Perbezaan utama antara menangkap paket menggunakan port Network TAP dan SPAN.
Pencerminan Pelabuhan(juga dikenali sebagai SPAN)
Ketuk Rangkaian(juga dikenali sebagai Replication Tap, Agregation Tap, Active Tap, Copper Tap, Ethernet Tap, dsb.)TAP (Titik Akses Terminal)merupakan peranti perkakasan pasif sepenuhnya, yang boleh menangkap trafik secara pasif pada rangkaian. Ia biasanya digunakan untuk memantau trafik antara dua titik dalam rangkaian. Jika rangkaian antara dua titik ini terdiri daripada kabel fizikal, TAP rangkaian mungkin merupakan cara terbaik untuk menangkap trafik.
Sebelum menjelaskan perbezaan antara kedua-dua penyelesaian (Port Mirror dan Network Tap), adalah penting untuk memahami cara Ethernet berfungsi. Pada 100Mbit dan ke atas, hos biasanya bercakap dalam dupleks penuh, bermakna satu hos boleh menghantar (Tx) dan menerima (Rx) secara serentak. Ini bermakna pada kabel 100 Mbit yang disambungkan ke satu hos, jumlah trafik rangkaian yang boleh dihantar/diterima (Tx/Rx) oleh satu hos ialah 2 × 100 Mbit = 200 Mbit.
Pencerminan Port ialah replikasi paket aktif, yang bermaksud peranti rangkaian bertanggungjawab secara fizikal untuk menyalin paket ke port yang dicerminkan.
Menangkap Trafik: TAP vs SPAN
Apabila memantau trafik rangkaian, jika anda tidak mahu mengendalikan sokongan secara langsung semasa pengguna memproses transaksi, anda mempunyai dua pilihan utama. Dalam artikel berikut, kami akan memberikan gambaran keseluruhan TAP (Titik Akses Ujian) dan SPAN (Penganalisis Port Suis). Untuk analisis yang lebih mendalam, pakar pemeriksaan paket Timo'Neill mempunyai beberapa artikel di lovemytool.com yang menghuraikan dengan terperinci, tetapi di sini, kami akan mengambil pendekatan yang lebih umum.
SPAN
Pencerminan port ialah kaedah memantau trafik rangkaian dengan menghantar salinan setiap paket masuk dan/atau keluar daripada satu atau lebih port (atau VLan) suis ke port lain yang disambungkan ke penganalisis trafik rangkaian. Span sering digunakan dalam sistem yang lebih mudah untuk memantau berbilang tapak secara serentak. Bilangan tepat penghantaran rangkaian yang dapat dipantau bergantung pada tempat SPAN dipasang berbanding peralatan pusat data. Anda mungkin akan menemui apa yang anda cari, tetapi mudah untuk mendapati diri anda mempunyai terlalu banyak data. Contohnya, adalah mungkin untuk mencari berbilang salinan data yang sama merentasi keseluruhan VLAN. Ini menjadikan penyelesaian masalah LAN lebih sukar, dan juga mempengaruhi kelajuan CPU suis atau mempengaruhi Ethernet melalui pengesanan penempatan. Pada asasnya, lebih banyak span, lebih besar kemungkinan kehilangan paket. Berbanding dengan tap, span boleh diuruskan dari jauh, yang bermaksud kurang masa dihabiskan untuk menukar konfigurasi, tetapi jurutera rangkaian masih diperlukan.
Port SPAN bukanlah teknologi pasif, seperti yang didakwa oleh sesetengah pihak, kerana ia boleh mempunyai kesan lain yang boleh diukur pada trafik rangkaian, termasuk:
- Masa untuk menukar interaksi bingkai
- Menggugurkan paket disebabkan carian yang berlebihan
- Paket yang rosak digugurkan tanpa notis, menghalang analisis
Oleh itu, port SPAN lebih sesuai untuk situasi di mana pengguguran paket tidak menjejaskan analisis, atau di mana kos dipertimbangkan.
TAP
Sebaliknya, tap perlu membelanjakan wang untuk perkakasan terlebih dahulu, tetapi ia tidak memerlukan banyak persediaan. Sesungguhnya, memandangkan ia pasif, ia boleh disambungkan dan diputuskan sambungannya daripada rangkaian tanpa menjejaskannya. Tap ialah peranti perkakasan yang menyediakan cara untuk mengakses data yang mengalir melalui rangkaian komputer dan biasanya digunakan untuk tujuan keselamatan rangkaian dan pemantauan prestasi. Trafik yang dipantau dipanggil trafik "pass-through" dan port yang digunakan untuk pemantauan dipanggil "port pemantauan". Untuk menyiasat rangkaian dengan lebih jelas, tap boleh diletakkan di antara penghala dan suis.
Oleh kerana TAP tidak menjejaskan paket, ia boleh dilihat sebagai cara yang benar-benar pasif untuk melihat trafik rangkaian.
Pada asasnya terdapat tiga jenis penyelesaian TAP:
- Pembahagi rangkaian (1 : 1)
- TAP Agregat (berbilang: 1)
- TAP Penjanaan Semula (1: berbilang)
TAP mereplikasi trafik ke satu alat pemantauan pasif, atau ke peranti geganti paket rangkaian berketumpatan tinggi, dan menyediakan pelbagai (selalunya berbilang) alat pengujian QOS, alat pemantauan rangkaian dan alat penghidu rangkaian seperti wireshark.
Di samping itu, jenis TAP berbeza-beza bergantung pada jenis kabel, termasuk TAP gentian dan TAP kuprum gigabit, kedua-duanya beroperasi pada asasnya dengan cara yang sama dengan memindahkan sebahagian isyarat ke penganalisis trafik rangkaian, manakala model utama terus menghantar tanpa gangguan. Bagi TAP gentian, ia adalah untuk membahagikan pancaran kepada dua, manakala dalam sistem kabel kuprum, ia adalah untuk meniru isyarat elektrik.
Membandingkan TAP dan SPAN
Pertama, port SPAN tidak sesuai untuk pautan 1G dupleks penuh, dan walaupun di bawah kapasiti maksimumnya, ia cepat menjatuhkan paket kerana ia terlebih beban, atau hanya kerana suis mengutamakan tarikh port-ke-port biasa berbanding data port SPAN. Tidak seperti ketikan rangkaian, port SPAN menapis ralat lapisan fizikal, menjadikan beberapa jenis analisis lebih sukar, dan seperti yang telah kita lihat, masa kenaikan yang salah dan bingkai yang diubah boleh menyebabkan masalah lain. Sebaliknya, TAP boleh mengendalikan pautan 1G dupleks penuh.
TAP juga boleh melakukan penangkapan paket lengkap dan melakukan pemeriksaan paket mendalam untuk protokol, pelanggaran, pencerobohan, dan sebagainya. Oleh itu, data TAP boleh digunakan sebagai bukti di mahkamah, manakala data port SPAN tidak boleh.
Keselamatan merupakan satu lagi aspek di mana terdapat perbezaan antara kedua-dua teknik tersebut. Port SPAN biasanya dikonfigurasikan untuk komunikasi sehala, tetapi ia juga boleh menerima komunikasi dalam beberapa kes, menyebabkan kelemahan yang serius. Sebaliknya, TAP tidak boleh dialamatkan dan tidak mempunyai alamat IP, jadi ia tidak boleh digodam.
Port SPAN biasanya tidak lulus tag VLAN, yang boleh menyukarkan pengesanan kegagalan VLAN, tetapi tap tidak dapat melihat keseluruhan rangkaian VLAN sekaligus. Jika tap agregat tidak digunakan, TAP tidak akan memberikan jejak yang sama untuk kedua-dua saluran, tetapi perlu berhati-hati dengan pengesanan lebihan. Terdapat tap agregat, seperti Booster untuk Profitap, yang mengagregatkan lapan port 10/100/1G dalam output 1G-10G.
Booster boleh memasukkan paket dengan memasukkan tag VLAN. Dengan cara ini, maklumat port sumber setiap paket akan dihantar ke penganalisis.
Port SPAN masih merupakan alat yang akan digunakan oleh pentadbir rangkaian, tetapi jika kelajuan dan akses yang boleh dipercayai kepada semua data rangkaian adalah penting, TAP adalah pilihan yang lebih baik. Apabila memutuskan pendekatan yang perlu diambil, port SPAN lebih sesuai untuk rangkaian dengan penggunaan yang rendah, kerana paket yang hilang tidak menjejaskan analisis atau adalah pilihan dalam kes di mana kos menjadi kebimbangan. Walau bagaimanapun, pada rangkaian dengan trafik yang tinggi, kapasiti, keselamatan dan kebolehpercayaan TAP akan memberikan keterlihatan penuh ke dalam trafik di rangkaian anda tanpa rasa takut kehilangan paket atau menapis ralat lapisan fizikal.
○ Kelihatan sepenuhnya
○ Replikasi semua trafik (semua paket daripada semua saiz dan jenis)
○ Pasif, tidak mengganggu (tidak mengubah data)
○ Secara bersiri, tiada port suis digunakan untuk meniru trafik dupleks penuh dalam abah-abah. Persediaan mudah (pasang dan main)
○ Tidak terdedah kepada penggodam (peranti pemantauan yang tidak kelihatan dan terpencil daripada rangkaian, tiada alamat IP/MAC)
○ Boleh diskala
○ Sesuai untuk sebarang situasi
○ Penglihatan separa
○ Tidak menyalin semua trafik (menggugurkan saiz dan jenis paket tertentu)
○ Tidak pasif (mengubah pemasaan paket, meningkatkan kependaman)
○ Gunakan port suis (setiap port SPAN menggunakan port suis)
○ Tidak dapat mengendalikan komunikasi dupleks penuh (paket terputus apabila terlebih muatan, mungkin juga mengganggu operasi suis utama)
○ Jurutera perlu mengkonfigurasi
○ Tidak Selamat (Sistem pemantauan adalah sebahagian daripada rangkaian, potensi masalah keselamatan)
○ Tidak boleh diskala
○ Hanya boleh dilaksanakan dalam keadaan tertentu
Anda mungkin berminat dengan artikel berkaitan: Bagaimana untuk Menangkap Trafik Rangkaian? Network Tap vs Port Mirror
Masa siaran: 9 Jun-2025
