TAP vs SPAN どちらを使う?
パケットキャプチャ
ネットワークモニタリングやパケットキャプチャを行う際、製品のマニュアルには「TAPまたはSPANに接続してください」という指示が記載されていることがあります。それらはともにネットワークの可視化する際に用いられる方法です。
では、それらの違いはなんでしょうか。あとから「こんなはずじゃなかった…」とならないためにも違いを知っておく必要があります。
本記事では、TAP、SPANのそれぞれの特徴と選択方法について解説します。
パケットの可視化手段
ネットワークモニタリングやパケットキャプチャなどパケットベースでの解析を行う際は、まずネットワーク上に流れているトラフィックを取得する必要があります。なんの準備もなくスイッチのポートにパケットキャプチャ装置などを接続しても、すべてのトラフィックは可視化できません。
パケットを取得する方法として、「TAPで接続する方法」と「SPANを作成して接続する方法」があります。厳密にいうとパケットの可視化はこれら以外の方法も存在しますが、今回はあくまで一般的な方法としてこの2種類を取り上げたいと思います。
当社製品のSYNESISやNetEyez、NetEyez Secyrityもこれらの接続方法でネットワークの可視化を行います。
接続のイメージは以下のとおりです。
各接続にはそれぞれ、メリット、デメリットが存在します。ですので、それらを理解して接続方法を選択する必要があります。
TAP接続のメリット、デメリット
ケーブル上で送受信されているデータをTAPという専用機器で分岐させ、TAPのモニタポートからモニタ機器に接続します。
TAPのメリット
- 100%パケットロスなしでネットワーク上のすべてのフレームを取り出すことが可能
ネットワーク上の全二重データを各方向(アップリンク/ダウンリンク)ごとに取り出すことができることです。今日のネットワークのほとんどは全二重通信ですので、例えば1GbEですと、アップリンク/ダウンリンクの各方向で1Gbpsのスループットが理論上出る可能性があります。TAPで接続した場合、この合計2Gbpsのトラフィックを方向ごとに分けてパケットキャプチャ装置でキャプチャさせることが可能です。
またTAPでは通常SPANではスイッチポートで破棄されてしまうL2エラーフレーム(ショートパケットなど)を取得することが可能です。 - 既存の機器やネットワーク状況によらず導入が可能
TAPは既存の機器やネットワークの状況によらず、導入するだけで利用できることもメリットです。可視化したいポイントに入れて、ケーブルを差し替えるだけで設定が完了します。 - 挿入によるネットワークパフォーマンスの影響がほとんどない
TAPは専用装置となっているため、光とカッパーでそれぞれ構造上に違いがあるものの、挿入による遅延等がネットワーク側、モニタ側ともに発生しにくい構造です。そのため、ネットワークを通過した正確な時間で分析が可能です。
TAPのデメリット
- TAPの挿入時にネットワークが切断
TAPを挿入するためにはネットワークケーブルに物理的な変更を加える必要があります。ですので、挿入時にネットワークが切断されます。
特にサーバ側にTAPを挿入する場合は、通信している端末の影響範囲は大きくなります。 - TAP購入のコスト必要
TAPがない場合は、購入コストがかかります。 - モニタ機器のポートは各方向で必要なため、複数必要
メリットでもありますが、全二重通信をモニタする場合、モニタ機器への接続は1回線につきアップリンク、ダウンリンクの2ポート必要になります。そのため、モニタ機器が高額になる可能性があります。
SPAN接続のメリット、デメリット
SPAN(Switched Port Analyzer)は、ネットワークスイッチに組み込まれた機能であり、ポートのトラフィックを監視するために使用されます。ポートミラーリングとも呼ばれている技術です。
SPANのメリット
- ネットワークの切断が不要
TAPと違い、SPANは物理的な変更を必要とせずに設定後すぐ使用できます。 - 新たに機器の導入が不要
こちらもTAPと違い、最近のそれなりの価格のスイッチでは、SAPN(もしくはミラーポート)機能は標準で搭載されています。機能がついていれば、コストをかけて新たに機器を導入する必要はありません。お手軽にパケットの可視化が可能です。
SPANのデメリット
- スイッチの処理性能やトラフィック量によりパケットロスや遅延が発生
SPANはスイッチの機能の一部ですので、スイッチの性能とトラフィック環境により、モニタ側でパケットロスや遅延が発生する可能性があります。 また、TAPと違い全二重通信を1つのポートで出力するため、アップリンクとダウンリンクの合計が回線速度を超えた場合、パケットロスが発生します。 - L2エラーフレーム等、モニタされないフレームが存在
ほとんどのスイッチでは、L2エラーフレーム等はスイッチのネットワーク側で削除されるためモニタ側には届きません。TAPのように物理的に分岐して取得しているわけではないので、スイッチ上で削除されるフレームは取得できません。
TAPとSPAN、どちらを使うべきか
TAPとSPANのどちらを使うべきかの答えは、状況により変わってきます。以下が選択の基準となります。
- パケットの完全性が必要な場合
パケットの欠落を許容できない場合は、TAPを選択するべきです。特にL2エラーフレーム等も含めすべてのデータをモニタしたい場合は、TAPしかありません。 - 既存のネットワークインフラを活用
既存のネットワークインフラを変更したくない場合は、SPANが便利です。物理的な変更を最小限に抑えながら可視化ができますので、コスト的にも効率的です。また、新たにTAPを挿入する際にはネットワークの切断が必要ですが、それが難しい場合は選択肢はSPANを選択する必要があります。
最終的には、ネットワークの要件や制約、予算、セキュリティ要件などを総合的に考慮し判断します。特定の状況においては、TAPとSPANを併用することも価値があります。
重要なことは、ネットワークモニタリングの目的や要件に合わせて最適な方法を選択し、ネットワークの安全性とパフォーマンスを確保することです。
当社で推奨しているTAP製品
当社では、パケットキャプチャ製品だけでなく、Garland製のTAPを取り扱っています。各種様々なTAPを取り揃えていますので、ご相談ください。
SYNESISのロスなくキャプチャできる性能を十分に発揮するためにも、トラフィックを可視化する手段は大切です。
あとがき
SPANの性能はどんどん向上してきているとはいえ、やはり100%パケットロスなくパケットを取得したい場合は、TAPがおすすめです。ネットワークを新規で敷設する際にあらかじめTAPを挿入しておけば、必要なときのみモニタ機器を接続して可視化をすることが可能です。
今は必要なくとも、将来的なことを考え、あらかじめネットワークの主要なポイントにTAPを入れてみてはいかがでしょうか。