English

Pagkuha sa Trapiko sa Network para sa Pagmonitor, Pag-analisar ug Seguridad sa Network: TAP vs SPAN

Ang pangunang kalainan tali sa pagkuha og mga pakete gamit ang Network TAP ug SPAN ports.

Pag-mirror sa Port(nailhan usab nga SPAN)

Tapik sa Network(nailhan usab nga Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, ug uban pa.)TAP (Terminal Access Point)usa ka hingpit nga passive hardware device, nga mahimong passively nga makadakop sa trapiko sa usa ka network. Kasagaran kini gigamit sa pagmonitor sa trapiko tali sa duha ka punto sa network. Kung ang network tali niining duha ka punto gilangkoban sa usa ka pisikal nga kable, ang network TAP mahimong labing maayong paagi sa pagkuha sa trapiko.

Sa dili pa nato ipasabot ang kalainan tali sa duha ka solusyon (Port Mirror ug Network Tap), importante nga masabtan nato kon giunsa paglihok ang Ethernet. Sa 100Mbit pataas, ang mga host kasagaran mosulti sa full duplex, nga nagpasabot nga ang usa ka host makapadala (Tx) ug makadawat (Rx) sa samang higayon. Kini nagpasabot nga sa usa ka 100 Mbit nga kable nga konektado sa usa ka host, ang kinatibuk-ang gidaghanon sa trapiko sa network nga mapadala/madawat sa usa ka host (Tx/Rx)) kay 2 × 100 Mbit = 200 Mbit.

Ang Port mirroring kay active packet replication, nga nagpasabot nga ang network device ang pisikal nga responsable sa pagkopya sa packet ngadto sa mirrored port.

TAP SPAN

Pagdakop sa Trapiko: TAP vs SPAN
Kon magmonitor sa trapiko sa network, kon dili nimo gusto nga direktang i-operate ang suporta samtang ang usa ka tiggamit nagproseso sa usa ka transaksyon, aduna kay duha ka pangunang kapilian. Sa mosunod nga artikulo, among ihatag ang kinatibuk-ang panglantaw sa TAP (Test Access Point) ug SPAN (Switch Port Analyzer). Alang sa mas lawom nga pag-analisar, ang eksperto sa packet inspection nga si Timo'Neill adunay daghang mga artikulo sa lovemytool.com nga naghatag ug dakong detalye, apan dinhi, mogamit kita og mas kinatibuk-ang pamaagi.

SPAN
Ang port mirroring usa ka pamaagi sa pagmonitor sa trapiko sa network pinaagi sa pagpasa sa kopya sa matag mosulod ug/o mogawas nga packet gikan sa usa o daghan pang mga port (o VLans) sa usa ka switch ngadto sa laing port nga konektado sa usa ka network traffic analyzer. Ang mga spans kanunay gigamit sa mas simple nga mga sistema aron mamonitor ang daghang mga site sa parehas nga oras. Ang eksaktong gidaghanon sa mga transmission sa network nga mahimo niini nga mamonitor nagdepende kung asa naka-install ang SPAN kalabot sa kagamitan sa data center. Lagmit makit-an nimo ang imong gipangita, apan dali ra nimo makit-an ang imong kaugalingon nga adunay daghang datos. Pananglitan, posible nga makit-an ang daghang mga kopya sa parehas nga datos sa tibuuk nga VLAN. Kini naghimo sa pag-troubleshoot sa LAN nga mas lisud, ug makaapekto usab sa katulin sa switch cpus o makaapekto sa Ethernet pinaagi sa pag-detect sa placement. Sa panguna, kon mas daghang spans, mas dako ang posibilidad nga mawala ang mga packet. Kon itandi sa mga taps, ang mga spans mahimong madumala sa layo, nga nagpasabut nga mas gamay nga oras ang gigugol sa pag-usab sa mga configuration, apan gikinahanglan gihapon ang mga network engineer.

Ang mga SPAN port dili usa ka passive nga teknolohiya, sama sa giangkon sa uban, tungod kay mahimo kini adunay uban pang masukod nga mga epekto sa trapiko sa network, lakip ang:
- Panahon na aron usbon ang interaksyon sa frame

- Pag-drop sa mga packet tungod sa sobra nga pagpangita

- Ang mga nadaot nga pakete gihulog nga walay pahibalo, nga nakababag sa pag-analisar
Busa, ang mga SPAN port mas angay alang sa mga sitwasyon diin ang pag-drop sa mga packet dili makaapekto sa pag-analisa, o diin ang gasto gikonsiderar.

TAP
Sa kasukwahi, ang mga taps kinahanglan nga mogasto og kwarta sa hardware sa sinugdanan, apan dili kini magkinahanglan og daghang pag-setup. Sa tinuud, tungod kay kini passive, mahimo kini nga konektado ug ma-disconnect gikan sa network nga dili kini maapektuhan. Ang mga taps mga hardware device nga naghatag og paagi sa pag-access sa data nga nagaagos sa usa ka computer network ug kasagarang gigamit alang sa seguridad sa network ug mga katuyoan sa pagmonitor sa performance. Ang gimonitor nga trapiko gitawag nga "pass-through" nga trapiko ug ang port nga gigamit alang sa pagmonitor gitawag nga "monitoring port". Aron mas klaro nga masusi ang network, ang mga taps mahimong ibutang taliwala sa mga router ug switch.
Tungod kay ang TAP dili makaapekto sa mga pakete, kini mahimong isipon nga usa ka tinuod nga pasibo nga paagi sa pagtan-aw sa trapiko sa network.
Adunay tulo ka klase sa mga solusyon sa TAP:

- Tigbahin sa network (1 : 1)

- Aggregate TAP (daghan: 1)

- Regeneration TAP (1 : daghan)

Ang TAP mokopya sa trapiko ngadto sa usa ka passive monitoring tool, o ngadto sa usa ka high-density network packet relay device, ug moserbisyo sa daghang (kasagaran daghang) QOS testing tools, network monitoring tools, ug network sniffer tools sama sa wireshark.
Dugang pa, ang mga tipo sa TAP managlahi depende sa tipo sa kable, lakip ang fiber TAP ug gigabit copper TAP, nga parehong naglihok sa halos parehas nga paagi pinaagi sa pagbalhin sa bahin sa signal ngadto sa network traffic analyzer, samtang ang pangunang modelo nagpadayon sa pagpadala nga walay pagkabalda. Para sa fiber TAP, kini aron bahinon ang beam sa duha, samtang sa copper cable system, kini aron kopyahon ang electrical signal.

Pagtandi sa TAP ug SPAN

Una, ang SPAN port dili angay para sa usa ka full-duplex 1G link, ug bisan kung ubos sa maximum capacity niini, dali ra kini nga mo-drop sa mga packet tungod kay kini overburdened, o tungod lang kay ang switch nag-prioritize sa regular port-to-port dates kaysa SPAN port data. Dili sama sa network taps, ang SPAN ports nagsala sa mga physical layer errors, nga nagpalisod sa pipila ka klase sa analysis, ug sama sa atong nakita, ang dili sakto nga increment times ug giusab nga mga frame mahimong hinungdan sa ubang mga problema. Sa laing bahin, ang TAP maka-operate sa usa ka full-duplex 1G link.

Mahimo usab sa TAP nga mohimo og kompletong packet capture ug mohimo og lawom nga packet inspection para sa mga protocol, kalapasan, pagpanghilabot, ug uban pa. Busa, ang datos sa TAP magamit isip ebidensya sa korte, samtang ang datos sa SPAN port dili mahimo.
Ang seguridad usa pa ka aspeto diin adunay mga kalainan tali sa duha ka teknik. Ang mga SPAN port kasagaran gi-configure alang sa one-way nga komunikasyon, apan mahimo usab kini makadawat og komunikasyon sa pipila ka mga kaso, nga hinungdan sa grabe nga mga kahuyangan. Sa kasukwahi, ang TAP dili ma-address ug walay IP address, busa dili kini ma-hack.

Ang mga SPAN port kasagaran dili moagi sa mga VLAN tag, nga makapalisod sa pag-detect sa mga VLAN failure, apan ang mga taps dili makakita sa tibuok VLAN network sa usa ka higayon. Kung dili gamiton ang aggregated taps, ang TAP dili makahatag sa parehas nga trace para sa duha ka channel, apan kinahanglan nga mag-amping sa overage detection. Adunay mga aggregate taps, sama sa Booster para sa Profitap, nga nag-assemble og walo ka 10/100/1G ports sa usa ka 1G-10G output.

Ang Booster makasulod og mga packet pinaagi sa pagsal-ot og mga VLAN tag. Niining paagiha, ang impormasyon sa source port sa matag packet ipadala ngadto sa analyzer.

Ang mga SPAN port usa gihapon ka himan nga gamiton sa mga administrador sa network, apan kon ang katulin ug kasaligan nga pag-access sa tanang datos sa network importante, ang TAP mao ang mas maayong pilion. Kon modesisyon kon unsang pamaagi ang gamiton, ang mga SPAN port mas angay alang sa mga network nga ubos ang paggamit, tungod kay ang nawala nga mga packet dili makaapekto sa pag-analisar o opsyonal lang sa mga kaso diin ang gasto usa ka kabalaka. Bisan pa, sa mga network nga taas ang trapiko, ang kapasidad, seguridad, ug kasaligan sa TAP maghatag og hingpit nga pagkakita sa trapiko sa imong network nga walay kahadlok sa pagkawala sa packet o pagsala sa mga sayop sa pisikal nga layer.

TAP

 

○ Makita gyud

○ Kopyaha ang tanang trapiko (tanang pakete sa tanang gidak-on ug klase)

○ Pasibo, dili mapanghilabot (dili makausab sa datos)

○ Sa serye, walay switch ports nga gigamit aron kopyahon ang full-duplex traffic sa mga harnesses. Sayon nga pag-setup (plug and play)

○ Dili daling maapektuhan sa mga hacker (dili makita, nahimulag nga monitoring device gikan sa network, walay IP/MAC address)

○ Mapalapdan

○ Angay alang sa bisan unsang sitwasyon

SPAN

 

○ Dili hingpit nga pagkakita

○ Dili pagkopya sa tanang trapiko (pagtangtang sa pipila ka gidak-on ug klase sa mga pakete)

○ Dili-passive (pag-usab sa packet timing, pagdugang sa latency)

○ Gamita ang switch port (ang matag SPAN port mogamit ug switch port)

○ Dili makadumala sa full-duplex nga komunikasyon (ang mga packet mahulog kon overloaded, mahimo usab nga makabalda sa operasyon sa primary switch)

○ Kinahanglan i-configure sa mga inhenyero

○ Dili Luwas (Ang sistema sa pagmonitor kabahin sa network, posibleng mga problema sa seguridad)

○ Dili mapalapad

○ Posible lamang ubos sa pipila ka mga kahimtang

Mahimong makapainteres kanimo ang may kalabutan nga artikulo: Unsaon Pagkuha sa Trapiko sa Network? Network Tap vs Port Mirror

Oras sa pag-post: Hunyo-09-2025
Pindota ang enter aron mangita o ang ESC aron isira