Ang pangunahing pagkakaiba sa pagitan ng pagkuha ng mga packet gamit ang Network TAP at SPAN port.
Pag-mirror ng Port(kilala rin bilang SPAN)
Tapikin ang Network(kilala rin bilang Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, atbp.)TAP (Punto ng Pag-access sa Terminal)ay isang ganap na passive hardware device, na maaaring pasibong kumuha ng trapiko sa isang network. Karaniwan itong ginagamit upang subaybayan ang trapiko sa pagitan ng dalawang punto sa network. Kung ang network sa pagitan ng dalawang puntong ito ay binubuo ng isang pisikal na cable, ang isang network TAP ay maaaring ang pinakamahusay na paraan upang makuha ang trapiko.
Bago ipaliwanag ang mga pagkakaiba sa pagitan ng dalawang solusyon (Port Mirror at Network Tap), mahalagang maunawaan kung paano gumagana ang Ethernet. Sa 100Mbit pataas, ang mga host ay karaniwang nagsasalita nang full duplex, ibig sabihin ay maaaring magpadala (Tx) at tumanggap (Rx) nang sabay-sabay ang isang host. Nangangahulugan ito na sa isang 100 Mbit cable na nakakonekta sa isang host, ang kabuuang dami ng trapiko sa network na maaaring ipadala/tanggapin (Tx/Rx) ng isang host ay 2 × 100 Mbit = 200 Mbit.
Ang Port mirroring ay isang aktibong pagkopya ng packet, na nangangahulugang ang network device ay pisikal na responsable sa pagkopya ng packet papunta sa mirrored port.
Pagkuha ng Trapiko: TAP vs SPAN
Kapag sinusubaybayan ang trapiko sa network, kung ayaw mong direktang gamitin ang suporta habang pinoproseso ng isang user ang isang transaksyon, mayroon kang dalawang pangunahing opsyon. Sa susunod na artikulo, magbibigay kami ng pangkalahatang-ideya ng TAP (Test Access Point) at SPAN (Switch Port Analyzer). Para sa mas malalim na pagsusuri, ang eksperto sa packet inspection na si Timo'Neill ay may ilang artikulo sa lovemytool.com na detalyadong tinatalakay, ngunit dito, gagamit tayo ng mas pangkalahatang pamamaraan.
SPAN
Ang port mirroring ay isang paraan ng pagsubaybay sa trapiko ng network sa pamamagitan ng pagpapasa ng kopya ng bawat papasok at/o papalabas na packet mula sa isa o higit pang mga port (o VLan) ng isang switch patungo sa isa pang port na konektado sa isang network traffic analyzer. Ang mga spans ay kadalasang ginagamit sa mas simpleng mga sistema upang subaybayan ang maraming site nang sabay-sabay. Ang eksaktong bilang ng mga transmission ng network na kaya nitong subaybayan ay depende sa kung saan naka-install ang SPAN kumpara sa kagamitan ng data center. Malamang na makikita mo ang iyong hinahanap, ngunit madaling makahanap ng masyadong maraming data. Halimbawa, posibleng makahanap ng maraming kopya ng parehong data sa isang buong VLAN. Ginagawa nitong mas mahirap ang pag-troubleshoot ng LAN, at nakakaapekto rin sa bilis ng switch cpus o nakakaapekto sa Ethernet sa pamamagitan ng placement detection. Sa madaling salita, mas maraming spans, mas malamang na mawalan ng mga packet. Kung ikukumpara sa mga taps, ang mga spans ay maaaring pamahalaan nang malayuan, na nangangahulugang mas kaunting oras ang ginugugol sa pagbabago ng mga configuration, ngunit kinakailangan pa rin ang mga network engineer.
Ang mga SPAN port ay hindi isang passive na teknolohiya, gaya ng sinasabi ng ilan, dahil maaari silang magkaroon ng iba pang masusukat na epekto sa trapiko sa network, kabilang ang:
- Panahon na para baguhin ang interaksyon ng frame
- Pagbagsak ng mga packet dahil sa labis na paghahanap
- Ang mga sirang pakete ay itinatapon nang walang paunang abiso, na nakakasagabal sa pagsusuri
Samakatuwid, ang mga SPAN port ay mas angkop para sa mga sitwasyon kung saan ang pag-drop ng mga packet ay hindi nakakaapekto sa pagsusuri, o kung saan isinasaalang-alang ang gastos.
TAP
Sa kabaligtaran, ang mga taps ay kailangang gumastos ng pera sa hardware sa simula pa lang, ngunit hindi sila nangangailangan ng maraming pag-setup. Sa katunayan, dahil ang mga ito ay passive, maaari silang ikonekta at idiskonekta mula sa network nang hindi ito naaapektuhan. Ang mga taps ay mga hardware device na nagbibigay ng paraan upang ma-access ang data na dumadaloy sa isang computer network at karaniwang ginagamit para sa seguridad ng network at mga layunin sa pagsubaybay sa pagganap. Ang minomonitor na trapiko ay tinatawag na "pass-through" na trapiko at ang port na ginagamit para sa pagsubaybay ay tinatawag na "monitoring port". Upang mas malinaw na masuri ang network, maaaring maglagay ng mga taps sa pagitan ng mga router at switch.
Dahil hindi nakakaapekto ang TAP sa mga packet, maaari itong ituring na isang tunay na pasibong paraan upang tingnan ang trapiko sa network.
Mayroong tatlong pangunahing uri ng mga solusyon sa TAP:
- Panghati ng network (1 : 1)
- Pinagsama-samang TAP (maramihan: 1)
- Regeneration TAP (1: maramihan)
Kinokopya ng TAP ang trapiko sa isang passive monitoring tool, o sa isang high-density network packet relay device, at nagsisilbi sa maramihang (kadalasang maramihang) QOS testing tools, network monitoring tools, at network sniffer tools tulad ng wireshark.
Bukod pa rito, ang mga uri ng TAP ay nag-iiba depende sa uri ng kable, kabilang ang fiber TAP at gigabit copper TAP, na parehong gumagana sa halos parehong paraan sa pamamagitan ng pag-offload ng bahagi ng signal sa network traffic analyzer, habang ang pangunahing modelo ay patuloy na nagpapadala nang walang pagkaantala. Para sa fiber TAP, ito ay para hatiin ang beam sa dalawa, habang sa copper cable system, ito ay para gayahin ang electrical signal.
Paghahambing ng TAP at SPAN
Una, ang SPAN port ay hindi angkop para sa isang full-duplex 1G link, at kahit na mas mababa sa pinakamataas na kapasidad nito, mabilis nitong nahuhulog ang mga packet dahil ito ay labis na nabibigatan, o dahil lamang sa inuuna ng switch ang mga regular na petsa ng port-to-port kaysa sa data ng SPAN port. Hindi tulad ng mga network taps, sinasala ng mga SPAN port ang mga error sa pisikal na layer, na nagpapahirap sa ilang uri ng pagsusuri, at gaya ng nakita natin, ang mga maling oras ng pagtaas at mga binagong frame ay maaaring magdulot ng iba pang mga problema. Sa kabilang banda, maaaring magpatakbo ang TAP ng isang full-duplex 1G link.
Maaari ring magsagawa ang TAP ng kumpletong pagkuha ng packet at magsagawa ng malalimang inspeksyon ng packet para sa mga protocol, paglabag, panghihimasok, atbp. Kaya, ang datos ng TAP ay maaaring gamitin bilang ebidensya sa korte, samantalang ang datos ng SPAN port ay hindi.
Ang seguridad ay isa pang aspeto kung saan may mga pagkakaiba sa pagitan ng dalawang pamamaraan. Ang mga SPAN port ay karaniwang naka-configure para sa one-way na komunikasyon, ngunit maaari rin silang makatanggap ng komunikasyon sa ilang mga kaso, na nagdudulot ng malubhang kahinaan. Sa kabaligtaran, ang TAP ay hindi maaaring tugunan at walang IP address, kaya hindi ito maaaring i-hack.
Karaniwang hindi nagpapasa ang mga SPAN port ng mga VLAN tag, na maaaring magpahirap sa pagtukoy ng mga pagkabigo ng VLAN, ngunit hindi makikita ng mga taps ang buong network ng VLAN nang sabay-sabay. Kung hindi gagamitin ang pinagsama-samang mga taps, hindi magbibigay ang TAP ng parehong bakas para sa parehong channel, ngunit dapat mag-ingat sa pagtukoy ng overage. May mga pinagsama-samang taps, tulad ng Booster para sa Profitap, na nagsasama-sama ng walong 10/100/1G port sa isang 1G-10G output.
Nakakapagpasok ang Booster ng mga packet sa pamamagitan ng paglalagay ng mga VLAN tag. Sa ganitong paraan, ang impormasyon ng source port ng bawat packet ay ipapadala sa analyzer.
Ang mga SPAN port ay isang tool pa rin na gagamitin ng mga network administrator, ngunit kung ang bilis at maaasahang pag-access sa lahat ng data ng network ay kritikal, ang TAP ang mas mainam na pagpipilian. Kapag nagpapasya kung aling paraan ang gagawin, ang mga SPAN port ay mas angkop para sa mga network na may mababang paggamit, dahil ang mga nawawalang packet ay hindi nakakaapekto sa pagsusuri o opsyonal lamang sa mga kaso kung saan ang gastos ay isang alalahanin. Gayunpaman, sa mga network na may mataas na trapiko, ang kapasidad, seguridad, at pagiging maaasahan ng TAP ay magbibigay ng ganap na visibility sa trapiko sa iyong network nang walang takot sa pagkawala ng packet o pagsala ng mga error sa pisikal na layer.
○ Ganap na nakikita
○ Kopyahin ang lahat ng trapiko (lahat ng pakete ng lahat ng laki at uri)
○ Pasibo, hindi mapanghimasok (hindi nagbabago ng datos)
○ Sa serye, walang switch port ang ginagamit upang gayahin ang full-duplex traffic sa mga harness. Madaling i-setup (plug and play)
○ Hindi madaling kapitan ng mga hacker (hindi nakikita, nakahiwalay na monitoring device mula sa network, walang IP/MAC address)
○ Nasusukat
○ Angkop para sa anumang sitwasyon
○ Bahagyang kakayahang makita
○ Hindi kinokopya ang lahat ng trapiko (pagbabawas ng ilang partikular na laki at uri ng mga packet)
○ Hindi pasibo (pagbabago ng timing ng packet, pagtaas ng latency)
○ Gamitin ang switch port (bawat SPAN port ay gumagamit ng switch port)
○ Hindi kayang humawak ng full-duplex na komunikasyon (mga packet na nahuhulog kapag overloaded, maaari ring makagambala sa operasyon ng pangunahing switch)
○ Kailangang i-configure ng mga inhinyero
○ Hindi Ligtas (Ang sistema ng pagsubaybay ay bahagi ng network, mga potensyal na problema sa seguridad)
○ Hindi mapapalawak
○ Magagawa lamang sa ilalim ng ilang partikular na sitwasyon
Maaaring maging interesante sa iyo ang kaugnay na artikulo: Paano Kunin ang Trapiko sa Network? Network Tap vs Port Mirror
Oras ng pag-post: Hunyo-09-2025
