はじめに
同じフロアにあるインフラSE系の隣部署で、新人の方による面白い研究発表会がありました。
そのお題が、 「L1SWとL2SWの違いをスライドにまとめ、英語でデモ発表を行う」 というものでした。
なかなかにマニアックな内容ですし、英語でのデモまでこなしてしまうとは、今の若い方は本当にすごいなとただただ感心するばかりです。
ネットワークの上のレイヤーの難しいことは、現場専門の工事屋である自分には専門外なところもあるのですが、そこは悲しいかな「現場の工事屋」。これまで色々な現場で事前試験を泥臭くやってきたり、夜間の障害対応でパケットを追いかけ回したりしてきたため、歴史の生き証人とも言える「古い物理部材」だけは手元に山ほど転がっています。
新人の方の素晴らしい発表にすっかり触発されてしまったので、今回は少し昔話を交えながら、物理層(L1)とデータリンク層(L2)の境界線、そして「パケットキャプチャ」のために、どんな機器達がいたのかその変遷を軽くご紹介させてください。
L1SW(リピーターHUB)とL2SW(スイッチングHUB)の決定的な差分
まずは、両者の最大の違いについて簡単におさらいです。一言で言ってしまえば、 「MACアドレスを理解して、交通整理(フィルタリング)ができるかどうか」 という点に尽きます。
L1SW(リピーターHUB)
OSI参照モデルの物理層(Layer 1)で動作するデバイスです。受信した電気信号(フレーム)を、 受信したポート以外のすべてのポートに対して、単に増幅してそのままコピー(電気的に垂れ流し) します。
いわゆるバカハブです。
L2SW(スイッチングHUB)
データリンク層(Layer 2)で動作するデバイスです。フレーム内の宛先MACアドレスを読み取り、自身が学習している「MACアドレスMAP」に基づいて、対象のMACアドレスが存在する特定のポートにのみフレームを転送します。
コリジョンドメインをポートごとに分割できるため、衝突が発生しません。各ポートが100Mbpsや1Gbpsなどの帯域をフルに活用できるようになります。
| 機能・特徴 | L1SW (リピーターHUB) | L2SW (スイッチングHUB) |
|---|---|---|
| 動作レイヤー | 物理層 (Layer 1) | データリンク層 (Layer 2) |
| 転送制御 | 受信ポート以外すべてにブロードキャスト | 宛先MACアドレスを見て特定ポートへ転送 |
| キャプチャの容易性 | 任意のポートにPCを挿せば全通信が見えます | 基本的に自分宛て/ブロードキャスト以外の通信は見えません |
L1SWの究極の具体例:Network TAP
L2SWの登場によって、一般的な市場からは姿を消してしまったL1SW(リピーターHUB)ですが、 「すべての通信をそのままコピーして流す」 という物理層での特性は、我々がトラブルシューティングやパケット解析を行う上で、今なお極めて重要です。その思想を純粋にはぐくみ、現代でも現役で活躍しているデバイスが Network TAP です。
インライン(ルーターとスイッチなどの通信経路の間)に物理的に挿入し、通過するパケットの電気信号(または光信号)を完全に複製して、キャプチャ専用ポートから出力してくれます。
Network TAP の動作イメージ
L2SWのミラーリング機能(後述)のように「スイッチのCPU負荷によるパケットドロップ」や「エラーフレームの自動破棄」が起こらないのが最大の強みです。ミッションクリティカルな環境のパケット解析や、セキュリティ監視において、信頼性の高いL1デバイスとして現在も大変重宝されています。
- 参考リソース: Q-NETソリューションズ - ネットワークタップ製品一覧
【過去話】10Mbpsから100Mbpsへの過渡期と「FH708TP」の記憶
ここからは少しだけ、昔話にお付き合いください。
10Base-T(10Mbps)の古き良き時代、ネットワークの中心は文字通りのリピーターHUBでした。どのポートにsniffer(当時はEthereal~Wiresharkなんて無かった。。懐かしいです)を仕掛けたPCやHP Internet Advisor(専用機)を接続しても、ネットワーク全体のトラフィックが丸見えだったため、トラブルシューティングは非常にイージーな時代でした。
しかし、時代が100Base-TX(100Mbps)へと移行する過渡期(本当に数年間ほどの短い間だった記憶があります)、少し歪な製品が登場します。その代表例が、Allied Telesisから発売されていた FH708TP などの 「100Mbps ファストイーサネット・リピーターHUB」 でした。
ちなみにこの時代のネットワーク機器、今となっては立派なビンテージ品(骨董品)です。テレビの『開運!なんでも鑑定団』でもよく 「箱付きは高価」 なんて言われていますが、当時の元箱や取扱説明書が綺麗に残ったままデスクの奥底から発掘された日には、思わず 「いい仕事してますね〜」 と、あの名台詞を呟きながら筐体を撫で回したくなってしまいます。
当時はまだL2SW(スイッチングHUB)が若干高価だったため、安価に100Mbps環境を構築しつつ、パケットキャプチャ環境(通称:生ハブ)を維持したいエンジニアの間で、この「100メガのリピーター」は重宝されたものです。しかし、100Mbpsの半二重通信はコリジョンによるオーバーヘッドがあまりにも大きく、ネットワークの規模が拡大するにつれて、市場の本流は急速に低価格化したL2SWへとシフトしていくことになりました。
1Gbps時代の到来と、安価なキャプチャ環境:NETGEAR「GS105E」
ギガビットイーサネット(1Gbps)の時代を迎えると、L1SW(リピーターHUB)は規格の上でも事実上、姿を消してしまいました(仕様としては定義されているのですが、製品としては絶滅状態でした)。
ここでインフラ屋は大きなジレンマに直面します。 「L2SWを使うと通信がフィルタリングされてしまうため、他人の通信をキャプチャできない。しかしリピーターHUBはもうどこにも売っていない」 という問題です。
まぁ、前述のTAP(loss zeroなレベルでのport traffic copy)、エンタープライズ向けスイッチ Cisco CatalystなどによるSPAN(ポートミラーリング)はありますが・・ちょっとした現場作業用に用意するにはいささかハードルが高すぎました。
そんな中で救世主となってくれたのが、皆様もお馴染みの(?) NETGEAR GS105E などのアンマネージプラス・スイッチでした。(亜種多数。"E"がついたモノが少し頭良い子です。)


数千円という大変お求めやすい価格でありながら、簡易的な管理画面から 「ポートミラーリング(Captureポートの設定)」 が可能だったのです。

(まぁ、それよりも802.1Q TAGが喋れるって利点でバカ売れしましたが。それはまた別のお話。)
そして、同時期か少し後に発売されたものとして GS-908S-TP (こちらも亜種多数)


こちらはコピー可能なトラフィックは受信パケット(Rx)のみですが、ping返す試験用Nodeとしても遊べます。
まとめ
- L1SW(リピーターHUB): 良くも悪くも「すべてをコピーして流す」単純さがありました。
- L2SW(スイッチングHUB): 効率的な通信を実現してくれましたが、パケットキャプチャには少し工夫が必要になりました。
-
その後の変遷: GS105EやGS908S-TPによる「安価なL2ミラーリング」もできるように。また少しお高いですが10GbpsのTAPなんてものも。
隣の部署の新人の方が綺麗にスライドにまとめてくれたL1/L2の美しい理論。若い世代の方がこうしたインフラの基礎に興味を持ち、素晴らしい発表をしてくれたことが勝手ながら少し嬉しかったりいたします。
さて、皆様のデスクの引き出しの奥底には、一体どの時代の「ハブ」が眠っているでしょうか?
最後までお付き合いいただき、ありがとうございました。


