Основната разлика между заснемането на пакети чрез мрежови TAP и SPAN портове.
Огледално копиране на портове(известен също като SPAN)
Мрежов кран(известен също като репликационен отвод, агрегиращ отвод, активен отвод, меден отвод, Ethernet отвод и др.)TAP (Точка за достъп до терминал)е напълно пасивно хардуерно устройство, което може пасивно да улавя трафик в мрежа. Обикновено се използва за наблюдение на трафика между две точки в мрежата. Ако мрежата между тези две точки се състои от физически кабел, мрежов TAP може да е най-добрият начин за улавяне на трафик.
Преди да обясним разликите между двете решения (Port Mirror и Network Tap), е важно да разберем как работи Ethernet. При скорости от 100 Mbit и повече, хостовете обикновено комуникират в пълен дуплекс, което означава, че един хост може да изпраща (Tx) и приема (Rx) едновременно. Това означава, че по 100 Mbit кабел, свързан с един хост, общото количество мрежов трафик, което един хост може да изпраща/получава (Tx/Rx), е 2 × 100 Mbit = 200 Mbit.
Огледалното копиране на портове е активно репликация на пакети, което означава, че мрежовото устройство е физически отговорно за копирането на пакета към огледалния порт.
Привличане на трафик: TAP срещу SPAN
Когато наблюдавате мрежовия трафик, ако не искате да активирате поддръжката директно, докато потребителят обработва транзакция, имате две основни опции. В следващата статия ще дадем общ преглед на TAP (Test Access Point) и SPAN (Switch Port Analyzer). За по-задълбочен анализ, експертът по проверка на пакети Тимо'Нийл има няколко статии в lovemytool.com, които разглеждат подробно, но тук ще възприемем по-общ подход.
СПАН
Огледалното отразяване на портове е метод за наблюдение на мрежовия трафик чрез препращане на копие на всеки входящ и/или изходящ пакет от един или повече портове (или VLAN) на комутатор към друг порт, свързан с анализатор на мрежов трафик. Span-овете (spans) често се използват в по-прости системи за едновременно наблюдение на множество сайтове. Точният брой мрежови предавания, които може да се наблюдават, зависи от това къде е инсталиран SPAN спрямо оборудването на центъра за данни. Вероятно ще намерите това, което търсите, но е лесно да се окажете с твърде много данни. Например, възможно е да се намерят множество копия на едни и същи данни в цяла VLAN. Това прави отстраняването на неизправности в LAN мрежата по-трудно, а също така влияе върху скоростта на процесорите на комутатора или влияе върху Ethernet чрез откриване на разположението. По принцип, колкото повече span-ове има, толкова по-вероятно е да се загубят пакети. В сравнение с taps, span-овете могат да се управляват дистанционно, което означава, че се отделя по-малко време за промяна на конфигурации, но все пак са необходими мрежови инженери.
SPAN портовете не са пасивна технология, както някои твърдят, защото могат да имат други измерими ефекти върху мрежовия трафик, включително:
- Време за промяна на взаимодействието с рамката
- Изпускане на пакети поради прекомерни търсения
- Повредените пакети се изпускат без предупреждение, което възпрепятства анализа
Следователно, SPAN портовете са по-подходящи за ситуации, където изпускането на пакети не влияе на анализа или където се взема предвид цената.
ДОКОСНЕТЕ
За разлика от това, разклонителите изискват първоначално закупуване на хардуер, но не изискват много настройка. Всъщност, тъй като са пасивни, те могат да бъдат свързвани и изключвани от мрежата, без това да я засяга. Разклонителите са хардуерни устройства, които осигуряват достъп до данни, преминаващи през компютърна мрежа, и обикновено се използват за целите на мрежовата сигурност и мониторинг на производителността. Наблюдаваният трафик се нарича „преминаващ“ трафик, а портът, използван за мониторинг, се нарича „порт за мониторинг“. За по-ясно проучване на мрежата, разклонителите могат да бъдат поставени между рутери и комутатори.
Тъй като TAP не влияе на пакетите, той може да се разглежда като наистина пасивен начин за преглед на мрежовия трафик.
Има основно три вида TAP решения:
- Мрежов разделител (1:1)
- Агрегат TAP (мулти: 1)
- Регенерация TAP (1: мулти)
TAP репликира трафика към един пасивен инструмент за наблюдение или към устройство за реле на пакети с висока плътност в мрежата и обслужва множество (често множество) инструменти за QOS тестване, инструменти за мрежов мониторинг и инструменти за мрежово снифериране, като например Wireshark.
Освен това, типовете TAP варират в зависимост от вида на кабела, включително оптичен TAP и гигабитов меден TAP, като и двата работят по същество по един и същи начин, като прехвърлят част от сигнала към анализатора на мрежовия трафик, докато основният модел продължава да предава без прекъсване. При оптичния TAP лъчът се разделя на две, докато при медната кабелна система се възпроизвежда електрическият сигнал.
Сравняване на TAP и SPAN
Първо, SPAN портът не е подходящ за пълнодуплексна 1G връзка и дори когато е под максималния си капацитет, той бързо губи пакети, защото е претоварен или просто защото комутаторът дава приоритет на редовните дати от порт до порт пред данните от SPAN порта. За разлика от мрежовите разклонители, SPAN портовете филтрират грешките на физическия слой, което прави някои видове анализ по-трудни, и както видяхме, неправилните времена на нарастване и променените кадри могат да причинят други проблеми. От друга страна, TAP може да работи с пълнодуплексна 1G връзка.
TAP може също да извършва пълно заснемане на пакети и задълбочена проверка на пакети за протоколи, нарушения, прониквания и др. По този начин, TAP данните могат да се използват като доказателство в съда, докато данните от SPAN портове не могат.
Сигурността е друг аспект, където има разлики между двете техники. SPAN портовете обикновено са конфигурирани за еднопосочна комуникация, но в някои случаи те могат и да приемат комуникация, което причинява сериозни уязвимости. За разлика от тях, TAP не е адресируем и няма IP адрес, така че не може да бъде хакнат.
SPAN портовете обикновено не предават VLAN тагове, което може да затрудни откриването на VLAN повреди, но разклонителите не могат да видят цялата VLAN мрежа едновременно. Ако не се използват агрегирани разклонители, TAP няма да осигури една и съща трасировка и за двата канала, но трябва да се внимава с откриването на превишаване. Има агрегирани разклонители, като Booster за Profitap, които обединяват осем 10/100/1G порта в 1G-10G изход.
Booster може да въвежда пакети чрез вмъкване на VLAN тагове. По този начин информацията за изходния порт на всеки пакет ще бъде препратена към анализатора.
SPAN портовете все още са инструмент, който мрежовите администратори ще използват, но ако скоростта и надеждният достъп до всички мрежови данни са критични, TAP е по-добрият избор. Когато решавате кой подход да предприемете, SPAN портовете са по-подходящи за мрежи с ниско натоварване, тъй като загубените пакети не влияят на анализа или са незадължителни в случаите, когато цената е от значение. Въпреки това, в мрежи с висок трафик, капацитетът, сигурността и надеждността на TAP ще осигурят пълна видимост на трафика във вашата мрежа, без страх от загуба на пакети или филтриране на грешки на физическия слой.
○ Напълно видим
○ Репликиране на целия трафик (всички пакети от всички размери и типове)
○ Пасивно, ненатрапчиво (не променя данните)
○ При серийно свързване не се използват портове за превключване за репликиране на трафик с пълен дуплекс в кабелните снопове. Лесна настройка (plug and play).
○ Не е уязвим за хакери (невидимо, изолирано устройство за наблюдение от мрежата, без IP/MAC адрес)
○ Мащабируем
○ Подходящ за всяка ситуация
○ Частична видимост
○ Некопиране на целия трафик (изпускане на пакети с определени размери и видове)
○ Непасивен (промяна на времето на пакетите, увеличаване на латентността)
○ Използвайте порт за комутатор (всеки SPAN порт използва порт за комутатор)
○ Невъзможност за обработка на пълнодуплексна комуникация (пакети, изпускани при претоварване, могат също да попречат на работата на основния комутатор)
○ Инженерите трябва да конфигурират
○ Несигурно (Системата за мониторинг е част от мрежата, потенциални проблеми със сигурността)
○ Не е мащабируемо
○ Възможно само при определени обстоятелства
Може да ви е интересна свързаната статия: Как да уловим мрежовия трафик? Network Tap срещу Port Mirror
Време на публикуване: 09 юни 2025 г.
