トラフィックモニターする際の注意点

　トラフィックモニターする際は、ウイルス対策ソフトのファイヤウォール機能やWindowsのファイやウォールを、無効にしておくのを忘れないようにして下さい。受信するパケットがブロックされてモニターできなくなってしまいます。

　ファイヤウォールの設定を切っている間は、パソコンが無防備状態になってしまいますので、せめて、OSは、最新にアップデートしておきましょう。もちろん、トラフィックモニターが終われば、核ファイヤウォールの設定は、有効に戻しておきます。

　さて、モニタリングするPCの設置する場所ですが、モニタリングを実行するＰＣがＬＡＮ上のどの位置に設置されているかによってモニターできる範囲が変わってきます。

　スイッチは、ポートごとにマイクロセグメンテーションします。つまりポートごとにセグメント化が行われます。その結果、スイッチにモニタリングを実行するＰＣを設置すると自分との通信しかモニタできなくなってしまいます。

　例えば、下の図の位置にモニタリングPCを配置するとネットワーク上に流れるほとんどの通信をモニターできなくなってしまいます。他のPCの通信をモニターしたいのであれば、トラフィックのが集中する場所にセグメントに設置したり、スイッチにポートミラーリングの設定を行ってミラーポートに接続します。

　ポートミラーリングとは、特定のポートを通過するトラフィックを指定したミラーポートにコピーする機能です。ミラーポートに、ネットワークアナライザやRMONプローブなどモニタリングデバイスを接続することで、パケットの解析が行うことができるようになります。

下図のネットワーク構成でのモニタリンの配置について説明します。