Tärkein ero pakettien sieppaamisessa Network TAP- ja SPAN-porttien avulla.
Portin peilaus(tunnetaan myös nimellä SPAN)
Verkkonapautus(tunnetaan myös nimillä replikointiliitäntä, yhdistämisliitäntä, aktiiviliitäntä, kupariliitäntä, Ethernet-liitäntä jne.)TAP (päätelaitteen tukiasema)on täysin passiivinen laitteisto, joka voi passiivisesti tallentaa verkkoliikennettä. Sitä käytetään yleisesti kahden pisteen välisen liikenteen valvontaan verkossa. Jos näiden kahden pisteen välinen verkko koostuu fyysisestä kaapelista, verkon TAP voi olla paras tapa tallentaa liikennettä.
Ennen kuin selitämme kahden ratkaisun (Port Mirror ja Network Tap) väliset erot, on tärkeää ymmärtää, miten Ethernet toimii. 100 Mbitin ja sitä suuremmilla nopeuksilla isännät puhuvat yleensä kaksisuuntaisesti, mikä tarkoittaa, että yksi isäntä voi lähettää (Tx) ja vastaanottaa (Rx) samanaikaisesti. Tämä tarkoittaa, että yhteen isäntään kytketyllä 100 Mbitin kaapelilla yhden isännän lähettämän/vastaanottaman verkkoliikenteen kokonaismäärä (Tx/Rx) on 2 × 100 Mbit = 200 Mbit.
Portin peilaus on aktiivista pakettien replikointia, mikä tarkoittaa, että verkkolaite on fyysisesti vastuussa paketin kopioimisesta peilattuun porttiin.
Liikenteen kaappaaminen: TAP vs. SPAN
Verkkoliikenteen valvonnassa, jos et halua ottaa tukea käyttöön suoraan käyttäjän käsitellessä tapahtumaa, sinulla on kaksi päävaihtoehtoa. Seuraavassa artikkelissa annamme yleiskatsauksen TAP:sta (Test Access Point) ja SPAN:sta (Switch Port Analyzer). Tarkempaa analyysia varten pakettien tarkastusasiantuntija Timo'Neillillä on useita yksityiskohtaisia artikkeleita osoitteessa lovemytool.com, mutta tässä lähestymistavassa on yleisempi lähestymistapa.
SPAN
Porttipeilaus on verkkoliikenteen valvontamenetelmä, jossa jokaisesta saapuvasta ja/tai lähtevästä paketista lähetetään kopio kytkimen yhdestä tai useammasta portista (tai VLanista) toiseen verkkoliikenneanalysaattoriin kytkettyyn porttiin. Yksinkertaisemmissa järjestelmissä käytetään usein useiden kohteiden samanaikaiseen valvontaan. Tarkka verkkosiirtojen määrä, jota se pystyy valvomaan, riippuu siitä, mihin SLAND on asennettu suhteessa datakeskuksen laitteisiin. Todennäköisesti löydät etsimäsi, mutta on helppo huomata, että dataa on liikaa. Esimerkiksi on mahdollista löytää useita kopioita samasta datasta koko VLANista. Tämä vaikeuttaa lähiverkon vianmääritystä ja vaikuttaa myös kytkimen suorittimien nopeuteen tai Ethernetiin sijainnin tunnistuksen kautta. Pohjimmiltaan mitä enemmän SLANDeja on, sitä todennäköisemmin paketteja menetetään. Väliottoihin verrattuna SLANDeja voidaan hallita etänä, mikä tarkoittaa, että konfiguraatioiden muuttamiseen kuluu vähemmän aikaa, mutta verkkoinsinöörejä tarvitaan silti.
SPAN-portit eivät ole passiivista tekniikkaa, kuten jotkut väittävät, koska niillä voi olla muita mitattavissa olevia vaikutuksia verkkoliikenteeseen, mukaan lukien:
- Aika muuttaa kehyksen vuorovaikutusta
- Pakettien pudottaminen liiallisten hakujen vuoksi
- Vioittuneet paketit pudotetaan ilman erillistä ilmoitusta, mikä haittaa analyysia
Siksi SPAN-portit sopivat paremmin tilanteisiin, joissa pakettien pudottaminen ei vaikuta analyysiin tai joissa kustannukset ovat huomioon otettavia.
NAPAUTA
Sitä vastoin liitäntäpisteet vaativat laitteistoinvestointeja etukäteen, mutta ne eivät vaadi paljon asennusta. Koska ne ovat passiivisia, ne voidaan kytkeä verkkoon ja irrottaa siitä vaikuttamatta siihen. Liittimet ovat laitteistoja, jotka tarjoavat tavan käyttää tietokoneverkon läpi kulkevaa dataa, ja niitä käytetään yleisesti verkon turvallisuuden ja suorituskyvyn valvontaan. Valvottua liikennettä kutsutaan "läpikulkuliikenteeksi" ja valvontaan käytettyä porttia kutsutaan "valvontaportiksi". Verkon luotaustarkkuuden parantamiseksi liitäntäpisteitä voidaan sijoittaa reitittimien ja kytkimien väliin.
Koska TAP ei vaikuta paketteihin, sitä voidaan pitää todella passiivisena tapana tarkastella verkkoliikennettä.
TAP-ratkaisuja on periaatteessa kolmenlaisia:
- Verkkojakaja (1:1)
- Kokonais-TAP (moni: 1)
- Regeneraatio TAP (1: moni)
TAP replikoi liikenteen yhdelle passiiviselle valvontatyökalulle tai tiheän verkon pakettien välityslaitteelle ja palvelee useita (usein useita) QOS-testaustyökaluja, verkonvalvontatyökaluja ja verkon nuuskijatyökaluja, kuten Wiresharkia.
Lisäksi TAP-tyypit vaihtelevat kaapelityypin mukaan, mukaan lukien kuitu-TAP ja gigabitin kupari-TAP, jotka molemmat toimivat olennaisesti samalla tavalla siirtämällä osan signaalista verkkoliikenneanalysaattorille, kun taas päämalli jatkaa lähettämistä keskeytyksettä. Kuitu-TAPissa tarkoituksena on jakaa säde kahtia, kun taas kuparikaapelijärjestelmässä se kopioi sähköisen signaalin.
TAPin ja SPANin vertailu
Ensinnäkin SPAN-portti ei sovellu täysdupleksiselle 1G-linkille, ja jopa maksimikapasiteettinsa alapuolella se pudottaa paketteja nopeasti ylikuormituksen vuoksi tai yksinkertaisesti siksi, että kytkin priorisoi tavallisia porttikohtaisia päivämääriä SPAN-porttidataan nähden. Toisin kuin verkkoyhteydet, SPAN-portit suodattavat fyysisen kerroksen virheet, mikä vaikeuttaa tietyntyyppisiä analyysejä, ja kuten olemme nähneet, virheelliset lisäysajat ja muuttuneet kehykset voivat aiheuttaa muita ongelmia. Toisaalta TAP voi käyttää täysdupleksista 1G-linkkiä.
TAP voi myös suorittaa täydellisen pakettien sieppauksen ja perusteellisen pakettien tarkastuksen protokollien, rikkomusten, tunkeutumisten jne. varalta. Siten TAP-tietoja voidaan käyttää todisteena oikeudessa, kun taas SPAN-porttitietoja ei voida.
Turvallisuus on toinen näkökohta, jossa näiden kahden tekniikan välillä on eroja. SPAN-portit on yleensä konfiguroitu yksisuuntaiseen tiedonsiirtoon, mutta ne voivat joissakin tapauksissa myös vastaanottaa tiedonsiirtoa, mikä aiheuttaa vakavia haavoittuvuuksia. Sitä vastoin TAP ei ole osoitteellinen eikä sillä ole IP-osoitetta, joten sitä ei voida hakkeroida.
SPAN-portit eivät yleensä välitä VLAN-tageja, mikä voi vaikeuttaa VLAN-vikojen havaitsemista, mutta väliotot eivät voi nähdä koko VLAN-verkkoa kerralla. Jos yhdistettyjä väliottoja ei käytetä, TAP ei tarjoa samaa jäljitystä molemmille kanaville, mutta ylikuormituksen havaitsemisessa on oltava varovainen. On olemassa yhdistettyjä väliottoja, kuten Booster for Profitap, jotka yhdistävät kahdeksan 10/100/1G-porttia 1G-10G-lähtöön.
Booster pystyy syöttämään paketteja lisäämällä VLAN-tageja. Tällä tavoin jokaisen paketin lähdeporttitiedot välitetään analysaattorille.
SPAN-portit ovat edelleen työkalu, jota verkonvalvojat käyttävät, mutta jos nopeus ja luotettava pääsy kaikkiin verkkotietoihin ovat kriittisiä, TAP on parempi valinta. Lähestymistapaa valittaessa SPAN-portit sopivat paremmin verkkoihin, joiden käyttöaste on alhainen, koska kadonneet paketit eivät vaikuta analyysiin tai ovat valinnaisia tapauksissa, joissa kustannukset ovat huolenaihe. Suuren liikenteen verkoissa TAPin kapasiteetti, turvallisuus ja luotettavuus tarjoavat kuitenkin täyden näkyvyyden verkkosi liikenteeseen ilman pelkoa pakettien katoamisesta tai fyysisen kerroksen virheiden suodattamisesta.
○ Täysin näkyvä
○ Replikoi kaikki liikenne (kaikenkokoiset ja -tyyppiset paketit)
○ Passiivinen, ei-intruiivinen (ei muuta tietoja)
○ Sarjassa ei käytetä kytkinportteja kaksisuuntaisen liikenteen replikointiin johdinsarjoissa. Helppo asennus (plug and play)
○ Ei altis hakkereille (näkymätön, verkosta eristetty valvontalaite, ei IP/MAC-osoitetta)
○ Skaalautuva
○ Sopii mihin tahansa tilanteeseen
○ Osittainen näkyvyys
○ Kaiken liikenteen kopioimatta jättäminen (tietyn kokoisten ja tyyppisten pakettien poistaminen)
○ Ei-passiivinen (muuttuu pakettien ajoituksesta, kasvaa latenssia)
○ Käytä kytkinporttia (jokainen SPAN-portti käyttää kytkinporttia)
○ Ei pysty käsittelemään kaksisuuntaista tiedonsiirtoa (paketit katoavat ylikuormituksen yhteydessä, mikä voi myös häiritä ensisijaisen kytkimen toimintaa)
○ Insinöörien on konfiguroitava
○ Vaarallinen (Valvontajärjestelmä on osa verkkoa, mahdollisia tietoturvaongelmia)
○ Ei skaalautuva
○ Mahdollista vain tietyissä olosuhteissa
Saatat olla kiinnostunut aiheeseen liittyvästä artikkelista: Kuinka kaapata verkkoliikennettä? Network Tap vs. Port Mirror
Julkaisun aika: 09.06.2025
