ネットワーク TAP ポートと SPAN ポートを使用したパケットのキャプチャの主な違い。
ポートミラーリング(SPANとも呼ばれる)
ネットワークタップ(レプリケーション タップ、アグリゲーション タップ、アクティブ タップ、銅線タップ、イーサネット タップなどとも呼ばれます)TAP(端末アクセスポイント)完全にパッシブなハードウェアデバイスであり、ネットワーク上のトラフィックをパッシブにキャプチャできます。ネットワーク内の2点間のトラフィックを監視するためによく使用されます。2点間のネットワークが物理ケーブルで構成されている場合、ネットワークTAPはトラフィックをキャプチャする最適な方法となる可能性があります。
2つのソリューション(ポートミラーリングとネットワークタップ)の違いを説明する前に、イーサネットの仕組みを理解することが重要です。100Mbit以上の速度では、ホストは通常全二重通信を行います。つまり、1台のホストが送信(Tx)と受信(Rx)を同時に行うことができます。つまり、1台のホストに接続された100Mbitケーブルでは、1台のホストが送受信できるネットワークトラフィックの総量は、2 × 100Mbit = 200Mbitとなります。
ポートミラーリングはアクティブなパケットレプリケーションです。つまり、ネットワークデバイスがミラーリングされたポートにパケットを物理的にコピーする役割を担います。
トラフィックのキャプチャ: TAP vs SPAN
ネットワークトラフィックを監視する際に、ユーザーがトランザクションを処理している間に直接サポートを運用したくない場合は、主に2つの選択肢があります。以下の記事では、TAP(Test Access Point)とSPAN(Switch Port Analyzer)の概要を説明します。より詳細な分析については、パケットインスペクションの専門家であるTimo'Neill氏がlovemytool.comで詳細な記事を複数公開していますが、ここではより一般的なアプローチを取り上げます。
スパン
ポートミラーリングは、スイッチの1つ以上のポート(またはVLAN)から送信される各受信パケットおよび/または送信パケットのコピーを、ネットワークトラフィックアナライザに接続された別のポートに転送することで、ネットワークトラフィックを監視する手法です。スパンは、複数のサイトを同時に監視するために、よりシンプルなシステムでよく使用されます。監視可能なネットワーク伝送の正確な数は、データセンター機器に対するSPANの設置場所によって異なります。おそらく探している情報は見つかるでしょうが、データが多すぎることに気づくことはよくあります。例えば、VLAN全体に同じデータの複数のコピーが存在する可能性があります。これはLANのトラブルシューティングを困難にするだけでなく、スイッチCPUの速度に影響を与えたり、配置検出を通じてイーサネットに影響を与えたりします。基本的に、スパンの数が多いほど、パケット損失の可能性が高くなります。タップと比較して、スパンはリモート管理が可能であるため、構成変更にかかる時間は短縮されますが、それでもネットワークエンジニアは必要です。
SPAN ポートは、一部の人が主張するように受動的なテクノロジーではありません。ネットワーク トラフィックに次のような測定可能な影響を及ぼす可能性があるからです。
- フレームインタラクションを変更する時間
- 過剰なルックアップによるパケットのドロップ
- 破損したパケットは予告なく破棄され、分析を妨げます
したがって、SPAN ポートは、パケットのドロップが分析に影響しない状況や、コストが考慮される状況に適しています。
タップ
一方、タップはハードウェアに初期投資が必要ですが、セットアップはそれほど手間がかかりません。実際、タップはパッシブなので、ネットワークに影響を与えることなく接続したり切断したりできます。タップは、コンピュータネットワークを流れるデータにアクセスするためのハードウェアデバイスであり、ネットワークセキュリティやパフォーマンス監視の目的でよく使用されます。監視対象のトラフィックは「パススルー」トラフィックと呼ばれ、監視に使用されるポートは「監視ポート」と呼ばれます。ネットワークをより詳細に調査するために、タップをルーターとスイッチの間に設置することもできます。
TAP はパケットに影響を与えないため、ネットワーク トラフィックを表示する完全に受動的な方法と見なすことができます。
TAP ソリューションには基本的に 3 つの種類があります。
- ネットワークスプリッター(1:1)
- 集約TAP(マルチ:1)
- 再生TAP(1:マルチ)
TAP は、トラフィックを単一のパッシブ監視ツールまたは高密度ネットワーク パケット リレー デバイスに複製し、複数 (多くの場合複数) の QOS テスト ツール、ネットワーク監視ツール、および Wireshark などのネットワーク スニファー ツールにサービスを提供します。
さらに、TAPの種類はケーブルの種類によって異なります。光ファイバーTAPとギガビット銅線TAPはどちらも、信号の一部をネットワークトラフィックアナライザーにオフロードし、メインモデルは中断することなく伝送を継続するという、基本的に同じ動作をします。光ファイバーTAPの場合はビームを2つに分割し、銅線ケーブルシステムの場合は電気信号を複製します。
TAPとSPANの比較
まず、SPANポートは全二重1Gリンクには適していません。最大容量を下回っている場合でも、過負荷状態、あるいはスイッチがSPANポートデータよりも通常のポート間データを優先するため、すぐにパケットがドロップされます。ネットワークタップとは異なり、SPANポートは物理層エラーをフィルタリングするため、一部の分析が困難になります。また、前述のように、インクリメント時間の誤りやフレームの変更は、他の問題を引き起こす可能性があります。一方、TAPは全二重1Gリンクを運用できます。
TAP は完全なパケット キャプチャを実行し、プロトコル、違反、侵入などについて詳細なパケット検査を実行することもできます。そのため、TAP データは法廷で証拠として使用できますが、SPAN ポート データは使用できません。
セキュリティも、2つの技術の違いの一つです。SPANポートは通常、一方向通信用に設定されますが、場合によっては通信も受信できるため、深刻な脆弱性が生じる可能性があります。一方、TAPはアドレス指定ができず、IPアドレスもないため、ハッキングされることはありません。
SPANポートは通常VLANタグを渡さないため、VLAN障害の検出が困難になる可能性がありますが、タップはVLANネットワーク全体を一度に監視することはできません。集約タップを使用しない場合、タップは両方のチャネルに対して同じトレースを提供しませんが、超過検出には注意が必要です。Booster for Profitapなどの集約タップは、8つの10/100/1Gポートを1G-10G出力に集約します。
BoosterはVLANタグを挿入することでパケットを入力することができます。これにより、各パケットの送信元ポート情報がアナライザーに転送されます。
SPANポートは依然としてネットワーク管理者が使用するツールですが、速度とネットワークデータへの信頼性の高いアクセスが重要となる場合は、TAPの方がより適しています。どちらのアプローチを採用するかを検討する際、SPANポートは利用率の低いネットワークに適しています。これは、パケット損失が分析に影響を与えないため、あるいはコストが懸念される場合はオプションとなるためです。一方、トラフィック量の多いネットワークでは、TAPの容量、セキュリティ、信頼性により、パケット損失や物理層エラーのフィルタリングを心配することなく、ネットワーク上のトラフィックを完全に可視化できます。
○ 完全に見える
○ すべてのトラフィック(すべてのサイズと種類のすべてのパケット)を複製します
○ パッシブ、非侵入的(データを変更しない)
○ 直列接続では、ハーネス内の全二重トラフィックを複製するためにスイッチポートは使用されません。簡単なセットアップ(プラグアンドプレイ)
○ ハッカーの攻撃を受けにくい(ネットワークから隔離された目に見えない監視デバイス、IP/MAC アドレスなし)
○ スケーラブル
○ あらゆる状況に対応
○ 部分的な可視性
○ すべてのトラフィックをコピーしない(特定のサイズと種類のパケットをドロップする)
○ 非パッシブ(パケットタイミングの変更、レイテンシの増加)
○ スイッチポートを使用する(各SPANポートはスイッチポートを使用する)
○ 全二重通信を処理できません(過負荷時にパケットがドロップされ、プライマリスイッチの動作に干渉する可能性もあります)
○ エンジニアは設定する必要がある
○ 安全ではない(監視システムはネットワークの一部であり、潜在的なセキュリティ上の問題があります)
○ 拡張性がない
○ 特定の状況下でのみ実行可能
関連記事も興味深いかもしれません: ネットワークトラフィックをキャプチャするには?ネットワークタップとポートミラー
投稿日時: 2025年6月9日
