Dallimi kryesor midis kapjes së paketave duke përdorur portet Network TAP dhe SPAN.
Pasqyrimi i Portit(i njohur edhe si SPAN)
Prekje në rrjet(i njohur edhe si Replikim Tap, Agregim Tap, Aktiv Tap, Bakër Tap, Ethernet Tap, etj.)TAP (Pika e Qasjes në Terminal)është një pajisje harduerike plotësisht pasive, e cila mund të kapë në mënyrë pasive trafikun në një rrjet. Përdoret zakonisht për të monitoruar trafikun midis dy pikave në rrjet. Nëse rrjeti midis këtyre dy pikave përbëhet nga një kabllo fizike, një TAP rrjeti mund të jetë mënyra më e mirë për të kapur trafikun.
Para se të shpjegojmë ndryshimet midis dy zgjidhjeve (Port Mirror dhe Network Tap), është e rëndësishme të kuptojmë se si funksionon Ethernet. Në 100Mbit e lart, hostet zakonisht flasin në full duplex, që do të thotë se një host mund të dërgojë (Tx) dhe të marrë (Rx) njëkohësisht. Kjo do të thotë që në një kabllo 100 Mbit të lidhur me një host, sasia totale e trafikut të rrjetit që një host mund të dërgojë/marrë (Tx/Rx)) është 2 × 100 Mbit = 200 Mbit.
Pasqyrimi i portit është replikim aktiv i paketave, që do të thotë se pajisja e rrjetit është fizikisht përgjegjëse për kopjimin e paketës në portin e pasqyruar.
Kapja e Trafikut: TAP vs SPAN
Kur monitoroni trafikun e rrjetit, nëse nuk doni të vini në funksion mbështetjen direkt ndërsa një përdorues po përpunon një transaksion, keni dy mundësi kryesore. Në artikullin vijues, do të japim një përmbledhje të TAP (Test Access Point) dhe SPAN (Switch Port Analyzer). Për një analizë më të thellë, eksperti i inspektimit të paketave Timo'Neill ka disa artikuj në lovemytool.com që hyjnë në detaje të mëdha, por këtu do të ndjekim një qasje më të përgjithshme.
SPAN
Pasqyrimi i porteve është një metodë për monitorimin e trafikut të rrjetit duke dërguar një kopje të çdo pakete hyrëse dhe/ose dalëse nga një ose më shumë porte (ose VLans) të një switch-i në një port tjetër të lidhur me një analizues të trafikut të rrjetit. Span-et shpesh përdoren në sisteme më të thjeshta për të monitoruar shumë faqe njëkohësisht. Numri i saktë i transmetimeve të rrjetit që është në gjendje të monitorojë varet nga vendi ku është instaluar SPAN në krahasim me pajisjet e qendrës së të dhënave. Ndoshta do të gjeni atë që po kërkoni, por është e lehtë të gjendeni me shumë të dhëna. Për shembull, është e mundur të gjeni kopje të shumëfishta të të njëjtave të dhëna në një VLAN të tërë. Kjo e bën më të vështirë zgjidhjen e problemeve të LAN-it dhe gjithashtu ndikon në shpejtësinë e CPU-ve të switch-it ose ndikon në Ethernet përmes zbulimit të vendosjes. Në thelb, sa më shumë span, aq më shumë ka të ngjarë të humbni paketa. Krahasuar me tap-et, span-et mund të menaxhohen nga distanca, që do të thotë se shpenzohet më pak kohë për ndryshimin e konfigurimeve, por inxhinierët e rrjetit janë ende të nevojshëm.
Portat SPAN nuk janë një teknologji pasive, siç pretendojnë disa, sepse ato mund të kenë efekte të tjera të matshme në trafikun e rrjetit, duke përfshirë:
- Koha për të ndryshuar ndërveprimin e kornizës
- Humbja e paketave për shkak të kërkimeve të tepërta
- Paketat e korruptuara hidhen pa paralajmërim, duke penguar analizën
Prandaj, portet SPAN janë më të përshtatshme për situatat kur humbja e paketave nuk ndikon në analizë, ose kur merret në konsideratë kostoja.
TAP
Në të kundërt, tap-et duhet të shpenzojnë para për harduerin paraprakisht, por nuk kërkojnë shumë konfigurim. Në fakt, meqenëse janë pasive, ato mund të lidhen dhe të shkëputen nga rrjeti pa e ndikuar atë. Tap-et janë pajisje harduerike që ofrojnë një mënyrë për të aksesuar të dhënat që rrjedhin përmes një rrjeti kompjuterik dhe përdoren zakonisht për sigurinë e rrjetit dhe qëllime monitorimi të performancës. Trafiku i monitoruar quhet trafik "kalimi" dhe porta e përdorur për monitorim quhet "port monitorimi". Për ta hetuar rrjetin më qartë, tap-et mund të vendosen midis router-ave dhe switch-ave.
Meqenëse TAP nuk ndikon në paketa, mund të shihet si një mënyrë vërtet pasive për të parë trafikun e rrjetit.
Në thelb ekzistojnë tre lloje zgjidhjesh të TAP:
- Ndarës rrjeti (1:1)
- TAP i agregatit (shumë: 1)
- Rigjenerim TAP (1: shumëfish)
TAP replikon trafikun në një mjet të vetëm monitorimi pasiv, ose në një pajisje transmetimi paketash rrjeti me dendësi të lartë, dhe shërben mjete të shumëfishta (shpesh të shumëfishta) testimi QOS, mjete monitorimi të rrjetit dhe mjete sniffer të rrjetit siç është Wireshark.
Përveç kësaj, llojet e TAP ndryshojnë në varësi të llojit të kabllit, duke përfshirë TAP me fibra dhe TAP me bakër gigabit, të dy funksionojnë në thelb të njëjtën mënyrë duke transferuar një pjesë të sinjalit në analizuesin e trafikut të rrjetit, ndërsa modeli kryesor vazhdon të transmetojë pa ndërprerje. Për TAP me fibra, është për të ndarë rrezen në dy pjesë, ndërsa në sistemin e kabllove të bakrit, është për të replikuar sinjalin elektrik.
Krahasimi i TAP dhe SPAN
Së pari, porta SPAN nuk është e përshtatshme për një lidhje 1G me dy anë të plotë, dhe edhe kur është nën kapacitetin e saj maksimal, ajo i humb shpejt paketat sepse është e mbingarkuar, ose thjesht sepse switch-i i jep përparësi datave të rregullta nga një port në tjetrin mbi të dhënat e portit SPAN. Ndryshe nga përgjimet e rrjetit, portet SPAN filtrojnë gabimet e shtresës fizike, duke i bërë disa lloje analizash më të vështira, dhe siç e kemi parë, kohët e pasakta të rritjes dhe kornizat e ndryshuara mund të shkaktojnë probleme të tjera. Nga ana tjetër, TAP mund të operojë një lidhje 1G me dy anë të plotë.
TAP mund të kryejë gjithashtu kapjen e plotë të paketave dhe të kryejë inspektim të thelluar të paketave për protokolle, shkelje, ndërhyrje etj. Kështu, të dhënat e TAP mund të përdoren si prova në gjykatë, ndërsa të dhënat e portit SPAN nuk munden.
Siguria është një aspekt tjetër ku ka dallime midis dy teknikave. Portat SPAN zakonisht konfigurohen për komunikim njëkahësh, por ato gjithashtu mund të marrin komunikim në disa raste, duke shkaktuar dobësi serioze. Në të kundërt, TAP nuk është i adresueshëm dhe nuk ka një adresë IP, kështu që nuk mund të hakohet.
Portat SPAN zakonisht nuk kalojnë etiketat VLAN, gjë që mund ta bëjë të vështirë zbulimin e dështimeve të VLAN, por tapat nuk mund ta shohin të gjithë rrjetin VLAN menjëherë. Nëse nuk përdoren tapat e agreguara, TAP nuk do të ofrojë të njëjtën gjurmë për të dy kanalet, por duhet të tregohet kujdes me zbulimin e mbingarkesës. Ekzistojnë tapa të agreguara, siç është Booster për Profitap, që agregojnë tetë porta 10/100/1G në një dalje 1G-10G.
Booster është në gjendje të fusë paketa duke futur etiketa VLAN. Në këtë mënyrë, informacioni i portit burimor të secilës paketë do t'i përcillet analizuesit.
Portat SPAN janë ende një mjet që administratorët e rrjetit do ta përdorin, por nëse shpejtësia dhe qasja e besueshme në të gjitha të dhënat e rrjetit janë kritike, TAP është zgjedhja më e mirë. Kur vendosni se cilën qasje të ndiqni, portat SPAN janë më të përshtatshme për rrjetet me shfrytëzim të ulët, pasi paketat e humbura nuk ndikojnë në analizë ose janë opsionale në rastet kur kostoja është shqetësuese. Megjithatë, në rrjetet me trafik të lartë, kapaciteti, siguria dhe besueshmëria e TAP do të ofrojnë dukshmëri të plotë të trafikut në rrjetin tuaj pa frikën e humbjes së paketave ose filtrimin e gabimeve të shtresës fizike.
○ Plotësisht i dukshëm
○ Replikoni të gjithë trafikun (të gjitha paketat e të gjitha madhësive dhe llojeve)
○ Pasiv, jo ndërhyrës (nuk ndryshon të dhënat)
○ Në seri, nuk përdoren porta ndërprerëse për të replikuar trafikun full-duplex në instalime elektrike. Konfigurim i lehtë (lidh dhe përdor)
○ Nuk është i prekshëm nga hakerat (pajisje monitorimi e padukshme, e izoluar nga rrjeti, pa adresë IP/MAC)
○ I shkallëzueshëm
○ I përshtatshëm për çdo situatë
○ Dukshmëri e pjesshme
○ Moskopjimi i të gjithë trafikut (duke hequr madhësi dhe lloje të caktuara paketash)
○ Jo-pasiv (ndryshimi i kohës së paketave, rritja e vonesës)
○ Përdorni portin e ndërrimit (çdo port SPAN përdor një port ndërrimi)
○ Nuk mund të trajtojë komunikimin full-duplex (paketat e humbura kur mbingarkohen, mund të ndërhyjnë gjithashtu në funksionimin e ndërprerësit primar)
○ Inxhinierët duhet të konfigurojnë
○ I pasigurt (Sistemi i monitorimit është pjesë e rrjetit, probleme të mundshme sigurie)
○ Nuk është i shkallëzueshëm
○ E realizueshme vetëm në rrethana të caktuara
Mund t'ju interesojë artikulli përkatës: Si të kapni trafikun e rrjetit? Network Tap vs Port Mirror.
Koha e postimit: 09 qershor 2025
