Główną różnicą pomiędzy przechwytywaniem pakietów za pomocą portów Network TAP i SPAN.
Dublowanie portów(znany również jako SPAN)
Dotknij sieci(znany również jako Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap itp.)TAP (Punkt dostępu do terminala)jest w pełni pasywnym urządzeniem sprzętowym, które może pasywnie przechwytywać ruch w sieci. Jest powszechnie używane do monitorowania ruchu między dwoma punktami w sieci. Jeśli sieć między tymi dwoma punktami składa się z fizycznego kabla, TAP sieciowy może być najlepszym sposobem na przechwytywanie ruchu.
Zanim wyjaśnimy różnice między tymi dwoma rozwiązaniami (Port Mirror i Network Tap), ważne jest zrozumienie, jak działa Ethernet. Przy 100 Mbit i więcej hosty zazwyczaj komunikują się w pełnym dupleksie, co oznacza, że jeden host może wysyłać (Tx) i odbierać (Rx) jednocześnie. Oznacza to, że w kablu 100 Mbit podłączonym do jednego hosta, całkowita ilość ruchu sieciowego, którą jeden host może wysyłać/odbierać (Tx/Rx)) wynosi 2 × 100 Mbit = 200 Mbit.
Mirroring portów to aktywna replikacja pakietów, co oznacza, że urządzenie sieciowe jest fizycznie odpowiedzialne za kopiowanie pakietu do lustrzanego portu.
Przechwytywanie ruchu: TAP kontra SPAN
Podczas monitorowania ruchu sieciowego, jeśli nie chcesz bezpośrednio uruchamiać wsparcia, gdy użytkownik przetwarza transakcję, masz dwie główne opcje. W poniższym artykule przedstawimy przegląd TAP (Test Access Point) i SPAN (Switch Port Analyzer). Aby uzyskać głębszą analizę, ekspert ds. inspekcji pakietów Timo'Neill ma kilka artykułów na lovemytool.com, które zawierają wiele szczegółów, ale tutaj przyjmiemy bardziej ogólne podejście.
PRZĘSŁO
Port mirroring to metoda monitorowania ruchu sieciowego polegająca na przesyłaniu kopii każdego przychodzącego i/lub wychodzącego pakietu z jednego lub większej liczby portów (lub sieci VLAN) przełącznika do innego portu podłączonego do analizatora ruchu sieciowego. Spany są często używane w prostszych systemach do jednoczesnego monitorowania wielu lokalizacji. Dokładna liczba transmisji sieciowych, które mogą być monitorowane, zależy od tego, gdzie SPAN jest zainstalowany względem sprzętu centrum danych. Prawdopodobnie znajdziesz to, czego szukasz, ale łatwo jest znaleźć się z nadmiarem danych. Na przykład możliwe jest znalezienie wielu kopii tych samych danych w całej sieci VLAN. Utrudnia to rozwiązywanie problemów z siecią LAN, a także wpływa na szybkość procesorów przełączników lub wpływa na sieć Ethernet poprzez wykrywanie rozmieszczenia. Zasadniczo im więcej rozpiętości, tym większe prawdopodobieństwo utraty pakietów. W porównaniu do punktów dostępowych, rozpiętościami można zarządzać zdalnie, co oznacza, że mniej czasu poświęca się na zmianę konfiguracji, ale nadal potrzebni są inżynierowie sieciowi.
Porty SPAN nie są technologią pasywną, jak twierdzą niektórzy, ponieważ mogą mieć inne mierzalne skutki dla ruchu sieciowego, w tym:
- Czas na zmianę interakcji ramek
- Utrata pakietów z powodu nadmiernej liczby wyszukiwań
- Uszkodzone pakiety są usuwane bez ostrzeżenia, co utrudnia analizę
Dlatego porty SPAN są bardziej przydatne w sytuacjach, w których utrata pakietów nie wpływa na analizę lub gdy brane są pod uwagę koszty.
UZYSKIWAĆ
Natomiast tapy wymagają wydania pieniędzy na sprzęt z góry, ale nie wymagają dużej konfiguracji. Rzeczywiście, ponieważ są pasywne, można je podłączać i odłączać od sieci bez wpływu na nią. Tapy to urządzenia sprzętowe, które zapewniają sposób dostępu do danych przepływających przez sieć komputerową i są powszechnie używane do celów bezpieczeństwa sieci i monitorowania wydajności. Monitorowany ruch nazywany jest ruchem „pass-through”, a port używany do monitorowania nazywany jest „portem monitorującym”. Aby dokładniej zbadać sieć, tapy można umieścić między routerami i przełącznikami.
Ponieważ protokół TAP nie ma wpływu na pakiety, można go uważać za prawdziwie pasywny sposób obserwowania ruchu sieciowego.
Zasadniczo istnieją trzy rodzaje rozwiązań TAP:
- Rozdzielacz sieciowy (1 : 1)
- Agregat TAP (wiele : 1)
- Regeneracja TAP (1 : multi)
TAP replikuje ruch do pojedynczego narzędzia do pasywnego monitorowania lub do urządzenia do przekazywania pakietów sieciowych o dużej gęstości i obsługuje wiele (często wiele) narzędzi do testowania jakości usług (QoS), narzędzi do monitorowania sieci i narzędzi do analizowania sieci, takich jak Wireshark.
Ponadto typy TAP różnią się w zależności od typu kabla, w tym światłowodowy TAP i gigabitowy miedziany TAP, oba działające w zasadzie w ten sam sposób, odciążając część sygnału do analizatora ruchu sieciowego, podczas gdy główny model kontynuuje transmisję bez przerwy. W przypadku światłowodowego TAP ma on dzielić wiązkę na dwie części, podczas gdy w systemie kabli miedzianych ma on replikować sygnał elektryczny.
Porównanie TAP i SPAN
Po pierwsze, port SPAN nie nadaje się do łącza 1G w trybie pełnego dupleksu, a nawet gdy jest poniżej swojej maksymalnej przepustowości, szybko gubi pakiety, ponieważ jest przeciążony lub po prostu dlatego, że przełącznik priorytetowo traktuje regularne daty port-do-portu nad danymi portu SPAN. W przeciwieństwie do odczepów sieciowych, porty SPAN filtrują błędy warstwy fizycznej, co utrudnia niektóre rodzaje analiz, a jak widzieliśmy, nieprawidłowe czasy przyrostu i zmienione ramki mogą powodować inne problemy. Z drugiej strony, TAP może obsługiwać łącze 1G w trybie pełnego dupleksu.
TAP może także wykonywać pełne przechwytywanie pakietów i szczegółową inspekcję pakietów pod kątem protokołów, naruszeń, włamań itp. Dzięki temu dane TAP mogą być wykorzystane jako dowód w sądzie, podczas gdy dane portu SPAN nie.
Bezpieczeństwo to kolejny aspekt, w którym występują różnice między tymi dwiema technikami. Porty SPAN są zazwyczaj skonfigurowane do komunikacji jednokierunkowej, ale w niektórych przypadkach mogą również odbierać komunikację, powodując poważne luki w zabezpieczeniach. Natomiast TAP nie jest adresowalny i nie ma adresu IP, więc nie można go zhakować.
Porty SPAN zazwyczaj nie przekazują znaczników VLAN, co może utrudniać wykrywanie awarii VLAN, ale tapy nie mogą jednocześnie widzieć całej sieci VLAN. Jeśli nie są używane zagregowane tapy, TAP nie zapewni tego samego śladu dla obu kanałów, ale należy zachować ostrożność przy wykrywaniu przekroczenia limitu. Istnieją tapy agregujące, takie jak Booster dla Profitap, które agregują osiem portów 10/100/1G w wyjściu 1G-10G.
Booster może wprowadzać pakiety poprzez wstawianie tagów VLAN. W ten sposób informacje o porcie źródłowym każdego pakietu zostaną przekazane do analizatora.
Porty SPAN są nadal narzędziem, z którego będą korzystać administratorzy sieci, ale jeśli szybkość i niezawodny dostęp do wszystkich danych sieciowych są krytyczne, TAP jest lepszym wyborem. Decydując, które podejście wybrać, porty SPAN są bardziej odpowiednie dla sieci o niskim wykorzystaniu, ponieważ utracone pakiety nie wpływają na analizę lub są opcjonalne w przypadkach, gdy koszt jest problemem. Jednak w sieciach o dużym ruchu pojemność, bezpieczeństwo i niezawodność TAP zapewnią pełną widoczność ruchu w sieci bez obawy o utratę pakietów lub filtrowanie błędów warstwy fizycznej.
○ W pełni widoczne
○ Replikuj cały ruch (wszystkie pakiety wszystkich rozmiarów i typów)
○ Pasywny, nienaruszający danych (nie zmienia danych)
○ W połączeniu szeregowym nie są używane żadne porty przełącznika do replikacji ruchu pełnodupleksowego w wiązkach Łatwa konfiguracja (plug and play)
○ Brak podatności na ataki hakerów (niewidoczne, odizolowane od sieci urządzenie monitorujące, brak adresu IP/MAC)
○ Skalowalny
○ Nadaje się do każdej sytuacji
○ Częściowa widoczność
○ Nie kopiowanie całego ruchu (usuwanie pakietów o określonych rozmiarach i typach)
○ Niepasywny (zmiana czasu pakietów, zwiększenie opóźnienia)
○ Użyj portu przełącznika (każdy port SPAN używa portu przełącznika)
○ Brak możliwości obsługi komunikacji w trybie pełnego dupleksu (pakiety są tracone w przypadku przeciążenia, co może również zakłócać działanie głównego przełącznika)
○ Inżynierowie muszą skonfigurować
○ Niebezpieczne (system monitorowania jest częścią sieci, potencjalne problemy z bezpieczeństwem)
○ Nieskalowalny
○ Możliwe tylko w określonych okolicznościach
Być może zainteresuje Cię powiązany artykuł: Jak przechwycić ruch sieciowy? Network Tap kontra Port Mirror
Czas publikacji: 09-06-2025
