English

Zachycení síťového provozu pro monitorování, analýzu a zabezpečení sítě: TAP vs. SPAN

Hlavní rozdíl mezi zachycováním paketů pomocí portů Network TAP a SPAN.

Zrcadlení portů(také známý jako SPAN)

Síťový klepnutí(také známý jako replikační odbočka, agregační odbočka, aktivní odbočka, měděná odbočka, ethernetová odbočka atd.)TAP (přístupový bod terminálu)je plně pasivní hardwarové zařízení, které dokáže pasivně zachytávat provoz v síti. Běžně se používá k monitorování provozu mezi dvěma body v síti. Pokud síť mezi těmito dvěma body sestává z fyzického kabelu, může být síťový TAP nejlepším způsobem, jak provoz zachytit.

Než vysvětlíme rozdíly mezi těmito dvěma řešeními (Port Mirror a Network Tap), je důležité pochopit, jak Ethernet funguje. Při rychlosti 100 Mbit a vyšší obvykle hostitelé komunikují plně duplexně, což znamená, že jeden hostitel může současně odesílat (Tx) a přijímat (Rx). To znamená, že na 100 Mbit kabelu připojeném k jednomu hostiteli je celkové množství síťového provozu, které může jeden hostitel odesílat/přijímat (Tx/Rx), 2 × 100 Mbit = 200 Mbit.

Zrcadlení portů je aktivní replikace paketů, což znamená, že síťové zařízení je fyzicky zodpovědné za kopírování paketu na zrcadlený port.

KLEPNUTÍM ROZTEČÍ

Zachycení provozu: TAP vs. SPAN
Pokud nechcete při monitorování síťového provozu přímo aktivovat podporu, zatímco uživatel zpracovává transakci, máte dvě hlavní možnosti. V následujícím článku si ukážeme přehled protokolů TAP (Test Access Point) a SPAN (Switch Port Analyzer). Pro hlubší analýzu má expert na kontrolu paketů Timo'Neill na lovemytool.com několik článků, které se touto problematikou zabývají velmi podrobně, ale zde zvolíme obecnější přístup.

ROZPĚTÍ
Zrcadlení portů je metoda monitorování síťového provozu přeposíláním kopie každého příchozího a/nebo odchozího paketu z jednoho nebo více portů (nebo VLan) přepínače na jiný port připojený k analyzátoru síťového provozu. Span se často používá v jednodušších systémech k současnému monitorování více lokalit. Přesný počet síťových přenosů, které je schopen monitorovat, závisí na tom, kde je SPAN nainstalován vzhledem k zařízení datového centra. Pravděpodobně najdete, co hledáte, ale je snadné se ocitnout s příliš velkým množstvím dat. Například je možné najít více kopií stejných dat v celé VLAN. To ztěžuje řešení problémů s LAN a také ovlivňuje rychlost procesorů přepínačů nebo ovlivňuje Ethernet detekcí umístění. V zásadě platí, že čím více spanů, tím větší je pravděpodobnost ztráty paketů. Ve srovnání s tapy lze spany spravovat vzdáleně, což znamená méně času stráveného změnou konfigurace, ale stále jsou zapotřebí síťoví inženýři.

Porty SPAN nejsou pasivní technologií, jak někteří tvrdí, protože mohou mít další měřitelné vlivy na síťový provoz, včetně:
- Čas pro změnu interakce s rámcem

- Zahazování paketů kvůli nadměrnému počtu vyhledávání

- Poškozené pakety jsou bez upozornění zahazovány, což brání analýze
Proto jsou porty SPAN vhodnější pro situace, kdy zahazování paketů neovlivňuje analýzu nebo kdy se berou v úvahu náklady.

KLEPNUTÍ
Naproti tomu odbočovací zařízení (tap) vyžaduje předem finanční prostředky na hardware, ale nevyžadují mnoho nastavení. Vzhledem k tomu, že jsou pasivní, lze je od sítě připojovat a odpojovat, aniž by ji to ovlivnilo. Odbočovací zařízení (tap) jsou hardwarová zařízení, která poskytují způsob přístupu k datům protékajícím počítačovou sítí a běžně se používají pro účely zabezpečení sítě a monitorování výkonu. Monitorovaný provoz se nazývá „průchozí“ provoz a port používaný k monitorování se nazývá „monitorovací port“. Pro přesnější prozkoumání sítě lze odbočovací zařízení umístit mezi směrovače a přepínače.
Protože TAP neovlivňuje pakety, lze jej považovat za skutečně pasivní způsob zobrazení síťového provozu.
V zásadě existují tři typy řešení TAP:

- Rozbočovač sítě (1 : 1)

- Agregovaný TAP (vícenásobný:1)

- Regenerační TAP (1 : vícenásobný)

TAP replikuje provoz do jednoho pasivního monitorovacího nástroje nebo do zařízení pro přenos paketů v síti s vysokou hustotou a obsluhuje více (často více) nástrojů pro testování QOS, nástrojů pro monitorování sítě a nástrojů pro snifferování sítě, jako je Wireshark.
Typy TAP se navíc liší v závislosti na typu kabelu, včetně optického TAP a gigabitového měděného TAP, které fungují v podstatě stejným způsobem – odešlou část signálu do analyzátoru síťového provozu, zatímco hlavní model pokračuje v přenosu bez přerušení. U optického TAP se paprsek rozděluje na dvě části, zatímco u měděného kabelového systému se používá k replikaci elektrického signálu.

Porovnání TAP a SPAN

Zaprvé, port SPAN není vhodný pro plně duplexní 1G spojení a i když je pod svou maximální kapacitou, rychle zahazuje pakety, protože je přetížený, nebo jednoduše proto, že přepínač upřednostňuje běžná data mezi porty před daty portu SPAN. Na rozdíl od síťových odboček filtrují porty SPAN chyby fyzické vrstvy, což ztěžuje některé typy analýz, a jak jsme viděli, nesprávné časy přírůstků a změněné rámce mohou způsobit další problémy. Na druhou stranu, TAP může provozovat plně duplexní 1G spojení.

TAP dokáže také provést kompletní zachycení paketů a hloubkovou kontrolu paketů z hlediska protokolů, narušení, vniknutí atd. Data TAP lze tedy použít jako důkaz u soudu, zatímco data portů SPAN nikoli.
Bezpečnost je dalším aspektem, kde existují rozdíly mezi těmito dvěma technikami. Porty SPAN jsou obvykle konfigurovány pro jednosměrnou komunikaci, ale v některých případech mohou také přijímat komunikaci, což způsobuje vážná zranitelnosti. Naproti tomu TAP není adresovatelný a nemá IP adresu, takže jej nelze hacknout.

Porty SPAN obvykle nepropouštějí tagy VLAN, což může ztěžovat detekci selhání VLAN, ale odbočky nevidí celou síť VLAN najednou. Pokud se nepoužívají agregované odbočky, TAP neposkytne stejnou trasu pro oba kanály, ale je třeba dbát na detekci překročení limitu. Existují agregované odbočky, jako například Booster pro Profitap, které agregují osm portů 10/100/1G v jednom výstupu 1G-10G.

Booster je schopen vstupovat do paketů vkládáním VLAN tagů. Tímto způsobem budou informace o zdrojovém portu každého paketu přeposlány do analyzátoru.

Porty SPAN jsou stále nástrojem, který budou síťoví administrátoři používat, ale pokud je pro ně rychlost a spolehlivý přístup ke všem síťovým datům kritická, je lepší volbou TAP. Při rozhodování o zvoleném přístupu jsou porty SPAN vhodnější pro sítě s nízkým využitím, protože ztracené pakety neovlivňují analýzu, nebo jsou volitelné v případech, kdy jsou důležité náklady. V sítích s vysokým provozem však kapacita, zabezpečení a spolehlivost TAP poskytnou plný přehled o provozu ve vaší síti bez obav ze ztráty paketů nebo filtrování chyb na fyzické vrstvě.

KLEPNUTÍ

 

○ Plně viditelné

○ Replikovat veškerý provoz (všechny pakety všech velikostí a typů)

○ Pasivní, neinvazivní (nemění data)

○ V sériovém zapojení se k replikaci plně duplexního provozu v kabelových svazcích nepoužívají žádné porty přepínače. Snadné nastavení (plug and play).

○ Není zranitelné vůči hackerům (neviditelné, izolované monitorovací zařízení od sítě, bez IP/MAC adresy)

○ Škálovatelné

○ Vhodné pro každou situaci

ROZPĚTÍ

 

○ Částečná viditelnost

○ Nekopírování veškerého provozu (zahazování paketů určitých velikostí a typů)

○ Nepasivní (změna načasování paketů, zvýšení latence)

○ Použít port přepínače (každý port SPAN používá port přepínače)

○ Nelze zpracovat plně duplexní komunikaci (pakety zahazovány při přetížení, což může také rušit provoz primárního přepínače)

○ Technici potřebují nakonfigurovat

○ Nebezpečné (Monitorovací systém je součástí sítě, potenciální bezpečnostní problémy)

○ Není škálovatelné

○ Proveditelné pouze za určitých okolností

Možná vás bude zajímat související článek: Jak zachytit síťový provoz? Network Tap vs. Port Mirror

Čas zveřejnění: 9. června 2025
Stiskněte Enter pro vyhledávání nebo ESC pro zavření