TAP vs SPAN どちらを使う?
エンジニアノート
ネットワークモニタ製品を接続する際、「TAPまたはSPANに接続してください」と記載されていることがあります。今回は、このことについて、もう少し掘り下げて説明したいと思います。
パケットをキャプチャしてネットワークを可視化するためには、まずネットワーク上に流れているトラフィックを取得する必要があります。なんの準備もなくスイッチのポートにパケットキャプチャ装置などを接続しても、すべてのトラフィックは可視化できません。
パケットを取得する方法は、大きくわけてTAPで接続する方法とSPANを作成して接続する方法の2種類があります。
当社製品のSYNESISやNetEyez、NetEyez Secyrityもこの接続方法でネットワークの可視化を行います。
TAP接続
SPAN接続
TAPで接続する方法
ケーブル上で送受信されているデータをTAPという専用機器で分岐させ、装置に接続をします。TAPで接続するメリットは以下のとおりです。
- ネットワーク上のすべてのフレームを取り出すことが可能
ネットワーク上の全二重データを各方向(アップリンク/ダウンリンク)ごとに取り出すことができることです。今日のネットワークのほとんどは全二重通信ですので、例えば1GbEですと、アップリンク/ダウンリンクの各方向で理論上、1Gbpsのスループットが出る可能性があります。TAPで接続した場合、この合計2Gbpsのトラフィックを方向ごとに分けてパケットキャプチャ装置でキャプチャさせることが可能です。このとき重要なことは、「(アグリゲーションTAPなど一部の機器を除き)TAPを挿入した場合、モニタ機器への接続は2ポート必要になる」ということです。また、通常SPANではポートで破棄されてしまうL2エラーフレーム(ショートパケットなど)を取得することが可能です。 - 既存の機器やネットワーク状況によらず導入が可能
TAPは既存の機器やネットワークの状況によらず、導入するだけで利用できることもメリットです。可視化したいポイントに入れて、ケーブルを差し替えるだけで設定が完了します。
SPANで接続する方法
SPANで接続する場合のメリットは、以下のとおりです。
- ネットワークの切断が不要
TAPは、導入の際、物理的に回線を切断する必要があります。その作業の間はネットワークは切断されています。SPANは、設定後すぐ使用できる場合がほとんどです。 - 新たに機器の導入が不要
TAPと違い、最近のそれなりの価格のスイッチでは、SAPN(もしくはミラーポート)機能は標準で搭載されています。機能がついていれば、コストをかけて新たに機器を導入する必要はありません。お手軽に試すことが可能です。
どちらを使うべきか
この答えは、状況により変わってきます。ネットワークの切断ができない状況であれば、SPAN一択です。
ただし、トラブルシューティングなどで、流れているすべてのトラフィックを機器に取り込む場合は、TAPのほうが優れています。
1Gbpsのイーサネットでアップリンク、ダウンリンクのトラフィックが合計1Gbpsを超える場合、SPANですと装置に取り込まれるトラフィックは最大でも1Gbpsとなります。それを超えた場合は、パケットが破棄されます。
また、TAPは専用装置ですが、SPANはあくまでネットワーク機器の機能の一つですので機器の性能に大きく依存します。
パケットの取得方法は、目的と状況により、適切に選択する必要があります。
当社で推奨しているTAP製品
当社では、パケットキャプチャ製品だけでなく、Garland製のTAPを取り扱っています。各種様々なTAPを取り揃えていますので、ご相談ください。
SYNESISのロスなくキャプチャできる性能を十分に発揮するためにも、トラフィックを可視化する手段は大切です。
関連記事
パケットキャプチャ関連
TAP vs SPAN どちらを使う?(本記事)