Võrgu käitamise ja hoolduse, tõrkeotsingu ja turbeanalüüsi valdkonnas on võrgu andmevoogude täpne ja tõhus hankimine mitmesuguste ülesannete täitmise aluseks. Kahe peamise võrguandmete kogumise tehnoloogiana mängivad TAP (Test Access Point) ja SPAN (Switched Port Analyzer, mida sageli nimetatakse ka portide peegeldamiseks) olulist rolli erinevates stsenaariumides oma erinevate tehniliste omaduste tõttu. Nende omaduste, eeliste, piirangute ja rakendatavate stsenaariumide põhjalik mõistmine on võrguinseneride jaoks ülioluline, et koostada mõistlikke andmekogumisplaane ja parandada võrguhalduse tõhusust.
TAP: terviklik ja nähtav "kadudeta" andmehõivelahendus
TAP on riistvaraseade, mis töötab füüsilisel ehk andmesidekihil. Selle põhifunktsioon on saavutada võrgu andmevoogude 100% replikatsioon ja püüdmine ilma algset võrguliiklust segamata. Olles võrguühenduses järjestikku ühendatud (nt kommutaatori ja serveri või ruuteri ja kommutaatori vahel), replikeerib see kõik lingi kaudu läbivad üles- ja allavoolu andmepaketid jälgimisporti, kasutades "optilist jagamist" või "liikluse jagamist", et neid saaks analüüsiseadmetes (nt võrguanalüsaatorites ja sissetungimise tuvastamise süsteemides - IDS) edasi töödelda.
Põhijooned: Keskendunud "terviklikkusele" ja "stabiilsusele"
1. 100% andmepakettide püüdmine ilma kadumisriskita
See on TAP-i kõige silmapaistvam eelis. Kuna TAP toimib füüsilisel kihil ja replikeerib otse lingi elektrilisi või optilisi signaale, ei sõltu see andmepakettide edastamiseks ega replikatsiooniks kommutaatori protsessori ressurssidest. Seega, olenemata sellest, kas võrguliiklus on tipus või sisaldab suuri andmepakette (näiteks suure MTU-väärtusega Jumbo Frame'e), saab kõik andmepaketid täielikult jäädvustada ilma ebapiisavate kommutaatori ressursside põhjustatud pakettide kadumiseta. See "kadudeta jäädvustamise" funktsioon muudab selle eelistatud lahenduseks stsenaariumide puhul, mis nõuavad täpset andmetuge (näiteks rikke algpõhjuse leidmine ja võrgu jõudluse baasanalüüs).
2. Algsele võrgu jõudlusele mõju puudumine
TAP-i töörežiim tagab, et see ei põhjusta algsele võrguühendusele mingeid häireid. See ei muuda andmepakettide sisu, lähte-/sihtkoha aadresse ega ajastust ega hõiva kommutaatori pordi ribalaiust, vahemälu ega töötlemisressursse. Isegi kui TAP-seade ise rikki läheb (näiteks voolukatkestus või riistvarakahjustus), siis ainult ei edastata jälgimispordist andmeid, samal ajal kui algse võrguühenduse side jääb normaalseks, vältides võrgu katkemise ohtu andmekogumisseadmete rikete tõttu.
3. Täisdupleksühenduste ja keerukate võrgukeskkondade tugi
Kaasaegsed võrgud kasutavad enamasti täisdupleks-siderežiimi (st üles- ja allavoolu andmeid saab edastada samaaegselt). TAP suudab jäädvustada andmevooge täisdupleksühenduse mõlemas suunas ja edastada neid sõltumatute jälgimisportide kaudu, tagades, et analüüsiseade suudab kahesuunalise sideprotsessi täielikult taastada. Lisaks toetab TAP erinevaid võrgukiirusi (näiteks 100M, 1G, 10G, 40G ja isegi 100G) ja meediumitüüpe (keerdpaar, ühemoodiline kiud, mitmemoodiline kiud) ning seda saab kohandada erineva keerukusega võrgukeskkondadele, nagu andmekeskused, magistraalvõrgud ja ülikoolilinnaku võrgud.
Rakendusstsenaariumid: keskendumine "täpsele analüüsile" ja "võtmelülide jälgimisele"
1. Võrgu tõrkeotsing ja algpõhjuse leidmine
Kui võrgus esineb probleeme nagu pakettide kadu, viivitus, värin või rakenduse viivitus, on vaja taastada stsenaarium, kus rike tekkis kogu andmepakettide voo ulatuses. Näiteks kui ettevõtte põhisüsteemides (nt ERP ja CRM) esineb vahelduvaid juurdepääsu ajalõpusid, saavad operatsiooni- ja hoolduspersonal serveri ja põhikommutaatori vahele paigutada TAP-i, et jäädvustada kõik edasi-tagasi andmepaketid, analüüsida, kas esineb probleeme nagu TCP uuesti saatmine, pakettide kadu, DNS-i lahendamise viivitus või rakenduskihi protokollivead, ja seeläbi kiiresti leida rikke algpõhjus (nt lingi kvaliteedi probleemid, aeglane serveri reageerimine või vahetarkvara konfiguratsioonivead).
2. Võrgu jõudluse baasjoone kehtestamine ja anomaaliate jälgimine
Võrgu käitamise ja hooldamise puhul on anomaaliate jälgimise aluseks jõudluse baasjoone loomine tavapäraste ärikoormuste korral (nt keskmine ribalaiuse kasutamine, andmepakettide edastamise viivitus ja TCP-ühenduse loomise edukuse määr). TAP suudab stabiilselt ja pika aja jooksul jäädvustada võtmeühenduste (nt põhilülitite ja väljuvate ruuterite ning internetiteenuse pakkujate vahel) täismahulisi andmeid, aidates käitamise ja hooldamise personalil lugeda erinevaid jõudlusnäitajaid ja luua täpse baasmudeli. Kui ilmnevad järgnevad anomaaliad, näiteks äkilised liikluse hüpped, ebanormaalsed viivitused või protokollianomaaliad (nt ebanormaalsed ARP-päringud ja suur hulk ICMP-pakette), saab anomaaliaid baasjoonega võrreldes kiiresti tuvastada ja õigeaegselt sekkuda.
3. Vastavusaudit ja ohtude tuvastamine kõrgete turvanõuetega
Selliste tööstusharude puhul, kus andmeturbe ja vastavusnõuete osas on kõrged nõuded, nagu rahandus, valitsusasutused ja energeetika, on vaja läbi viia tundlike andmete edastusprotsessi täielik auditeerimine või tuvastada täpselt potentsiaalseid võrguohte (nt APT-rünnakud, andmete lekkimine ja pahatahtliku koodi levik). TAP-i kadudeta jäädvustamise funktsioon tagab auditiandmete terviklikkuse ja täpsuse, mis vastab seaduste ja määruste, näiteks "Võrguturbeseaduse" ja "Andmeturbeseaduse", nõuetele andmete säilitamise ja auditeerimise osas; samal ajal pakuvad täismahulised andmepaketid ka rikkalikke analüüsiproove ohtude tuvastamise süsteemidele (nt IDS/IPS ja liivakastiseadmed), aidates tuvastada tavaliikluses peituvaid madala sagedusega ja varjatud ohte (nt krüptitud liikluses olev pahatahtlik kood ja tavategevuseks maskeeritud penetratsioonirünnakud).
Piirangud: kompromiss kulude ja juurutamise paindlikkuse vahel
TAP-i peamised piirangud seisnevad selle kõrges riistvarakulus ja väikeses juurutamise paindlikkuses. Ühelt poolt on TAP spetsiaalne riistvaraseade ja eriti suured kiirused (näiteks 40G ja 100G) või optilised kiudmeediad toetavad TAP-id on palju kallimad kui tarkvarapõhine SPAN-funktsioon; teiselt poolt tuleb TAP-i ühendada algse võrguühendusega järjestikku ning ühendus tuleb juurutamise ajal ajutiselt katkestada (näiteks võrgukaablite või optiliste kiudude ühendamine ja lahtiühendamine). Mõnede põhiühenduste puhul, mis ei võimalda katkestamist (näiteks ööpäevaringselt töötavad finantstehingute ühendused), on juurutamine keeruline ja TAP-i pääsupunktid tuleb tavaliselt võrgu planeerimisetapis eelnevalt reserveerida.
SPAN: kulutõhus ja paindlik mitmepordiline andmete koondamise lahendus
SPAN on kommutaatoritesse sisseehitatud tarkvarafunktsioon (seda toetavad ka mõned tipptasemel ruuterid). Selle põhimõte on konfigureerida kommutaator sisemiselt nii, et see replikeeriks liiklust ühest või mitmest lähtepordist (lähtepordid) või lähte-VLAN-ist määratud jälgimisporti (sihtport, tuntud ka kui peegelport), kus analüüsiseade seda vastu võtab ja töötleb. Erinevalt TAP-ist ei vaja SPAN täiendavaid riistvaraseadmeid ja saab andmeid koguda ainult kommutaatori tarkvarakonfiguratsioonile tuginedes.
Põhijooned: Keskendunud "kulutõhususele" ja "paindlikkusele"
1. Null täiendavat riistvarakulu ja mugav juurutamine
Kuna SPAN on kommutaatori püsivarasse sisseehitatud funktsioon, pole vaja spetsiaalset riistvara osta. Andmete kogumist saab kiiresti lubada ainult käsurealiidese (CLI) või veebihaldusliidese kaudu konfigureerides (näiteks lähtepordi, jälgimispordi ja peegeldamise suuna (sissetulev, väljaminev või kahesuunaline) määramine). See „riistvarakuluta“ funktsioon muudab selle ideaalseks valikuks piiratud eelarve või ajutiste jälgimisvajaduste korral (nt lühiajaline rakenduste testimine ja ajutine tõrkeotsing).
2. Mitme allikaga pordi / mitme VLAN-i liikluse koondamise tugi
SPAN-i peamine eelis on see, et see suudab samaaegselt replikeerida liiklust mitmest allikapordist (näiteks mitme juurdepääsukihi kommutaatori kasutajapordid) või mitmest VLAN-ist samasse jälgimisporti. Näiteks kui ettevõtte tegevus- ja hoolduspersonal peab jälgima mitme osakonna (mis vastavad erinevatele VLAN-idele) töötajate terminalide liiklust, mis pääsevad juurde internetile, pole vaja iga VLAN-i väljundisse eraldi kogumisseadmeid paigutada. Nende VLAN-ide liikluse koondamise abil SPAN-i kaudu ühte jälgimisporti saab teostada tsentraliseeritud analüüsi, mis parandab oluliselt andmete kogumise paindlikkust ja tõhusust.
3. Algset võrguühendust pole vaja katkestada
Erinevalt TAP-i jadaühendusega juurutamisest on nii SPAN-i lähteport kui ka jälgimisport kommutaatori tavalised pordid. Konfigureerimisprotsessi ajal ei ole vaja algse lingi võrgukaableid ühendada ja lahti ühendada ning see ei mõjuta algse liikluse edastust. Isegi kui hiljem on vaja lähteporti muuta või SPAN-funktsioon keelata, saab seda teha ainult konfiguratsiooni muutmise teel käsurea kaudu, mis on mugav kasutada ja ei sega võrguteenuseid.
Rakendusstsenaariumid: keskendumine "madala hinnaga jälgimisele" ja "tsentraliseeritud analüüsile"
1. Kasutajakäitumise jälgimine ülikoolilinnaku võrkudes / ettevõtte võrkudes
Ülikoolilinnakute või ettevõtete võrkudes peavad administraatorid sageli jälgima, kas töötajate terminalidel on ebaseaduslik juurdepääs (näiteks juurdepääs ebaseaduslikele veebisaitidele ja piraattarkvara allalaadimine) ning kas toimub suur hulk P2P-allalaadimisi või videovooge, mis hõivavad ribalaiust. Koondades juurdepääsukihi kommutaatorite kasutajaportide liikluse SPAN-i kaudu jälgimisporti ja kombineerides seda liikluse analüüsi tarkvaraga (nt Wireshark ja NetFlow Analyzer), saab reaalajas jälgida kasutajate käitumist ja ribalaiuse hõivatuse statistikat ilma täiendavate riistvarainvesteeringuteta.
2. Ajutine tõrkeotsing ja lühiajaline rakenduste testimine
Kui võrgus esineb ajutisi ja juhuslikke rikkeid või kui on vaja läbi viia liikluse testimine äsja juurutatud rakenduses (näiteks sisemises OA-süsteemis ja videokonverentsisüsteemis), saab SPAN-i kasutada andmekogumiskeskkonna kiireks loomiseks. Näiteks kui osakond teatab videokonverentside sagedastest hangumistest, saavad operatsiooni- ja hoolduspersonal SPAN-i ajutiselt konfigureerida nii, et see peegeldaks videokonverentsi serveri asukoha pordi liiklust jälgimispordile. Andmepakettide viivituse, pakettide kadumise määra ja ribalaiuse hõivatuse analüüsimise abil saab kindlaks teha, kas rikke põhjuseks on ebapiisav võrgu ribalaius või andmepakettide kadu. Pärast tõrkeotsingu lõpetamist saab SPAN-i konfiguratsiooni keelata, ilma et see mõjutaks edasisi võrgutoiminguid.
3. Liiklusstatistika ja lihtne auditeerimine väikestes ja keskmise suurusega võrkudes
Väikeste ja keskmise suurusega võrkude (näiteks väikeettevõtted ja ülikoolilinnakute laborid) puhul, kui andmete kogumise terviklikkuse nõue ei ole kõrge ja on vaja ainult lihtsat liiklusstatistikat (näiteks iga pordi ribalaiuse kasutamine ja Top N rakenduste liikluse osakaal) või põhilist vastavusauditit (näiteks kasutajate poolt külastatud veebisaidi domeeninimede salvestamine), saab SPAN need vajadused täielikult rahuldada. Selle madalad kulud ja hõlpsasti juurutatavad funktsioonid muudavad selle selliste stsenaariumide jaoks kulutõhusaks valikuks.
Piirangud: andmete terviklikkuse ja jõudluse mõju puudujäägid
1. Andmepakettide kadumise ja mittetäieliku jäädvustamise oht
SPAN-i abil andmepakettide replikatsioon sõltub kommutaatori protsessori ja vahemälu ressurssidest. Kui lähtepordi liiklus on haripunktis (näiteks ületatakse kommutaatori vahemälu maht) või kui kommutaator töötleb samaaegselt suurt hulka edasisaatmisülesandeid, annab protsessor prioriteedi algse liikluse edastamisele ning vähendab või peatab SPAN-liikluse replikatsiooni, mille tulemuseks on pakettide kadu jälgimispordis. Lisaks on mõnel kommutaatoril SPAN-i peegeldussuhte piirangud (näiteks toetatakse ainult 80% liikluse replikatsiooni) või ei toetata suurte andmepakettide (näiteks Jumbo Frame'ide) täielikku replikatsiooni. Kõik see viib mittetäielike andmete kogumiseni ja mõjutab järgnevate analüüsitulemuste täpsust.
2. Kommutaatori ressursside hõivamine ja võimalik mõju võrgu jõudlusele
Kuigi SPAN ei katkesta otse algset ühendust, siis suure lähteportide arvu või tiheda liikluse korral hõivab andmepakettide replikatsiooniprotsess kommutaatori protsessori ressursse ja sisemist ribalaiust. Näiteks kui mitme 10G pordi liiklust peegeldatakse 10G jälgimisporti ja lähteportide koguliiklus ületab 10G, siis mitte ainult ei kao jälgimisport ebapiisava ribalaiuse tõttu pakettide kaudu, vaid ka kommutaatori protsessori kasutus võib märkimisväärselt suureneda, mõjutades seeläbi teiste portide andmepakettide edastamise efektiivsust ja isegi põhjustades kommutaatori üldise jõudluse langust.
3. Funktsiooni sõltuvus lüliti mudelist ja piiratud ühilduvus
SPAN-funktsiooni toe tase on eri tootjate ja mudelite kommutaatorite puhul väga erinev. Näiteks võivad odavamad kommutaatorid toetada ainult ühte jälgimisporti ega toeta VLAN-i peegeldamist ega täisdupleksliikluse peegeldamist; mõne kommutaatori SPAN-funktsioonil on "ühesuunalise peegeldamise" piirang (st peegeldab ainult sissetulevat või väljaminevat liiklust ja ei saa samaaegselt peegeldada kahesuunalist liiklust); lisaks peab kommutaatoritevaheline SPAN (näiteks kommutaatori A pordiliikluse peegeldamine kommutaatori B jälgimisporti) tuginema spetsiifilistele protokollidele (näiteks Cisco RSPAN ja Huawei ERSPAN), millel on keeruline konfiguratsioon ja madal ühilduvus ning mida on raske kohandada mitme tootja segavõrgu keskkonnale.
TAP-i ja SPAN-i põhiliste erinevuste võrdlus ja valikuettepanekud
Põhiliste erinevuste võrdlus
Nende kahe erinevuste selgemaks näitamiseks võrdleme neid tehniliste omaduste, jõudluse mõju, kulu ja rakendatavate stsenaariumide aspektidest:
| Võrdlusmõõde | TAP (testimispääsupunkt) | SPAN (lülitatava pordi analüsaator) |
| Andmete kogumise terviklikkus | 100% kadudeta jäädvustamine, puudub kadude oht | Sõltub kommutaatori ressurssidest, suure liikluse korral altid pakettide kadumisele, mittetäielik püüdmine |
| Mõju algsele võrgule | Häireid pole, viga ei mõjuta algset ühendust | Hõivab suure liikluse korral protsessori/ribalaiuse vahetuse, mis võib põhjustada võrgu jõudluse halvenemist. |
| Riistvara maksumus | Nõuab spetsiaalse riistvara ostmist, kõrge hind | Sisseehitatud lülitusfunktsioon, ilma täiendavate riistvarakuludeta |
| Juurutamise paindlikkus | Vajab lingis järjestikku ühendamist, juurutamiseks on vaja võrgu katkestamist, madal paindlikkus | Tarkvarakonfiguratsioon, võrgu katkestamist pole vaja, toetab mitme allika agregeerimist, suur paindlikkus |
| Kohaldatavad stsenaariumid | Põhiühendused, täpne rikkeotsing, kõrge turvalisusega auditeerimine, kiired võrgud | Ajutine jälgimine, kasutajate käitumise analüüs, väikesed ja keskmise suurusega võrgud, madala hinnaga vajadused |
| Ühilduvus | Toetab mitut kiirust/meediumit, olenemata lüliti mudelist. | Sõltub lüliti tootjast/mudelist, suured erinevused funktsioonide toes, keeruline seadmeteülene konfiguratsioon |
Valikuettepanekud: "Täpne vaste" stsenaariuminõuete põhjal
1. Stsenaariumid, kus eelistatakse TAP-i
○Põhitegevusühenduste (nt andmekeskuse põhilülitite ja väljuvate ruuterite ühenduste) jälgimine, mis nõuab andmete kogumise terviklikkuse tagamist;
○Võrgu rikke algpõhjuse asukoha kindlakstegemine (nt TCP uuesti saatmine ja rakenduse viivitus), mis nõuab täpset analüüsi täismahuliste andmepakettide põhjal;
○Kõrgete turva- ja vastavusnõuetega tööstusharud (rahandus, valitsusasutused, energeetika), mis nõuavad auditiandmete terviklikkuse ja võltsimise vältimise tagamist;
○Suure kiirusega võrgukeskkonnad (10G ja kõrgem) või stsenaariumid suurte andmepakettidega, mis nõuavad pakettide kadumise vältimist SPAN-is.
2. Stsenaariumid, kus eelistatakse SPAN-i
○Väikesed ja keskmise suurusega võrgud piiratud eelarvega või stsenaariumid, mis nõuavad ainult lihtsat liiklusstatistikat (nt ribalaiuse hõivatus ja peamised rakendused);
○Ajutine tõrkeotsing või lühiajaline rakenduste testimine (näiteks uue süsteemi käivitamise testimine), mis nõuab kiiret juurutamist ilma pikaajalise ressursihõivatuseta;
○Mitme allikaga portide/mitme VLAN-i tsentraliseeritud jälgimine (nt ülikoolilinnaku võrgu kasutajate käitumise jälgimine), mis nõuab paindlikku liikluse koondamist;
○Mitte-põhivõrgu linkide (näiteks juurdepääsukihi lülitite kasutajaportide) jälgimine, mille puhul on andmete kogumise terviklikkuse nõuded madalad.
3. Hübriidkasutuse stsenaariumid
Mõnes keerulises võrgukeskkonnas saab kasutada ka hübriidset juurutamismeetodit "TAP + SPAN". Näiteks saab TAP-i juurutada andmekeskuse põhilinkides, et tagada täieliku andmemahu jäädvustamine tõrkeotsinguks ja turvaauditiks; SPAN-i saab konfigureerida juurdepääsukihi või koondamiskihi lülitites, et koondada hajutatud kasutajaliiklust käitumisanalüüsi ja ribalaiuse statistika jaoks. See mitte ainult ei vasta võtmelinkide täpsetele jälgimisvajadustele, vaid vähendab ka juurutamise üldkulusid.
Seega, kahe põhilise võrguandmete kogumise tehnoloogiana pole TAP-il ja SPAN-il absoluutseid "eeliseid ega puudusi", vaid ainult "stsenaariumide kohandamise erinevused". TAP keskendub "kadudeta jäädvustamisele" ja "stabiilsele töökindlusele" ning sobib võtmestsenaariumide jaoks, kus andmete terviklikkusele ja võrgu stabiilsusele esitatakse kõrged nõuded, kuid millel on kõrge hind ja madal juurutamise paindlikkus; SPAN-il on "nullkulu" ning "paindlikkuse ja mugavuse" eelised ning see sobib odavate, ajutiste või mitte-põhistsenaariumide jaoks, kuid sellel on andmete kadumise ja jõudluse mõjutamise riskid.
Võrgu tegeliku käitamise ja hooldamise käigus peavad võrguinsenerid valima oma ärivajaduste (näiteks kas tegemist on põhivõrguühendusega ja kas on vaja täpset analüüsi), eelarvekulude, võrgu ulatuse ja vastavusnõuete põhjal kõige sobivama tehnilise lahenduse. Samal ajal areneb võrgu kiiruste (näiteks 25G, 100G ja 400G) paranemise ja võrgu turvanõuete ajakohastamisega pidevalt ka TAP-tehnoloogia (näiteks intelligentse liikluse jagamise ja mitme pordi liitmise toetamine) ning kommutaatorite tootjad optimeerivad pidevalt ka SPAN-funktsiooni (näiteks vahemälu mahu suurendamine ja kadudeta peegeldamise toetamine). Tulevikus täidavad need kaks tehnoloogiat oma vastavates valdkondades veelgi oma rolli ja pakuvad võrguhalduseks tõhusamat ja täpsemat andmetuge.
Postituse aeg: 08. detsember 2025
