Tinklo eksploatavimo ir priežiūros, trikčių šalinimo ir saugumo analizės srityse tikslus ir efektyvus tinklo duomenų srautų gavimas yra įvairių užduočių atlikimo pagrindas. TAP (testavimo prieigos taškas) ir SPAN (komutuojamas prievadų analizatorius, dar vadinamas prievadų veidrodiniu atspindžiu), kaip dvi pagrindinės tinklo duomenų rinkimo technologijos, atlieka svarbų vaidmenį skirtinguose scenarijuose dėl savo skirtingų techninių savybių. Gilus jų savybių, privalumų, apribojimų ir taikomų scenarijų supratimas yra labai svarbus tinklo inžinieriams, kad jie galėtų parengti pagrįstus duomenų rinkimo planus ir pagerinti tinklo valdymo efektyvumą.
TAP: išsamus ir matomas duomenų rinkimo sprendimas be nuostolių
TAP yra aparatinės įrangos įrenginys, veikiantis fiziniame arba duomenų perdavimo lygmenyje. Jo pagrindinė funkcija – pasiekti 100 % tinklo duomenų srautų replikaciją ir fiksavimą netrukdant pradiniam tinklo srautui. Būdamas nuosekliai prijungtas tinklo jungtyje (pvz., tarp komutatoriaus ir serverio arba maršrutizatoriaus ir komutatoriaus), jis, naudodamas „optinio skaidymo“ arba „srauto skaidymo“ metodus, replikuoja visus per jungtį einančius duomenų paketus, perduodamus į stebėjimo prievadą, kad vėliau juos apdorotų analizės įrenginiai (pvz., tinklo analizatoriai ir įsilaužimų aptikimo sistemos – IDS).
Pagrindinės savybės: Sutelktos į „vientisumą“ ir „stabilumą“
1. 100 % duomenų paketų fiksavimas be jokios nuostolių rizikos
Tai yra ryškiausias TAP privalumas. Kadangi TAP veikia fiziniame lygmenyje ir tiesiogiai atkartoja elektrinius arba optinius signalus jungtyje, duomenų paketų persiuntimui ar replikacijai jis nenaudoja komutatoriaus procesoriaus išteklių. Todėl, nepriklausomai nuo to, ar tinklo srautas yra didžiausias, ar jame yra didelių duomenų paketų (pvz., „Jumbo Frame“ su didele MTU verte), visi duomenų paketai gali būti visiškai užfiksuoti neprarandant paketų dėl nepakankamų komutatoriaus išteklių. Ši „nuostolingo fiksavimo“ funkcija daro jį pageidaujamu sprendimu scenarijuose, kuriems reikalinga tiksli duomenų parama (pvz., gedimų priežasties nustatymas ir tinklo našumo pradinė analizė).
2. Nėra poveikio pradiniam tinklo našumui
TAP veikimo režimas užtikrina, kad jis nesukels jokių trukdžių pradiniam tinklo ryšiui. Jis nekeičia duomenų paketų turinio, šaltinio / paskirties adresų ar laiko, taip pat neužima komutatoriaus prievado pralaidumo, talpyklos ar apdorojimo išteklių. Net jei pats TAP įrenginys suges (pvz., nutrūks maitinimas arba bus pažeista aparatinė įranga), duomenys iš stebėjimo prievado nebus perduodami, o pradinio tinklo ryšio ryšys išliks normalus, išvengiant tinklo sutrikimų rizikos, kurią sukelia duomenų rinkimo įrenginių gedimai.
3. Palaikymas pilnai dvipusėms jungtims ir sudėtingoms tinklo aplinkoms
Šiuolaikiniai tinklai dažniausiai naudoja pilno dvipusio ryšio režimą (t. y. duomenys, siunčiami ir siunčiami iš duomenų srauto, gali būti perduodami vienu metu). TAP gali fiksuoti duomenų srautus abiem pilno dvipusio ryšio kryptimis ir perduoti juos per nepriklausomus stebėjimo prievadus, užtikrindamas, kad analizės įrenginys galėtų visiškai atkurti dvipusio ryšio procesą. Be to, TAP palaiko įvairius tinklo greičius (pvz., 100M, 1G, 10G, 40G ir net 100G) ir terpės tipus (vytos poros, vienmodžio šviesolaidį, daugiamodžio šviesolaidį) ir gali būti pritaikytas įvairaus sudėtingumo tinklo aplinkoms, tokioms kaip duomenų centrai, pagrindiniai tinklai ir universitetų miesteliai.
Taikymo scenarijai: dėmesys sutelktas į „tikslią analizę“ ir „pagrindinių jungčių stebėjimą“
1. Tinklo trikčių šalinimas ir pagrindinės priežasties nustatymas
Kai tinkle kyla tokių problemų kaip paketų praradimas, vėlavimas, virpėjimas ar programos vėlavimas, būtina atkurti scenarijų, kai gedimas įvyko per visą duomenų paketų srautą. Pavyzdžiui, jei įmonės pagrindinėse verslo sistemose (pvz., ERP ir CRM) pasireiškia protarpiniai prieigos skirtojo laiko apribojimai, operacijų ir priežiūros personalas gali įdiegti TAP tarp serverio ir pagrindinio komutatoriaus, kad užfiksuotų visus pirmyn ir atgal siunčiamus duomenų paketus, išanalizuotų, ar nėra tokių problemų kaip TCP pakartotinis perdavimas, paketų praradimas, DNS sprendimo vėlavimas ar programos lygmens protokolo klaidos, ir taip greitai nustatytų gedimo priežastį (pvz., ryšio kokybės problemas, lėtą serverio atsaką ar tarpinės programinės įrangos konfigūravimo klaidas).
2. Tinklo našumo bazinio lygio nustatymas ir anomalijų stebėjimas
Tinklo eksploatavimo ir priežiūros srityje anomalijų stebėjimo pagrindas yra našumo bazinio lygio nustatymas esant įprastoms verslo apkrovoms (pvz., vidutinis pralaidumo panaudojimas, duomenų paketų persiuntimo vėlavimas ir TCP ryšio užmezgimo sėkmės rodiklis). TAP gali stabiliai ir ilgą laiką fiksuoti visų pagrindinių jungčių (pvz., tarp pagrindinių komutatorių ir tarp išėjimo maršrutizatorių bei interneto paslaugų teikėjų) duomenis, padėdamas eksploatavimo ir priežiūros personalui suskaičiuoti įvairius našumo rodiklius ir nustatyti tikslų bazinį modelį. Kai atsiranda vėlesnių anomalijų, pvz., staigūs srauto šuoliai, nenormalūs vėlavimai arba protokolo anomalijos (pvz., nenormalios ARP užklausos ir didelis ICMP paketų skaičius), anomalijas galima greitai aptikti palyginus su baziniu lygiu ir laiku imtis veiksmų.
3. Atitikties auditas ir grėsmių aptikimas laikantis aukštų saugumo reikalavimų
Pramonės šakose, kurioms keliami aukšti duomenų saugumo ir atitikties reikalavimai, pavyzdžiui, finansų, valdžios reikalų ir energetikos, būtina atlikti visapusišką jautrių duomenų perdavimo proceso auditą arba tiksliai aptikti galimas tinklo grėsmes (pvz., APT atakas, duomenų nutekėjimą ir kenkėjiško kodo plitimą). TAP duomenų fiksavimo be nuostolių funkcija užtikrina audito duomenų vientisumą ir tikslumą, o tai gali atitikti įstatymų ir kitų teisės aktų, tokių kaip „Tinklo saugumo įstatymas“ ir „Duomenų saugumo įstatymas“, reikalavimus dėl duomenų saugojimo ir audito; tuo pačiu metu viso tūrio duomenų paketai taip pat teikia išsamius analizės pavyzdžius grėsmių aptikimo sistemoms (pvz., IDS/IPS ir smėlio dėžės įrenginiams), padėdami aptikti įprastame sraute paslėptas žemo dažnio ir paslėptas grėsmes (pvz., kenkėjišką kodą užšifruotame sraute ir įsiskverbimo atakas, užmaskuotas kaip įprastas verslas).
Apribojimai: kompromisas tarp sąnaudų ir diegimo lankstumo
Pagrindiniai TAP apribojimai yra didelė aparatinės įrangos kaina ir mažas diegimo lankstumas. Viena vertus, TAP yra specializuotas aparatinės įrangos įrenginys, o ypač TAP, palaikantys didelius greičius (pvz., 40G ir 100G) arba optinių skaidulų laikmenas, yra daug brangesni nei programine įranga paremta SPAN funkcija; kita vertus, TAP turi būti sujungtas nuosekliai pradinėje tinklo jungtyje, o diegimo metu jungtį reikia laikinai nutraukti (pvz., prijungiant ir atjungiant tinklo kabelius arba optinius pluoštus). Kai kurių pagrindinių jungčių, kurios neleidžia nutraukti (pvz., finansinių operacijų jungtys, veikiančios visą parą), diegimas yra sudėtingas, o TAP prieigos taškus paprastai reikia rezervuoti iš anksto tinklo planavimo etape.
SPAN: ekonomiškas ir lankstus kelių prievadų duomenų agregavimo sprendimas
SPAN yra programinės įrangos funkcija, integruota į komutatorius (ją palaiko ir kai kurie aukštos klasės maršrutizatoriai). Jos principas yra sukonfigūruoti komutatorių viduje taip, kad jis atkartotų srautą iš vieno ar kelių šaltinio prievadų (šaltinio prievadų) arba šaltinio VLAN į paskirtą stebėjimo prievadą (paskirties prievadą, dar vadinamą veidrodiniu prievadu), kad analizės įrenginys jį priimtų ir apdorotų. Skirtingai nuo TAP, SPAN nereikalauja papildomų aparatinės įrangos įrenginių ir gali rinkti duomenis tik remdamasis komutatoriaus programinės įrangos konfigūracija.
Pagrindinės savybės: Sutelktos į „ekonominį efektyvumą“ ir „lankstumą“
1. Nulinės papildomos aparatinės įrangos išlaidos ir patogus diegimas
Kadangi SPAN yra funkcija, integruota į komutatoriaus programinę-aparatinę įrangą, nereikia pirkti specialios aparatinės įrangos. Duomenų rinkimą galima greitai įjungti tik konfigūruojant per CLI (komandinės eilutės sąsają) arba žiniatinklio valdymo sąsają (pvz., nurodant šaltinio prievadą, stebėjimo prievadą ir veidrodinio atspindžio kryptį (įeinantis, išeinantis arba dvikryptis)). Ši „nulinės aparatinės įrangos sąnaudos“ funkcija daro jį idealiu pasirinkimu scenarijams, kai biudžetas ribotas arba stebėjimo poreikiai yra laikini (pvz., trumpalaikis programų testavimas ir laikinas trikčių šalinimas).
2. Palaikymas kelių šaltinių prievadų / kelių VLAN srauto agregavimui
Pagrindinis SPAN privalumas yra tas, kad jis gali atkartoti srautą iš kelių šaltinio prievadų (pvz., kelių prieigos lygmens komutatorių vartotojų prievadų) arba kelių VLAN į tą patį stebėjimo prievadą tuo pačiu metu. Pavyzdžiui, jei įmonės operacijų ir priežiūros personalui reikia stebėti darbuotojų terminalų srautą keliuose skyriuose (atitinkančiuose skirtingus VLAN), kurie jungiasi prie interneto, nereikia diegti atskirų surinkimo įrenginių kiekvieno VLAN išėjime. Sujungiant šių VLAN srautą į vieną stebėjimo prievadą per SPAN, galima atlikti centralizuotą analizę, o tai žymiai padidina duomenų rinkimo lankstumą ir efektyvumą.
3. Nereikia nutraukti pradinio tinklo ryšio
Skirtingai nuo nuoseklaus TAP diegimo, SPAN tiek šaltinio, tiek stebėjimo prievadai yra įprasti komutatoriaus prievadai. Konfigūravimo proceso metu nereikia prijungti ir atjungti pradinės jungties tinklo kabelių, ir tai neturi įtakos pradinio srauto perdavimui. Net jei vėliau reikėtų pakoreguoti šaltinio prievadą arba išjungti SPAN funkciją, tai galima padaryti tik modifikuojant konfigūraciją per komandinę eilutę, kuri yra patogi naudoti ir netrukdo tinklo paslaugoms.
Taikymo scenarijai: dėmesys sutelktas į „mažos kainos stebėjimą“ ir „centralizuotą analizę“
1. Vartotojų elgsenos stebėjimas universitetų tinkluose / įmonių tinkluose
Universiteto miestelių arba įmonių tinkluose administratoriams dažnai reikia stebėti, ar darbuotojų terminalai neturi neteisėtos prieigos (pvz., nesinaudoja nelegaliomis svetainėmis ir neatsisiunčia piratinės programinės įrangos), ir ar daug P2P atsisiuntimų ar vaizdo transliacijų užima pralaidumą. Apjungiant prieigos lygmens komutatorių vartotojų prievadų srautą į stebėjimo prievadą per SPAN, kartu su srauto analizės programine įranga (pvz., „Wireshark“ ir „NetFlow Analyzer“), galima realiuoju laiku stebėti vartotojų elgesį ir stebėti pralaidumo užimtumo statistiką be papildomų investicijų į aparatinę įrangą.
2. Laikinas trikčių šalinimas ir trumpalaikis programų testavimas
Kai tinkle atsiranda laikinų ir atsitiktinių gedimų arba kai reikia atlikti srauto bandymus naujai įdiegtoje programoje (pvz., vidinėje OA sistemoje ir vaizdo konferencijų sistemoje), SPAN gali būti naudojamas greitai sukurti duomenų rinkimo aplinką. Pavyzdžiui, jei skyrius praneša apie dažnus vaizdo konferencijų užstrigimus, eksploatavimo ir priežiūros personalas gali laikinai sukonfigūruoti SPAN, kad jis atspindėtų prievado, kuriame yra vaizdo konferencijų serveris, srautą į stebėjimo prievadą. Analizuojant duomenų paketų vėlavimą, paketų praradimo dažnį ir pralaidumo užimtumą, galima nustatyti, ar gedimą sukėlė nepakankamas tinklo pralaidumas, ar duomenų paketų praradimas. Baigus trikčių šalinimą, SPAN konfigūraciją galima išjungti nepaveikiant tolesnių tinklo operacijų.
3. Srauto statistika ir paprastas auditavimas mažuose ir vidutinio dydžio tinkluose
Mažiems ir vidutinio dydžio tinklams (pvz., mažoms įmonėms ir universitetų laboratorijoms), jei duomenų rinkimo vientisumo reikalavimas nėra didelis ir reikia tik paprastos srauto statistikos (pvz., kiekvieno prievado pralaidumo panaudojimo ir „Top N“ programų srauto dalies) arba pagrindinio atitikties audito (pvz., vartotojų pasiekiamų svetainių domenų vardų registravimo), SPAN gali visiškai patenkinti poreikius. Dėl mažų sąnaudų ir lengvai diegiamų funkcijų tai yra ekonomiškas pasirinkimas tokiems scenarijams.
Apribojimai: duomenų vientisumo ir poveikio našumui trūkumai
1. Duomenų paketų praradimo ir nepilno užfiksavimo rizika
SPAN duomenų paketų replikacija priklauso nuo komutatoriaus procesoriaus ir talpyklos išteklių. Kai šaltinio prievado srautas pasiekia piką (pvz., viršija komutatoriaus talpyklos talpą) arba komutatorius vienu metu apdoroja daug persiuntimo užduočių, procesorius teikia pirmenybę pradinio srauto persiuntimui ir sumažina arba sustabdo SPAN srauto replikaciją, dėl ko stebėjimo prievade prarandami paketai. Be to, kai kurie komutatoriai turi SPAN veidrodinio atspindžio santykio apribojimus (pvz., palaiko tik 80 % srauto replikaciją) arba nepalaiko visiško didelių duomenų paketų (pvz., „Jumbo Frame“) replikacijos. Visa tai lems nepilnų surinktų duomenų surinkimą ir turės įtakos vėlesnių analizės rezultatų tikslumui.
2. Komutatoriaus išteklių naudojimas ir galimas poveikis tinklo veikimui
Nors SPAN tiesiogiai nenutraukia pradinio ryšio, kai šaltinių prievadų skaičius yra didelis arba srautas intensyvus, duomenų paketų replikacijos procesas užims komutatoriaus procesoriaus išteklius ir vidinį pralaidumą. Pavyzdžiui, jei kelių 10G prievadų srautas yra veidrodiniu būdu nukreipiamas į 10G stebėjimo prievadą, kai bendras šaltinių prievadų srautas viršija 10G, ne tik stebėjimo prievadas patirs paketų praradimą dėl nepakankamo pralaidumo, bet ir gali žymiai padidėti komutatoriaus procesoriaus apkrovimas, o tai turės įtakos kitų prievadų duomenų paketų persiuntimo efektyvumui ir netgi sumažins bendrą komutatoriaus našumą.
3. Funkcijos priklausomybė nuo jungiklio modelio ir ribotas suderinamumas
SPAN funkcijos palaikymo lygis labai skiriasi tarp skirtingų gamintojų ir modelių komutatorių. Pavyzdžiui, žemos klasės komutatoriai gali palaikyti tik vieną stebėjimo prievadą ir nepalaikyti VLAN veidrodinio atspindėjimo ar pilno dvipusio srauto veidrodinio atspindėjimo; kai kurių komutatorių SPAN funkcija turi „vienpusio veidrodinio atspindžio“ apribojimą (t. y. veidrodinis atspindys yra tik įeinantis arba išeinantis srautas ir negali veidrodinio atspindžio dvikrypčio srauto tuo pačiu metu); be to, kryžminis komutatorių SPAN (pvz., komutatoriaus A prievado srauto veidrodinis atspindėjimas į komutatoriaus B stebėjimo prievadą) turi remtis specifiniais protokolais (pvz., „Cisco“ RSPAN ir „Huawei“ ERSPAN), kurie yra sudėtingos konfigūracijos ir mažai suderinami, be to, juos sunku pritaikyti prie kelių gamintojų mišraus tinklo aplinkos.
Pagrindinių skirtumų palyginimas ir pasirinkimo pasiūlymai tarp TAP ir SPAN
Pagrindinių skirtumų palyginimas
Norėdami aiškiau parodyti skirtumus tarp šių dviejų sistemų, palyginame jas pagal technines charakteristikas, našumo poveikį, kainą ir taikomus scenarijus:
| Palyginimo dimensija | TAP (bandymo prieigos taškas) | SPAN (perjungiamų prievadų analizatorius) |
| Duomenų rinkimo vientisumas | 100 % be nuostolių fiksavimas, jokios nuostolių rizikos | Priklauso nuo komutatoriaus išteklių, linkęs prarasti paketus esant dideliam srautui, nepilnas paketų surinkimas |
| Poveikis pradiniam tinklui | Nėra trukdžių, gedimas neturi įtakos pradinei jungtiai | Užima perjungimo procesoriaus / pralaidumo perjungimą esant dideliam srautui, gali pabloginti tinklo našumą |
| Aparatinės įrangos kaina | Reikia įsigyti specialią įrangą, didelė kaina | Integruota jungiklio funkcija, jokių papildomų išlaidų aparatinei įrangai |
| Diegimo lankstumas | Reikia sujungti nuosekliai jungtyje, diegimui reikalingas tinklo pertraukimas, mažas lankstumas | Programinės įrangos konfigūracija, nereikia tinklo pertraukimų, palaiko kelių šaltinių agregavimą, didelis lankstumas |
| Taikomi scenarijai | Pagrindiniai ryšiai, tiksli gedimų vieta, didelio saugumo auditas, didelio greičio tinklai | Laikinas stebėjimas, naudotojų elgsenos analizė, maži ir vidutinio dydžio tinklai, mažų sąnaudų poreikiai |
| Suderinamumas | Palaiko kelis greičius / laikmenas, nepriklausomai nuo komutatoriaus modelio | Priklauso nuo komutatoriaus gamintojo / modelio, dideli funkcijų palaikymo skirtumai, sudėtinga konfigūracija tarp įrenginių |
Atrankos pasiūlymai: „Tikslus atitikimas“ pagal scenarijaus reikalavimus
1. Scenarijai, kai pirmenybė teikiama TAP
○Pagrindinių verslo ryšių (pvz., duomenų centro pagrindinių komutatorių ir išėjimo maršrutizatorių ryšių) stebėjimas, reikalaujantis užtikrinti duomenų rinkimo vientisumą;
○Tinklo gedimų priežasties nustatymas (pvz., TCP pakartotinis perdavimas ir programos vėlavimas), reikalaujantis tikslios analizės, pagrįstos viso tūrio duomenų paketais;
○Pramonės šakos, kurioms keliami aukšti saugumo ir atitikties reikalavimai (finansai, valdžios reikalai, energetika), reikalaujančios užtikrinti audito duomenų vientisumą ir neklastojimą;
○Didelės spartos tinklo aplinkos (10G ir aukštesnės) arba scenarijai su dideliais duomenų paketais, reikalaujantys išvengti paketų praradimo SPAN režimu.
2. Scenarijai, kai pirmenybė teikiama SPAN
○Maži ir vidutinio dydžio tinklai su ribotu biudžetu arba scenarijai, kuriems reikalinga tik paprasta srauto statistika (pvz., pralaidumo užimtumas ir populiariausios programos);
○Laikinas trikčių šalinimas arba trumpalaikis programų testavimas (pvz., naujos sistemos paleidimo testavimas), reikalaujantis greito diegimo be ilgalaikio išteklių užėmimo;
○Centralizuotas kelių šaltinių prievadų / kelių VLAN stebėjimas (pvz., universiteto tinklo naudotojų elgsenos stebėjimas), kuriam reikalingas lankstus srauto agregavimas;
○Ne pagrindinių jungčių (pvz., prieigos lygmens komutatorių vartotojų prievadų) stebėjimas, kai duomenų fiksavimo vientisumui keliami maži reikalavimai.
3. Hibridinio naudojimo scenarijai
Kai kuriose sudėtingose tinklo aplinkose galima taikyti ir hibridinį diegimo metodą „TAP + SPAN“. Pavyzdžiui, TAP galima diegti pagrindinėse duomenų centro jungtyse, kad būtų užtikrintas viso duomenų kiekio surinkimas trikčių šalinimui ir saugumo auditui; SPAN galima konfigūruoti prieigos lygmens arba agregavimo lygmens jungikliuose, kad būtų galima sujungti išsklaidytą vartotojų srautą elgsenos analizei ir pralaidumo statistikai. Tai ne tik atitinka tikslius pagrindinių jungčių stebėjimo poreikius, bet ir sumažina bendras diegimo išlaidas.
Taigi, kaip dvi pagrindinės tinklo duomenų rinkimo technologijos, TAP ir SPAN neturi absoliučių „privalumų ar trūkumų“, o tik „scenarijaus pritaikymo skirtumus“. TAP yra orientuotas į „nuostolių neturintį duomenų rinkimą“ ir „stabilių patikimumą“, todėl tinka pagrindiniams scenarijams, kuriems keliami aukšti duomenų vientisumo ir tinklo stabilumo reikalavimai, tačiau pasižymi didele kaina ir mažu diegimo lankstumu; SPAN turi „nulinės kainos“ ir „lankstumo bei patogumo“ privalumus, todėl tinka nebrangiems, laikiniems ar nepagrindiniams scenarijams, tačiau turi duomenų praradimo ir našumo poveikio riziką.
Faktiškai tinklo eksploatavimo ir priežiūros metu tinklo inžinieriai turi pasirinkti tinkamiausią techninį sprendimą, atsižvelgdami į savo verslo poreikius (pvz., ar tai pagrindinė jungtis ir ar reikalinga tiksli analizė), biudžeto sąnaudas, tinklo mastą ir atitikties reikalavimus. Tuo pačiu metu, gerėjant tinklo spartai (pvz., 25G, 100G ir 400G) ir atnaujinant tinklo saugumo reikalavimus, nuolat tobulėja ir TAP technologija (pvz., palaiko intelektualų srauto skaidymą ir kelių prievadų agregavimą), o komutatorių gamintojai taip pat nuolat optimizuoja SPAN funkciją (pvz., gerina talpyklos talpą ir palaiko be nuostolių atspindintį atkūrimą). Ateityje šios dvi technologijos ir toliau atliks savo vaidmenį atitinkamose srityse ir teiks efektyvesnę bei tikslesnę duomenų paramą tinklo valdymui.
Įrašo laikas: 2025 m. gruodžio 8 d.
