ユーザーのオンライン行動分析、異常トラフィック監視、ネットワークアプリケーション監視など、ネットワークトラフィックを監視するには、ネットワークトラフィックを収集する必要があります。ネットワークトラフィックをキャプチャするだけでは正確な結果が得られない場合があります。実際には、現在のネットワークトラフィックをコピーし、監視デバイスに送信する必要があります。ネットワークスプリッターは、ネットワークTAPとも呼ばれ、まさにこの役割を果たします。では、ネットワークTAPの定義を見てみましょう。
I. ネットワーク タップは、コンピュータ ネットワークを流れるデータにアクセスする方法を提供するハードウェア デバイスです。(Wikipedia より)
II. Aネットワークタップテストアクセスポート(TAP)は、ネットワークケーブルに直接接続し、ネットワーク通信の一部を他のデバイスに送信するハードウェアデバイスです。ネットワークスプリッターは、ネットワーク侵入検知システム(IPS)、ネットワークディテクター、プロファイラーなどで広く使用されています。ネットワークデバイスへの通信の複製は、現在ではスイッチングポートアナライザー(SPANポート)を介して行われるのが一般的です。これは、ネットワークスイッチングにおけるポートミラーリングとも呼ばれます。
III. ネットワークタップは、パッシブ監視用の永続的なアクセスポートを作成するために使用されます。タップ(テストアクセスポート)は、スイッチ、ルーター、ファイアウォールなどの任意の2つのネットワークデバイス間に設定できます。侵入検知システム、パッシブモードで導入された侵入防止システム、プロトコルアナライザ、リモート監視ツールなど、インラインデータ収集に使用される監視デバイスのアクセスポートとして機能します。(NetOptics提供)
上記の3つの定義から、ネットワークTAPの特徴として、ハードウェア、インライン、透過性などが挙げられます。
これらの機能の概要は次のとおりです。
1. 独立したハードウェアであるため、既存のネットワークデバイスの負荷に影響を与えず、ポートミラーリングに比べて大きな利点があります。
2. インラインデバイスです。簡単に言えば、ネットワークに接続する必要があるという意味で、これは理解できます。しかし、これには障害点が発生するというデメリットもあります。また、オンラインデバイスであるため、導入場所によっては、導入時に既存のネットワークを中断する必要があります。
3. 透過とは、現在のネットワークへのポインタを指します。シャント後のネットワークへのアクセスは、すべての機器にとって現在のネットワークに影響を与えません。機器にとって完全に透過的であるため、もちろん、シャントされたネットワークには監視機器へのトラフィック送信も含まれます。監視機器のネットワークは透過的であり、あたかも新しいコンセントに新しいアクセスをしているかのように見えます。他の既存の機器にとっては、何も起こりません。例えば、機器を取り外した時に「袖を振れば雲は舞わない」という詩を突然思い出した時などです。
ポートミラーリングはご存知の方も多いでしょう。はい、ポートミラーリングでも同じ効果が得られます。ネットワークタップ/ダイバーターとポートミラーリングの比較を以下に示します。
1. スイッチのポート自体がエラーパケットやサイズが小さすぎるパケットをフィルタリングするため、ポートミラーリングではすべてのトラフィックを確実に取得できるとは限りません。ただし、シャンターは物理層でデータを完全に「コピー」するため、データの整合性を確保します。
2. リアルタイムパフォーマンスの観点から、一部のローエンドスイッチでは、ポートミラーリングによってトラフィックがミラーリングポートにコピーされる際に遅延が発生する可能性があり、また、10/100mポートをGIGAポートにコピーする際にも遅延が発生する可能性があります。
3. ポートミラーリングでは、ミラーリングするポートの帯域幅が、ミラーリングするすべてのポートの帯域幅の合計以上である必要があります。ただし、この要件はすべてのスイッチで満たされるとは限りません。
4. スイッチでポートミラーリングを設定する必要があります。監視対象エリアを調整する必要がある場合は、スイッチを再設定する必要があります。
投稿日時: 2022年8月5日
