パケットキャプチャに特化したミラーリング機能を備えたスイッチングハブをアイ・オー・データ機器が発表しました:
- [公式プレスリリース]新製品情報 2013年 ネットワークエンジニアに最適! 設定不要でパケットキャプチャが可能な小型・軽量ミラーリング専用ボックス「Mirror-BOX」 – IODATA アイ・オー・データ機器
- [公式製品情報]BX-MRシリーズ スイッチングハブ – IODATA アイ・オー・データ機器
- アイ・オー、ミラーリングに特化したパケットキャプチャ機器「BX-MR1」 – INTERNET Watch
ポートはミラー、LAN1、LAN2があり、ミラーにはLAN1とLAN2の間での通信内容がそのまま伝えられる仕様となっているそうです。この製品はポートが3つしかないことでバランスがある程度取れています。また、このミラー機能をリピーターと呼ばないことも非常に好感が持てます。ネットワークに関する知識を正しく身に着ける場合には、この言葉遣いの正しさは本当に重要です。先日取り上げたプラネックス・コミュニケーションズの「FXG-05RPT」では、このあたりが不適切でとても残念でしたが、こちらの製品はそういった問題もないようです。
3ポートでバランスが取れていると書きましたが、実はこれはとても重要なことです。
プラネックス・コミュニケーションズの「FXG-05RPT」のような、常時全ポートへのブロードキャスト型の5ポートのスイッチングハブでは、1ポートに受信用の機器を割り当て、残りの4ポートが全力(というか、通常通りに)で通信したと仮定したとして、各ポートは全二重ですから4ポートからの通信が受信用の機器のポートへ集中することになります。※1当然のことながら各ポートの通信能力は1Gbpsですから、受信用のポートには最大で4Gbps分の通信データが集中することになります。しかし、受信用のポートも最大で1Gbpsだという条件は変わりません。こうなると、各ポートへのブロードキャストの状況に合わせて、フロー制御が必要になるわけですが、プラネックス・コミュニケーションズの「FXG-05RPT」ではこれは行っていないようです(今回の製品を紹介するINTERNET Watchの記事に対するツイートで一部情報が失われているようだ、という報告が見られますので、そのように判断しました※2)。そうなると、ブロードキャストで送信しきれなかったパケット(=内部バッファからあふれたパケット)はロストすることになります。
これが今回のこのアイ・オー・データ機器による「BX-MR1」では、フロー制御が行われ、パケットのロストをしない設計となっているとのことです(ただし、この影響で通信速度には制限がかかります)。このため、実際にパケットをキャプチャする実務ではこちらの製品の方が扱いやすいであろうと思われます。
もっとも、実際に1パケットもロストしないでキャプチャすることを前提とするのであれば、やはり“本物”のリピーターハブを使うのが確実です(全ポートに同じ信号が出力されるため)。現在においても実業務ではフォレンジック目的やIDS/IPS用途で“本物”のリピーターハブが使用されているのを見かけるのはこのためです。
こういったことを理解して使用するのであれば、先日のプラネックス・コミュニケーションズの「FXG-05RPT」や今回のアイ・オー・データ機器の「BX-MR1」はともに有用でしょう。問題は、たぶん、この手の製品を手に入れるであろう、多くの人がこういった事情を正しく理解していないであろうことにありそうな気がします。その場合は、フロー制御が行われる、ミラー1ポート+通常2ポートの「BX-MR1」の方が扱いやすいだろうと思います。
関連記事
- むろん、送信側のポートにも伝わりますが、本題とは関係ないのでここでは無視します。