Главна разлика између хватања пакета помоћу мрежних TAP и SPAN портова.
Огледање портова(такође познат као SPAN)
Мрежни додир(такође познат као репликациони одвод, агрегациони одвод, активни одвод, бакарни одвод, етернет одвод итд.)TAP (Терминална приступна тачка)је потпуно пасивни хардверски уређај који може пасивно да снима саобраћај на мрежи. Обично се користи за праћење саобраћаја између две тачке у мрежи. Ако се мрежа између ове две тачке састоји од физичког кабла, мрежни TAP може бити најбољи начин за снимање саобраћаја.
Пре него што објаснимо разлике између ова два решења (Port Mirror и Network Tap), важно је разумети како Ethernet функционише. При брзинама од 100 Mbit и више, хостови обично комуницирају у пуном дуплексу, што значи да један хост може истовремено да шаље (Tx) и прима (Rx). То значи да је на каблу од 100 Mbit повезаном са једним хостом укупна количина мрежног саобраћаја коју један хост може да шаље/прима (Tx/Rx) 2 × 100 Mbit = 200 Mbit.
Огледало порта је активна репликација пакета, што значи да је мрежни уређај физички одговоран за копирање пакета на огледани порт.
Хватање саобраћаја: TAP наспрам SPAN-а
Приликом праћења мрежног саобраћаја, ако не желите директно да операционализујете подршку док корисник обрађује трансакцију, имате две главне опције. У следећем чланку ћемо дати преглед TAP-а (Test Access Point - тестна приступна тачка) и SPAN-а (Switch Port Analyzer - анализатор портова свича). За дубљу анализу, стручњак за инспекцију пакета Тимо'Нил има неколико чланака на lovemytool.com који детаљно описују ову тему, али овде ћемо усвојити општији приступ.
SPAN
Огледало портова је метода праћења мрежног саобраћаја прослеђивањем копије сваког долазног и/или одлазног пакета са једног или више портова (или VLAN-ова) прекидача на други порт повезан са анализатором мрежног саобраћаја. Распони се често користе у једноставнијим системима за истовремено праћење више локација. Тачан број мрежних преноса које је у стању да прати зависи од тога где је SPAN инсталиран у односу на опрему дата центра. Вероватно ћете пронаћи оно што тражите, али је лако наћи се са превише података. На пример, могуће је пронаћи више копија истих података преко целог VLAN-а. Ово отежава решавање проблема са LAN-ом, а такође утиче на брзину процесора прекидача или утиче на Ethernet путем детекције положаја. У основи, што је више распона, већа је вероватноћа да ће се изгубити пакети. У поређењу са таповима, распонима се може управљати даљински, што значи да се мање времена троши на промену конфигурација, али су и даље потребни мрежни инжењери.
SPAN портови нису пасивна технологија, како неки тврде, јер могу имати друге мерљиве ефекте на мрежни саобраћај, укључујући:
- Време је за промену интеракције оквира
- Одбацивање пакета због прекомерног броја претрага
- Оштећени пакети се одбацују без претходне најаве, што омета анализу
Стога су SPAN портови погоднији за ситуације где одбацивање пакета не утиче на анализу или где се трошкови узимају у обзир.
ДОДИРНИТЕ
Насупрот томе, прикључци захтевају трошење новца на хардвер унапред, али не захтевају много подешавања. Заправо, пошто су пасивни, могу се повезивати и искључивати са мреже без утицаја на њу. Прикључци су хардверски уређаји који пружају начин приступа подацима који теку кроз рачунарску мрежу и обично се користе за праћење безбедности мреже и перформанси. Праћени саобраћај се назива „пролазни“ саобраћај, а порт који се користи за праћење назива се „порт за праћење“. Да би се мрежа јасније испитала, прикључци се могу поставити између рутера и прекидача.
Пошто TAP не утиче на пакете, може се посматрати као заиста пасивни начин за преглед мрежног саобраћаја.
Постоје углавном три врсте ТАП решења:
- Мрежни разделник (1:1)
- Агрегатни TAP (вишеструки: 1)
- Регенерација TAP (1: вишеструка)
TAP реплицира саобраћај на један пасивни алат за праћење или на уређај за релеј пакета мреже високе густине и служи вишеструким (често вишеструким) алатима за тестирање QOS-а, алатима за праћење мреже и алатима за мрежно претраживање као што је Wireshark.
Поред тога, типови TAP-ова се разликују у зависности од типа кабла, укључујући оптички TAP и гигабитни бакарни TAP, који оба раде на суштински исти начин тако што преносе део сигнала на анализатор мрежног саобраћаја, док главни модел наставља да преноси без прекида. Код оптичког TAP-а, сноп се дели на два дела, док се код бакарног кабловског система сноп реплицира.
Поређење TAP-а и SPAN-а
Прво, SPAN порт није погодан за потпуно дуплексну 1G везу, и чак и када је испод свог максималног капацитета, брзо одбацује пакете јер је преоптерећен или једноставно зато што прекидач даје приоритет редовним датумима између портова у односу на податке SPAN порта. За разлику од мрежних одвода, SPAN портови филтрирају грешке физичког слоја, што отежава неке врсте анализе, а као што смо видели, нетачна времена повећања и промењени фрејмови могу изазвати друге проблеме. С друге стране, TAP може да ради на потпуно дуплексној 1G вези.
ТАП такође може да изврши потпуно снимање пакета и детаљну инспекцију пакета за протоколе, прекршаје, упаде итд. Стога се ТАП подаци могу користити као доказ на суду, док подаци о СПАН портовима не могу.
Безбедност је још један аспект где постоје разлике између ове две технике. SPAN портови су обично конфигурисани за једносмерну комуникацију, али у неким случајевима могу и да примају комуникацију, што узрокује озбиљне рањивости. Насупрот томе, TAP није адресабилан и нема IP адресу, тако да не може бити хакован.
SPAN портови обично не пропуштају VLAN ознаке, што може отежати откривање VLAN кварова, али одводници не могу да виде целу VLAN мрежу одједном. Ако се не користе агрегирани одводници, TAP неће пружити исти траг за оба канала, али се мора водити рачуна о детекцији прекорачења. Постоје агрегирани одводници, као што је Booster за Profitap, који агрегирају осам 10/100/1G портова у 1G-10G излазу.
Бустер може да уноси пакете уметањем VLAN ознака. На овај начин, информације о изворном порту сваког пакета биће прослеђене анализатору.
SPAN портови су и даље алат који ће мрежни администратори користити, али ако су брзина и поуздан приступ свим мрежним подацима критични, TAP је бољи избор. Приликом одлучивања који приступ усвојити, SPAN портови су погоднији за мреже са ниским искоришћеношћу, јер изгубљени пакети не утичу на анализу или су опциони у случајевима када је трошак важан. Међутим, на мрежама са великим саобраћајем, TAP-ов капацитет, безбедност и поузданост ће пружити потпуну видљивост саобраћаја на вашој мрежи без страха од губитка пакета или филтрирања грешака физичког слоја.
○ Потпуно видљиво
○ Реплицирај сав саобраћај (све пакете свих величина и типова)
○ Пасивно, ненаметљиво (не мења податке)
○ У серији, ниједан порт свитча се не користи за репликацију пуног дуплексног саобраћаја у кабловима. Једноставно подешавање (plug and play)
○ Није рањив на хакере (невидљив, изолован уређај за праћење од мреже, без IP/MAC адресе)
○ Скалабилно
○ Погодно за сваку ситуацију
○ Делимична видљивост
○ Некопирање савог саобраћаја (одбацивање одређених величина и типова пакета)
○ Непасивно (промена времена пакета, повећање латенције)
○ Користите порт свитча (сваки SPAN порт користи порт свитча)
○ Не може да обради комуникацију у пуном дуплексу (пакети се губе када су преоптерећени, што такође може ометати рад примарног прекидача)
○ Инжењери треба да конфигуришу
○ Небезбедно (Систем за праћење је део мреже, потенцијални безбедносни проблеми)
○ Није скалабилно
○ Изводљиво само под одређеним околностима
Можда ће вам бити занимљив повезани чланак: Како да снимим мрежни саобраћај? Мрежни тап наспрам огледала порта
Време објаве: 09. јун 2025.
