NDRをより効果的に使えるNPBの役割～VLANタギング編～

　テレワークが普及したことで、セキュリティの考え方は従来の社内や限定した場所のみを守ればいいという考え方から、全てのトラフィックを信用せず、全ての安全性や正当性を検証するゼロトラストという考え方に変化しました。
　そのため、従来であれば不正侵入の検知・防御はIPS/IDS、WAF、ファイアーウォールで行われることが主流でしたが、昨今はネットワーク全体を監視し、ゲート側で脅威の検知・対処をするNDR（Network Detection and Response）が注目を集めています。
　Keysight Technologies社製ネットワークパケットブローカー（NPB）であるVisionシリーズは従来のIPS/IDSなどのセキュリティ製品はもちろん、NDRとも相性が非常に良い製品です。
　前回はNPBの機能の一つ、重複排除を取り上げましたが、今回はVLANタギング機能について、当社のプラットフォーム事業グループ　ITプロダクト＆サービス事業本部　ネットワーク部 技術課　片岡 隆一朗氏に聞いてみました。

――VLANタギング機能について教えてください。

　VLANは仮想的にネットワーク（LAN）を区切ったVirtual LANを指しますが、VisionシリーズではVLANタギングという機能を使えばVLANタグを流れてきたフレームに付加できます。
　また、付加されているVLANタグを外したい場合にはストリッピング機能で外すこともできます。

――ストリッピングはどういった機能ですか。

　フレームに付加されているVLANタグを外すという機能になります。
　パケットの解析装置など、データを受け取る側の装置のスペックが低い場合はVLANタグを認識できない場合があります。その場合、事前にVLANタグを外しておくとエラーが起きず効果的です。

――VisionシリーズでVLANタギングを利用することのメリットは何ですか？

　Visionはさまざまな場所にあるミラーポートやTAPからパケットを集積し、セキュリティ機器が必要とする形でデータを流すという機器です。そのため、収集したデータがどこからのパケットであるかをVLANタグによって管理することで、セキュリティ機器側は効率よく判断し、処理することもできますし、追跡もしやすくなります。

――タギングはどのように設定できますか？

　VisionはNetwork Ports（入力）、Dynamic Filters（中間）、Tool Ports（出力）の3階層に分けて設定が行えます。

　タギングとストリッピング、変更はそれぞれ以下の階層で行えます。

　タグを外す際の指定方法は、外すタグのVLAN IDを指定するか、複数付いているタグの中から外したいタグの範囲を指定する形です。
　例えば、1と指定すれば一番外側（イーサネットヘッダ側）にあるものだけが取り外されるというように外したい個数で指定するイメージです。

――この機能を使用されるお客様からよく受けるご質問はありますか？

　大体以下のようなご質問を頂いています。

1．この機能を利用するために別途ライセンスの購入は必要ですか。

　デフォルト機能のため、追加のライセンス等のご購入の必要はございません。
　またパケットスタックが付いている機種であればVLANタグだけでなく、MPLSやGTPなどのヘッダを外すことも可能です。

2．設定方法について教えてください。

　設定したいポートを開き、Packet Processingの画面から設定していきます。GUIで非常に簡易に設定が可能です。

＜タギング：タグを付けたい場合＞
　Port Taggingにチェックを入れ、設定したいVLAN IDを記述します。

＜ストリッピング：タグを外したい場合＞
　VLAN Strippingにチェックを入れ、いくつのVLANタグを外したいかを選択します。
　この画面ではイーサネットヘッダからみて1つ目のみを外すか、2つとも（QinQ）外すかを設定できます。

　下記画面（Tool Portsのみ）ではVLAN IDでの指定も可能です。
　VLAN Stripping by IDをチェックして、Outer VLAN IDに外したいVLANタグのVLAN IDを入力します。

＜VLANタグを変更したい場合＞
　VLAN Replacementの画面を開き、Enable VLAN Replacementにチェックを入れ、変更後のVLAN IDを入力します。

Visionシリーズに関するご相談、価格のお問い合わせはこちらから
https://itps.scsk.jp/ixia/inquiry