Peamine erinevus pakettide püüdmise vahel võrgu TAP- ja SPAN-portide abil.
Pordi peegeldamine(tuntud ka kui SPAN)
Võrgu puudutus(tuntud ka kui replikatsioonipistik, agregatsioonipistik, aktiivpistik, vaskpistik, Etherneti pistik jne)TAP (terminali pääsupunkt)on täielikult passiivne riistvaraseade, mis suudab võrgus passiivselt liiklust jäädvustada. Seda kasutatakse tavaliselt võrgu kahe punkti vahelise liikluse jälgimiseks. Kui nende kahe punkti vaheline võrk koosneb füüsilisest kaablist, võib võrgu TAP olla parim viis liikluse jäädvustamiseks.
Enne kahe lahenduse (Port Mirror ja Network Tap) erinevuste selgitamist on oluline mõista, kuidas Ethernet töötab. 100 Mbit/s ja suurema kiirusega suhtlevad hostid tavaliselt täisdupleksrežiimis, mis tähendab, et üks host saab samaaegselt saata (Tx) ja vastu võtta (Rx). See tähendab, et 100 Mbit/s kaablil, mis on ühendatud ühe hostiga, on ühe hosti poolt saadetava/vastuvõetava võrguliikluse kogumaht (Tx/Rx) 2 × 100 Mbit/s = 200 Mbit/s.
Pordi peegeldamine on aktiivne pakettide replikatsioon, mis tähendab, et võrguseade vastutab füüsiliselt paketi kopeerimise eest peegeldatud porti.
Liikluse hõivamine: TAP vs SPAN
Võrguliikluse jälgimisel, kui te ei soovi tuge otse kasutaja tehingu töötlemise ajal rakendada, on teil kaks peamist võimalust. Järgmises artiklis anname ülevaate TAP-ist (Test Access Point) ja SPAN-ist (Switch Port Analyzer). Põhjalikuma analüüsi saamiseks on pakettide kontrollimise ekspert Timo'Neill avaldanud mitu üksikasjalikku artiklit aadressil lovemytool.com, kuid siin kasutame üldisemat lähenemisviisi.
SPAN
Portide peegeldamine on võrguliikluse jälgimise meetod, mille käigus edastatakse iga sissetuleva ja/või väljamineva paketi koopia ühest või mitmest kommutaatori pordist (või VLanist) teise, võrguliikluse analüsaatoriga ühendatud porti. Lihtsamates süsteemides kasutatakse sageli mitme saidi samaaegseks jälgimiseks spane. Täpne võrguedastuste arv, mida see suudab jälgida, sõltub SPAN-i paigalduskohast andmekeskuse seadmete suhtes. Tõenäoliselt leiate otsitava, kuid on lihtne avastada, et teil on liiga palju andmeid. Näiteks on võimalik leida samadest andmetest mitu koopiat kogu VLAN-ist. See raskendab kohtvõrgu tõrkeotsingut ja mõjutab ka kommutaatori protsessorite kiirust või Etherneti paigutuse tuvastamise kaudu. Põhimõtteliselt, mida rohkem spane, seda tõenäolisem on pakettide kadumine. Võrreldes puutepunktidega saab spane hallata kaugjuhtimise teel, mis tähendab, et konfiguratsioonide muutmisele kulub vähem aega, kuid võrguinsenerid on siiski vajalikud.
SPAN-pordid ei ole passiivne tehnoloogia, nagu mõned väidavad, kuna neil võib olla võrguliiklusele ka muid mõõdetavaid mõjusid, sealhulgas:
- Aeg muuta kaadri interaktsiooni
- Pakettide mahakandmine liigsete otsingute tõttu
- Rikutud paketid kukuvad ette teatamata ära, mis takistab analüüsi
Seetõttu sobivad SPAN-pordid paremini olukordadesse, kus pakettide eemaldamine ei mõjuta analüüsi või kus arvestatakse kulusid.
KOKKU
Seevastu puutepunktid peavad riistvarale eelnevalt raha kulutama, kuid need ei vaja palju seadistamist. Kuna need on passiivsed, saab neid võrguga ühendada ja lahti ühendada ilma seda mõjutamata. Puutepunktid on riistvaraseadmed, mis pakuvad võimalust pääseda juurde arvutivõrgus liikuvatele andmetele ja mida kasutatakse tavaliselt võrgu turvalisuse ja jõudluse jälgimise eesmärgil. Jälgitavat liiklust nimetatakse "läbilaskvaks" liikluseks ja jälgimiseks kasutatavat porti nimetatakse "monitooringupordiks". Võrgu selgemaks uurimiseks saab puutepunktid paigutada ruuterite ja lülitite vahele.
Kuna TAP ei mõjuta pakette, võib seda vaadelda kui tõeliselt passiivset viisi võrguliikluse vaatamiseks.
TAP-lahendusi on põhimõtteliselt kolme tüüpi:
- Võrgujaotur (1:1)
- Kogutud TAP (mitmekordne: 1)
- Regeneratsiooni TAP (1: mitmekordne)
TAP replikeerib liikluse ühele passiivsele jälgimistööriistale või suure tihedusega võrgupaketi edastamise seadmele ning teenindab mitut (sageli mitut) QOS-testimise tööriista, võrgu jälgimise tööriista ja võrgu nuhkimistööriista, näiteks Wiresharki.
Lisaks varieeruvad TAP-i tüübid olenevalt kaabli tüübist, sealhulgas fiiberoptiline TAP ja gigabitine vaskkaabel-TAP, mis mõlemad töötavad sisuliselt samal viisil, suunates osa signaalist võrguliikluse analüsaatorile, samal ajal kui põhimudel jätkab katkestusteta edastamist. Fiiberoptilise TAP-i puhul jagatakse kiir kaheks, vaskkaabelsüsteemis aga elektriline signaal kopeeritakse.
TAP-i ja SPAN-i võrdlus
Esiteks ei sobi SPAN-port täisdupleks-1G-lingi jaoks ja isegi siis, kui see on alla oma maksimaalse võimsuse, kaotab see kiiresti pakette, kuna on ülekoormatud või lihtsalt seetõttu, et kommutaator eelistab tavalisi pordivahelisi kuupäevi SPAN-pordi andmetele. Erinevalt võrguühendustest filtreerivad SPAN-pordid välja füüsilise kihi vead, mis muudab teatud tüüpi analüüsi keerulisemaks, ja nagu me oleme näinud, võivad valed juurdekasvuajad ja muutunud kaadrid põhjustada muid probleeme. Teisest küljest saab TAP-port hallata täisdupleks-1G-linki.
TAP suudab teostada ka täielikku pakettide püüdmist ja põhjalikku pakettide kontrolli protokollide, rikkumiste, sissetungide jms osas. Seega saab TAP-andmeid kohtus tõendina kasutada, SPAN-pordi andmeid aga mitte.
Turvalisus on veel üks aspekt, kus kahe tehnika vahel on erinevusi. SPAN-pordid on tavaliselt konfigureeritud ühesuunaliseks suhtluseks, kuid mõnel juhul võivad need ka sidet vastu võtta, mis põhjustab tõsiseid haavatavusi. Seevastu TAP ei ole adresseeritav ega oma IP-aadressi, seega ei saa seda häkkida.
SPAN-pordid tavaliselt VLAN-silte ei edasta, mis võib VLAN-i tõrgete tuvastamist keeruliseks muuta, kuid puurid ei näe korraga kogu VLAN-võrku. Kui koondatud puuteid ei kasutata, ei paku TAP mõlema kanali jaoks sama jälge, kuid ülekoormuse tuvastamisel tuleb olla ettevaatlik. On olemas koondatud puuteid, näiteks Booster for Profitap, mis koondavad kaheksa 10/100/1G porti 1G-10G väljundisse.
Booster suudab pakette sisestada VLAN-siltide abil. Sel viisil edastatakse iga paketi lähtepordi teave analüsaatorile.
SPAN-pordid on endiselt tööriist, mida võrguadministraatorid kasutavad, kuid kui kiirus ja usaldusväärne juurdepääs kõigile võrguandmetele on kriitilise tähtsusega, on TAP parem valik. Lähenemisviisi valimisel sobivad SPAN-pordid paremini madala kasutusastmega võrkudele, kuna kadunud paketid ei mõjuta analüüsi või on valikulised juhtudel, kui hind on oluline. Suure liiklusega võrkudes pakuvad TAP-i mahutavus, turvalisus ja töökindlus aga täieliku ülevaate teie võrgu liiklusest, ilma et peaksite kartma pakettide kadumist või füüsilise kihi vigade filtreerimist.
○ Täielikult nähtav
○ Kogu liikluse replikatsioon (kõik paketid igast suurusest ja tüübist)
○ Passiivne, mitte-pealetükkiv (ei muuda andmeid)
○ Järjekorras ühendatuna ei kasutata täisdupleksliikluse replikeerimiseks juhtmestikes ühtegi kommutaatori porti. Lihtne seadistamine (ühenda ja kasuta).
○ Häkkerite suhtes haavatav (nähtamatu, võrgust isoleeritud jälgimisseade, IP/MAC-aadressi pole)
○ Skaleeritav
○ Sobib igaks olukorraks
○ Osaline nähtavus
○ Kogu liikluse kopeerimata jätmine (teatud suuruste ja tüüpide pakettide eemaldamine)
○ Mittepassiivne (muudab paketi ajastust, suurendab latentsust)
○ Kasutage kommutaatori porti (iga SPAN-port kasutab kommutaatori porti)
○ Ei suuda täisdupleks-sidega toime tulla (paketid kaovad ülekoormuse korral, mis võib häirida ka primaarkommutaatori tööd)
○ Insenerid peavad konfigureerima
○ Ohtlik (Jälgimissüsteem on osa võrgust, võimalikud turvaprobleemid)
○ Ei ole skaleeritav
○ Teostatav ainult teatud tingimustel
Teile võib huvi pakkuda seotud artikkel: Kuidas võrguliiklust jäädvustada? Network Tap vs Port Mirror
Postituse aeg: 09.06.2025
