本記事は、実際に当社へ問合せがあった事例を紹介します。

問合せ内容 ：

ネットワークセキュリティのメーカーから、ある公共機関のネットワークの通信セキュリティ対策として、当社のセキュリティ装置を設置したい。パケットブローカをお借りできないか？

上記のような問合せがたまにありますが、この時点では、漠然とした用途なので、実際に使用するTAPポイントの情報が不足しているために、下記の事項の確認が必要になります。

確認事項1:

まずは、どのようなインターフェイスポイントに設置するかを確認します。今回の例: 冗長された1G-Tネットワークのルータに流入するトラフィックをセキュリティ監視したい。

確認事項2:

セキュリティ装置の仕様

セキュリティ装置側のインターフェイスは10G-SFPが2ポートあり、最大処理能力は4Gbps程度。

確認事項3:

監視ポイントにTAPまたは、ルータのSPANポートが、設定されているか。今回の例では、TAPが設置されていましたが、TAP/SPAN機能を理解されておらずトラブルになりました。

今回の内容から、ネットワーク構成を作成すると以下のようになると思っていました。

図１：予定していたネットワーク構成図

現場に行ってみると。。

貸出したパケットブローカを設置するために、現場へ行ってみると既存に設置してあるTAPが思いがけないネットワークに接続されていました。それは、本来ならTAPは、上記に図のような接続をするのですが、現場では、何とSPANポートに接続されていて、SPANポートとスイッチ間に接続されていました。（図２）

図２ 現場でのネットワーク構成図

このネットワーク接続を見るとTAPやSPANの使い方がわかっていない事がわかりました。サーバアプリケーションベンダのエンジニアの方々は、ネットワーク機器やTAP、SPANの使い方がわからない方が多いので、このような事がよく起こります。

ネットワークTAPは、ネットワーク間に接続して、その通信の送信(TX)/受信(RX)を漏らさずに複製し、監視機器に複製通信トラフィックを送信する機器です。通常のTAPは、電源喪失時には、フェイルセーフ機能が働き、ネットワークが断線しないようになっています。

TAP以外に複製通信トラフィックを発生させる方法として、ルータやスイッチのSPAN機能を使用する方法もありますが、SPAN機能は完全に複製できるわけではなく、サポート機器も限られています。

※SPAN機能とは、Switch Port Analyzerの略で、ポートミラーリングとも呼ばれています。スイッチやルータの1つまたは複数のポート（またはVLAN）から、その機器に送受信される各パケットのコピーを転送することで、ネットワークトラフィックを監視する機能です。

最終的な接続構成

最終的なネットワーク接続構成は、下記のような構成になりました。本来なら図１の構成が理想的なのですが、稼働中のネットワークにTAPを設置し直す事は困難だったので、今回のセキュリティ装置を稼働させるために応急処置的なTAPを使用しない接続構成で凌ぐことにしました。

図3 TAPを使用しないネットワーク構成図

上記の接続構成でも問題なさそうですが、図１の構成と図３の構成との違いについて、次回に詳しく説明したいと思います。