Perbezaan utama antara menangkap paket menggunakan port Network TAP dan SPAN.
Port Mirroring(juga dikenali sebagai SPAN)
Ketik Rangkaian(juga dikenali sebagai Ketik Replikasi, Ketik Pengagregatan, Ketik Aktif, Ketik Tembaga, Ketik Ethernet, dsb.)TAP (Titik Akses Terminal)ialah peranti perkakasan pasif sepenuhnya, yang boleh menangkap trafik pada rangkaian secara pasif. Ia biasanya digunakan untuk memantau trafik antara dua titik dalam rangkaian. Jika rangkaian antara dua titik ini terdiri daripada kabel fizikal, TAP rangkaian mungkin merupakan cara terbaik untuk menangkap trafik.
Sebelum menerangkan perbezaan antara kedua-dua penyelesaian (Port Mirror dan Network Tap), adalah penting untuk memahami cara Ethernet berfungsi. Pada 100Mbit dan ke atas, hos biasanya bercakap dalam dupleks penuh, bermakna satu hos boleh menghantar(Tx) dan menerima(Rx) secara serentak. Ini bermakna bahawa pada kabel 100 Mbit yang disambungkan kepada satu hos, jumlah trafik rangkaian yang boleh dihantar/terima oleh satu hos(Tx/Rx)) ialah 2 × 100 Mbit = 200 Mbit.
Pencerminan Port ialah replikasi paket aktif, yang bermaksud peranti rangkaian bertanggungjawab secara fizikal untuk menyalin paket ke port bercermin.
Menangkap Trafik: TAP lwn SPAN
Apabila memantau trafik rangkaian, jika anda tidak mahu mengendalikan sokongan secara langsung semasa pengguna sedang memproses transaksi, anda mempunyai dua pilihan utama. Dalam artikel berikut, kami akan memberikan gambaran keseluruhan TAP (Test Access Point) dan SPAN (Switch Port Analyzer). Untuk analisis yang lebih mendalam, pakar pemeriksaan paket Timo'Neill mempunyai beberapa artikel di lovemytool.com yang terperinci, tetapi di sini, kami akan mengambil pendekatan yang lebih umum.
SPAN
Pencerminan port ialah kaedah memantau trafik rangkaian dengan memajukan salinan setiap paket masuk dan/atau keluar daripada satu atau lebih port (atau VLan) suis ke port lain yang disambungkan kepada penganalisis trafik rangkaian. Span sering digunakan dalam sistem yang lebih mudah untuk memantau berbilang tapak secara serentak. Bilangan sebenar penghantaran rangkaian yang dapat dipantau bergantung pada tempat SPAN dipasang berbanding dengan peralatan pusat data. Anda mungkin akan menemui apa yang anda cari, tetapi mudah untuk mencari diri anda dengan terlalu banyak data. Sebagai contoh, adalah mungkin untuk mencari berbilang salinan data yang sama merentas keseluruhan VLAN. Ini menjadikan penyelesaian masalah LAN lebih sukar, dan juga mempengaruhi kelajuan cpus suis atau menjejaskan Ethernet melalui pengesanan peletakan. Pada asasnya, lebih banyak rentang, lebih besar kemungkinan ia kehilangan paket. Berbanding dengan paip, rentang boleh diurus dari jauh, yang bermaksud lebih sedikit masa yang dibelanjakan untuk menukar konfigurasi, tetapi jurutera rangkaian masih diperlukan.
Port SPAN bukanlah teknologi pasif, seperti yang didakwa sesetengah pihak, kerana ia boleh mempunyai kesan lain yang boleh diukur pada trafik rangkaian, termasuk:
- Masa untuk menukar interaksi bingkai
- Menggugurkan paket kerana carian yang berlebihan
- Paket yang rosak digugurkan tanpa notis, menghalang analisis
Oleh itu, port SPAN lebih sesuai untuk situasi di mana menjatuhkan paket tidak menjejaskan analisis, atau di mana kos dipertimbangkan.
TAP
Sebaliknya, paip perlu membelanjakan wang untuk perkakasan di hadapan, tetapi ia tidak memerlukan banyak persediaan. Sesungguhnya, kerana mereka pasif, mereka boleh disambungkan dan diputuskan daripada rangkaian tanpa menjejaskannya. Tap ialah peranti perkakasan yang menyediakan cara untuk mengakses data yang mengalir melalui rangkaian komputer dan biasanya digunakan untuk tujuan keselamatan rangkaian dan pemantauan prestasi. Trafik yang dipantau dipanggil trafik "laluan" dan port yang digunakan untuk pemantauan dipanggil "port pemantauan". Untuk menyiasat rangkaian dengan lebih jelas, pili boleh diletakkan di antara penghala dan suis.
Oleh kerana TAP tidak menjejaskan paket, ia boleh dilihat sebagai cara yang benar-benar pasif untuk melihat trafik rangkaian.
Pada asasnya terdapat tiga jenis penyelesaian TAP:
- Pembahagi rangkaian (1: 1)
- TAP Agregat (berbilang : 1)
- TAP Penjanaan Semula (1 : berbilang)
TAP mereplikasi trafik ke alat pemantauan pasif tunggal, atau ke peranti geganti paket rangkaian berketumpatan tinggi, dan menyediakan berbilang (selalunya berbilang) alat ujian QOS, alat pemantauan rangkaian dan alat penghidu rangkaian seperti wireshark.
Di samping itu, jenis TAP berbeza-beza bergantung pada jenis kabel, termasuk gentian TAP dan gigabit tembaga TAP, kedua-duanya beroperasi dengan cara yang sama dengan memunggah sebahagian isyarat kepada penganalisis trafik rangkaian, manakala model utama terus menghantar tanpa gangguan. Untuk TAP gentian, ia adalah untuk membelah rasuk kepada dua, manakala dalam sistem kabel tembaga, ia adalah untuk meniru isyarat elektrik.
Membandingkan TAP dan SPAN
Pertama, port SPAN tidak sesuai untuk pautan 1G dupleks penuh, dan walaupun di bawah kapasiti maksimumnya, ia dengan cepat menjatuhkan paket kerana ia terbeban atau semata-mata kerana suis mengutamakan tarikh port-ke-port biasa berbanding data port SPAN. Tidak seperti paip rangkaian, port SPAN menapis ralat lapisan fizikal, menjadikan beberapa jenis analisis lebih sukar, dan seperti yang telah kita lihat, masa kenaikan yang tidak betul dan bingkai yang diubah boleh menyebabkan masalah lain. Sebaliknya, TAP boleh mengendalikan pautan 1G dupleks penuh.
TAP juga boleh melakukan penangkapan paket lengkap dan melakukan pemeriksaan paket yang mendalam untuk protokol, pelanggaran, pencerobohan, dll. Oleh itu, data TAP boleh digunakan sebagai bukti di mahkamah, manakala data port SPAN tidak boleh.
Keselamatan adalah satu lagi aspek di mana terdapat perbezaan antara kedua-dua teknik. Port SPAN biasanya dikonfigurasikan untuk komunikasi sehala, tetapi ia juga boleh menerima komunikasi dalam beberapa kes, menyebabkan kelemahan yang serius. Sebaliknya, TAP tidak boleh dialamatkan dan tidak mempunyai alamat IP, jadi ia tidak boleh digodam.
Port SPAN biasanya tidak melepasi teg VLAN, yang boleh menyukarkan untuk mengesan kegagalan VLAN, tetapi ketikan tidak dapat melihat keseluruhan rangkaian VLAN sekaligus. Jika paip teragregat tidak digunakan, TAP tidak akan memberikan jejak yang sama untuk kedua-dua saluran, tetapi perlu berhati-hati dengan pengesanan berlebihan. Terdapat paip agregat, seperti Booster untuk Profitap, yang mengagregat lapan port 10/100/1G dalam output 1G-10G.
Booster boleh memasukkan paket dengan memasukkan tag VLAN. Dengan cara ini, maklumat port sumber setiap paket akan dimajukan kepada penganalisis.
Port SPAN masih merupakan alat yang akan digunakan oleh pentadbir rangkaian, tetapi jika kelajuan dan akses yang boleh dipercayai kepada semua data rangkaian adalah kritikal, TAP ialah pilihan yang lebih baik. Apabila memutuskan pendekatan yang hendak diambil, port SPAN lebih sesuai untuk rangkaian dengan penggunaan yang rendah, kerana paket yang hilang tidak menjejaskan analisis atau adalah pilihan dalam kes di mana kos menjadi kebimbangan. Walau bagaimanapun, pada rangkaian dengan trafik tinggi, kapasiti, keselamatan dan kebolehpercayaan TAP akan memberikan keterlihatan penuh ke dalam trafik pada rangkaian anda tanpa rasa takut kehilangan paket atau menapis ralat lapisan fizikal.
○ Kelihatan sepenuhnya
○ Replikasi semua trafik (semua paket dari semua saiz dan jenis)
○ Pasif, tidak mengganggu (tidak mengubah data)
○ Secara bersiri, tiada port suis digunakan untuk meniru trafik dupleks penuh dalam abah-abah Persediaan mudah (palam dan mainkan)
○ Tidak terdedah kepada penggodam (tidak kelihatan, peranti pemantauan terpencil daripada rangkaian, tiada alamat IP/MAC)
○ Boleh skala
○ Sesuai untuk sebarang keadaan
○ Keterlihatan separa
○ Tidak menyalin semua trafik (menggugurkan saiz dan jenis paket tertentu)
○ Bukan pasif (mengubah masa paket, meningkatkan kependaman)
○ Gunakan port suis (setiap port SPAN menggunakan port suis)
○ Tidak dapat mengendalikan komunikasi dupleks penuh (paket tercicir apabila terbeban berlebihan, mungkin juga mengganggu operasi suis utama)
○ Jurutera perlu mengkonfigurasi
○ Tidak selamat (Sistem pemantauan adalah sebahagian daripada rangkaian, masalah keselamatan yang berpotensi)
○ Tidak boleh berskala
○ Boleh dilaksanakan hanya dalam keadaan tertentu
Anda mungkin menarik artikel berkaitan: Bagaimana untuk Menangkap Trafik Rangkaian? Ketik Rangkaian lwn Cermin Pelabuhan
Masa siaran: Jun-09-2025
