ネットワークTAPとSPANポートを使用してパケットをキャプチャする場合の主な違いは以下のとおりです。
ポートミラーリング(SPANとも呼ばれる)
ネットワークタップ(レプリケーションタップ、アグリゲーションタップ、アクティブタップ、カッパータップ、イーサネットタップなどとも呼ばれます。)TAP(端末アクセスポイント)ネットワークTAPは、ネットワーク上のトラフィックをパッシブにキャプチャできる、完全にパッシブなハードウェアデバイスです。ネットワーク内の2点間のトラフィックを監視するためによく使用されます。2点間のネットワークが物理的なケーブルで構成されている場合、ネットワークTAPはトラフィックをキャプチャする最良の方法となる可能性があります。
2 つのソリューション (ポートミラーとネットワークタップ) の違いを説明する前に、イーサネットの仕組みを理解することが重要です。100 Mbit 以上では、ホストは通常全二重通信を行います。つまり、1 つのホストが送信 (Tx) と受信 (Rx) を同時に行うことができます。これは、1 つのホストに接続された 100 Mbit ケーブルでは、1 つのホストが送受信できるネットワーク トラフィックの総量が 2 × 100 Mbit = 200 Mbit であることを意味します。
ポートミラーリングはアクティブなパケット複製であり、ネットワークデバイスが物理的にパケットをミラーリングされたポートにコピーする責任を負います。
トラフィック獲得:TAP vs SPAN
ネットワークトラフィックを監視する際、ユーザーがトランザクションを処理中にサポートを直接実行したくない場合は、主に2つの選択肢があります。この記事では、TAP(テストアクセスポイント)とSPAN(スイッチポートアナライザー)の概要を説明します。より詳細な分析については、パケット検査の専門家であるTimo'Neill氏がlovemytool.comで詳細に解説した記事をいくつか公開していますが、ここではより一般的なアプローチを採用します。
スパン
ポートミラーリングは、スイッチの 1 つ以上のポート (または VLAN) からの受信および/または送信パケットのコピーをネットワーク トラフィック アナライザーに接続された別のポートに転送することでネットワーク トラフィックを監視する方法です。SPAN は、複数のサイトを同時に監視するために、よりシンプルなシステムでよく使用されます。監視できるネットワーク伝送の正確な数は、SPAN がデータ センター機器に対してどこに設置されているかによって異なります。おそらく探しているものが見つかるでしょうが、データが多すぎることに気付くこともよくあります。たとえば、VLAN 全体にわたって同じデータの複数のコピーが見つかる可能性があります。これにより、LAN のトラブルシューティングが難しくなり、スイッチ CPU の速度や配置検出によるイーサネットにも影響します。基本的に、SPAN が多いほど、パケットが失われる可能性が高くなります。タップと比較すると、SPAN はリモートで管理できるため、構成変更に費やす時間は少なくなりますが、ネットワーク エンジニアは依然として必要です。
SPANポートは、一部の人が主張するように受動的な技術ではなく、ネットワークトラフィックに以下のような測定可能な影響を与える可能性があります。
- フレーム変更時のインタラクション
- 過剰なルックアップによるパケットのドロップ
破損したパケットは予告なく破棄され、分析を妨げる。
したがって、SPANポートは、パケットのドロップが分析に影響を与えない場合や、コストが考慮される場合により適しています。
タップ
対照的に、タップは初期費用としてハードウェアを購入する必要がありますが、セットアップはほとんど必要ありません。実際、タップはパッシブであるため、ネットワークに影響を与えることなく接続および切断できます。タップは、コンピュータネットワークを流れるデータにアクセスする手段を提供するハードウェアデバイスであり、ネットワークセキュリティやパフォーマンス監視の目的で一般的に使用されます。監視対象のトラフィックは「パススルー」トラフィックと呼ばれ、監視に使用されるポートは「監視ポート」と呼ばれます。ネットワークをより詳細に調査するために、タップはルーターとスイッチの間に配置できます。
TAPはパケットに影響を与えないため、ネットワークトラフィックを監視する真に受動的な方法と見なすことができる。
TAPソリューションには基本的に3つのタイプがあります。
- ネットワークスプリッター(1:1)
- 集計TAP(複数:1)
- 再生TAP(1:マルチ)
TAPは、トラフィックを単一のパッシブ監視ツール、または高密度ネットワークパケットリレーデバイスに複製し、複数の(多くの場合複数)QoSテストツール、ネットワーク監視ツール、およびWiresharkなどのネットワークスニファツールにサービスを提供します。
さらに、TAPの種類はケーブルの種類によって異なり、光ファイバーTAPとギガビット銅線TAPがありますが、どちらも基本的に同じように動作し、信号の一部をネットワークトラフィックアナライザーにオフロードし、メインモデルは中断なく送信を続けます。光ファイバーTAPの場合はビームを2つに分割し、銅線ケーブルシステムの場合は電気信号を複製します。
TAPとSPANの比較
まず、SPANポートは全二重1Gリンクには適しておらず、最大容量を下回っていても、過負荷状態になったり、スイッチがSPANポートデータよりも通常のポート間データを優先したりするため、パケットがすぐにドロップされます。ネットワークタップとは異なり、SPANポートは物理層のエラーをフィルタリングするため、一部の分析が難しくなります。また、既に述べたように、インクリメントタイムの誤りやフレームの変更によって、他の問題が発生することもあります。一方、TAPは全二重1Gリンクで動作可能です。
TAPは、完全なパケットキャプチャを実行し、プロトコル、違反、侵入などについて詳細なパケット検査を行うこともできます。そのため、TAPデータは法廷での証拠として使用できますが、SPANポートデータは使用できません。
セキュリティも、この2つの技術に違いがある点のひとつです。SPANポートは通常、一方向通信用に設定されますが、場合によっては通信を受信することもあり、深刻な脆弱性につながる可能性があります。一方、TAPはアドレス指定ができず、IPアドレスも持たないため、ハッキングされることはありません。
SPANポートは通常VLANタグを通過させないため、VLAN障害の検出が困難になる場合がありますが、タップではVLANネットワーク全体を一度に確認することはできません。集約タップを使用しない場合、TAPは両方のチャネルに対して同じトレースを提供しませんが、オーバーエイジ検出には注意が必要です。Booster for Profitapなどの集約タップでは、8つの10/100/1Gポートを1G~10G出力に集約できます。
BoosterはVLANタグを挿入することでパケットを受信できます。これにより、各パケットの送信元ポート情報がアナライザーに転送されます。
SPANポートはネットワーク管理者が今でも使用するツールですが、ネットワークデータへの高速かつ信頼性の高いアクセスが重要な場合は、TAPの方が適しています。どちらのアプローチを採用するかを決定する際、SPANポートはパケット損失が分析に影響を与えない、あるいはコストが懸念される場合はオプションとなるため、利用率の低いネットワークに適しています。しかし、トラフィック量の多いネットワークでは、TAPの容量、セキュリティ、信頼性により、パケット損失や物理層エラーのフィルタリングを心配することなく、ネットワーク上のトラフィックを完全に可視化できます。
○ 完全に見える
○ すべてのトラフィック(あらゆるサイズと種類のすべてのパケット)を複製する
○受動的、非侵襲的(データを変更しない)
○直列接続の場合、ハーネス内の全二重トラフィックを複製するためにスイッチポートは使用されません。簡単なセットアップ(プラグアンドプレイ)
○ ハッカーによる攻撃を受けにくい(ネットワークから隔離された目に見えない監視装置であり、IPアドレスやMACアドレスを持たない)
○ スケーラブル
○あらゆる状況に適しています
○ 部分的に視界が確保されている
○ すべてのトラフィックをコピーしない(特定のサイズや種類のパケットを破棄する)
○ 非受動型(パケットタイミングの変更、レイテンシの増加)
○ スイッチポートを使用する(各SPANポートはスイッチポートを使用する)
○ 全二重通信に対応できません(過負荷時にパケットがドロップされ、プライマリスイッチの動作にも影響を与える可能性があります)
○ エンジニアは設定する必要がある
○ 安全でない(監視システムはネットワークの一部であり、潜在的なセキュリティ上の問題がある)
○ 拡張性がない
○ 特定の状況下でのみ実現可能
関連する記事もご興味をお持ちかもしれません。 ネットワークトラフィックをキャプチャする方法とは?ネットワークタップとポートミラーリングの違い
投稿日時:2025年6月9日
