導入
ネットワークトラフィックの収集と分析は、ネットワークユーザーの行動指標とパラメータをリアルタイムで取得するための最も効果的な手段です。データセンターの運用・保守の継続的な改善に伴い、ネットワークトラフィックの収集と分析はデータセンターインフラに不可欠な要素となっています。現在、業界では、ネットワークトラフィックの収集は主にバイパストラフィックミラーリングをサポートするネットワーク機器によって実現されています。トラフィック収集には、包括的なカバレッジと合理的かつ効果的なトラフィック収集ネットワークを確立する必要があります。このようなトラフィック収集は、ネットワークとビジネスパフォーマンス指標の最適化、そして障害発生確率の低減に役立ちます。
トラフィック収集ネットワークは、トラフィック収集デバイスで構成され、実稼働ネットワークと並行して展開される独立したネットワークと見なすことができます。各ネットワークデバイスの画像トラフィックを収集し、地域レベルとアーキテクチャレベルに応じて画像トラフィックを集約します。トラフィック収集装置のトラフィックフィルタリング交換アラームを使用して、2~4層の条件付きフィルタリング、重複パケットの除去、パケットの切り捨てなどの高度な機能操作により、データのフルライン速度を実現し、各トラフィック分析システムにデータを送信します。トラフィック収集ネットワークは、各システムのデータ要件に応じて、各デバイスに特定のデータを正確に送信し、従来のミラーデータをフィルタリングして送信できないというネットワークスイッチの処理性能を消費する問題を解決します。同時に、トラフィック収集ネットワークのトラフィックフィルタリングおよび交換エンジンは、低遅延かつ高速なデータのフィルタリングと転送を実現し、トラフィック収集ネットワークによって収集されるデータの品質を確保し、後続のトラフィック分析装置に良好なデータ基盤を提供します。
元のリンクへの影響を減らすために、通常はビーム分割、SPAN、または TAP によって元のトラフィックのコピーが取得されます。
光分割を用いてトラフィックコピーを取得するには、光スプリッタデバイスの助けが必要です。光スプリッタは、光信号の強度を必要な割合に応じて再分配できる受動光デバイスです。スプリッタは、光を1対2、1対4、1対複数チャネルに分割できます。元のリンクへの影響を軽減するため、データセンターでは通常、80:20、70:30の光分割比を採用し、70:80の割合で光信号を元のリンクに戻します。現在、光スプリッタは、ネットワークパフォーマンス分析(NPM/APM)、監査システム、ユーザー行動分析、ネットワーク侵入検知などの分野で広く利用されています。
利点:
1. 高信頼性、受動光デバイス。
2. スイッチポートを占有せず、独立した設備なので、その後の拡張が容易です。
3. スイッチの設定を変更する必要がなく、他の機器に影響を与えません。
4. エラー パケットなどを含む、スイッチ パケット フィルタリングのない完全なトラフィック収集。
デメリット:
1. シンプルなネットワークカットオーバー、バックボーンリンクのファイバープラグと光スプリッターへのダイヤルアップの必要性により、一部のバックボーンリンクの光パワーが低下します。
SPAN(ポートミラー)
SPANはスイッチ自体に付属する機能なので、スイッチ側で設定するだけで済みます。ただし、この機能はスイッチのパフォーマンスに影響を与え、データが過負荷になった際にパケットロスを引き起こす可能性があります。
利点:
1. 追加の機器を追加する必要はなく、対応する画像複製出力ポートを増やすようにスイッチを設定します。
デメリット:
1. スイッチポートを占有する
2. スイッチの設定にはサードパーティメーカーとの共同調整が必要であり、ネットワーク障害の潜在的なリスクが増大する。
3. ミラー トラフィック レプリケーションは、ポートとスイッチのパフォーマンスに影響を与えます。
アクティブ ネットワーク TAP (TAP アグリゲータ)
ネットワークTAPは、ポートミラーリングを可能にし、様々な監視デバイスで使用するためにトラフィックのコピーを作成する外部ネットワークデバイスです。これらのデバイスは、監視が必要なネットワークパス上の特定の場所に導入され、データIPパケットをコピーしてネットワーク監視ツールに送信します。ネットワークTAPデバイスのアクセスポイントの選択は、ネットワークトラフィックの目的(データ収集目的、分析と遅延の定期監視、侵入検知など)によって異なります。ネットワークTAPデバイスは、1Gから最大100Gまでの速度でデータストリームを収集およびミラーリングできます。
これらのデバイスは、データトラフィックのレートに関わらず、ネットワークTAPデバイスがパケットフローを変更することなくトラフィックにアクセスします。つまり、ネットワークトラフィックは監視やポートミラーリングの対象にはなりません。これは、セキュリティツールや分析ツールへのルーティング時にデータの整合性を維持するために不可欠です。
ネットワーク周辺機器がトラフィックのコピーを監視し、ネットワークTAPデバイスがオブザーバーとして機能できるようにします。接続されたすべてのデバイスにデータのコピーを送信することで、ネットワークポイントでの完全な可視性が得られます。ネットワークTAPデバイスまたは監視デバイスに障害が発生した場合でも、トラフィックは影響を受けないため、オペレーティングシステムの安全性と可用性が確保されます。
同時に、これはネットワークTAPデバイスの全体的な目標にもなります。ネットワークトラフィックを中断することなく、常にパケットへのアクセスが可能になり、これらの可視化ソリューションはより高度なケースにも対応できます。次世代ファイアウォールからデータ漏洩防止、アプリケーションパフォーマンス監視、SIEM、デジタルフォレンジック、IPS、IDSなど、多岐にわたるツールの監視ニーズは、ネットワークTAPデバイスの進化を促します。
トラフィックの完全なコピーを提供し、可用性を維持することに加えて、TAP デバイスは次の機能を提供できます。
1. パケットをフィルタリングしてネットワーク監視のパフォーマンスを最大化する
ネットワークTAPデバイスがパケットの100%コピーをある時点で作成できるからといって、すべての監視・セキュリティツールがそのコピー全体を監視する必要があるわけではありません。すべてのネットワーク監視・セキュリティツールにトラフィックをリアルタイムでストリーミングすると、順序付けの過剰が発生し、ツールとネットワークのパフォーマンスが低下します。
適切なネットワークTAPデバイスを設置することで、監視ツールへのルーティング時にパケットをフィルタリングし、適切なデータを適切なツールに配信することができます。このようなツールの例としては、侵入検知システム(IDS)、データ損失防止(DLP)、セキュリティ情報イベント管理(SIEM)、フォレンジック分析などが挙げられます。
2. 効率的なネットワークのためのリンクの集約
ネットワーク監視とセキュリティの要件が増加するにつれ、ネットワークエンジニアは既存のIT予算を活用してより多くのタスクを達成する方法を見つける必要があります。しかし、ある時点で、スタックに新しいデバイスを追加し続け、ネットワークの複雑さを増大させることは不可能になります。監視およびセキュリティツールを最大限に活用することが不可欠です。
ネットワークTAPデバイスは、複数のネットワークトラフィック(東西方向)を集約し、単一のポートを介して接続されたデバイスにパケットを配信することで役立ちます。このように可視化ツールを導入することで、必要な監視ツールの数を削減できます。データセンター内およびデータセンター間の東西方向のデータトラフィックが増加し続ける中、大量のデータにわたるあらゆる次元のフローの可視性を維持するために、ネットワークTAPデバイスは不可欠です。
興味深い関連記事はこちらをご覧ください:ネットワークトラフィックをキャプチャするには?ネットワークタップとポートミラー
投稿日時: 2024年10月24日
