Die hoofverskil tussen die vaslegging van pakkies met behulp van Network TAP- en SPAN-poorte.
Poortspieëling(ook bekend as SPAN)
Netwerk Tik(ook bekend as Replikasietap, Aggregasietap, Aktiewe Tap, Kopertap, Ethernet-tap, ens.)TAP (Terminale Toegangspunt)is 'n volledig passiewe hardewaretoestel wat passief verkeer op 'n netwerk kan vasvang. Dit word algemeen gebruik om die verkeer tussen twee punte in die netwerk te monitor. As die netwerk tussen hierdie twee punte uit 'n fisiese kabel bestaan, kan 'n netwerk-TAP die beste manier wees om verkeer vas te vang.
Voordat die verskille tussen die twee oplossings (Port Mirror en Network Tap) verduidelik word, is dit belangrik om te verstaan hoe Ethernet werk. Teen 100 Mbit en hoër praat gashere gewoonlik in volle dupleks, wat beteken dat een gasheer gelyktydig kan stuur (Tx) en ontvang (Rx). Dit beteken dat op 'n 100 Mbit-kabel wat aan een gasheer gekoppel is, die totale hoeveelheid netwerkverkeer wat een gasheer kan stuur/ontvang (Tx/Rx)) 2 × 100 Mbit = 200 Mbit is.
Die poortspieëling is aktiewe pakkiereplikasie, wat beteken dat die netwerktoestel fisies verantwoordelik is vir die kopiëring van die pakkie na die gespieëlde poort.
Verkeer vaslê: TAP vs SPAN
Wanneer jy netwerkverkeer monitor, as jy nie ondersteuning direk wil operasionaliseer terwyl 'n gebruiker 'n transaksie verwerk nie, het jy twee hoofopsies. In die volgende artikel gee ons 'n oorsig van TAP (Test Access Point) en SPAN (Switch Port Analyzer). Vir 'n dieper analise het pakketinspeksie-kenner Timo'Neill verskeie artikels by lovemytool.com wat in detail gaan, maar hier sal ons 'n meer algemene benadering volg.
SPAN
Poortspieëling is 'n metode om netwerkverkeer te monitor deur 'n kopie van elke inkomende en/of uitgaande pakkie vanaf een of meer poorte (of VLans) van 'n skakelaar na 'n ander poort wat aan 'n netwerkverkeersontleder gekoppel is, aan te stuur. Spannings word dikwels in eenvoudiger stelsels gebruik om verskeie terreine gelyktydig te monitor. Die presiese aantal netwerkoordragte wat dit kan monitor, hang af van waar die SPAN geïnstalleer is relatief tot die datasentrumtoerusting. Jy sal waarskynlik vind waarna jy soek, maar dit is maklik om jouself met te veel data te bevind. Dit is byvoorbeeld moontlik om verskeie kopieë van dieselfde data oor 'n hele VLAN te vind. Dit maak LAN-foutopsporing moeiliker, en beïnvloed ook die spoed van skakelaar-CPU's of beïnvloed die Ethernet deur plasingopsporing. Basies, hoe meer spannings, hoe meer waarskynlik is dit om pakkies te verloor. In vergelyking met taps, kan spannings op afstand bestuur word, wat beteken dat minder tyd bestee word aan die verandering van konfigurasies, maar netwerkingenieurs word steeds benodig.
SPAN-poorte is nie 'n passiewe tegnologie nie, soos sommige beweer, want hulle kan ander meetbare effekte op netwerkverkeer hê, insluitend:
- Tyd om raaminteraksie te verander
- Pakkies laat val as gevolg van oormatige opsoeke
- Beskadigde pakkette word sonder kennisgewing laat vaar, wat die analise belemmer.
Daarom is SPAN-poorte meer geskik vir situasies waar die weglaat van pakkies nie die analise beïnvloed nie, of waar koste in ag geneem word.
TIK
In teenstelling hiermee, moet taps vooraf geld aan hardeware spandeer, maar hulle benodig nie veel opstelling nie. Aangesien hulle passief is, kan hulle inderdaad van die netwerk gekoppel en ontkoppel word sonder om dit te beïnvloed. Taps is hardewaretoestelle wat 'n manier bied om toegang tot data wat deur 'n rekenaarnetwerk vloei, te verkry en word algemeen gebruik vir netwerksekuriteit en prestasiemonitering. Die gemonitorde verkeer word "deurgangs"-verkeer genoem en die poort wat vir monitering gebruik word, word "moniteringspoort" genoem. Om die netwerk duideliker te peil, kan taps tussen routers en skakelaars geplaas word.
Omdat TAP nie pakkette beïnvloed nie, kan dit beskou word as 'n werklik passiewe manier om netwerkverkeer te besigtig.
Daar is basies drie tipes TAP-oplossings:
- Netwerksplitter (1 : 1)
- Aggregaat TAP (multi: 1)
- Regenerasie TAP (1: multi)
TAP repliseer verkeer na 'n enkele passiewe moniteringsinstrument, of na 'n hoëdigtheid-netwerkpakket-aflostoestel, en bedien verskeie (dikwels verskeie) QOS-toetsinstrumente, netwerkmoniteringsinstrumente en netwerksnuffelinstrumente soos Wireshark.
Daarbenewens wissel TAP-tipes na gelang van die tipe kabel, insluitend vesel-TAP en gigabit-koper-TAP, wat albei op dieselfde manier werk deur 'n deel van die sein na die netwerkverkeersontleder af te laai, terwyl die hoofmodel sonder onderbreking voortgaan om te stuur. Vir die vesel-TAP is dit om die straal in twee te verdeel, terwyl dit in die koperkabelstelsel die elektriese sein moet repliseer.
Vergelyking van die TAP en SPAN
Eerstens, die SPAN-poort is nie geskik vir 'n voldupleks 1G-skakel nie, en selfs wanneer dit onder sy maksimum kapasiteit is, laat dit vinnig pakkies val omdat dit oorlaai is, of bloot omdat die skakelaar gereelde poort-tot-poort-datums bo SPAN-poortdata prioritiseer. Anders as netwerk-tappe, filter SPAN-poorte fisiese laagfoute uit, wat sommige tipes analise moeiliker maak, en soos ons gesien het, kan verkeerde inkrementtye en veranderde rame ander probleme veroorsaak. Aan die ander kant kan TAP 'n voldupleks 1G-skakel bedryf.
TAP kan ook volledige pakketopnames uitvoer en diepgaande pakketinspeksies uitvoer vir protokolle, oortredings, indringings, ens. Dus kan TAP-data as bewys in die hof gebruik word, terwyl SPAN-poortdata nie kan nie.
Sekuriteit is nog 'n aspek waar daar verskille tussen die twee tegnieke is. SPAN-poorte word gewoonlik vir eenrigtingkommunikasie gekonfigureer, maar hulle kan in sommige gevalle ook kommunikasie ontvang, wat ernstige kwesbaarhede veroorsaak. In teenstelling hiermee is TAP nie adresseerbaar nie en het nie 'n IP-adres nie, dus kan dit nie gekraak word nie.
SPAN-poorte slaag gewoonlik nie VLAN-etikette deur nie, wat dit moeilik kan maak om VLAN-foute op te spoor, maar taps kan nie die hele VLAN-netwerk gelyktydig sien nie. As saamgevoegde taps nie gebruik word nie, sal die TAP nie dieselfde spoor vir beide kanale verskaf nie, maar sorg moet gedra word met oormaat-opsporing. Daar is saamgevoegde taps, soos Booster vir Profitap, wat agt 10/100/1G-poorte in 'n 1G-10G-uitset saamvoeg.
Booster kan pakkette binnedring deur VLAN-etikette in te voeg. Op hierdie manier sal die bronpoortinligting van elke pakket na die ontleder gestuur word.
SPAN-poorte is steeds 'n instrument wat netwerkadministrateurs sal gebruik, maar as spoed en betroubare toegang tot alle netwerkdata krities is, is TAP die beter keuse. Wanneer daar besluit word watter benadering geneem moet word, is SPAN-poorte meer geskik vir netwerke met lae benutting, aangesien verlore pakkette nie die analise beïnvloed nie of opsioneel is in gevalle waar koste 'n bron van kommer is. Op netwerke met hoë verkeer sal TAP se kapasiteit, sekuriteit en betroubaarheid egter volle sigbaarheid bied in die verkeer op jou netwerk sonder die vrees vir pakketverlies of die uitfiltering van fisiese laagfoute.
○ Volledig sigbaar
○ Repliseer alle verkeer (alle pakkies van alle groottes en tipes)
○ Passief, nie-indringend (verander nie data nie)
○ In serie word geen skakelpoorte gebruik om voldupleksverkeer in harnasse te herhaal nie Maklike opstelling (prop en speel)
○ Nie kwesbaar vir hackers nie (onsigbare, geïsoleerde moniteringstoestel van netwerk, geen IP/MAC-adres nie)
○ Skaalbaar
○ Geskik vir enige situasie
○ Gedeeltelike sigbaarheid
○ Nie alle verkeer kopieer nie (sekere groottes en tipes pakkette word weggelaat)
○ Nie-passief (verander pakkietydsberekening, verhoog latensie)
○ Gebruik skakelpoort (elke SPAN-poort gebruik 'n skakelpoort)
○ Nie in staat om volduplekskommunikasie te hanteer nie (pakkette word laat val wanneer dit oorlaai word, kan ook die werking van die primêre skakelaar belemmer)
○ Ingenieurs moet konfigureer
○ Onveilig (Moniteringstelsel is deel van die netwerk, potensiële sekuriteitsprobleme)
○ Nie skaalbaar nie
○ Slegs onder sekere omstandighede moontlik
Jy mag dalk belangstel in die verwante artikel: Hoe om netwerkverkeer vas te lê? Netwerktap vs. Port Mirror
Plasingstyd: 9 Junie 2025
