パケットキャプチャのネットワークアーキテクチャ
パケットキャプチャはとても便利ですが、あなたは具体的にネットワークのパケットをどのようにキャプチャしたいですか?レイヤ1光学タップからスマートSPANプロトコルやその中間といった様々なアプローチがあります。私達はそれぞれのアプローチに対する長所・短所を分析してみました。
パケットキャプチャのネットワークトポロジー
パケットキャプチャはとても便利ですが、パケットを10G、40G、100Gパケットスニファーアプライアンスで利用するため実際にどのようなネットワークトポロジーのセットアップをしますか?異なる長所と短所を持つ5種類のオプションがあります。
スイッチSPAN/MIRRORポート
これは恐らくパケットキャプチャを稼動させる一番簡単な方法です。スイッチベンダーの名称に応じて「SPAN」または「MIRROR」と呼ばれるポートをスイッチで構成します。とても単純な考え方で、ポート0、1、2、... Nからのすべての入力パケットのコピーを作成し、正しい出力ポートにパケットを転送するのに加えて、SPANポートに転送します。セットアップは簡単で、新規ハードウェアの導入も不要です。ネットワークトポロジーを下図に示します。
長所:
|
短所:
|
パケットキャプチャを始める一番基本的な方法ですが。ネットワークパフォーマンスに影響を与え、タイムスタンプ解決もあまり良くありません。セキュリティ/IDSパケットアナリシスワークロード用のエッジスイッチでの使用に最適です。
インラインパケットキャプチャ
インラインパケットキャプチャはさらにシンプルなセットアップですが、パケットキャプチャデバイスが無効(例:システム再起動中)になると全てのリンクがダウンします。システム再起動時の1分間や電源供給が全てのネットワークに重大な影響を与えるため、あなたがキャプチャするリンクが高いアップタイムを必要とする場合は主要な問題となります。もうひとつの問題はリンクに待ち時間とジッターが発生することです。使用するハードウェアに応じてジッターと遅延は10`sナノ秒または10`sミリ秒になります。
長所:
|
短所:
|
このセットアップを使用する理由はあまりありませんが、費用とシンプルさの理由で導入されています。使用するべきでない一番の理由はリンクダウンタイムです。電源が無くなった際にトラフィックを転送する「バイパスモード」があるキャプチャカードを特別にデザインする必要があります。もっと良いアプローチはリンクアップタイムからキャプチャシステムをデカップルする受動タップをリンクで使用することです。
レイヤ1タップパケットキャプチャ
レイヤ1タップはゼロインパクトパケットキャプチャにおいて最高です。光学タップは適切なトランシーバに供給される2つの別々のファイバーに一本のファイバーからの光を分割することによって動作します。スプリットはLayer 1リンクタイプに応じて一般的に50/50または90/10です。例を挙げると、10LM LRシングルモードのような長距離シングルモードはダウンタイムリスクを最小限にするためにリンクカードにシグナル90%供給したいでしょう。しかし、実際は短距離マルチモードファイバーの50/50スプリットが良く動作します。
レイヤ1タップを使用してキャプチャデバイスにタップファイバーを供給するのはパケットキャプチャの一番良い方法のひとつです。ネットワークにほぼゼロインパクトであるだけでなく、外部デバイスを使用しないことでタイミング目的において非常に正確です。
長所:
|
短所:
|
これは高いアップタイムリンク用の全てのパケットをキャプチャするのに推奨される方法です。配線が複雑になるのが唯一の問題です。そしてこのアプローチの唯一の欠点は光学/トランシーバーが非常に高価である点です。例:100G LR4リンク。この場合、エンドポイントとパケットキャプチャデバイスが同じトランシーバーを使用しなければいけないため、100G LR4が追加で必要になり、非常に費用がかかります($10000 + USD+ 100G LR4 2015年)SPANまたはインラインを使用する場合、ローカルポートはSRを使用できるので、LR4 トランシーバーはひとつだけ必要です。
しかし、遅延に影響が出やすい分析ではレイヤ1タップがお奨めです。リアルリンクで、世界で最も正確でゼロインパクトを提供します。
レイヤ1タップ + スイッチパケットキャプチャ
レイヤ1タップの問題のひとつは正しくスケールされない点です。ひとつのタップに2x 10Gbps パケットキャプチャ ポート(Rx & Txライン)が必要なので、16 10Gデュプレックスラインをタップする場合は、32 10G Rxポートだけになります。あなたのパケットキャプチャデバイスが 2 x 10Gポートをできる場合、16パケットスニファーを購入することになります。全てのラックのサイズ割合を変更できる弊社の1U 10Gパケットスニファーでさえ同様です。
そのように集約レイヤーを入力してください。スイッチもしくは専用の10Gアグリゲーションスイッチを使用してスイッチに全てのタップポートを接続します。そして下図のようにパケットキャプチャデバイスに集約データをSPAMします。
長所:
|
短所:
|
すべての受動タップによってリアルネットワークから切り離されているためセットアップは良いです。しかし、集約レイヤーは不明確です。あなたが通常のミル10Gbpsスイッチを使用する場合、正直言ってタイミング精度は最悪です。SPANポートは待ち行列遅延が発生します。Fancyスイッチを使用した場合は精度は改善しますが、待ち行列を必要とするパケット(例:タップから同時に届くパケット)は100`sナノ秒のタイミングエラーがあります。
スイッチとSPANポート使用時の問題はパケットタイムスタンプがパケットスニファー(赤字ハイライト部分)がNx1 MUXの後ろにあることです。そのことから究極的な受動ネットワークパケットキャプチャのタイミング精度には別の方法が必要です。
レイヤ1タップ + fancy SPANパケットキャプチャ
…そしてレイヤ1タップの配列、Fancy pants SPANセッション、10Gbps ラインレートパケットスニファーを使用した究極のネットワークキャプチャの登場です。これは+/- 10ナノ秒のタイム精度を要求されるアプリケーション用です。
セットアップは「Fancy pants SPAN」セッションの入力スイッチタイムスタンプを使用すること意外は上述と同様です。これは最新のArista(EOS span)またはCisco(ER span)プロトコルで利用できます。主要な違いはFancy SPANがスイッチを通して転送される際にパケットにメタデータを追加する点で、あなたが推測するように、パケットが最初に受け取られたスイッチの出力ではなく入力ポート(赤字ハイライト部分)のハードウェアタイムスタンプを含む事です。この結果、集約スイッチがパケットを追加する際にパケットキャプチャデバイスのタイムスタンプがメタデータタイムスタンプで置き換えられます。
長所:
|
短所:
|
これは現状で一番高価ですが最高の性能です。ゼロネットワークインパクトとリアル1ナノ秒タイムスタンプ精度。VSS / Gigamon / MetaMako / Exablaze /その他から類似の代替品があり、集約とタイムスタンプに特化していますが、スイッチについては値段の違いほどの効果がありません.. ですので本物のスイッチを入手した方がいいでしょう。
集約スイッチベンダー情報。
Cisco ER Span
Cisco ERSPAN RFC
Arista EOS Time stamp
Arista EOS Time stamp FAQ
要約
パケットキャプチャはスタンドアローンシステムではありません。良くデザインし導入されたネットワークアーキテクチャに組み込まれた場合のみ動作します。この記事が最大費用効率または最大時間精度のネットワーク構成のアイデアになれば幸いです。
その他のパケットキャプチャのネットワークトポロジーの仕方があれば弊社にご連絡ください!