Главната разлика помеѓу снимањето пакети со користење на Network TAP и SPAN порти.
Пресликување на порти(исто така познат како SPAN)
Допир на мрежа(исто така познат како Репликациска тапкање, Агрегациска тапкање, Активна тапкање, Бакарна тапкање, Етернет тапкање, итн.)TAP (Точка за пристап до терминал)е целосно пасивен хардверски уред, кој може пасивно да го фаќа сообраќајот на мрежата. Најчесто се користи за следење на сообраќајот помеѓу две точки во мрежата. Ако мрежата помеѓу овие две точки се состои од физички кабел, мрежниот TAP може да биде најдобриот начин за фаќање на сообраќајот.
Пред да ги објасниме разликите помеѓу двете решенија (Port Mirror и Network Tap), важно е да се разбере како функционира Ethernet. На 100Mbit и повеќе, хостовите обично зборуваат во целосен дуплекс, што значи дека еден хост може да испраќа (Tx) и прима (Rx) истовремено. Ова значи дека на кабел од 100 Mbit поврзан со еден хост, вкупната количина на мрежен сообраќај што еден хост може да испраќа/прима (Tx/Rx)) е 2 × 100 Mbit = 200 Mbit.
Пресликувањето на портот е активна репликација на пакети, што значи дека мрежниот уред е физички одговорен за копирање на пакетот на огледалниот порт.
Собирање сообраќај: TAP наспроти SPAN
При следење на мрежниот сообраќај, ако не сакате директно да ја операционализирате поддршката додека корисникот обработува трансакција, имате две главни опции. Во следната статија, ќе дадеме преглед на TAP (Test Access Point) и SPAN (Switch Port Analyzer). За подлабока анализа, експертот за инспекција на пакети, Тимо'Нил, има неколку статии на lovemytool.com кои навлегуваат во многу детали, но овде, ќе имаме поопшт пристап.
СПАН
Пресликувањето на порти е метод за следење на мрежниот сообраќај со препраќање копија од секој дојдовен и/или појдовен пакет од еден или повеќе порти (или VLAN) на прекинувачот до друг порт поврзан со анализатор на мрежен сообраќај. Распоните често се користат во поедноставни системи за истовремено следење на повеќе локации. Точниот број на мрежни преноси што може да ги следи зависи од тоа каде е инсталиран SPAN во однос на опремата на центарот за податоци. Веројатно ќе го најдете она што го барате, но лесно е да се најдете со премногу податоци. На пример, можно е да се најдат повеќе копии од истите податоци низ цела VLAN. Ова го отежнува решавањето проблеми со LAN, а исто така влијае на брзината на процесорите на прекинувачот или влијае на Ethernet преку откривање на локација. Во основа, колку повеќе распони, толку е поголема веројатноста да се изгубат пакети. Во споредба со таповите, распоните може да се управуваат од далечина, што значи дека се троши помалку време за менување на конфигурациите, но сепак се потребни мрежни инженери.
SPAN портите не се пасивна технологија, како што тврдат некои, бидејќи можат да имаат други мерливи ефекти врз мрежниот сообраќај, вклучувајќи:
- Време е да се промени интеракцијата на рамката
- Испуштање на пакети поради прекумерни пребарувања
- Оштетените пакети се отфрлаат без претходна најава, што ја попречува анализата
Затоа, SPAN портите се посоодветни за ситуации каде што отфрлањето на пакетите не влијае на анализата или каде што се зема предвид трошокот.
ДОПИР
Спротивно на тоа, таповите треба да потрошат пари за хардвер однапред, но не бараат многу поставување. Всушност, бидејќи се пасивни, можат да се поврзат и исклучат од мрежата без да влијаат на неа. Таповите се хардверски уреди што овозможуваат пристап до податоци што течат низ компјутерска мрежа и најчесто се користат за безбедност на мрежата и цели на следење на перформансите. Следениот сообраќај се нарекува „премин“ сообраќај, а портата што се користи за следење се нарекува „порт за следење“. За појасно испитување на мрежата, таповите може да се постават помеѓу рутери и прекинувачи.
Бидејќи TAP не влијае на пакетите, може да се смета за вистински пасивен начин за преглед на мрежниот сообраќај.
Во основа постојат три вида на TAP решенија:
- Мрежен разделувач (1:1)
- Агрегатен TAP (мулти: 1)
- Регенерација TAP (1: мулти)
TAP го реплицира сообраќајот до една алатка за пасивно следење или до уред за мрежно релејирање пакети со висока густина и служи за повеќе (честопати повеќекратни) алатки за тестирање на QOS, алатки за следење на мрежата и алатки за трагање на мрежата како што е Wireshark.
Покрај тоа, типовите на TAP се разликуваат во зависност од типот на кабел, вклучувајќи го оптичкиот TAP и гигабитниот бакарен TAP, кои работат на суштински ист начин со префрлање на дел од сигналот на анализаторот на мрежниот сообраќај, додека главниот модел продолжува да пренесува без прекин. За оптичкиот TAP, тоа е да се подели зракот на два дела, додека во системот со бакарни кабли, тоа е да се реплицира електричниот сигнал.
Споредба на TAP и SPAN
Прво, SPAN портот не е погоден за full-duplex 1G врска, па дури и кога е под својот максимален капацитет, брзо ги испушта пакетите бидејќи е преоптоварен или едноставно затоа што прекинувачот ги дава приоритет на редовните датуми од порт до порт пред податоците од SPAN портот. За разлика од мрежните приклучоци, SPAN портите ги филтрираат грешките во физичкиот слој, што ги отежнува некои видови анализи, а како што видовме, неточните времиња на зголемување и променетите рамки можат да предизвикаат други проблеми. Од друга страна, TAP може да работи со full-duplex 1G врска.
TAP може да изврши и целосно снимање на пакети и да изврши длабинска проверка на пакети за протоколи, прекршувања, упади итн. Така, податоците од TAP можат да се користат како доказ на суд, додека податоците од SPAN портата не можат.
Безбедноста е уште еден аспект каде што постојат разлики помеѓу двете техники. SPAN портите обично се конфигурирани за еднонасочна комуникација, но во некои случаи можат да примаат и комуникација, што предизвикува сериозни ранливости. Спротивно на тоа, TAP не е адресибилен и нема IP адреса, па затоа не може да се хакира.
SPAN портите обично не ги пренесуваат VLAN ознаките, што може да го отежни откривањето на дефекти на VLAN, но таповите не можат да ја видат целата VLAN мрежа одеднаш. Ако не се користат агрегирани тапови, TAP нема да обезбеди иста трага за двата канали, но мора да се внимава со откривањето на вишок. Постојат агрегирани тапови, како што е Booster за Profitap, кои агрегираат осум 10/100/1G порти во 1G-10G излез.
Бустерот може да внесува пакети со вметнување на VLAN ознаки. На овој начин, информациите за изворниот порт на секој пакет ќе бидат проследени до анализаторот.
SPAN портите сè уште се алатка што ќе ја користат мрежните администратори, но ако брзината и сигурниот пристап до сите мрежни податоци се од клучно значење, TAP е подобар избор. При одлучувањето кој пристап да се избере, SPAN портите се посоодветни за мрежи со мала искористеност, бидејќи изгубените пакети не влијаат на анализата или се опционални во случаи кога цената е проблем. Сепак, на мрежи со голем сообраќај, капацитетот, безбедноста и сигурноста на TAP ќе обезбедат целосен преглед на сообраќајот на вашата мрежа без страв од губење пакети или филтрирање на грешки во физичкиот слој.
○ Целосно видливо
○ Реплицирај го целиот сообраќај (сите пакети од сите големини и типови)
○ Пасивно, ненаметливо (не ги менува податоците)
○ Сериски, не се користат прекинувачки порти за реплицирање на целосен дуплекс сообраќај во каблите. Лесно поставување (вклучи и пушти)
○ Не е ранлив на хакери (невидлив, изолиран уред за следење од мрежата, без IP/MAC адреса)
○ Скалабилен
○ Погодно за секоја ситуација
○ Делумна видливост
○ Некопирање на целиот сообраќај (отфрлање на одредени големини и типови пакети)
○ Непасивно (менување на времето на пакетите, зголемување на латенцијата)
○ Користете прекинувач (секој SPAN порт користи прекинувач)
○ Не може да се справи со целосно дуплекс комуникација (пакетите што се паѓаат при преоптоварување, исто така може да се мешаат во работата на примарниот прекинувач)
○ Инженерите треба да конфигурираат
○ Небезбедно (Системот за следење е дел од мрежата, потенцијални безбедносни проблеми)
○ Не е скалабилно
○ Изводливо само под одредени околности
Можеби ќе ве интересира поврзаната статија: Како да се сними мрежен сообраќај? Network Tap наспроти Port Mirror
Време на објавување: 09.06.2025
