Hlavný rozdiel medzi zachytávaním paketov pomocou portov Network TAP a SPAN.
Zrkadlenie portov(tiež známy ako SPAN)
Sieťový klepnite(tiež známy ako replikačný odbočovač, agregačný odbočovač, aktívny odbočovač, medený odbočovač, ethernetový odbočovač atď.)TAP (prístupový bod terminálu)je plne pasívne hardvérové zariadenie, ktoré dokáže pasívne zachytávať prevádzku v sieti. Bežne sa používa na monitorovanie prevádzky medzi dvoma bodmi v sieti. Ak sieť medzi týmito dvoma bodmi pozostáva z fyzického kábla, sieťový TAP môže byť najlepším spôsobom na zachytenie prevádzky.
Pred vysvetlením rozdielov medzi týmito dvoma riešeniami (Port Mirror a Network Tap) je dôležité pochopiť, ako funguje Ethernet. Pri rýchlosti 100 Mbit a vyššej hostitelia zvyčajne komunikujú v plnom duplexe, čo znamená, že jeden hostiteľ môže súčasne odosielať (Tx) a prijímať (Rx). To znamená, že na 100 Mbitovom kábli pripojenom k jednému hostiteľovi je celkové množstvo sieťovej prevádzky, ktorú môže jeden hostiteľ odosielať/prijímať (Tx/Rx), 2 × 100 Mbit = 200 Mbit.
Zrkadlenie portov je aktívna replikácia paketov, čo znamená, že sieťové zariadenie je fyzicky zodpovedné za kopírovanie paketu na zrkadlený port.
Zachytávanie návštevnosti: TAP vs. SPAN
Pri monitorovaní sieťovej prevádzky, ak nechcete priamo aktivovať podporu, kým používateľ spracováva transakciu, máte dve hlavné možnosti. V nasledujúcom článku uvedieme prehľad protokolov TAP (Test Access Point) a SPAN (Switch Port Analyzer). Pre hlbšiu analýzu má expert na kontrolu paketov Timo'Neill na lovemytool.com niekoľko článkov, ktoré sa venujú veľmi podrobne, ale tu zvolíme všeobecnejší prístup.
ŠPAN
Zrkadlenie portov je metóda monitorovania sieťovej prevádzky preposielaním kópie každého prichádzajúceho a/alebo odchádzajúceho paketu z jedného alebo viacerých portov (alebo VLan) prepínača na iný port pripojený k analyzátoru sieťovej prevádzky. Rozpätia (Span) sa často používajú v jednoduchších systémoch na súčasné monitorovanie viacerých lokalít. Presný počet sieťových prenosov, ktoré je možné monitorovať, závisí od toho, kde je SPAN nainštalovaný vzhľadom na zariadenie dátového centra. Pravdepodobne nájdete, čo hľadáte, ale je ľahké sa ocitnúť s príliš veľkým množstvom údajov. Napríklad je možné nájsť viac kópií rovnakých údajov v celej VLAN. To sťažuje riešenie problémov s LAN a tiež ovplyvňuje rýchlosť procesorov prepínačov alebo ovplyvňuje Ethernet prostredníctvom detekcie umiestnenia. V podstate platí, že čím viac rozpätí (Span), tým je pravdepodobnejšie, že sa pakety stratia. V porovnaní s odpojovačmi (Tap) je možné rozpätia (Span) spravovať na diaľku, čo znamená, že sa strávi menej času zmenou konfigurácií, ale stále sú potrební sieťoví inžinieri.
Porty SPAN nie sú pasívnou technológiou, ako niektorí tvrdia, pretože môžu mať ďalšie merateľné vplyvy na sieťovú prevádzku, vrátane:
- Čas na zmenu interakcie s rámcom
- Zahadzovanie paketov z dôvodu nadmerného počtu vyhľadávaní
- Poškodené pakety sú bez upozornenia vyhadzované, čo bráni analýze
Preto sú porty SPAN vhodnejšie pre situácie, kde strata paketov neovplyvňuje analýzu alebo kde sa berú do úvahy náklady.
KLEPNUTIE
Naproti tomu odbočovacie zariadenia (tap-tools) si vyžadujú počiatočné náklady na hardvér, ale nevyžadujú veľa nastavenia. Keďže sú pasívne, možno ich pripojiť a odpojiť od siete bez toho, aby to ovplyvnilo jej stav. Odbočovacie zariadenia (tap-tools) sú hardvérové zariadenia, ktoré poskytujú spôsob prístupu k údajom prúdiacim cez počítačovú sieť a bežne sa používajú na účely zabezpečenia siete a monitorovania jej výkonu. Monitorovaná prevádzka sa nazýva „priechodná“ prevádzka a port používaný na monitorovanie sa nazýva „monitorovací port“. Pre presnejšie skúmanie siete je možné odbočovacie zariadenia umiestniť medzi smerovače a prepínače.
Keďže TAP neovplyvňuje pakety, možno ho považovať za skutočne pasívny spôsob zobrazenia sieťovej prevádzky.
V zásade existujú tri typy riešení TAP:
- Rozbočovač siete (1:1)
- Agregovaný TAP (viacnásobný:1)
- Regeneračný TAP (1: viacnásobný)
TAP replikuje prevádzku do jedného pasívneho monitorovacieho nástroja alebo do zariadenia na prenos paketov s vysokou hustotou siete a slúži viacerým (často viacerým) nástrojom na testovanie QOS, nástrojom na monitorovanie siete a nástrojom na sniffer siete, ako napríklad Wireshark.
Okrem toho sa typy TAP líšia v závislosti od typu kábla, vrátane optického TAP a gigabitového medeného TAP, pričom oba fungujú v podstate rovnako, teda odovzdávajú časť signálu analyzátoru sieťovej prevádzky, zatiaľ čo hlavný model pokračuje v prenose bez prerušenia. V prípade optického TAP ide o rozdelenie lúča na dve časti, zatiaľ čo v systéme medených káblov ide o replikáciu elektrického signálu.
Porovnanie TAP a SPAN
Po prvé, port SPAN nie je vhodný pre plne duplexné 1G spojenie a aj keď je pod svojou maximálnou kapacitou, rýchlo zahadzuje pakety, pretože je preťažený, alebo jednoducho preto, že prepínač uprednostňuje bežné dáta medzi portami pred dátami portu SPAN. Na rozdiel od sieťových odbočiek porty SPAN filtrujú chyby fyzickej vrstvy, čo sťažuje niektoré typy analýz, a ako sme videli, nesprávne časy prírastkov a zmenené rámce môžu spôsobiť ďalšie problémy. Na druhej strane, TAP môže prevádzkovať plne duplexné 1G spojenie.
TAP dokáže tiež vykonať kompletný zachytávací proces paketov a hĺbkovú kontrolu paketov, či už ide o protokoly, porušenia, vniknutia atď. Dáta TAP sa teda dajú použiť ako dôkaz na súde, zatiaľ čo dáta portov SPAN nie.
Bezpečnosť je ďalší aspekt, v ktorom existujú rozdiely medzi týmito dvoma technikami. Porty SPAN sú zvyčajne konfigurované na jednosmernú komunikáciu, ale v niektorých prípadoch môžu aj prijímať komunikáciu, čo spôsobuje vážne zraniteľnosti. Naproti tomu TAP nie je adresovateľný a nemá IP adresu, takže ho nemožno hacknúť.
Porty SPAN zvyčajne neprenášajú značky VLAN, čo môže sťažiť detekciu zlyhaní VLAN, ale odbočky nevidia celú sieť VLAN naraz. Ak sa nepoužívajú agregované odbočky, TAP neposkytne rovnakú stopu pre oba kanály, ale je potrebné dbať na detekciu prekročenia. Existujú agregované odbočky, ako napríklad Booster pre Profitap, ktoré agregujú osem portov 10/100/1G vo výstupe 1G-10G.
Booster dokáže vstupovať do paketov vložením značiek VLAN. Týmto spôsobom sa informácie o zdrojovom porte každého paketu prepošlú do analyzátora.
Porty SPAN sú stále nástrojom, ktorý budú používať správcovia siete, ale ak je rýchlosť a spoľahlivý prístup ku všetkým sieťovým údajom kritický, TAP je lepšou voľbou. Pri rozhodovaní o tom, ktorý prístup zvoliť, sú porty SPAN vhodnejšie pre siete s nízkym využitím, pretože stratené pakety neovplyvňujú analýzu, alebo sú voliteľné v prípadoch, keď sú náklady dôležité. V sieťach s vysokou prevádzkou však kapacita, bezpečnosť a spoľahlivosť TAP poskytnú úplný prehľad o prevádzke vo vašej sieti bez obáv zo straty paketov alebo filtrovania chýb na fyzickej vrstve.
○ Plne viditeľné
○ Replikovať všetku prevádzku (všetky pakety všetkých veľkostí a typov)
○ Pasívny, nerušivý (nemení údaje)
○ V sériovom zapojení sa na replikáciu plne duplexnej prevádzky v káblových zväzkoch nepoužívajú žiadne porty prepínača. Jednoduché nastavenie (plug and play).
○ Nie je zraniteľné voči hackerom (neviditeľné, izolované monitorovacie zariadenie od siete, bez IP/MAC adresy)
○ Škálovateľné
○ Vhodné pre každú situáciu
○ Čiastočná viditeľnosť
○ Nekopírovanie všetkej prevádzky (zanechávanie paketov určitých veľkostí a typov)
○ Nepasívne (zmena načasovania paketov, zvýšenie latencie)
○ Použite port prepínača (každý port SPAN používa port prepínača)
○ Neschopnosť spracovať plne duplexnú komunikáciu (pakety stratené pri preťažení môžu tiež rušiť prevádzku primárneho prepínača)
○ Inžinieri musia nakonfigurovať
○ Nebezpečné (Monitorovací systém je súčasťou siete, potenciálne bezpečnostné problémy)
○ Nie je škálovateľné
○ Uskutočniteľné len za určitých okolností
Možno vás bude zaujímať súvisiaci článok: Ako zachytiť sieťovú prevádzku? Network Tap vs. Port Mirror
Čas uverejnenia: 9. júna 2025
