今回の連載では、ポートミラーリングについて取り上げる。エンドユーザーにとっては特に必要性を感じない機能かと思われるが、管理者にとっては話が別である。しかも、常に設定していると全体のトラフィックが増加してスイッチのメリットを減殺してしまうので、必要に応じて容易に設定、あるいは設定解除できる方が望ましい。

そこで今回は、ポートミラーリングがどういった場面で必要となるかについての解説に加えて、ネットギア製の「ProSafe Plus」スイッチを利用して、ポートミラーリングを設定する際の手順について解説する。

ポートミラーリングを必要とする場面とは

スイッチ(スイッチングハブ)とは本来、個々のポートに接続したネットワーク機器のMACアドレスを学習するとともに、やり取りするイーサネット・フレームのMACアドレス情報を参照することで、送信元ノードと宛先ノードがつながっているポート同士を直結する機器である。だから、それ以外のポートにはフレームは流さず、ダムハブよりも効率良くトラフィックを捌くことができる。

ところが、当事者以外のポートにフレームを流さないというスイッチの長所が、短所になってしまうこともある。その典型例が、ネットワークのトラフィックを監視する場面である。そうした作業を必要とする典型的な事例が、ネットワークの動作に不審な点があり、原因を追究するためにトラフィックの内容を調べる、といった場面だ。

また、最近お騒がせの標的型攻撃を受けてトロイの木馬などを送り込まれた場合、そういった不正プログラムが外部にいる攻撃者のもとに、盗み出したデータを送信している可能性が高い。そういったトラフィックを見つけ出す際にも、トラフィックの監視が必要になるだろう。

ネットワークのトラフィックを監視するには、フレームをキャプチャするためのソフトウェアを動作させているコンピュータを、対象となるコンピュータと同じネットワークに接続する必要がある。ところが、キャプチャ対象が別のコンピュータだと、同じスイッチにキャプチャ用のコンピュータを接続してもキャプチャができない。スイッチは当事者以外のポートにフレームを流さないから、キャプチャ用のコンピュータを接続しても、そのコンピュータを接続しているポートには目的のフレームが流れてこないのである。

その問題を解決するのがポートミラーリングである。ポートミラーリングの設定とは、特定のポートを通じてやり取りしているイーサネット・フレームを、指定した別のポートにも複製して流す機能だ。だから、監視対象となるコンピュータを接続しているポートに対して、そのポートのトラフィックをキャプチャ用のコンピュータを接続したポートに複製するように設定すればよい。こうすることで、スイッチを介していても、他のコンピュータがやり取りしているイーサネット・フレームをキャプチャできる。

LANスイッチは、通信するポート以外にはフレームを送信しないので、フレームのキャプチャができない(上)。そこでポートミラーリングを設定すると、キャプチャが可能になる(下)

イーサネット・フレームをキャプチャするツールの例(Microsoft Network Monitor)

ポートミラーリング設定の概要と注意点

ここでは、ネットギア製の「ProSafe Plus」シリーズに属するスイッチのうち「GS116E」を例にとって、ポートミラーリングの設定について解説する。これまでに取り上げてきたVLAN(Vitrual Local Area Network)やQoS(Quality of Service)といった機能と同様に、「ProSafe」ユーティリティを使って設定する仕組みになっており、概略の手順は以下の通りである。

1. ポートミラーリング機能を有効化する
2. ミラーリングの対象となるポート(複製元)を指定する
3. ミラーリング先となるポート(複製先)を指定する

そこで注意する必要があるのが、「2.」である。というのは、イーサネット・フレームをキャプチャする対象が最初から明確になっていればよいが、それが明確になっていない場面も考えられるからだ。その場合、キャプチャに使用するコンピュータを接続するポートと以外のすべてのポートについて、ミラーリングの対象に指定しなければならないだろう。

また、複数のスイッチをカスケード接続している場合には、さらに話がややこしくなる。キャプチャの対象となるコンピュータを接続しているスイッチと、キャプチャに使用するコンピュータを接続しているスイッチが、それぞれ別個になる可能性があるからだ。

そうなるとポートミラーリングの設定が複雑になってトラブルの元なので、単一のスイッチの中だけで完結させる方が間違いが少なくなって良いだろう。つまり、キャプチャに使用するコンピュータはキャプチャ対象となるコンピュータと同じスイッチに接続するようにするわけだ。複数のスイッチを併用している場合、キャプチャ対象に合わせて、接続先のスイッチを変更することになる。何事も、シンプルにする方が確実である。

「GS116E」におけるポートミラーリングの設定

では、「GS116E」を使ったポートミラーリング設定の手順について解説しよう。なお、設定に使用する「ProSafe」ユーティリティの入手やセットアップ、それと設定操作の対象になるスイッチを指定する際の手順については、本連載の第2回と重複するため、割愛させていただく。必要に応じて、第2回の記事を参照していただきたい。

  1. 「ProSafe」の設定画面にある複数のタブのうち、ポートミラーリングの設定に使用するのは「システム」タブ以下の「モニタリング」である。そこで、その「モニタリング」をクリックする。
  2. 「システム」タブ以下の「モニタリング」をクリックする

  3. すると、「ポート統計」画面を表示する。この画面ではポートごとに送受信バイト数を表示しているのだが、その状態で、画面左側にある項目の中から「ミラーリング」をクリックする。
  4. 続いて表示する画面では、統計データを表示している。そこで、左上にある「ミラーリング」をクリックする

  5. すると、「ポートミラーリング」画面に切り替わる。初期状態ではポートミラーリングは無効になっているので、「ポートミラーリング設定」以下の「ミラーリング」リストボックスを、「無効」から「有効」に変更する。
  6. 「ミラーリング」リストボックスを、「無効」から「有効」に変更する

  7. 続いて、ミラーリングの対象となるポート(複製元)を指定する。「ミラーリング元ポート」以下に、スイッチが備える数と同じだけのチェックボックス(GS116Eなら16ポートだから16個)が並んでいるので、その中からミラーリングの対象にするポートについてクリックして、チェックをオンにする(「×」を表示する)。同時に複数のポートを指定できるように、こういうデザインになっている。

  8. 次に、ミラーリング先のポート(複製先)を指定する。こちらは一度に1個しか指定できないので、「ミラーリング先ポート」リストボックスで選択する。

  9. ミラーリングの対象にするポート(複製元)について、クリックしてチェックをオンにする。さらに、ミラーリング先のポート(複製先)を、リストボックスで選択する

  10. 最後に、画面右下の「適用」をクリックすると設定が確定して、ポートミラーリングが有効になる。
  11. 最後に「適用」をクリックしてポートミラーリングを有効にする

    なお、「3.」の画面で「ポートミラーリング設定」以下の「ミラーリング」リストボックスを、「有効」から「無効」に変更してから「適用」をクリックすると、ポートミラーリングの設定を解除する。特定のポートについてのみミラーリングの設定を変更するのであれば、ポートごとにチェックのオン/オフを切り替えればよい。

    「ミラーリング」リストボックスを、「有効」から「無効」に変更すると、ポートミラーリングの設定を解除して元に戻す

まとめ

VLANでもQoSでもポートミラーリングでも、専用の設定ユーティリティを利用することで、コマンドによる設定よりも容易、かつ確実に設定を行えるのが、「ProSafe Plus」スイッチのメリットといえる。もっとも、利用するスイッチの台数が多くなり、それらに対して同じ設定を行う作業を繰り返すのであれば、コマンドを記述した設定ファイルを送り込む方が楽かも知れない。

そのことを考えると、小規模オフィスにおいてはできるだけポート数の多いスイッチを利用することでスイッチの台数を抑制して、それに対して「ProSafe」ユーティリティで設定を行うようにするのが、「ProSafe Plus」スイッチの良さをもっとも発揮できる使い方である、といえそうだ。それに、スイッチの台数を抑制して配線をシンプル化する方が、管理やトラブル対策が楽である。