見出し画像

【自分メモ】ネットワークTAP/SPANの違い

※自分メモです。技術的な正しさよりもよくわかっていない人が理解できることを優先して記載しています。諸説ある部分を含むことを承知で網羅せずにまとめていますので、閲覧してくれている方は、自己責任で活用下さい。

#用語整理 #TAP #ネットワークTAP #SPAN #セキュリティ #ネットワーク #とは

# 結論:ネットワークTAPとSPANの違い

いずれもネットワーク通信を取り出す技術や手法です。
<ネットワークTAP(Terminal Access Pointの略)>
TAPは専用の機器を指します。専用機器(TAP製品)をネットワーク内に新たに導入することで通信を取り出します。
<SPAN(Switching Port Analyzerの略)>
SPANは機能名を指します。既存のネットワーク機器が持つ機能を活用して通信を取り出すもので、この機能がSPAN(別名ミラーリング/ポートミラーリング)です。
(下図:参考1より)

画像1

差分

# ネットワークTAPとは

ネットワークTAP(Terminal Access Point)は、ネットワーク上のトラフィックを分岐させて取り出す装置を指します。
監視対象のネットワーク内にインライン構成で導入し、TAPを流れる通信を複製(ミラーリング)して外部に取り出します。
(下図:参考1より)

画像2

ネットワークTAPを利用することのメリットは、既存の機器の機能や、負荷状況に関わらず導入が可能である点です。(ただし、データセンター等の物理環境の場合には、ラックの空きがあるのか、既存設備からLANケーブルを抜栓するタイミングの調整等々は必要です。)
また、専用製品であるため収集するデータ(取り出すネットワーク通信そのもの)の信頼性が高い(取りこぼしが少ない)という点もあります。
(詳細は参考2を参照ください。)

# SPANとは

SPAN(Switched Port Analyzer)とは、ルーターやネットワークスイッチングハブが持つ機能の一つでありポートミラーリングとも呼ばれます。SPANは特定のポートで送受信したネットワーク通信を他のポートへ転送(コピー)を行う技術です。
(下図:参考3より)

画像4

SPANを活用するメリットは、追加で機器の導入を行う必要がなく、既存の環境をそのままに利用できる点です。
ただし、機器によっては機能を提供していない場合があります。また、SPANを活用することで機器に負荷がかかる(主にCPU)ため、通信の遅延やロストが発生する可能性があります。さらに、機器によっては全ての情報をミラーリングできない場合もあり、TAPと比較すると取得できる情報の信頼性は低いです。

# ネットワークTAPやSPANの用途

大きく二つの用途があり、一つ目は証跡保持のためにネットワーク通信の情報そのものを一定期間保持しようとした場合に、そういった専用機器(ネットワークフォレンジック機器)に対してネットワークの情報を送るために利用します。
もう一つは、ネットワークの通信を解析して、利用傾向の把握や不正アクセスや不審な通信が発生していないかを解析するための専用機器(NTAやNDR、UEBAなどの様々な機器)に対してネットワークの情報を送るために利用されるます。
いずれも、管理やセキュリティ面の用途で活用されることの多い機器です。

# 参考情報・参考文献

参考1:マクニカネットワークス Gigamon

参考2ASCII ネットワークの常識・非常識 第3回

参考3:KENスクール CCNP資格対策!ネットワーク技術 ~SPAN編~


いいなと思ったら応援しよう!

この記事が参加している募集