Network TAP жана SPAN портторун колдонуп пакеттерди кармоонун негизги айырмасы.
Порт күзгүсүн чагылдыруу(ошондой эле SPAN деп аталат)
Тармактык кранд(ошондой эле репликациялык кран, агрегациялык кран, активдүү кран, жез кран, Ethernet кран ж.б. деп аталат)TAP (Терминалга кирүү чекити)толугу менен пассивдүү аппараттык түзүлүш болуп саналат, ал тармактагы трафикти пассивдүү түрдө кармап тура алат. Ал көбүнчө тармактагы эки чекиттин ортосундагы трафикти көзөмөлдөө үчүн колдонулат. Эгерде бул эки чекиттин ортосундагы тармак физикалык кабелден турса, тармактык TAP трафикти кармап калуунун эң жакшы жолу болушу мүмкүн.
Эки чечимдин (Port Mirror жана Network Tap) ортосундагы айырмачылыктарды түшүндүрүүдөн мурун, Ethernet кантип иштээрин түшүнүү маанилүү. 100 Мбит жана андан жогору ылдамдыкта хосттор адатта толук дуплексте сүйлөшөт, башкача айтканда, бир хост бир эле учурда жөнөтө (Tx) жана кабыл ала (Rx) алат. Бул бир хостко туташтырылган 100 Мбиттик кабельде бир хост жөнөтө/кабыл ала турган тармак трафигинин жалпы көлөмү (Tx/Rx) 2 × 100 Мбит = 200 Мбит экенин билдирет.
Портту чагылдыруу - бул пакеттин активдүү репликациясы, башкача айтканда, тармак түзмөгү пакетти чагылдырылган портко көчүрүү үчүн физикалык жактан жооптуу.
Трафикти кармоо: TAP vs SPAN
Тармак трафигин көзөмөлдөөдө, эгер сиз колдонуучу транзакцияны иштеп жатканда колдоону түздөн-түз иштеткиңиз келбесе, сизде эки негизги вариант бар. Кийинки макалада биз TAP (Test Access Point) жана SPAN (Switch Port Analyzer) жөнүндө жалпы маалымат беребиз. Тереңирээк талдоо үчүн пакеттерди текшерүү боюнча эксперт Тимо'Ниллдин lovemytool.com сайтында кеңири баяндалган бир нече макалалары бар, бирок бул жерде биз жалпыраак мамиле жасайбыз.
СПАН
Порт чагылдыруусу – бул тармактык трафикти көзөмөлдөө ыкмасы, ал ар бир кирүүчү жана/же чыгуучу пакеттин көчүрмөсүн коммутатордун бир же бир нече портторунан (же VLan) тармактык трафик анализаторуна туташкан башка портко жөнөтөт. Спандар көбүнчө бир эле учурда бир нече сайттарды көзөмөлдөө үчүн жөнөкөй системаларда колдонулат. Ал көзөмөлдөй ала турган тармактык берүүлөрдүн так саны SPAN маалымат борборунун жабдууларына салыштырмалуу кайда орнотулганына жараша болот. Сиз издегениңизди таба аласыз, бирок өтө көп маалыматтар менен өзүңүздү табуу оңой. Мисалы, бүтүндөй VLAN боюнча бир эле маалыматтын бир нече көчүрмөсүн табууга болот. Бул LAN көйгөйлөрүн чечүүнү кыйындатат, ошондой эле коммутатордун процессорунун ылдамдыгына таасир этет же Ethernetке жайгаштырууну аныктоо аркылуу таасир этет. Негизинен, пандар канчалык көп болсо, пакеттердин жоголуп кетүү ыктымалдыгы ошончолук жогору. Таптарга салыштырмалуу, пандарды алыстан башкарууга болот, бул конфигурацияларды өзгөртүүгө аз убакыт коротулат дегенди билдирет, бирок тармак инженерлери дагы эле талап кылынат.
Айрымдар айткандай, SPAN порттору пассивдүү технология эмес, анткени алар тармактык трафикке башка өлчөнүүчү таасирлерди тийгизиши мүмкүн, анын ичинде:
- Кадрдын өз ара аракеттенүүсүн өзгөртүүгө убакыт келди
- Ашыкча издөөлөрдөн улам пакеттер түшүп жатат
- Бузулган пакеттер эскертүүсүз алынып салынат, бул талдоо жүргүзүүгө тоскоол болот
Ошондуктан, SPAN порттору пакеттерди таштап кетүү анализге таасир этпеген же баасы эске алынган жагдайлар үчүн көбүрөөк ылайыктуу.
ТАП
Ал эми, крандар алдын ала жабдыктарга акча коротушу керек, бирок аларды орнотуу көп деле талап кылбайт. Чынында эле, алар пассивдүү болгондуктан, аларды тармакка таасир этпестен туташтырып жана ажыратып койсо болот. Крандар - бул компьютердик тармак аркылуу агып жаткан маалыматтарга жетүүнү камсыз кылган жана көбүнчө тармактын коопсуздугу жана иштешин көзөмөлдөө максатында колдонулган жабдык түзүлүштөрү. Көзөмөлдөнгөн трафик "өткөрүп өтүүчү" трафик деп аталат, ал эми көзөмөлдөө үчүн колдонулган порт "мониторинг порту" деп аталат. Тармакты так изилдөө үчүн, крандарды роутерлердин жана коммутаторлордун ортосуна коюуга болот.
TAP пакеттерге таасир этпегендиктен, аны тармактык трафикти көрүүнүн чындап пассивдүү жолу катары кароого болот.
TAP чечимдеринин негизинен үч түрү бар:
- Тармак бөлгүч (1: 1)
- Агрегаттык TAP (көп: 1)
- Регенерация TAP (1: көп)
TAP трафикти бир пассивдүү мониторинг куралына же жогорку тыгыздыктагы тармактык пакеттик реле түзмөгүнө көчүрөт жана бир нече (көбүнчө бир нече) QOS тестирлөө куралдарын, тармактык мониторинг куралдарын жана Wireshark сыяктуу тармактык сниффер куралдарын тейлейт.
Мындан тышкары, TAP түрлөрү кабелдин түрүнө жараша ар кандай болот, анын ичинде була-оптикалык TAP жана гигабиттик жез-оптикалык TAP, экөө тең сигналдын бир бөлүгүн тармактык трафик анализаторуна жүктөө менен бирдей иштейт, ал эми негизги модель үзгүлтүксүз берүүнү улантат. Була-оптикалык TAP үчүн ал нурду экиге бөлүү үчүн, ал эми жез кабелдик системада электрдик сигналды кайталоо үчүн колдонулат.
TAP жана SPANды салыштыруу
Биринчиден, SPAN порту толук дуплекстүү 1G байланышы үчүн ылайыктуу эмес жана максималдуу кубаттуулугунан төмөн болгондо да, ал ашыкча жүктөлүп калгандыктан же жөн гана коммутатор SPAN портунун маалыматтарына караганда кадимки порттон портко даталарга артыкчылык бергендиктен, пакеттерди тез эле таштап коёт. Тармактык баскычтардан айырмаланып, SPAN порттору физикалык катмар каталарын чыпкалайт, бул айрым анализ түрлөрүн кыйындатат жана биз көргөндөй, туура эмес инкремент убактысы жана өзгөртүлгөн кадрлар башка көйгөйлөрдү жаратышы мүмкүн. Башка жагынан алганда, TAP толук дуплекстүү 1G байланышын иштете алат.
TAP ошондой эле пакеттерди толук кармап, протоколдорду, эреже бузууларды, кийлигишүүлөрдү ж.б. аныктоо үчүн пакеттерди терең текшерүүнү жүргүзө алат. Ошентип, TAP маалыматтары сотто далил катары колдонулушу мүмкүн, ал эми SPAN порт маалыматтары колдонулбайт.
Коопсуздук - бул эки ыкманын ортосунда айырмачылыктар бар дагы бир аспект. SPAN порттору, адатта, бир тараптуу байланыш үчүн конфигурацияланган, бирок алар кээ бир учурларда байланышты кабыл алып, олуттуу алсыздыктарды жаратышы мүмкүн. Ал эми TAP даректелбейт жана IP дареги жок, ошондуктан аны бузуп кирүүгө болбойт.
SPAN порттору, адатта, VLAN тегдерин өткөрбөйт, бул VLAN бузулууларын аныктоону кыйындатышы мүмкүн, бирок крандар бүтүндөй VLAN тармагын бир эле учурда көрө албайт. Эгерде агрегатталган крандар колдонулбаса, TAP эки канал үчүн бирдей из калтырбайт, бирок ашыкча жүктү аныктоодо этият болуу керек. 1G-10G чыгышында сегиз 10/100/1G портторун бириктирген Booster for Profitap сыяктуу агрегат крандар бар.
Booster VLAN тегдерин киргизүү менен пакеттерди киргизе алат. Ошентип, ар бир пакеттин булак порту жөнүндө маалымат анализаторго жөнөтүлөт.
SPAN порттору дагы эле тармак администраторлору колдоно турган курал болуп саналат, бирок эгерде бардык тармак маалыматтарына ылдамдык жана ишенимдүү жетүү маанилүү болсо, TAP жакшыраак тандоо болуп саналат. Кайсы ыкманы колдонууну чечүүдө, SPAN порттору аз колдонулган тармактар үчүн ылайыктуураак, анткени жоголгон пакеттер анализге таасир этпейт же баасы маанилүү болгон учурларда милдеттүү эмес. Бирок, трафик көп болгон тармактарда TAPтын кубаттуулугу, коопсуздугу жана ишенимдүүлүгү пакеттердин жоголушунан же физикалык катмар каталарын чыпкалоодон коркпостон, тармагыңыздагы трафикти толук көрүүнү камсыз кылат.
○ Толугу менен көрүнүп турат
○ Бардык трафикти көчүрүү (ар кандай өлчөмдөгү жана түрдөгү бардык пакеттер)
○ Пассивдүү, кийлигишүүсүз (маалыматтарды өзгөртпөйт)
○ Удаалаш туташтырууда, зымдарда толук дуплекстүү трафикти кайталоо үчүн эч кандай коммутатордун порттору колдонулбайт. Оңой орнотуу (сайып, иштетүү)
○ Хакерлерге алсыз эмес (көрүнбөйт, тармактан обочолонгон мониторинг түзмөгү, IP/MAC дареги жок)
○ Масштабдуу
○ Ар кандай кырдаалга ылайыктуу
○ Жарым-жартылай көрүнүү
○ Бардык трафикти көчүрбөө (белгилүү өлчөмдөгү жана түрдөгү пакеттерди алып салуу)
○ Пассивдүү эмес (пакеттин убактысын өзгөртүү, кечигүүнү көбөйтүү)
○ Коммутатордун портун колдонуңуз (ар бир SPAN порту коммутатордун портун колдонот)
○ Толук дуплекстүү байланышты иштете албайт (пакеттер ашыкча жүктөлүп кеткенде түшүп калат, ошондой эле баштапкы коммутатордун иштешине тоскоол болушу мүмкүн)
○ Инженерлер конфигурациялашы керек
○ Кооптуу (Мониторинг системасы тармактын бир бөлүгү, коопсуздук көйгөйлөрү болушу мүмкүн)
○ Масштабдоого болбойт
○ Айрым шарттарда гана мүмкүн
Сизге тиешелүү макала кызыктуу болушу мүмкүн: Тармак трафигин кантип кармоо керек? Тармакка тийүү жана Порт Күзгүсү
Жарыяланган убактысы: 2025-жылдын 9-июну
