English

Snimanje mrežnog prometa za mrežni nadzor, analizu i sigurnost: TAP vs SPAN

Glavna razlika između hvatanja paketa korištenjem mrežnih TAP i SPAN portova.

Zrcaljenje portova(također poznat kao SPAN)

Mrežni dodir(također poznat kao replikacijski priključak, agregacijski priključak, aktivni priključak, bakreni priključak, Ethernet priključak itd.)TAP (Pristupna tačka terminala)je potpuno pasivni hardverski uređaj koji može pasivno snimati promet na mreži. Obično se koristi za praćenje prometa između dvije tačke u mreži. Ako se mreža između ove dvije tačke sastoji od fizičkog kabla, mrežni TAP može biti najbolji način za snimanje prometa.

Prije nego što objasnimo razlike između dva rješenja (Port Mirror i Network Tap), važno je razumjeti kako Ethernet funkcionira. Pri brzinama od 100 Mbit i više, hostovi obično komuniciraju u punom dupleksu, što znači da jedan host može istovremeno slati (Tx) i primati (Rx). To znači da na kablu od 100 Mbit spojenom na jedan host, ukupna količina mrežnog prometa koju jedan host može slati/primati (Tx/Rx) iznosi 2 × 100 Mbit = 200 Mbit.

Zrcaljenje porta je aktivna replikacija paketa, što znači da je mrežni uređaj fizički odgovoran za kopiranje paketa na zrcaljeni port.

DODIRNITE RASPONU

Hvatanje prometa: TAP vs SPAN
Prilikom praćenja mrežnog prometa, ako ne želite direktno aktivirati podršku dok korisnik obrađuje transakciju, imate dvije glavne opcije. U sljedećem članku dat ćemo pregled TAP-a (Test Access Point) i SPAN-a (Switch Port Analyzer). Za dublju analizu, stručnjak za inspekciju paketa Timo'Neill ima nekoliko članaka na lovemytool.com koji detaljno opisuju ovu temu, ali ovdje ćemo zauzeti općenitiji pristup.

SPAN
Zrcaljenje portova je metoda praćenja mrežnog prometa prosljeđivanjem kopije svakog dolaznog i/ili odlaznog paketa s jednog ili više portova (ili VLAN-ova) prekidača na drugi port povezan s analizatorom mrežnog prometa. Rasponi (Spanovi) se često koriste u jednostavnijim sistemima za istovremeno praćenje više lokacija. Tačan broj mrežnih prijenosa koje je u stanju pratiti ovisi o tome gdje je SPAN instaliran u odnosu na opremu podatkovnog centra. Vjerovatno ćete pronaći ono što tražite, ali lako se možete naći s previše podataka. Na primjer, moguće je pronaći više kopija istih podataka u cijelom VLAN-u. To otežava rješavanje problema s LAN-om, a također utječe na brzinu procesora prekidača ili utječe na Ethernet putem detekcije položaja. U osnovi, što je više raspona (spanova), veća je vjerojatnost gubitka paketa. U usporedbi s tap-ovima (tapovima), rasponima se može upravljati daljinski, što znači da se manje vremena troši na promjenu konfiguracija, ali su i dalje potrebni mrežni inženjeri.

SPAN portovi nisu pasivna tehnologija, kako neki tvrde, jer mogu imati druge mjerljive efekte na mrežni promet, uključujući:
- Vrijeme za promjenu interakcije okvira

- Gubitak paketa zbog prekomjernog broja pretraga

- Oštećeni paketi se odbacuju bez prethodne najave, što ometa analizu
Stoga su SPAN portovi pogodniji za situacije gdje odbacivanje paketa ne utiče na analizu ili gdje se uzimaju u obzir troškovi.

DODIRNITE
Nasuprot tome, odvojci (tapovi) zahtijevaju ulaganje novca u hardver odmah na početku, ali ne zahtijevaju mnogo podešavanja. Zapravo, budući da su pasivni, mogu se spajati i isključivati ​​s mreže bez utjecaja na nju. Odvojci su hardverski uređaji koji omogućavaju pristup podacima koji teku kroz računarsku mrežu i obično se koriste za sigurnost mreže i praćenje performansi. Praćeni promet naziva se "prolazni" promet, a port koji se koristi za praćenje naziva se "port za praćenje". Da bi se mreža jasnije ispitala, odvojci se mogu postaviti između rutera i prekidača.
Budući da TAP ne utiče na pakete, može se smatrati zaista pasivnim načinom pregleda mrežnog prometa.
Postoje u osnovi tri vrste TAP rješenja:

- Mrežni razdjelnik (1:1)

- Agregatni TAP (višestruki: 1)

- Regeneracija TAP (1: višestruka)

TAP replicira promet na jedan pasivni alat za nadzor ili na uređaj za prijenos paketa visoke gustoće mreže i opslužuje više (često više) alata za testiranje QOS-a, alata za nadzor mreže i alata za prisluškivanje mreže kao što je Wireshark.
Osim toga, tipovi TAP-ova variraju ovisno o tipu kabla, uključujući optički TAP i gigabitni bakreni TAP, koji oba rade na u suštini isti način preusmjeravanjem dijela signala na analizator mrežnog prometa, dok glavni model nastavlja prenositi bez prekida. Kod optičkog TAP-a, snop se dijeli na dva dijela, dok se u sistemu bakrenih kablova snop replicira električni signal.

Poređenje TAP-a i SPAN-a

Prvo, SPAN port nije pogodan za full-duplex 1G vezu, i čak i kada je ispod svog maksimalnog kapaciteta, brzo odbacuje pakete jer je preopterećen ili jednostavno zato što prekidač daje prioritet redovnim datumima od porta do porta u odnosu na podatke SPAN porta. Za razliku od mrežnih tapova, SPAN portovi filtriraju greške fizičkog sloja, što otežava neke vrste analize, a kao što smo vidjeli, netačna vremena inkrementa i promijenjeni okviri mogu uzrokovati druge probleme. S druge strane, TAP može raditi na full-duplex 1G vezi.

TAP također može izvršiti potpuno snimanje paketa i detaljnu inspekciju paketa za protokole, kršenja, upade itd. Stoga se TAP podaci mogu koristiti kao dokaz na sudu, dok podaci SPAN porta ne mogu.
Sigurnost je još jedan aspekt gdje postoje razlike između ove dvije tehnike. SPAN portovi su obično konfigurisani za jednosmjernu komunikaciju, ali u nekim slučajevima mogu i primati komunikaciju, što uzrokuje ozbiljne ranjivosti. Nasuprot tome, TAP nije adresabilan i nema IP adresu, tako da se ne može hakirati.

SPAN portovi obično ne prolaze VLAN oznake, što može otežati otkrivanje VLAN kvarova, ali odvojci ne mogu vidjeti cijelu VLAN mrežu odjednom. Ako se ne koriste agregirani odvojci, TAP neće pružiti isti trag za oba kanala, ali se mora voditi računa o otkrivanju prekoračenja. Postoje agregirani odvojci, kao što je Booster za Profitap, koji agregiraju osam 10/100/1G portova u 1G-10G izlazu.

Booster može unositi pakete umetanjem VLAN oznaka. Na taj način, informacije o izvornom portu svakog paketa bit će proslijeđene analizatoru.

SPAN portovi su i dalje alat koji će mrežni administratori koristiti, ali ako su brzina i pouzdan pristup svim mrežnim podacima ključni, TAP je bolji izbor. Prilikom odlučivanja koji pristup odabrati, SPAN portovi su pogodniji za mreže s niskom iskorištenošću, budući da izgubljeni paketi ne utječu na analizu ili su opcionalni u slučajevima kada su troškovi bitni. Međutim, na mrežama s velikim prometom, TAP-ov kapacitet, sigurnost i pouzdanost pružit će potpuni uvid u promet na vašoj mreži bez straha od gubitka paketa ili filtriranja grešaka na fizičkom sloju.

DODIRNITE

 

○ Potpuno vidljivo

○ Repliciraj sav promet (sve pakete svih veličina i tipova)

○ Pasivno, nenametljivo (ne mijenja podatke)

○ U seriji se ne koriste portovi preklopnika za replikaciju prometa u punom dupleksu. Jednostavno podešavanje (plug and play).

○ Nije ranjiv na hakere (nevidljiv, izolovan uređaj za nadzor od mreže, bez IP/MAC adrese)

○ Skalabilno

○ Pogodno za svaku situaciju

SPAN

 

○ Djelomična vidljivost

○ Ne kopiranje cjelokupnog prometa (odbacivanje određenih veličina i vrsta paketa)

○ Nepasivno (promjena vremena slanja paketa, povećanje latencije)

○ Koristite port za preklop (svaki SPAN port koristi port za preklop)

○ Nemogućnost rukovanja full-duplex komunikacijom (paketi koji se gube prilikom preopterećenja mogu također ometati rad primarnog prekidača)

○ Inženjeri trebaju konfigurirati

○ Nesigurno (Sistem za nadzor je dio mreže, potencijalni sigurnosni problemi)

○ Nije skalabilno

○ Izvodljivo samo pod određenim okolnostima

Možda će vam biti zanimljiv povezani članak: Kako uhvatiti mrežni promet? Network Tap u odnosu na Port Mirror

Vrijeme objave: 09. juni 2025.
Pritisnite enter za pretragu ili ESC za zatvaranje