Principala diferență dintre capturarea pachetelor folosind porturile Network TAP și SPAN.
Oglindire port(cunoscut și sub numele de SPAN)
Atingeți rețeaua(cunoscut și sub denumirea de Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap etc.)TAP (Punct de acces la terminal)este un dispozitiv hardware complet pasiv, care poate captura pasiv traficul dintr-o rețea. Este utilizat în mod obișnuit pentru a monitoriza traficul dintre două puncte din rețea. Dacă rețeaua dintre aceste două puncte constă dintr-un cablu fizic, un TAP de rețea poate fi cea mai bună modalitate de a captura traficul.
Înainte de a explica diferențele dintre cele două soluții (Port Mirror și Network Tap), este important să înțelegem cum funcționează Ethernet-ul. La 100Mbit și peste, gazdele comunică de obicei în full duplex, ceea ce înseamnă că o gazdă poate trimite (Tx) și primi (Rx) simultan. Aceasta înseamnă că, pe un cablu de 100 Mbit conectat la o gazdă, cantitatea totală de trafic de rețea pe care o gazdă o poate trimite/recepționa (Tx/Rx) este de 2 × 100 Mbit = 200 Mbit.
Oglindirea portului este o replicare activă a pachetelor, ceea ce înseamnă că dispozitivul de rețea este responsabil fizic pentru copierea pachetului în portul oglindit.
Captarea traficului: TAP vs. SPAN
Când monitorizați traficul de rețea, dacă nu doriți să operaționalizați direct asistența în timp ce un utilizator procesează o tranzacție, aveți două opțiuni principale. În articolul următor, vom oferi o prezentare generală a TAP (Test Access Point) și SPAN (Switch Port Analyzer). Pentru o analiză mai aprofundată, expertul în inspecția pachetelor Timo'Neill are mai multe articole pe lovemytool.com care intră în detaliu, dar aici vom adopta o abordare mai generală.
INTERVAL
Oglindirea porturilor este o metodă de monitorizare a traficului de rețea prin redirecționarea unei copii a fiecărui pachet de intrare și/sau ieșire de la unul sau mai multe porturi (sau VLAN-uri) ale unui switch către un alt port conectat la un analizor de trafic de rețea. Span-urile sunt adesea utilizate în sisteme mai simple pentru a monitoriza mai multe locații simultan. Numărul exact de transmisii de rețea pe care le poate monitoriza depinde de locul în care este instalat SPAN-ul în raport cu echipamentul centrului de date. Probabil veți găsi ceea ce căutați, dar este ușor să vă treziți cu prea multe date. De exemplu, este posibil să găsiți mai multe copii ale acelorași date pe un întreg VLAN. Acest lucru face ca depanarea LAN să fie mai dificilă și afectează, de asemenea, viteza procesoarelor switch-ului sau afectează Ethernet-ul prin detectarea plasării. Practic, cu cât sunt mai multe span-uri, cu atât este mai probabil să se piardă pachete. Comparativ cu porturile tap, span-urile pot fi gestionate de la distanță, ceea ce înseamnă că se petrece mai puțin timp pentru schimbarea configurațiilor, dar sunt totuși necesari ingineri de rețea.
Porturile SPAN nu sunt o tehnologie pasivă, așa cum susțin unii, deoarece pot avea și alte efecte măsurabile asupra traficului de rețea, inclusiv:
- Timpul necesar pentru schimbarea interacțiunii cadrului
- Pierderea pachetelor din cauza căutărilor excesive
- Pachetele corupte sunt eliminate fără notificare prealabilă, împiedicând analiza
Prin urmare, porturile SPAN sunt mai potrivite pentru situațiile în care abandonarea pachetelor nu afectează analiza sau în care se ia în considerare costul.
ROBINET
În schimb, porturile tap necesită investiții inițiale în hardware, dar nu necesită multă configurare. Într-adevăr, deoarece sunt pasive, pot fi conectate și deconectate de la rețea fără a o afecta. Tap-urile sunt dispozitive hardware care oferă o modalitate de accesare a datelor care circulă printr-o rețea de calculatoare și sunt utilizate în mod obișnuit în scopuri de securitate a rețelei și monitorizare a performanței. Traficul monitorizat se numește trafic „pass-through”, iar portul utilizat pentru monitorizare se numește „port de monitorizare”. Pentru a sonda rețeaua mai clar, porturile tap pot fi plasate între routere și switch-uri.
Deoarece TAP nu afectează pachetele, poate fi considerat o modalitate cu adevărat pasivă de a vizualiza traficul de rețea.
Există în principiu trei tipuri de soluții TAP:
- Splitter de rețea (1 : 1)
- TAP agregat (multi : 1)
- Regenerare TAP (1: multi)
TAP replică traficul către un singur instrument de monitorizare pasivă sau către un dispozitiv de retransmitere a pachetelor de rețea de mare densitate și deservește mai multe (adesea mai multe) instrumente de testare QOS, instrumente de monitorizare a rețelei și instrumente de sniffer de rețea, cum ar fi Wireshark.
În plus, tipurile de TAP variază în funcție de tipul de cablu, inclusiv TAP cu fibră optică și TAP cu cupru gigabit, ambele funcționând în esență în același mod, descărcând o parte din semnal către analizorul de trafic de rețea, în timp ce modelul principal continuă să transmită fără întrerupere. Pentru TAP cu fibră optică, este vorba de împărțirea fasciculului în două, în timp ce în sistemul de cablu cu cupru, este vorba de replicarea semnalului electric.
Compararea TAP și SPAN
În primul rând, portul SPAN nu este potrivit pentru o legătură 1G full-duplex și, chiar și atunci când este sub capacitatea sa maximă, elimină rapid pachete deoarece este supraîncărcat sau pur și simplu pentru că switch-ul prioritizează datele regulate port-la-port în detrimentul datelor portului SPAN. Spre deosebire de porturile de rețea (net tap), porturile SPAN filtrează erorile stratului fizic, ceea ce face ca anumite tipuri de analiză să fie mai dificile și, așa cum am văzut, timpii de incrementare incorecți și cadrele modificate pot cauza alte probleme. Pe de altă parte, TAP poate opera o legătură 1G full-duplex.
TAP poate efectua, de asemenea, captura completă a pachetelor și poate efectua o inspecție aprofundată a pachetelor pentru protocoale, încălcări, intruziuni etc. Astfel, datele TAP pot fi folosite ca probe în instanță, în timp ce datele portului SPAN nu pot.
Securitatea este un alt aspect în care există diferențe între cele două tehnici. Porturile SPAN sunt de obicei configurate pentru comunicare unidirecțională, dar pot, de asemenea, să primească comunicații în unele cazuri, provocând vulnerabilități grave. În schimb, TAP nu este adresabil și nu are o adresă IP, deci nu poate fi piratat.
Porturile SPAN nu transmit de obicei etichete VLAN, ceea ce poate îngreuna detectarea erorilor VLAN, dar tap-urile nu pot vedea întreaga rețea VLAN simultan. Dacă nu se utilizează tap-uri agregate, TAP-ul nu va oferi aceeași urmă pentru ambele canale, dar trebuie avută grijă la detectarea supraîncărcării. Există tap-uri agregate, cum ar fi Booster pentru Profitap, care agregă opt porturi 10/100/1G într-o ieșire 1G-10G.
Booster poate introduce pachete prin inserarea de etichete VLAN. În acest fel, informațiile despre portul sursă al fiecărui pachet vor fi transmise către analizor.
Porturile SPAN sunt încă un instrument pe care administratorii de rețea îl vor folosi, dar dacă viteza și accesul fiabil la toate datele rețelei sunt critice, TAP este alegerea mai bună. Atunci când se decide ce abordare să se adopte, porturile SPAN sunt mai potrivite pentru rețelele cu utilizare redusă, deoarece pachetele pierdute nu afectează analiza sau sunt opționale în cazurile în care costul este o preocupare. Cu toate acestea, în rețelele cu trafic intens, capacitatea, securitatea și fiabilitatea TAP vor oferi vizibilitate completă asupra traficului din rețeaua dvs., fără teama de pierdere a pachetelor sau de filtrare a erorilor de nivel fizic.
○ Complet vizibil
○ Replicați tot traficul (toate pachetele de toate dimensiunile și tipurile)
○ Pasiv, non-intruziv (nu modifică datele)
○ În serie, nu se utilizează porturi de comutare pentru a replica traficul full-duplex în cablaje. Configurare ușoară (plug and play)
○ Nu este vulnerabil la hackeri (invizibil, dispozitiv de monitorizare izolat de rețea, fără adresă IP/MAC)
○ Scalabil
○ Potrivit pentru orice situație
○ Vizibilitate parțială
○ Nu copierea întregului trafic (eliminarea anumitor dimensiuni și tipuri de pachete)
○ Non-pasiv (modificarea temporizării pachetelor, creșterea latenței)
○ Folosește portul de comutare (fiecare port SPAN folosește un port de comutare)
○ Nu se poate gestiona comunicarea full-duplex (pachetele sunt pierdute la supraîncărcare, pot interfera și cu funcționarea switch-ului principal)
○ Inginerii trebuie să configureze
○ Nesigur (Sistemul de monitorizare face parte din rețea, potențiale probleme de securitate)
○ Nu este scalabil
○ Fezabil doar în anumite circumstanțe
S-ar putea să vă intereseze articolul conex: Cum să captezi traficul de rețea? Network Tap vs. Port Mirror
Data publicării: 09 iunie 2025
