A fő különbség a csomagok rögzítése között a Network TAP és a SPAN portok használatával.
Port tükrözés(más néven SPAN)
Hálózati érintés(más néven replikációs kivezetés, aggregációs kivezetés, aktív kivezetés, rézkivezetés, Ethernet kivezetés stb.)TAP (terminál hozzáférési pont)egy teljesen passzív hardvereszköz, amely passzívan képes rögzíteni a forgalmat a hálózaton. Általában a hálózat két pontja közötti forgalom monitorozására használják. Ha a két pont közötti hálózat fizikai kábelből áll, akkor a hálózati TAP lehet a legjobb módja a forgalom rögzítésének.
Mielőtt elmagyaráznánk a két megoldás (Port Mirror és Network Tap) közötti különbségeket, fontos megérteni, hogyan működik az Ethernet. 100 Mbit és afeletti sebességnél az állomások általában teljes duplex módban kommunikálnak, ami azt jelenti, hogy egy állomás egyszerre tud küldeni (Tx) és fogadni (Rx). Ez azt jelenti, hogy egy 100 Mbit-es kábelen, amely egy állomáshoz csatlakozik, a hálózati forgalom teljes mennyisége, amelyet egy állomás küldhet/fogadhat (Tx/Rx)), 2 × 100 Mbit = 200 Mbit.
A porttükrözés aktív csomagreplikáció, ami azt jelenti, hogy a hálózati eszköz fizikailag felelős a csomag tükrözött portra másolásáért.
Forgalomrögzítés: TAP vs. SPAN
Hálózati forgalom monitorozásakor, ha nem szeretné közvetlenül működésbe hozni a támogatást, miközben a felhasználó tranzakciót dolgoz fel, két fő lehetősége van. A következő cikkben áttekintést nyújtunk a TAP-ról (Test Access Point) és a SPAN-ról (Switch Port Analyzer). A mélyebb elemzéshez Timo'Neill csomagvizsgálati szakértő számos cikket talál a lovemytool.com oldalon, amelyek nagyon részletesek, de itt egy általánosabb megközelítést alkalmazunk.
SPAN
A porttükrözés a hálózati forgalom monitorozásának egy olyan módszere, amely során a kapcsoló egy vagy több portjáról (vagy VLAN-járól) érkező minden bejövő és/vagy kimenő csomag másolatát továbbítják egy másik, hálózati forgalomelemzőhöz csatlakoztatott portra. A span-eket gyakran használják egyszerűbb rendszerekben több telephely egyidejű monitorozására. A monitorozni képes hálózati átvitelek pontos száma attól függ, hogy a SPAN hol van telepítve az adatközponti berendezésekhez képest. Valószínűleg megtalálja, amit keres, de könnyű túl sok adattal találkozni. Például lehetséges, hogy ugyanazon adatok több másolatát is megtalálja egy teljes VLAN-on. Ez megnehezíti a LAN-hibaelhárítást, és hatással van a kapcsoló processzorainak sebességére, vagy az elhelyezésérzékelésen keresztül az Ethernetre is. Alapvetően minél több span van, annál valószínűbb a csomagok elvesztése. A leágazásokhoz képest a span-ek távolról kezelhetők, ami azt jelenti, hogy kevesebb időt kell a konfigurációk módosítására fordítani, de hálózati mérnökökre továbbra is szükség van.
A SPAN portok nem passzív technológia, ahogy azt egyesek állítják, mivel más mérhető hatással is lehetnek a hálózati forgalomra, beleértve:
- A keret interakciójának megváltoztatásának ideje
- Csomagok eldobása túlzott keresések miatt
- A sérült csomagok értesítés nélkül eldobásra kerülnek, ami akadályozza az elemzést.
Ezért a SPAN portok alkalmasabbak olyan helyzetekben, ahol a csomagok eldobása nem befolyásolja az elemzést, vagy ahol a költségeket figyelembe veszik.
CSAP
Ezzel szemben a leágazások esetében előzetesen hardverbe kell fektetni, de nem igényelnek sok beállítást. Valójában, mivel passzívak, a hálózathoz csatlakoztathatók és leválaszthatók anélkül, hogy befolyásolnák azt. A leágazások olyan hardvereszközök, amelyek lehetővé teszik a számítógépes hálózaton áramló adatok elérését, és amelyeket általában hálózati biztonsági és teljesítményfigyelési célokra használnak. A figyelt forgalmat „áteresztő” forgalomnak, a figyeléshez használt portot pedig „figyelő portnak” nevezik. A hálózat tisztább vizsgálata érdekében a leágazások elhelyezhetők az útválasztók és a kapcsolók között.
Mivel a TAP nem befolyásolja a csomagokat, a hálózati forgalom megtekintésének valóban passzív módjának tekinthető.
Alapvetően háromféle TAP megoldás létezik:
- Hálózati elosztó (1:1)
- Összesített TAP (többszörös: 1)
- Regenerációs TAP (1: több)
A TAP egyetlen passzív megfigyelő eszközre vagy egy nagy sűrűségű hálózati csomagtovábbító eszközre replikálja a forgalmat, és több (gyakran több) QOS-tesztelő eszközt, hálózatfigyelő eszközt és hálózati szimatoló eszközt, például a Wiresharkot szolgál ki.
Ezenkívül a TAP-típusok a kábel típusától függően változnak, beleértve a száloptikai TAP-ot és a gigabites réz TAP-ot, amelyek lényegében ugyanúgy működnek, a jel egy részét a hálózati forgalomelemzőnek adják át, miközben a fő modell megszakítás nélkül tovább továbbít. A száloptikai TAP esetében a feladat a nyaláb kettéosztása, míg a rézkábelrendszerben az elektromos jel replikálása.
A TAP és a SPAN összehasonlítása
Először is, a SPAN port nem alkalmas teljes duplex 1G kapcsolathoz, és még a maximális kapacitása alatt is gyorsan eldobja a csomagokat, mert túlterhelt, vagy egyszerűen azért, mert a kapcsoló a szokásos portok közötti dátumokat részesíti előnyben a SPAN port adataival szemben. A hálózati leágazással ellentétben a SPAN portok kiszűrik a fizikai réteg hibáit, ami megnehezíti bizonyos típusú elemzéseket, és mint láttuk, a helytelen növekedési idők és a megváltozott keretek más problémákat is okozhatnak. Másrészt a TAP képes teljes duplex 1G kapcsolatot működtetni.
A TAP képes teljes csomagrögzítésre és mélyreható csomagvizsgálatra is protokollok, jogsértések, behatolások stb. szempontjából. Így a TAP-adatok bizonyítékként felhasználhatók a bíróságon, míg a SPAN portadatok nem.
A biztonság egy másik olyan szempont, ahol különbségek vannak a két technika között. A SPAN portok általában egyirányú kommunikációra vannak konfigurálva, de bizonyos esetekben képesek kommunikációt fogadni is, ami komoly sebezhetőségeket okoz. Ezzel szemben a TAP nem címezhető és nincs IP-címe, így nem lehet feltörni.
A SPAN portok jellemzően nem adják át a VLAN címkéket, ami megnehezítheti a VLAN hibák észlelését, de a leágazások nem látják egyszerre a teljes VLAN hálózatot. Ha nem használnak összesített leágazásokat, a TAP nem fogja ugyanazt a nyomkövetést biztosítani mindkét csatornához, de ügyelni kell a túllépés észlelésére. Léteznek olyan összesített leágazások, mint például a Booster for Profitap, amelyek nyolc 10/100/1G portot egyesítenek egy 1G-10G kimeneten.
A Booster VLAN címkék beillesztésével képes csomagokba belépni. Ily módon minden egyes csomag forrásport-információja továbbításra kerül az analizátornak.
A SPAN portok továbbra is olyan eszközök, amelyeket a hálózati rendszergazdák használnak, de ha a sebesség és a megbízható hozzáférés minden hálózati adathoz kritikus fontosságú, akkor a TAP a jobb választás. A megfelelő megközelítés eldöntésekor a SPAN portok alkalmasabbak az alacsony kihasználtságú hálózatokhoz, mivel az elveszett csomagok nem befolyásolják az elemzést, vagy opcionálisak olyan esetekben, amikor a költségek aggodalomra adnak okot. A nagy forgalmú hálózatokon azonban a TAP kapacitása, biztonsága és megbízhatósága teljes rálátást biztosít a hálózat forgalmára anélkül, hogy a csomagvesztéstől kellene tartani, vagy a fizikai réteg hibáit kiszűrni.
○ Teljesen látható
○ Az összes forgalom replikálása (minden méretű és típusú csomag)
○ Passzív, nem tolakodó (nem változtatja meg az adatokat)
○ Soros kapcsolásban nincsenek switch portok a teljes duplex forgalom replikálására a kábelkötegekben Egyszerű beállítás (plug and play)
○ Nem sebezhető a hackerekkel szemben (láthatatlan, a hálózattól elszigetelt megfigyelőeszköz, nincs IP/MAC cím)
○ Skálázható
○ Bármilyen helyzetre alkalmas
○ Részleges láthatóság
○ Nem másoljuk az összes forgalmat (bizonyos méretű és típusú csomagok eldobása)
○ Nem passzív (csomagidőzítés megváltoztatása, késleltetés növelése)
○ Használjon kapcsolóportot (minden SPAN port egy kapcsolóportot használ)
○ Nem képes kezelni a teljes duplex kommunikációt (a túlterhelés esetén elvesztett csomagok zavarhatják az elsődleges kapcsoló működését is)
○ A mérnököknek konfigurálniuk kell
○ Nem biztonságos (A megfigyelőrendszer a hálózat része, potenciális biztonsági problémák)
○ Nem skálázható
○ Csak bizonyos körülmények között megvalósítható
Érdekes lehet a kapcsolódó cikk: Hogyan rögzítsük a hálózati forgalmat? Network Tap vs. Port Mirror
Közzététel ideje: 2025. június 9.
