本記事では、株式会社東陽テクニカ様取り扱いGARLAND P1GCCBP(ポータブルタップ)と弊社取り扱いのntopngを連携させ、任意のパスにインラインでP1GCCBPを設置しパケットを収集、あらゆる通信をロギング、フロー化、さらには可視化する方法について記載します。
文:ジュピターテクノロジー よしひろ
P1GCCBPとは?
10/100/1000Base-Tに対応する全二重ネットワークTAPです。全二重回線に挿入し接続して使用します。双方向のトラフィックを2つのアナライザポートへ個別に出力します。また、スイッチのスパンポートでは破棄されるエラーパケットもそれぞれのアナライザポートへ出力するため、全二重対応アナライザに最適なタップです。パッシブな機能のためネットワークに負荷をかけず停電時もネットワークに影響を与えない設計になっています。
引用: 東陽テクニカ様 Garland Technology社の製品一覧(https://www.toyo.co.jp)
P1GCCBPの4つのモード
こちらのポータブルタップですが、装置裏側に設定スイッチがありBypass Mode, Aggregation Mode, Breakout Mode, SPAN Modeの4つのモードから好きなモードを設定することができます。
4つのモードの切り替え方法は、以下のページをご参照ください。
M1GCCBP (modular TAPs) and P1GCCBP (Portable TAPs) Switch Configurations
今回実現したいのは、図2のBreakout Modeです。このモードで分析対象のLANケーブルに割り込む形でパケットを収集・分析することができます。
図2のC,Dがモニタリングポートになり、A→Bに流れるパケットがCに、逆がDのポートに流れます。つまり、このC,Dをそれぞれntopngでキャプチャしてあげれば全二十重のパケット分析が可能となり、パケットロスなくL7分析が可能となります。
実際の連携イメージは、図3の通りです。
分かりみが良いように、図1の構成で左のルーターから右のルーターに対して、Pingを打つ結果を確認してみようと思います。ntopngの画面では、図4,図5のようになります。
想定通り、左のルーター→右のルーターのフローは、モニターポートCに、右のルーター→左のルーターのフローは、モニターポートDに流れていることが分かります。
今回は、ICMPでしたがntopngであれば250種類以上のアプリケーション分析に加え、カスタムアプリーション登録も容易に行えNetwork Visibilityのレベルを数段あげることができます。
GARLAND P1GCCBPとntopngを連携させれば、気軽に分析したいポイントでL7分析まで対応できることが分かっていただけたのではないでしょうか?
株式会社東陽テクニカ様取り扱いGARLAND P1GCCBP(ポータブルタップ)の問い合わせに関しましては、以下のWEBページからお問い合わせください。
株式会社東陽テクニカ様取り扱いGARLAND P1GCCBP(ポータブルタップ)お問い合わせ
