Pagrindinis skirtumas tarp paketų fiksavimo naudojant tinklo TAP ir SPAN prievadus.
Uosto veidrodinis atvaizdavimas(taip pat žinomas kaip SPAN)
Tinklo bakstelėjimas(taip pat žinomas kaip replikacijos atšaka, agregacijos atšaka, aktyvioji atšaka, vario atšaka, eterneto atšaka ir kt.)TAP (terminalo prieigos taškas)yra visiškai pasyvus aparatinės įrangos įrenginys, galintis pasyviai fiksuoti srautą tinkle. Jis dažniausiai naudojamas srautui tarp dviejų tinklo taškų stebėti. Jei tinklą tarp šių dviejų taškų sudaro fizinis kabelis, tinklo TAP gali būti geriausias būdas fiksuoti srautą.
Prieš paaiškinant dviejų sprendimų (prievado veidrodžio ir tinklo prijungimo) skirtumus, svarbu suprasti, kaip veikia Ethernet. Esant 100 Mbit ir didesnei spartai, pagrindiniai kompiuteriai paprastai bendrauja dvipusiu režimu, o tai reiškia, kad vienas pagrindinis kompiuteris gali siųsti (Tx) ir priimti (Rx) vienu metu. Tai reiškia, kad 100 Mbit kabeliu, prijungtu prie vieno pagrindinio kompiuterio, bendras tinklo srauto kiekis, kurį vienas pagrindinis kompiuteris gali siųsti/gauti (Tx/Rx), yra 2 × 100 Mbit = 200 Mbit.
Prievado veidrodinis atspindėjimas yra aktyvus paketų replikavimas, o tai reiškia, kad tinklo įrenginys yra fiziškai atsakingas už paketo kopijavimą į veidrodinį prievadą.
Eismo fiksavimas: TAP ir SPAN
Stebint tinklo srautą, jei nenorite tiesiogiai diegti palaikymo, kol vartotojas apdoroja operaciją, turite dvi pagrindines galimybes. Šiame straipsnyje pateiksime TAP (testavimo prieigos taško) ir SPAN (jungiklio prievado analizatoriaus) apžvalgą. Išsamesnę analizę paketų tikrinimo ekspertas Timo'Neillas paskelbė keletą išsamių straipsnių svetainėje lovemytool.com, tačiau čia taikysime bendresnį požiūrį.
SPAN
Prievadų veidrodinis atspindėjimas yra tinklo srauto stebėjimo metodas, persiunčiant kiekvieno įeinančio ir (arba) išeinančio paketo kopiją iš vieno ar kelių komutatoriaus prievadų (arba VLAN) į kitą prievadą, prijungtą prie tinklo srauto analizatoriaus. Paprastesnėse sistemose dažnai naudojami tarpai, skirti stebėti kelias vietas vienu metu. Tikslus tinklo perdavimų, kuriuos jis gali stebėti, skaičius priklauso nuo to, kur SPAN yra įdiegtas duomenų centro įrangos atžvilgiu. Tikriausiai rasite tai, ko ieškote, tačiau lengva atsidurti su per dideliu duomenų kiekiu. Pavyzdžiui, galima rasti kelias tų pačių duomenų kopijas visame VLAN. Tai apsunkina LAN trikčių šalinimą ir taip pat turi įtakos komutatoriaus procesorių greičiui arba Ethernet per vietos aptikimą. Iš esmės, kuo daugiau tarpų, tuo didesnė tikimybė prarasti paketus. Palyginti su čiaupais, tarpus galima valdyti nuotoliniu būdu, o tai reiškia, kad konfigūracijoms keisti sugaištama mažiau laiko, tačiau vis tiek reikalingi tinklo inžinieriai.
SPAN prievadai nėra pasyvi technologija, kaip teigia kai kurie, nes jie gali turėti kitokį išmatuojamą poveikį tinklo srautui, įskaitant:
- Laikas pakeisti rėmelio sąveiką
- Paketų praradimas dėl per didelio paieškų skaičiaus
- Sugadinti paketai išmetami be įspėjimo, o tai trukdo analizei
Todėl SPAN prievadai labiau tinka situacijoms, kai paketų atsisakymas neturi įtakos analizei arba kai atsižvelgiama į kainą.
PALIESKITE
Priešingai, prievadams iš anksto reikia investuoti į aparatinę įrangą, tačiau jiems nereikia daug sąrankos. Iš tiesų, kadangi jie yra pasyvūs, juos galima prijungti ir atjungti nuo tinklo nepaveikiant jo. Prievadai yra aparatinės įrangos įrenginiai, suteikiantys galimybę pasiekti duomenis, tekančius kompiuterių tinklu, ir dažniausiai naudojami tinklo saugumo ir našumo stebėjimo tikslais. Stebimas srautas vadinamas „pralaidumo“ srautu, o stebėjimui naudojamas prievadas vadinamas „stebėjimo prievadu“. Norint aiškiau ištirti tinklą, prievadus galima išdėstyti tarp maršrutizatorių ir komutatorių.
Kadangi TAP neturi įtakos paketams, jį galima laikyti tikrai pasyviu būdu peržiūrėti tinklo srautą.
Iš esmės yra trys TAP sprendimų tipai:
- Tinklo skirstytuvas (1:1)
- Bendras TAP (daugybinis: 1)
- Regeneracijos TAP (1: daugiafunkcis)
TAP replikuoja srautą į vieną pasyvaus stebėjimo įrankį arba į didelio tankio tinklo paketų perdavimo įrenginį ir aptarnauja kelis (dažnai kelis) QOS testavimo įrankius, tinklo stebėjimo įrankius ir tinklo šnipinėjimo įrankius, tokius kaip „Wireshark“.
Be to, TAP tipai skiriasi priklausomai nuo kabelio tipo, įskaitant šviesolaidinį TAP ir gigabitinį varinį TAP, kurie abu veikia iš esmės tuo pačiu principu, perduodami dalį signalo tinklo srauto analizatoriui, o pagrindinis modelis toliau perduoda signalą be pertrūkių. Šviesolaidinio TAP atveju tai reiškia, kad spindulys padalijamas į dvi dalis, o varinio kabelio sistemoje – atkartojamas elektrinis signalas.
TAP ir SPAN palyginimas
Pirma, SPAN prievadas netinka pilno dvipusio ryšio 1G ryšiui ir net tada, kai jo pajėgumas yra mažesnis nei maksimalus, jis greitai praranda paketus dėl perkrovos arba tiesiog dėl to, kad komutatorius teikia pirmenybę įprastiems prievadų tarpusavio duomenų perdavimui, o ne SPAN prievado duomenims. Skirtingai nuo tinklo prijungimų, SPAN prievadai filtruoja fizinio sluoksnio klaidas, todėl kai kurių tipų analizė tampa sudėtingesnė, o kaip matėme, neteisingas prieaugio laikas ir pakeisti kadrai gali sukelti kitų problemų. Kita vertus, TAP gali valdyti pilno dvipusio ryšio 1G ryšį.
TAP taip pat gali atlikti visišką paketų fiksavimą ir atlikti išsamų paketų patikrinimą, siekiant nustatyti protokolus, pažeidimus, įsilaužimus ir kt. Taigi, TAP duomenys gali būti naudojami kaip įrodymai teisme, o SPAN prievado duomenys – ne.
Saugumas yra dar vienas aspektas, kuriame šios dvi technikos skiriasi. SPAN prievadai paprastai konfigūruojami vienkrypčiam ryšiui, tačiau kai kuriais atvejais jie taip pat gali priimti duomenis, o tai sukelia rimtų pažeidžiamumų. Tuo tarpu TAP nėra adresuojamas ir neturi IP adreso, todėl jo negalima nulaužti.
SPAN prievadai paprastai neperduoda VLAN žymų, todėl gali būti sunku aptikti VLAN gedimus, tačiau prievadai negali matyti viso VLAN tinklo vienu metu. Jei nenaudojami jungtiniai prievadai, TAP nepateiks to paties pėdsako abiem kanalams, tačiau reikia būti atsargiems aptinkant perteklių. Yra jungtinių prievadų, tokių kaip „Booster for Profitap“, kurie jungia aštuonis 10/100/1G prievadus į 1G-10G išvestį.
„Booster“ gali įvesti paketus įterpdamas VLAN žymas. Tokiu būdu kiekvieno paketo šaltinio prievado informacija bus persiųsta analizatoriui.
SPAN prievadai vis dar yra įrankis, kurį naudos tinklo administratoriai, tačiau jei greitis ir patikima prieiga prie visų tinklo duomenų yra labai svarbūs, geresnis pasirinkimas yra TAP. Renkantis, kurį metodą pasirinkti, SPAN prievadai labiau tinka tinklams, kuriuose mažai naudojamasi, nes prarasti paketai neturi įtakos analizei arba yra neprivalomi tais atvejais, kai kaina yra svarbi. Tačiau tinkluose, kuriuose yra didelis srautas, TAP pajėgumas, saugumas ir patikimumas užtikrins visišką srauto jūsų tinkle matomumą, nebijant paketų praradimo ar fizinio sluoksnio klaidų filtravimo.
○ Visiškai matomas
○ Replikuoti visą srautą (visus visų dydžių ir tipų paketus)
○ Pasyvus, neįkyrus (nekeičia duomenų)
○ Nuosekliajame jungime nėra naudojami komutatoriaus prievadai, kad būtų galima atkartoti pilno dvipusio perdavimo srautą laiduose. Paprastas sąranka („plug and play“).
○ Neapsaugotas nuo įsilaužėlių (nematomas, nuo tinklo izoliuotas stebėjimo įrenginys, be IP/MAC adreso)
○ Keičiamas
○ Tinka bet kokiai situacijai
○ Dalinis matomumas
○ Nekopijuojamas visas srautas (atmetami tam tikrų dydžių ir tipų paketai)
○ Nepasyvus (keičia paketų laiką, didina delsą)
○ Naudokite komutatoriaus prievadą (kiekvienas SPAN prievadas naudoja komutatoriaus prievadą)
○ Nepavyksta apdoroti pilno dvipusio ryšio (paketai prarandami esant perkrovai, taip pat gali trukdyti pagrindinio komutatoriaus veikimui)
○ Inžinieriai turi sukonfigūruoti
○ Nesaugu (stebėjimo sistema yra tinklo dalis, galimos saugumo problemos)
○ Nekeičiamas
○ Įmanoma tik tam tikromis aplinkybėmis
Galbūt jus sudomins susijęs straipsnis: Kaip užfiksuoti tinklo srautą? „Network Tap“ ir „Port Mirror“
Įrašo laikas: 2025 m. birželio 9 d.
