Glavna razlika med zajemanjem paketov z uporabo omrežnih TAP in SPAN vrat.
Zrcaljenje vrat(znano tudi kot SPAN)
Omrežni priklop(znan tudi kot replikacijski odcep, agregacijski odcep, aktivni odcep, bakreni odcep, ethernetni odcep itd.)TAP (dostopna točka terminala)je popolnoma pasivna strojna naprava, ki lahko pasivno zajema promet v omrežju. Običajno se uporablja za spremljanje prometa med dvema točkama v omrežju. Če omrežje med tema dvema točkama sestavlja fizični kabel, je omrežni TAP morda najboljši način za zajemanje prometa.
Preden razložimo razlike med obema rešitvama (Port Mirror in Network Tap), je pomembno razumeti, kako deluje Ethernet. Pri hitrosti 100 Mbit in več gostitelji običajno komunicirajo v polnem dupleksu, kar pomeni, da lahko en gostitelj hkrati pošilja (Tx) in prejema (Rx). To pomeni, da je na 100 Mbitnem kablu, priključenem na en gostitelj, skupna količina omrežnega prometa, ki ga lahko en gostitelj pošlje/prejme (Tx/Rx), 2 × 100 Mbit = 200 Mbit.
Zrcaljenje vrat je aktivna replikacija paketov, kar pomeni, da je omrežna naprava fizično odgovorna za kopiranje paketa na zrcaljena vrata.
Zajem prometa: TAP proti SPAN
Če pri spremljanju omrežnega prometa ne želite neposredno aktivirati podpore, medtem ko uporabnik obdeluje transakcijo, imate dve glavni možnosti. V naslednjem članku bomo podali pregled protokolov TAP (Test Access Point) in SPAN (Switch Port Analyzer). Za podrobnejšo analizo ima strokovnjak za pregledovanje paketov Timo'Neill na spletni strani lovemytool.com več člankov, ki so podrobni, vendar bomo tukaj uporabili bolj splošen pristop.
SPAN
Zrcaljenje vrat je metoda spremljanja omrežnega prometa s posredovanjem kopije vsakega dohodnega in/ali odhodnega paketa iz enih ali več vrat (ali VLAN-ov) stikala na druga vrata, povezana z analizatorjem omrežnega prometa. Razponi (spani) se pogosto uporabljajo v enostavnejših sistemih za hkratno spremljanje več lokacij. Natančno število omrežnih prenosov, ki jih lahko spremlja, je odvisno od tega, kje je SPAN nameščen glede na opremo podatkovnega centra. Verjetno boste našli, kar iščete, vendar se zlahka znajdete s preveč podatki. Na primer, možno je najti več kopij istih podatkov v celotnem VLAN-u. To otežuje odpravljanje težav z lokalnim omrežjem (LAN) in vpliva tudi na hitrost procesorjev stikala ali na Ethernet prek zaznavanja namestitve. V bistvu velja, da več kot je razponov (spanov), večja je verjetnost izgube paketov. V primerjavi z odcepi (tapi) je mogoče razpone upravljati na daljavo, kar pomeni, da se porabi manj časa za spreminjanje konfiguracij, vendar so omrežni inženirji še vedno potrebni.
Vrata SPAN niso pasivna tehnologija, kot nekateri trdijo, saj imajo lahko druge merljive učinke na omrežni promet, vključno z:
- Čas za spremembo interakcije okvirja
- Izguba paketov zaradi prekomernega števila iskanj
- Poškodovani paketi se zavržejo brez predhodnega obvestila, kar ovira analizo
Zato so vrata SPAN primernejša za situacije, ko izguba paketov ne vpliva na analizo ali ko se upoštevajo stroški.
DOTIKNI
V nasprotju s tem je za odcepne naprave potrebno vnaprej porabiti denar za strojno opremo, vendar ne zahtevajo veliko nastavitev. Ker so pasivne, jih je mogoče dejansko priključiti in odklopiti iz omrežja, ne da bi to vplivalo nanj. Odcepne naprave so strojne naprave, ki omogočajo dostop do podatkov, ki tečejo skozi računalniško omrežje, in se pogosto uporabljajo za namene varnosti omrežja in spremljanja delovanja. Spremljani promet se imenuje »prehodni« promet, vrata, ki se uporabljajo za spremljanje, pa »nadzorna vrata«. Za natančnejše preverjanje omrežja lahko odcepne naprave namestimo med usmerjevalnike in stikala.
Ker TAP ne vpliva na pakete, ga lahko obravnavamo kot resnično pasiven način za ogled omrežnega prometa.
V osnovi obstajajo tri vrste rešitev TAP:
- Omrežni razdelilnik (1 : 1)
- Agregatni TAP (večkratni: 1)
- Regeneracija TAP (1: več)
TAP replicira promet na eno samo pasivno orodje za spremljanje ali na napravo za prenos paketov v omrežju z visoko gostoto in služi več (pogosto več) orodjem za testiranje QOS, orodjem za spremljanje omrežja in omrežnim orodjem za vohanje, kot je Wireshark.
Poleg tega se vrste TAP razlikujejo glede na vrsto kabla, vključno z optičnim TAP in gigabitnim bakrenim TAP, ki oba delujeta v bistvu na enak način, tako da del signala preneseta na analizator omrežnega prometa, medtem ko glavni model nadaljuje s prenosom brez prekinitev. Pri optičnem TAP-u gre za razdelitev žarka na dva dela, pri bakrenem kabelskem sistemu pa za repliciranje električnega signala.
Primerjava TAP in SPAN
Prvič, vrata SPAN niso primerna za polno dupleksno povezavo 1G in tudi ko so pod svojo največjo zmogljivostjo, hitro zavržejo pakete, ker so preobremenjena ali preprosto zato, ker stikalo daje prednost rednim datumom med vrati pred podatki vrat SPAN. Za razliko od omrežnih odcepov vrata SPAN filtrirajo napake fizične plasti, zaradi česar so nekatere vrste analiz težje, in kot smo videli, lahko napačni časi prirastka in spremenjeni okvirji povzročijo druge težave. Po drugi strani pa lahko TAP deluje na polno dupleksni povezavi 1G.
TAP lahko izvede tudi popoln zajem paketov in poglobljen pregled paketov za protokole, kršitve, vdore itd. Tako se podatki TAP lahko uporabijo kot dokaz na sodišču, medtem ko se podatki vrat SPAN ne morejo.
Varnost je še en vidik, kjer obstajajo razlike med obema tehnikama. Vrata SPAN so običajno konfigurirana za enosmerno komunikacijo, vendar lahko v nekaterih primerih tudi sprejemajo komunikacijo, kar povzroča resne ranljivosti. Nasprotno pa TAP ni naslovljiv in nima naslova IP, zato ga ni mogoče vdreti.
Vrata SPAN običajno ne prenašajo oznak VLAN, kar lahko oteži zaznavanje napak VLAN, vendar odcepniki ne morejo videti celotnega omrežja VLAN hkrati. Če se ne uporabljajo združeni odcepniki, TAP ne bo zagotovil enake sledi za oba kanala, vendar je treba biti pri zaznavanju prekoračitev previdni. Obstajajo združeni odcepniki, kot je Booster za Profitap, ki združujejo osem vrat 10/100/1G v izhodu 1G-10G.
Booster lahko v pakete vnaša oznake VLAN. Na ta način se podatki o izvornih vratih vsakega paketa posredujejo analizatorju.
Vrata SPAN so še vedno orodje, ki ga bodo uporabljali omrežni skrbniki, če pa sta hitrost in zanesljiv dostop do vseh omrežnih podatkov ključnega pomena, je TAP boljša izbira. Pri odločanju o tem, kateri pristop uporabiti, so vrata SPAN primernejša za omrežja z nizko izkoriščenostjo, saj izgubljeni paketi ne vplivajo na analizo ali pa so neobvezna v primerih, ko so stroški pomembni. Vendar pa bodo v omrežjih z veliko prometa zmogljivost, varnost in zanesljivost TAP zagotovili popoln vpogled v promet v vašem omrežju brez strahu pred izgubo paketov ali filtriranjem napak na fizični plasti.
○ Popolnoma vidno
○ Repliciraj ves promet (vse pakete vseh velikosti in vrst)
○ Pasivno, nevsiljivo (ne spreminja podatkov)
○ V seriji se za replikacijo prometa v polnem dupleksu v snopih ne uporabljajo nobena vrata stikala. Enostavna namestitev (priklopi in uporabljaj).
○ Ni ranljiv za hekerje (nevidna, izolirana nadzorna naprava od omrežja, brez IP/MAC naslova)
○ Prilagodljivo
○ Primerno za vsako situacijo
○ Delna vidljivost
○ Ne kopiranje vsega prometa (izpuščanje določenih velikosti in vrst paketov)
○ Nepasivno (spreminjanje časa paketov, povečanje latence)
○ Uporabite vrata stikala (vsaka vrata SPAN uporabljajo vrata stikala)
○ Ne more obdelati komunikacije v polnem dupleksu (paketi, ki se izgubijo pri preobremenitvi, lahko motijo tudi delovanje primarnega stikala)
○ Inženirji morajo konfigurirati
○ Nevarno (sistem za spremljanje je del omrežja, morebitne varnostne težave)
○ Ni skalabilno
○ Izvedljivo le v določenih okoliščinah
Morda vas bo zanimal soroden članek: Kako zajeti omrežni promet? Network Tap v primerjavi z Port Mirror
Čas objave: 9. junij 2025
