導入
ネットワークトラフィックの収集と分析は、ネットワークユーザーの行動指標やパラメータを直接取得するための最も効果的な手段です。データセンターの運用・保守の質が継続的に向上するにつれ、ネットワークトラフィックの収集と分析はデータセンターインフラストラクチャに不可欠な要素となっています。現在の業界では、ネットワークトラフィックの収集は主にバイパストラフィックミラーをサポートするネットワーク機器によって実現されています。トラフィック収集には、包括的で合理的かつ効果的なトラフィック収集ネットワークを構築する必要があります。このようなトラフィック収集は、ネットワークおよびビジネスパフォーマンス指標の最適化と障害発生確率の低減に役立ちます。
トラフィック収集ネットワークは、トラフィック収集デバイスで構成され、本番ネットワークと並行して展開される独立したネットワークとみなすことができます。各ネットワークデバイスのイメージトラフィックを収集し、地域レベルとアーキテクチャレベルに応じてイメージトラフィックを集約します。トラフィック取得装置のトラフィックフィルタリング交換アラームを使用して、データの全回線速度で2~4層の条件付きフィルタリング、重複パケットの削除、パケットの切り捨てなどの高度な機能操作を実現し、データを各トラフィック分析システムに送信します。トラフィック収集ネットワークは、各システムのデータ要件に応じて各デバイスに特定のデータを正確に送信できるため、従来のミラーリングデータではフィルタリングして送信できず、ネットワークスイッチの処理性能を消費するという問題を解決できます。同時に、トラフィック収集ネットワークのトラフィックフィルタリングおよび交換エンジンは、低遅延かつ高速なデータのフィルタリングと転送を実現し、トラフィック収集ネットワークによって収集されたデータの品質を保証するとともに、後続のトラフィック分析装置に良好なデータ基盤を提供します。
元のリンクへの影響を軽減するために、通常はビームスプリッティング、SPAN、またはTAPによって元のトラフィックのコピーが取得されます。
光スプリッティングを用いてトラフィックコピーを取得するには、光スプリッタ装置が必要です。光スプリッタは、光信号のパワー強度を必要な比率に応じて再分配できる受動的な光デバイスです。スプリッタは、光を1対2、1対4、または1対複数のチャネルに分割できます。元のリンクへの影響を軽減するため、データセンターでは通常、80:20、70:30の光スプリッティング比率を採用し、光信号の70%または80%を元のリンクに戻します。現在、光スプリッタは、ネットワークパフォーマンス分析(NPM/APM)、監査システム、ユーザー行動分析、ネットワーク侵入検知などのシナリオで広く使用されています。
利点:
1. 高信頼性の受動型光学デバイス。
2. スイッチポートを占有せず、独立した機器であり、後々の拡張性も良好です。
3. スイッチ構成を変更する必要がなく、他の機器にも影響はありません。
4. 完全なトラフィック収集、スイッチパケットフィルタリングなし、エラーパケットなども含む。
デメリット:
1. シンプルなネットワーク切り替え、バックボーンリンクの光ファイバープラグとダイヤルを光スプリッタに接続する必要性により、一部のバックボーンリンクの光出力が低下します。
SPAN(ポートミラー)
SPANはスイッチ自体に搭載されている機能なので、スイッチ上で設定するだけで使用できます。ただし、この機能はスイッチのパフォーマンスに影響を与え、データ過負荷時にはパケットロスを引き起こす可能性があります。
利点:
1. 追加機器は不要です。スイッチを構成して、対応するイメージ複製出力ポートを増やしてください。
デメリット:
1. スイッチポートを使用する
2. スイッチの設定が必要であり、これにはサードパーティメーカーとの共同調整が必要となるため、ネットワーク障害のリスクが高まる。
3. ミラーリングによるトラフィック複製は、ポートとスイッチのパフォーマンスに影響を与えます。
アクティブネットワークTAP(TAPアグリゲーター)
ネットワークTAPは、ポートミラーリングを可能にし、さまざまな監視デバイスで使用するためにトラフィックのコピーを作成する外部ネットワークデバイスです。これらのデバイスは、監視が必要なネットワークパス上の場所に設置され、データIPパケットをコピーしてネットワーク監視ツールに送信します。ネットワークTAPデバイスのアクセスポイントの選択は、ネットワークトラフィックの目的(データ収集の目的、分析と遅延のルーチン監視、侵入検知など)によって異なります。ネットワークTAPデバイスは、1Gから最大100Gまでの速度でデータストリームを収集およびミラーリングできます。
これらのデバイスは、データトラフィックの速度に関係なく、ネットワークTAPデバイスがパケットフローを一切変更することなくトラフィックにアクセスします。つまり、ネットワークトラフィックは監視やポートミラーリングの対象とならず、セキュリティツールや分析ツールにデータをルーティングする際にデータの整合性を維持するために不可欠です。
これにより、ネットワーク周辺機器がトラフィックのコピーを監視し、ネットワークTAPデバイスが監視役として機能するようになります。接続されているすべてのデバイスにデータのコピーを送信することで、ネットワークポイントで完全な可視性を確保できます。ネットワークTAPデバイスまたは監視デバイスに障害が発生した場合でも、トラフィックに影響がないため、オペレーティングシステムは安全かつ安定した状態を維持できます。
同時に、ネットワークTAPデバイス全体のターゲットもネットワークTAPデバイスになります。ネットワークトラフィックを中断することなくパケットへのアクセスを常に提供でき、これらの可視化ソリューションはより高度なケースにも対応できます。次世代ファイアウォールからデータ漏洩対策、アプリケーションパフォーマンス監視、SIEM、デジタルフォレンジック、IPS、IDSなど、さまざまなツールの監視ニーズにより、ネットワークTAPデバイスは進化を余儀なくされています。
TAPデバイスは、トラフィックの完全なコピーを提供し、可用性を維持することに加えて、以下の機能も提供できます。
1. パケットをフィルタリングしてネットワーク監視のパフォーマンスを最大化する
ネットワークTAPデバイスがパケットの完全なコピーを作成できるからといって、すべての監視ツールやセキュリティツールがそのコピー全体を見る必要があるわけではありません。すべてのネットワーク監視ツールやセキュリティツールにリアルタイムでトラフィックをストリーミングすると、オーバーオーダーが発生し、ツールとネットワークのパフォーマンスが低下するだけです。
適切なネットワークTAPデバイスを配置することで、監視ツールにルーティングされるパケットをフィルタリングし、適切なデータを適切なツールに配信することができます。こうしたツールの例としては、侵入検知システム(IDS)、データ損失防止(DLP)、セキュリティ情報およびイベント管理(SIEM)、フォレンジック分析などが挙げられます。
2. 効率的なネットワーク構築のための集約リンク
ネットワーク監視とセキュリティの要件が高まるにつれ、ネットワークエンジニアは既存のIT予算を活用してより多くのタスクを遂行する方法を見つけなければなりません。しかし、ネットワークに新しいデバイスを追加し続け、ネットワークの複雑さを増すだけでは限界があります。監視ツールとセキュリティツールの活用を最大限に高めることが不可欠です。
ネットワークTAPデバイスは、東行きと西行きの複数のネットワークトラフィックを集約し、単一のポートを通して接続されたデバイスにパケットを配信することで、監視に役立ちます。このように可視化ツールを導入することで、必要な監視ツールの数を減らすことができます。データセンター内およびデータセンター間の東西データトラフィックが増加し続ける中、大量のデータにわたるあらゆる次元のフローを可視化するためには、ネットワークTAPデバイスの必要性が不可欠です。
関連する記事で興味深いと思われるものがあれば、こちらをご覧ください。ネットワークトラフィックをキャプチャする方法とは?ネットワークタップとポートミラーリングの違い
投稿日時:2024年10月24日
