Helsti munurinn á því að taka upp pakka með því að nota Network TAP og SPAN tengi.
Portspeglun(einnig þekkt sem SPAN)
Nettappa(einnig þekkt sem afritunartappi, samanlagningartappi, virkur tappi, kopartappi, Ethernet-tappi o.s.frv.)TAP (aðgangsstaður fyrir flugstöð)er fullkomlega óvirkur vélbúnaður sem getur óvirkt fangað umferð á neti. Hann er almennt notaður til að fylgjast með umferðinni milli tveggja punkta í netinu. Ef netið milli þessara tveggja punkta samanstendur af efnislegum snúru, gæti net-TAP verið besta leiðin til að fanga umferð.
Áður en munurinn á lausnunum tveimur (Port Mirror og Network Tap) er útskýrður er mikilvægt að skilja hvernig Ethernet virkar. Við 100Mbit og meira tala vefþjónar venjulega í fullri tvíhliða tengingu, sem þýðir að einn vefþjónn getur sent (Tx) og tekið á móti (Rx) samtímis. Þetta þýðir að á 100 Mbit snúru sem er tengd við einn vefþjón er heildarumferð netsins sem einn vefþjónn getur sent/móttekið (Tx/Rx) 2 × 100 Mbit = 200 Mbit.
Portspeglun er virk pakkaafritun, sem þýðir að nettækið ber líkamlega ábyrgð á að afrita pakkann á speglaða tengið.
Að fanga umferð: TAP vs SPAN
Þegar þú fylgist með netumferð, ef þú vilt ekki virkja stuðning beint á meðan notandi vinnur úr færslu, þá eru tveir meginmöguleikar í boði. Í eftirfarandi grein gefum við yfirlit yfir TAP (Test Access Point) og SPAN (Switch Port Analyzer). Til að fá ítarlegri greiningu hefur Timo'Neill, sérfræðingur í pakkaskoðun, skrifað nokkrar greinar á lovemytool.com sem fara mjög ítarlega yfir, en hér munum við skoða þetta almennara.
SPAN
Portspeglun er aðferð til að fylgjast með netumferð með því að áframsenda afrit af hverjum innkomandi og/eða útsendum pakka frá einni eða fleiri höfnum (eða VLan) á rofa til annarrar höfnar sem er tengd við netumferðargreiningartæki. Spönn eru oft notuð í einfaldari kerfum til að fylgjast með mörgum stöðum samtímis. Nákvæmur fjöldi netsendinga sem SPAN getur fylgst með fer eftir því hvar SPAN er sett upp miðað við gagnaverbúnaðinn. Þú munt líklega finna það sem þú ert að leita að, en það er auðvelt að enda með of mikið af gögnum. Til dæmis er mögulegt að finna mörg eintök af sömu gögnum yfir allt VLAN. Þetta gerir bilanaleit á LAN erfiðari og hefur einnig áhrif á hraða örgjörva rofans eða hefur áhrif á Ethernet með staðsetningargreiningu. Í grundvallaratriðum, því fleiri spönn, því líklegra er að pakkar tapist. Í samanburði við tappa er hægt að stjórna spönnum lítillega, sem þýðir að minni tími fer í að breyta stillingum, en samt er þörf á netverkfræðingum.
SPAN-tengi eru ekki óvirk tækni, eins og sumir halda fram, því þau geta haft önnur mælanleg áhrif á netumferð, þar á meðal:
- Tími til að breyta rammasamskiptum
- Að sleppa pakka vegna óhóflegrar uppflettingar
- Skemmdum pakka er eytt án fyrirvara, sem hindrar greininguna
Þess vegna henta SPAN tengi betur í aðstæður þar sem það að sleppa pakka hefur ekki áhrif á greininguna eða þar sem kostnaður er tekinn með í reikninginn.
TAPI
Aftur á móti þurfa tappa (taps) að kosta mikið í vélbúnaði fyrirfram, en þeir þurfa ekki mikla uppsetningu. Þar sem þeir eru óvirkir er hægt að tengja þá og aftengjast netinu án þess að það hafi áhrif á það. Tappa (taps) eru vélbúnaðartæki sem veita aðgang að gögnum sem flæða um tölvunet og eru almennt notuð til að fylgjast með netöryggi og afköstum. Umferðin sem fylgst er með kallast „pass-through“ umferð og tengið sem notað er til eftirlits kallast „monitoring port“ (eftirlitstengi). Til að kanna netið betur er hægt að setja tappa (taps) á milli leiða (routers) og rofa (routers).
Þar sem TAP hefur ekki áhrif á pakka er hægt að líta á það sem sannarlega óvirka leið til að skoða netumferð.
Það eru í grundvallaratriðum þrjár gerðir af TAP lausnum:
- Netskiptir (1:1)
- Samanlagt TAP (margfeldi: 1)
- Endurnýjunarkrani (1: margfeldi)
TAP afritar umferð í eitt óvirkt eftirlitsverkfæri eða í pakkaflutningstæki fyrir net með mikilli þéttleika og þjónar mörgum (oft mörgum) QOS prófunarverkfærum, neteftirlitsverkfærum og netsniffaraverkfærum eins og Wireshark.
Að auki eru gerðir TAP mismunandi eftir gerð kapals, þar á meðal ljósleiðara-TAP og gígabæta kopar-TAP, sem bæði virka í meginatriðum á sama hátt með því að flytja hluta af merkinu til netumferðargreiningartækisins, á meðan aðalútgáfan heldur áfram að senda án truflana. Fyrir ljósleiðara-TAP skiptir það geislanum í tvennt, en í koparkapalkerfinu endurtekur það rafmagnsmerkið.
Samanburður á TAP og SPAN
Í fyrsta lagi hentar SPAN tengið ekki fyrir full-duplex 1G tengingu, og jafnvel þegar það er undir hámarksafkastagetu sinni, sleppir það fljótt pakka vegna þess að það er ofhlaðið, eða einfaldlega vegna þess að rofinn forgangsraðar reglulegum tengidagsetningum fram yfir SPAN tengigögn. Ólíkt nettengingum sía SPAN tengi út villur í efnislaginu, sem gerir sumar tegundir greiningar erfiðari, og eins og við höfum séð geta rangir hækkunartímar og breyttir rammar valdið öðrum vandamálum. Á hinn bóginn getur TAP rekið full-duplex 1G tengingu.
TAP getur einnig framkvæmt heildar pakkatöku og framkvæmt ítarlega pakkaskoðun fyrir samskiptareglur, brot, innbrot o.s.frv. Þannig er hægt að nota TAP gögn sem sönnunargögn fyrir dómi en SPAN tengigögn ekki.
Öryggi er annar þáttur þar sem munur er á aðferðunum tveimur. SPAN tengi eru venjulega stillt fyrir einstefnu samskipti, en þau geta einnig tekið á móti samskiptum í sumum tilfellum, sem veldur alvarlegum veikleikum. Aftur á móti er TAP ekki aðgengilegt og hefur ekki IP-tölu, þannig að ekki er hægt að brjótast inn í það.
SPAN tengi fara yfirleitt ekki í gegnum VLAN merki, sem getur gert það erfitt að greina VLAN bilanir, en tengi geta ekki séð allt VLAN netið í einu. Ef samanlagðir tengi eru ekki notaðir mun TAP ekki veita sömu slóð fyrir báðar rásirnar, en gæta verður varúðar við greiningu á ofnotkun. Það eru til samanlagðir tengi, eins og Booster fyrir Profitap, sem safna saman átta 10/100/1G tengi í 1G-10G úttaki.
Booster getur komist inn í pakka með því að setja inn VLAN-merki. Á þennan hátt verða upplýsingar um upprunaport hvers pakka sendar áfram til greiningartækisins.
SPAN tengi eru enn tól sem netstjórar munu nota, en ef hraði og áreiðanlegur aðgangur að öllum netgögnum er mikilvægur, þá er TAP betri kosturinn. Þegar ákveðið er hvaða aðferð eigi að nota, þá henta SPAN tengi betur fyrir net með litla nýtingu, þar sem týnd pakkar hafa ekki áhrif á greininguna eða eru valfrjáls í tilvikum þar sem kostnaður skiptir máli. Hins vegar, á netum með mikla umferð, mun afkastageta, öryggi og áreiðanleiki TAP veita fulla yfirsýn yfir umferðina á netinu þínu án þess að óttast pakkatap eða að sía út villur í efnislaginu.
○ Alveg sýnilegt
○ Afritaðu alla umferð (alla pakka af öllum stærðum og gerðum)
○ Óvirkt, ekki íþyngjandi (breytir ekki gögnum)
○ Í raðtengingu eru engar rofatengi notaðar til að endurtaka umferð í fullri tvíhliða tengingu í vírum. Einföld uppsetning (stinga í samband og spila).
○ Ekki berskjaldað fyrir tölvuþrjótum (ósýnilegt, einangrað eftirlitstæki frá netkerfinu, ekkert IP/MAC-tala)
○ Stærðanlegt
○ Hentar í hvaða aðstæðum sem er
○ Aðskilin skyggni
○ Að afrita ekki alla umferð (sleppa ákveðnum stærðum og gerðum pakka)
○ Óvirkt (breytir pakkatímasetningu, eykur seinkun)
○ Nota skiptitengi (hvert SPAN tengi notar skiptitengi)
○ Ekki hægt að meðhöndla full-duplex samskipti (pakkar detta út við ofhleðslu, geta einnig truflað virkni aðalrofa)
○ Verkfræðingar þurfa að stilla
○ Óöruggt (Eftirlitskerfið er hluti af netkerfinu, hugsanleg öryggisvandamál)
○ Ekki stigstærðanlegt
○ Aðeins mögulegt við vissar aðstæður
Þú gætir haft áhuga á tengdri grein: Hvernig á að fanga netumferð? Network Tap vs Port Mirror
Birtingartími: 9. júní 2025
