IP Traffic Export(前半)
目次
はじめに
さて、今回は12.3(4)Tから導入された「IP Traffic Export」という機能につ
いてお勉強します。
この機能は、Catalystで言うSPANのようなもので、Routerのインタフェースで
送受信したトラフィックを、別のインタフェースにコピーしてSnifferやEthereal
を使ってトラフィックの分析ができるようになります。
Routerで構成されたネットワークでパケットキャプチャをする場合以前はSPAN
できるスイッチを間に入れて、ということをやっていましたが、今後はRouter
に余っているインタフェースがあればそこからパケットを複製できるので作業
負荷は少し軽減されるかもしれませんね。
スイッチを用意する必要もなく、急なトラブルのときなんかは重宝する機能か
もしれません。
Restrictions
この機能には以下の3つの制限事項があります。
-プラットフォームに関する制限
-パフォーマンスに関する制限
-複製できるパケットに関する制限
以下、詳しく説明します。
-プラットフォームに関する制限
ソフトウェア処理のプラットフォームに限ってサポートされています。分散ア
ーキテクチャ(Distributed Architectuers)のプラットフォームはサポート
していません。分散アーキテクチャというのは、具体的にはCisco7200シリー
ズのようなハイエンドのルータなどで使用されている、インタフェースボード
そのものにパケットフォワーディングエンジンが搭載されている仕様の機器を
指していると思います。つまりCPUを経由せずにHWだけで処理できるような機
器ということです。
ISRシリーズルータなんかは一部ASICで処理されていますがDistributed CEFな
んかは動作しないと思いますので、多分IP Traffic Export機能は動作すると
思います。
#実際に確認したわけではありませんので、使える・使えないは検証してください。
-パフォーマンスに関する制限
通常のパケット転送処理に加えて、パケットを複製して別のインタフェースに
流すという処理も加わるので、ルータの処理負荷は大きく、パフォーマンスが
低下します。ここで言うパフォーマンスの低下とは、パケットの転送遅延が大
きくなるということです。
-複製できるパケットに関する制限
複製先のインタフェースは10/100/1000イーサネットに限られます。ただし、
複製元のインタフェースはどのインタフェースでも構いません。
また、複製されたパケットを受け取るデバイスは、複製先インタフェースにL2
で接続されていなければなりません。
Benefits
マニュアルには2つのBenefitsが書かれています。個人的にはBenefitsと言え
るのかどうか疑問ですが。
-Simplified IDS Deployment
-IP Traffic Export Functionality Benefits
以下、詳しく説明します。
-Simplified IDS Deployment
IDSとは侵入検知装置と訳されます。主な機能はネットワーク上を流れるパケ
ットをリアルタイムでチェックして、その中にウイルスやワームのコードとマ
ッチするパケットが存在しないか、パケットのパターンが何らかの攻撃とマッ
チするものが存在しないかをチェックする機械です。
もし仮に見つけた場合は検出する(Detection)が目的なのでアラームで知ら
せるという動作をします。機械によってはそれらのパケットをブロックする、
ということもできますが、主な目的は検出です。
IP Traffic Exportのマニュアルには、IDSはインラインで設置しなければなら
ない(must be inline)と書かれていますが、IDSは基本的に侵入を検知する
のが主な目的なので、必ずしもインラインではなく、スイッチのSPANポートに
接続されていれば機能します。
IP Traffic Exportを使用すればスイッチいらずでIDSを接続することも出来ま
すが、おそらくパフォーマンス低下を考えると実用には耐えられないのではと
思います。
ですので、あまりBenefitというだけの魅力を感じません。
#あくまでも個人的な意見ですので、実際にこの機能を使ってIDSを使われる方
は、パフォーマンスの低下が実用に耐えられるか、しっかりと検証してから
判断してください。
ちなみに、侵入をブロックするのが主な目的のIPSという製品もあります。こ
ちらは、ウイルスやワームを止める必要がありますので、インラインで使われ
ます。
-IP Traffic Export Functionality Benefits
これはBenefitsというよりもIP Traffic Exportのサブ機能についての説明です。
▼複製されるパケットをACLで選別できます。
▼複製されるパケットから、いくつかのパケットをサンプリングすることができます。
この機能を利用すれば、全てのパケットを複製せずに一部のパケットだけを複
製してキャプチャすることができるようようになるます。
▼双方向(bidirectional)のパケットを複製できます。デフォルトでは複製
元インタフェースに入ってくる(incoming)のパケットのみです。
設定の話は長くなってしまいますので、次回にすることにします。
それではお楽しみに。
By 『Overseas and Beyond』 Koichi
http://overseasandbeyond.blogspot.com/