1 つのポートに接続したり、1 つの VLAN を 1 つのポートに接続したりすることはできますが、一般的には多くのポートを 1 つのポートにコピーすることはできません。(パケットミラーリングのように) が欠落しています。

ネットワークTAP(端末アクセスポイント)ネットワークTAPは、ネットワーク上のトラフィックをパッシブにキャプチャできる、完全にパッシブなハードウェアデバイスです。ネットワーク内の2点間のトラフィックを監視するためによく使用されます。2点間のネットワークが物理的なケーブルで構成されている場合、ネットワークTAPはトラフィックをキャプチャする最良の方法となる可能性があります。

ネットワークTAPには、Aポート、Bポート、モニターポートの少なくとも3つのポートがあります。ポイントAとポイントBの間にTAPを設置するには、ポイントAとポイントB間のネットワークケーブルを、TAPのAポートとBポートに接続するケーブルのペアに置き換えます。TAPは2つのネットワークポイント間のすべてのトラフィックを転送するため、2つのポイントは接続されたままになります。また、TAPはトラフィックをモニターポートにもコピーするため、分析デバイスがトラフィックを傍受できるようになります。

ネットワークTAPは、APSなどの監視・収集装置で一般的に使用されています。TAPは、目立たず、ネットワーク上で検出されず、全二重通信や非共有ネットワークに対応でき、タップが動作を停止したり電源が切れたりしても通常はトラフィックを通過させるため、セキュリティアプリケーションにも使用できます。

ネットワークタップ集約

ネットワークタップポートは受信せず送信のみを行うため、スイッチはポートの背後に誰がいるのかを認識できません。その結果、スイッチはパケットをすべてのポートにブロードキャストします。したがって、監視デバイスをスイッチに接続すると、そのデバイスはすべてのパケットを受信します。このメカニズムは、監視デバイスがスイッチにパケットを送信しない場合に機能することに注意してください。そうでない場合、スイッチはタップされたパケットがそのデバイス宛てではないと判断します。これを実現するには、TXワイヤを接続していないネットワークケーブルを使用するか、パケットをまったく送信しないIPアドレスなし(およびDHCPなし)のネットワークインターフェイスを使用します。最後に、パケット損失を防ぐためにタップを使用する場合は、方向をマージしないか、タップ方向の速度がマージポート(例:1 Gbit)よりも遅い(例:100 Mbit)スイッチを使用する必要があることに注意してください。

ネットワークタップのレプリケーション

では、ネットワークトラフィックをキャプチャするにはどうすればよいのでしょうか?ネットワークタップとスイッチポートミラーリングの違いは?

1. 簡単な設定:ネットワークタップ > ポートミラーリング

2- ネットワークパフォーマンスへの影響:ネットワークタップ < ポートミラーリング

3. キャプチャ、レプリケーション、集約、転送機能:ネットワークタップ > ポートミラーリング

4- トラフィック転送遅延: ネットワークタップ < ポートミラーリング

5- トラフィック前処理能力:ネットワークタップ > ポートミラーリング

ネットワークタップとポートミラーリング

投稿日時:2022年3月30日
検索するにはEnterキーを押すか、閉じるにはESCキーを押してください。