ネットワーク監視において、ネットワークタップ(テストアクセスポイント)とスイッチポートアナライザー(SPANポート)の使い分けが課題となっていることは、皆さんもよくご存知でしょう。どちらもネットワーク上のトラフィックをミラーリングし、侵入検知システム、ネットワークロガー、ネットワークアナライザーなどの帯域外セキュリティツールに送信する機能を備えています。SPANポートは、ポートミラーリング機能を備えたエンタープライズネットワークスイッチ上に構成されます。これは、管理対象スイッチ上の専用ポートで、スイッチからのネットワークトラフィックのミラーコピーを取得し、セキュリティツールに送信します。一方、TAPは、ネットワークからセキュリティツールへネットワークトラフィックをパッシブに分散させるデバイスです。TAPは、双方向のネットワークトラフィックをリアルタイムで、別のチャネルで受信します。
SPAN ポートを介した TAP の主な 5 つの利点は次のとおりです。
1. TAP は各パケットをキャプチャします。
SPANは、破損したパケットと最小サイズより小さいパケットを削除します。SPANポートはネットワークトラフィックに高い優先度を与えるため、セキュリティツールはすべてのトラフィックを受信できません。また、RXトラフィックとTXトラフィックが1つのポートに集約されるため、パケットがドロップされる可能性が高くなります。TAPは、ポートエラーを含む、各ターゲットポートのすべての双方向トラフィックをキャプチャします。
2. 完全にパッシブなソリューションで、IP設定や電源供給は不要
パッシブTAPは主に光ファイバーネットワークで使用されます。パッシブTAPでは、ネットワークの双方向からトラフィックを受信し、入力光を分割することで、監視ツールでトラフィックの100%を可視化します。パッシブTAPは電源を必要としません。そのため、冗長性が向上し、メンテナンスの手間が省け、全体的なコストを削減できます。銅線イーサネットトラフィックを監視する場合は、アクティブTAPを使用する必要があります。アクティブTAPは電力を必要としますが、NiagraのアクティブTAPにはフェイルセーフバイパス技術が搭載されており、停電時でもサービス中断のリスクを排除します。
3. パケットロスゼロ
ネットワークTAPはリンクの両端を監視し、双方向ネットワークトラフィックの100%の可視性を提供します。TAPは帯域幅に関わらず、パケットを破棄しません。
4. 中程度から高いネットワーク利用率に適しています
SPANポートは、利用率の高いネットワークリンクを処理するとパケットを破棄してしまうため、ネットワークTAPが必要になります。SPANから流出するトラフィックが受信トラフィックを上回ると、SPANポートはオーバーサブスクリプション状態になり、パケットを強制的に破棄します。10Gbの双方向トラフィックをキャプチャするには、SPANポートに20Gbの容量が必要ですが、10GbネットワークTAPは10Gbの容量すべてをキャプチャできます。
5. TAP VLANタグを含むすべてのトラフィックの通過を許可します
SPANポートは通常、VLANラベルの通過を許可しないため、VLANの問題を検出したり、偽の問題を発生させたりすることが困難です。TAPは、すべてのトラフィックを通過させることで、このような問題を回避します。
投稿日時: 2022年7月18日
