ユーザーのオンライン行動分析、異常トラフィック監視、ネットワークアプリケーション監視など、ネットワークトラフィックを監視するには、ネットワークトラフィックを収集する必要があります。ネットワークトラフィックをキャプチャするだけでは不正確な場合があります。実際には、現在のネットワークトラフィックをコピーして監視デバイスに送信する必要があります。ネットワークスプリッタ(ネットワークTAPとも呼ばれます)は、まさにこの役割を果たします。ネットワークTAPの定義を見てみましょう。
I. ネットワークタップとは、コンピュータネットワーク上を流れるデータにアクセスするための手段を提供するハードウェアデバイスである。(Wikipediaより)
II. Aネットワークタップテストアクセスポートとも呼ばれるネットワークスプリッタは、ネットワークケーブルに直接接続してネットワーク通信の一部を他のデバイスに送信するハードウェアデバイスです。ネットワークスプリッタは、ネットワーク侵入検知システム(IPS)、ネットワーク検出器、プロファイラなどで一般的に使用されています。ネットワークデバイスへの通信の複製は、現在では一般的にスイッチングポートアナライザ(スパンポート)を介して行われ、これはネットワークスイッチングにおけるポートミラーリングとも呼ばれます。
III. ネットワークタップは、パッシブ監視用の永続的なアクセスポートを作成するために使用されます。タップ、またはテストアクセスポートは、スイッチ、ルーター、ファイアウォールなどの任意の2つのネットワークデバイス間に設定できます。これは、侵入検知システム、パッシブモードで展開される侵入防御システム、プロトコルアナライザー、リモート監視ツールなど、インラインデータを収集するために使用される監視デバイスのアクセスポートとして機能します。(NetOpticsより)
上記の3つの定義から、ネットワークTAPの基本的な特徴として、ハードウェア、インライン、透過性などを挙げることができます。
これらの機能について見ていきましょう。
1. これは独立したハードウェアであるため、既存のネットワーク機器の負荷に影響を与えず、ポートミラーリングに比べて大きな利点があります。
2. これはインラインデバイスです。簡単に言えば、ネットワークに接続する必要があるため、理解しやすいでしょう。しかし、これには障害点が生じるという欠点があり、またオンラインデバイスであるため、設置場所によっては、設置時に既存のネットワークを遮断する必要があります。
3. 透過性とは、現在のネットワークへのポインタを指します。シャント後のアクセスネットワークでは、現在のネットワークはすべての機器に対して何の影響も及ぼさず、完全に透過的です。もちろん、ネットワークシャントが監視機器にトラフィックを送信することも含まれており、監視デバイスにとってネットワークは透過的です。まるで新しいコンセントに新しくアクセスしたかのようです。他の既存の機器には何も起こりません。最終的に機器を取り外して、突然「袖を振っても雲は出ない」という詩を思い出したときもそうです。
ポートミラーリングについては、多くの方がご存知でしょう。確かに、ポートミラーリングでも同様の効果が得られます。ネットワークタップ/ダイバータとポートミラーリングの比較を以下に示します。
1. スイッチのポート自体がエラーパケットやサイズが小さすぎるパケットをフィルタリングするため、ポートミラーリングではすべてのトラフィックを取得できるとは限りません。しかし、シャンタは物理層で完全に「コピー」されるため、データの完全性を保証します。
2. リアルタイム性能に関して言えば、一部の低価格スイッチでは、ポートミラーリングによってトラフィックがミラーリングポートにコピーされる際に遅延が発生する可能性があり、また、10/100mポートからGIGAポートにコピーされる際にも遅延が発生します。
3. ポートミラーリングでは、ミラーリングされたポートの帯域幅が、すべてのミラーリングされたポートの帯域幅の合計以上である必要があります。ただし、この要件はすべてのスイッチで満たされるとは限りません。
4. スイッチ上でポートミラーリングを設定する必要があります。監視対象領域を変更する必要が生じた場合は、スイッチを再設定する必要があります。
投稿日時:2022年8月5日
