Network TAP және SPAN порттарын пайдаланып пакеттерді түсірудің негізгі айырмашылығы.
Портты айнаға айналдыру(SPAN деп те аталады)
Желілік шүмек(сонымен қатар репликациялық шүмек, агрегациялық шүмек, белсенді шүмек, мыс шүмек, Ethernet шүмегі және т.б. деп аталады)TAP (Терминалға кіру нүктесі)желідегі трафикті пассивті түрде түсіре алатын толығымен пассивті аппараттық құрылғы. Ол әдетте желідегі екі нүкте арасындағы трафикті бақылау үшін қолданылады. Егер осы екі нүкте арасындағы желі физикалық кабельден тұрса, желілік TAP трафикті түсірудің ең жақсы тәсілі болуы мүмкін.
Екі шешімнің (Port Mirror және Network Tap) арасындағы айырмашылықтарды түсіндірмес бұрын, Ethernet қалай жұмыс істейтінін түсіну маңызды. 100 Мбит және одан жоғары жылдамдықта хосттар әдетте толық дуплексте сөйлеседі, яғни бір хост бір уақытта жібере (Tx) және қабылдай (Rx) алады. Бұл бір хостқа қосылған 100 Мбит кабельде бір хост жібере/қабылдай алатын желілік трафиктің жалпы көлемі (Tx/Rx) 2 × 100 Мбит = 200 Мбит екенін білдіреді.
Портты көшіру - бұл пакетті көшірудің белсенді әдісі, яғни желілік құрылғы пакетті көшіруге физикалық түрде жауапты.
Трафикті түсіру: TAP және SPAN
Желілік трафикті бақылау кезінде, пайдаланушы транзакцияны өңдеп жатқанда қолдауды тікелей іске қосқыңыз келмесе, сізде екі негізгі нұсқа бар. Келесі мақалада біз TAP (Test Access Point) және SPAN (Switch Port Analyzer) туралы шолу жасаймыз. Тереңірек талдау үшін пакеттерді тексеру бойынша сарапшы Тимо'Ниллдің lovemytool.com сайтында егжей-тегжейлі қарастыратын бірнеше мақаласы бар, бірақ мұнда біз жалпы тәсілді қолданамыз.
СПАН
Портты айналау - бұл желілік трафикті бақылау әдісі, ол әрбір кіріс және/немесе шығыс пакеттің көшірмесін коммутатордың бір немесе бірнеше порттарынан (немесе VLan) желілік трафикті талдағышқа қосылған басқа портқа жіберу арқылы жүзеге асырылады. Аралықтар көбінесе бірнеше сайтты бір уақытта бақылау үшін қарапайым жүйелерде қолданылады. Бақылай алатын желілік берілістердің нақты саны SPAN деректер орталығының жабдықтарына қатысты қай жерде орнатылғанына байланысты. Сіз іздегеніңізді таба аласыз, бірақ тым көп деректермен өзіңізді табу оңай. Мысалы, тұтас VLAN бойынша бірдей деректердің бірнеше көшірмесін табуға болады. Бұл жергілікті желі ақаулықтарын жоюды қиындатады, сонымен қатар коммутатор процессорларының жылдамдығына әсер етеді немесе орналасуды анықтау арқылы Ethernet-ке әсер етеді. Негізінен, аралықтар неғұрлым көп болса, пакеттердің жоғалу ықтималдығы соғұрлым жоғары болады. Таспалармен салыстырғанда, аралықтар қашықтан басқарылуы мүмкін, бұл конфигурацияларды өзгертуге аз уақыт жұмсалатынын білдіреді, бірақ желі инженерлері әлі де қажет.
Кейбіреулер айтқандай, SPAN порттары пассивті технология емес, себебі олар желілік трафикке басқа да өлшенетін әсерлер бере алады, соның ішінде:
- Кадр өзара әрекеттесуін өзгерту уақыты келді
- Шамадан тыс іздеулерге байланысты пакеттерді жоғалту
- Бұзылған пакеттер ескертусіз тасталады, бұл талдауға кедергі келтіреді
Сондықтан, SPAN порттары пакеттерді тастау талдауға әсер етпейтін немесе құны ескерілетін жағдайларға қолайлырақ.
TAP
Керісінше, крандар алдымен аппараттық құралдарға ақша жұмсауы керек, бірақ оларды орнату көп уақытты қажет етпейді. Шынында да, олар пассивті болғандықтан, оларды желіге әсер етпестен қосуға және ажыратуға болады. Крандар - бұл компьютерлік желі арқылы ағып жатқан деректерге қол жеткізу жолын қамтамасыз ететін аппараттық құрылғылар және олар әдетте желі қауіпсіздігі мен өнімділікті бақылау мақсаттары үшін қолданылады. Бақыланатын трафик «өту» трафигі деп аталады, ал бақылау үшін пайдаланылатын порт «бақылау порты» деп аталады. Желіні нақтырақ зерттеу үшін крандарды маршрутизаторлар мен коммутаторлар арасына орналастыруға болады.
TAP пакеттерге әсер етпейтіндіктен, оны желілік трафикті көрудің шынымен пассивті тәсілі ретінде қарастыруға болады.
TAP шешімдерінің негізінен үш түрі бар:
- Желі бөлгіш (1 : 1)
- Жиынтық TAP (көп : 1)
- Регенерациялық TAP (1: көп)
TAP трафикті бір пассивті бақылау құралына немесе жоғары тығыздықтағы желілік пакеттік релелік құрылғыға көшіреді және бірнеше (көбінесе бірнеше) QOS тестілеу құралдарына, желілік мониторинг құралдарына және Wireshark сияқты желілік сниффер құралдарына қызмет көрсетеді.
Сонымен қатар, TAP түрлері кабель түріне байланысты өзгереді, соның ішінде талшықты TAP және гигабиттік мыс TAP, екеуі де сигналдың бір бөлігін желілік трафик анализаторына жіберу арқылы бірдей жұмыс істейді, ал негізгі модель үзіліссіз беруді жалғастырады. Талшықты TAP үшін бұл сәулені екіге бөлу үшін, ал мыс кабель жүйесінде электрлік сигналды қайталау үшін қажет.
TAP және SPAN салыстыру
Біріншіден, SPAN порты толық дуплексті 1G байланысына жарамайды, тіпті максималды сыйымдылығынан төмен болған кезде де, ол шамадан тыс жүктелгендіктен немесе коммутатор SPAN портының деректеріне қарағанда әдеттегі порттан портқа дейінгі күндерге басымдық бергендіктен пакеттерді тез тастайды. Желілік түртулерден айырмашылығы, SPAN порттары физикалық қабат қателерін сүзеді, бұл кейбір талдау түрлерін қиындатады және біз көргеніміздей, дұрыс емес өсу уақыттары мен өзгертілген кадрлар басқа мәселелерді тудыруы мүмкін. Екінші жағынан, TAP толық дуплексті 1G байланысын басқара алады.
TAP сонымен қатар пакеттерді толық ұстап алуды және хаттамаларды, бұзушылықтарды, бұзуларды және т.б. анықтау үшін пакеттерді терең тексеруді орындай алады. Осылайша, TAP деректері сотта дәлел ретінде пайдаланылуы мүмкін, ал SPAN порт деректері пайдаланыла алмайды.
Қауіпсіздік - екі әдіс арасында айырмашылықтар бар тағы бір аспект. SPAN порттары әдетте бір жақты байланыс үшін конфигурацияланған, бірақ олар кейбір жағдайларда байланысты қабылдай алады, бұл елеулі осалдықтарды тудырады. Керісінше, TAP мекенжайға бағытталмайды және IP мекенжайы жоқ, сондықтан оны бұзу мүмкін емес.
SPAN порттары әдетте VLAN тегтерін өткізбейді, бұл VLAN ақауларын анықтауды қиындатуы мүмкін, бірақ крандар бүкіл VLAN желісін бірден көре алмайды. Егер біріктірілген крандар пайдаланылмаса, TAP екі арна үшін де бірдей із қалдырмайды, бірақ шамадан тыс жүктемені анықтау кезінде абай болу керек. 1G-10G шығысында сегіз 10/100/1G порттарын біріктіретін Booster for Profitap сияқты біріктірілген крандар бар.
Booster VLAN тегтерін енгізу арқылы пакеттерді енгізе алады. Осылайша, әрбір пакеттің бастапқы порты туралы ақпарат анализаторға жіберіледі.
SPAN порттары әлі де желі әкімшілері пайдаланатын құрал болып табылады, бірақ егер жылдамдық пен барлық желілік деректерге сенімді қол жеткізу маңызды болса, TAP ең жақсы таңдау болып табылады. Қай тәсілді таңдау керектігін шешкен кезде, SPAN порттары аз пайдаланылатын желілер үшін қолайлырақ, себебі жоғалған пакеттер талдауға әсер етпейді немесе құны маңызды болған жағдайларда міндетті емес. Дегенмен, трафигі жоғары желілерде TAP сыйымдылығы, қауіпсіздігі және сенімділігі пакеттердің жоғалуынан немесе физикалық деңгей қателерін сүзуден қорықпай, желіңіздегі трафикті толық көрінетіндей етеді.
○ Толық көрінеді
○ Барлық трафикті көшіріңіз (барлық өлшемдегі және түрдегі барлық пакеттер)
○ Пассивті, кедергісіз (деректерді өзгертпейді)
○ Тізбектей жалғанғанда, толық дуплексті трафикті сымдарда көшіру үшін коммутатор порттары пайдаланылмайды. Оңай орнату (қосу және қосу)
○ Хакерлерден осал емес (көрінбейді, желіден оқшауланған бақылау құрылғысы, IP/MAC мекенжайы жоқ)
○ Масштабталатын
○ Кез келген жағдайға жарамды
○ Жартылай көріну
○ Барлық трафикті көшірмеу (белгілі бір өлшемдер мен пакет түрлерін алып тастау)
○ Пассивті емес (пакет уақытын өзгерту, кідірістің артуы)
○ Коммутатор портын пайдаланыңыз (әр SPAN порты коммутатор портын пайдаланады)
○ Толық дуплексті байланысты өңдей алмайды (пакеттердің шамадан тыс жүктелуі негізгі коммутатордың жұмысына кедергі келтіруі мүмкін)
○ Инженерлер конфигурациялауы керек
○ Қауіпсіз емес (Бақылау жүйесі желінің бөлігі болып табылады, қауіпсіздік мәселелері болуы мүмкін)
○ Масштабталмайды
○ Тек белгілі бір жағдайларда ғана мүмкін
Сізге қатысты мақала қызықты болуы мүмкін: Желілік трафикті қалай түсіруге болады? Network Tap және Port Mirror
Жарияланған уақыты: 09.06.2025
