Network TAP жана SPAN портторун колдонуу менен пакеттерди басып алуунун негизги айырмасы.
Port Mirroring(SPAN катары да белгилүү)
Network Tap(Ошондой эле Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, ж.TAP (Терминалдык мүмкүндүк алуу түйүнү)бул тармактагы трафикти пассивдүү басып ала турган толук пассивдүү аппараттык түзүлүш. Ал көбүнчө тармактын эки чекитинин ортосундагы трафикти көзөмөлдөө үчүн колдонулат. Эгерде бул эки чекиттин ортосундагы тармак физикалык кабельден турса, тармактык TAP трафикти тартуунун эң жакшы жолу болушу мүмкүн.
Эки чечимдин ортосундагы айырмачылыктарды түшүндүрүүдөн мурун (Port Mirror жана Network Tap), Ethernet кантип иштээрин түшүнүү керек. 100 Мбит жана андан жогору ылдамдыкта хосттор, адатта, толук дуплексте сүйлөшөт, башкача айтканда, бир хост бир эле учурда (Tx) жана (Rx) жөнөтө алат. Бул бир хостко туташкан 100 Мбит кабелде бир хост жөнөтө/кабыл ала турган тармактык трафиктин жалпы көлөмү(Tx/Rx)) 2 × 100 Мбит = 200 Мбит экенин билдирет.
Порт күзгүсү – бул пакетти активдүү репликациялоо, башкача айтканда, тармак түзмөгү пакетти чагылдырылган портко көчүрүү үчүн физикалык жактан жооп берет.
Трафикти тартуу: TAP vs SPAN
Тармак трафигине мониторинг жүргүзүүдө, колдонуучу транзакцияны иштеп жаткан учурда колдоону түздөн-түз иштетүүнү каалабасаңыз, сизде эки негизги вариант бар. Кийинки макалада биз TAP (Test Access Point) жана SPAN (Switch Port Analyzer) жөнүндө жалпы маалымат беребиз. Тереңирээк талдоо үчүн пакетти текшерүү боюнча эксперт Тимо'Нил lovemytool.com сайтында майда-чүйдөсүнө чейин жазылган бир нече макалаларга ээ, бирок бул жерде биз жалпыраак мамиле жасайбыз.
SPAN
Портту чагылдыруу – бул ар бир кирүүчү жана/же чыгуучу пакеттин көчүрмөсүн коммутатордун бир же бир нече портунан (же VLans) тармактык трафик анализаторуна туташтырылган башка портко жөнөтүү аркылуу тармак трафигин көзөмөлдөө ыкмасы. Аралыгы көбүнчө бир эле учурда бир нече сайттарды көзөмөлдөө үчүн жөнөкөй системаларда колдонулат. Ал көзөмөлдөй алган тармактык берүүлөрдүн так саны маалымат борборунун жабдууларына салыштырмалуу SPAN орнотулган жерге көз каранды. Балким, сиз издеген нерсеңизди табасыз, бирок өтө көп маалымат менен өзүңүздү табуу оңой. Мисалы, бүтүндөй VLAN аркылуу бир эле маалыматтардын бир нече көчүрмөсүн табууга болот. Бул LAN көйгөйлөрүн оңдоону кыйындатат, ошондой эле коммутатор процессорунун ылдамдыгына таасир этет же жайгаштырууну аныктоо аркылуу Ethernetке таасирин тийгизет. Негизинен, аралыктар канчалык көп болсо, пакеттерди жоготуу ыктымалдыгы ошончолук жогору. Крандарга салыштырмалуу, аралыктарды алыстан башкарууга болот, бул конфигурацияларды өзгөртүүгө азыраак убакыт сарпталат дегенди билдирет, бирок тармак инженерлери дагы эле талап кылынат.
SPAN порттору айрымдар айткандай пассивдүү технология эмес, анткени алар тармак трафигине башка өлчөнүүчү таасирлерге ээ болушу мүмкүн, анын ичинде:
- Кадрлардын өз ара аракеттенүүсүн өзгөртүү убактысы
- Ашыкча издөөлөрдөн улам пакеттерди таштоо
- Бузулган пакеттер эскертүүсүз ташталып, анализ жүргүзүүгө тоскоол болот
Ошондуктан, SPAN порттору пакеттерди таштоо анализге таасирин тийгизбеген же баасы эске алынган жагдайларга ылайыктуу.
TAP
Ал эми, крандар алдыңкы жабдыктарга акча коротушу керек, бирок алар көп орнотууну талап кылбайт. Чынында эле, алар пассивдүү болгондуктан, тармакка таасир этпестен туташып жана ажыратылышы мүмкүн. Крандар компьютер тармагы аркылуу агып жаткан маалыматтарга жетүүнүн жолун камсыз кылган аппараттык түзүлүштөр болуп саналат жана көбүнчө тармактын коопсуздугу жана аткарууну көзөмөлдөө максатында колдонулат. Мониторингге алынган трафик "өтүүчү" трафик деп аталат, ал эми мониторинг үчүн колдонулган порт "мониторинг порту" деп аталат. Тармакты айкыныраак иликтөө үчүн, роутерлер менен которгучтардын ортосунда таптап коюуга болот.
TAP пакеттерге таасирин тийгизбегендиктен, аны тармактык трафикти көрүүнүн чындап пассивдүү жолу катары кароого болот.
TAP чечимдеринин негизинен үч түрү бар:
- Тармак бөлгүч (1 : 1)
- Жалпы TAP (бир нече : 1)
- Калыбына келтирүү TAP (1: көп)
TAP трафикти бир пассивдүү мониторинг куралына же жогорку тыгыздыктагы тармак пакет релелик түзүлүшүнө кайталайт жана бир нече (көбүнчө бир нече) QOS тестирлөө куралдарын, тармактык мониторинг куралдарын жана wireshark сыяктуу тармактык снайферлер куралдарын тейлейт.
Мындан тышкары, TAP түрлөрү кабелдин түрүнө жараша өзгөрүп турат, анын ичинде була TAP жана гигабит жез TAP, экөө тең сигналдын бир бөлүгүн тармактык трафик анализаторуна түшүрүү менен бирдей иштешет, ал эми негизги модель үзгүлтүксүз берүүнү улантат. Була TAP үчүн, бул нурду экиге бөлүү, ал эми жез кабелдик системада электрдик сигналды кайталоо.
TAP жана SPAN салыштыруу
Биринчиден, SPAN порту толук дуплекстүү 1G шилтемеси үчүн ылайыктуу эмес жана анын максималдуу сыйымдуулугунан төмөн болсо да, ал ашыкча жүк болгондуктан же жөн гана которгуч SPAN портунун маалыматтарына караганда кадимки порт-порт даталарына артыкчылык бергендиктен, пакеттерди тез таштап салат. Тармактык крандардан айырмаланып, SPAN порттору физикалык катмардын каталарын чыпкалап, анализдин кээ бир түрлөрүн кыйындатат жана биз көргөндөй, туура эмес көбөйтүү убакыттары жана өзгөртүлгөн кадрлар башка көйгөйлөрдү жаратышы мүмкүн. Башка жагынан алганда, TAP толук дуплекстүү 1G шилтемесин иштете алат.
TAP ошондой эле пакетти толук басып алууну жана протоколдорду, бузууларды, интрузияларды ж.б.у.с. үчүн терең пакеттик текшерүүнү жүргүзө алат. Ошентип, TAP маалыматтары сотто далил катары колдонулушу мүмкүн, ал эми SPAN портунун маалыматтары мүмкүн эмес.
Коопсуздук - бул эки техниканын ортосунда айырмачылыктар бар дагы бир аспект. SPAN порттору адатта бир тараптуу байланыш үчүн конфигурацияланат, бирок алар кээ бир учурларда байланышты да кабыл алышы мүмкүн, бул олуттуу кемчиликтерди жаратат. Ал эми TAP даректүү эмес жана IP дареги жок, андыктан аны бузуп алуу мүмкүн эмес.
SPAN порттору, адатта, VLAN тегдерин өткөрбөйт, бул VLAN каталарын аныктоону кыйындатат, бирок таптоо бир эле учурда бүт VLAN тармагын көрө албайт. Агрегацияланган крандар колдонулбаса, TAP эки канал үчүн бирдей изди камсыз кылбайт, бирок ашыкча жашты аныктоодо этият болуу керек. 1G-10G чыгарууда сегиз 10/100/1G портун бириктирген Profitap үчүн Booster сыяктуу агрегаттык крандар бар.
Booster VLAN тэгдерин киргизүү менен пакеттерди киргизе алат. Ошентип, ар бир пакеттин булак портунун маалыматы анализаторго жөнөтүлөт.
SPAN порттору дагы эле тармак администраторлору колдоно турган курал болуп саналат, бирок ылдамдык жана бардык тармак маалыматтарына ишенимдүү жетүү маанилүү болсо, TAP жакшыраак тандоо. Кайсы ыкманы колдонууну чечүүдө SPAN порттору аз пайдалануудагы тармактарга ылайыктуу, анткени жоголгон пакеттер анализге таасир этпейт же чыгымды талап кылган учурларда милдеттүү эмес. Бирок, трафиги көп тармактарда TAP сыйымдуулугу, коопсуздугу жана ишенимдүүлүгү пакет жоготуудан коркпостон же физикалык катмар каталарын чыпкалоодон коркпостон, тармагыңыздагы трафиктин толук көрүнүшүн камсыз кылат.
○ Толугу менен көрүнүп турат
○ Бардык трафикти репликациялоо (бардык өлчөмдөгү жана түрдөгү бардык пакеттер)
○ Пассивдүү, интрузивдүү эмес (маалыматтарды өзгөртпөйт)
○ Сериялуу түрдө, эч кандай коммутатор порттору жабдыктарда толук дуплекстүү трафикти кайталоо үчүн колдонулбайт Жөнөкөй орнотуу (коюу жана ойнотуу)
○ Хакерлерге алсыз эмес (тармактан көзгө көрүнбөгөн, обочолонгон мониторинг аппараты, IP/MAC дареги жок)
○ Масштабдуу
○ Ар кандай кырдаалга ылайыктуу
○ Жарым-жартылай көрүнүү
○ Бардык трафикти көчүрбөө (белгилүү өлчөмдөрдү жана пакеттердин түрлөрүн түшүрүү)
○ Пассивдүү эмес (пакет убактысын өзгөртүү, күтүү убактысын жогорулатуу)
○ Которуу портун колдонуу (ар бир SPAN порту которуштуруу портун колдонот)
○ Толук дуплекстүү байланышты иштетүү мүмкүн эмес (пакеттер ашыкча жүктөлгөндө түшүп калат, ошондой эле негизги которуштуруу ишине тоскоолдук кылышы мүмкүн)
○ Инженерлер конфигурациялашы керек
○ Кооптуу (Мониторинг системасы тармактын бир бөлүгү, потенциалдуу коопсуздук көйгөйлөрү)
○ Масштабдуу эмес
○ Белгилүү бир шарттарда гана ишке ашат
Сизге тиешелүү макала кызыктуу болушу мүмкүн: Тармактык трафикти кантип тартуу керек? Network Tap vs Port Mirror
Посттун убактысы: 09-09-2025
