Ang pangunahing pagkakaiba sa pagitan ng pagkuha ng mga packet gamit ang Network TAP at SPAN port.
Port Mirroring(kilala rin bilang SPAN)
Tapikin ang Network(kilala rin bilang Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, atbp.)TAP (Terminal Access Point)ay isang ganap na passive na hardware device, na maaaring pasibo na makuha ang trapiko sa isang network. Ito ay karaniwang ginagamit upang subaybayan ang trapiko sa pagitan ng dalawang punto sa network. Kung ang network sa pagitan ng dalawang puntong ito ay binubuo ng isang pisikal na cable, ang isang network TAP ay maaaring ang pinakamahusay na paraan upang makuha ang trapiko.
Bago ipaliwanag ang mga pagkakaiba sa pagitan ng dalawang solusyon (Port Mirror at Network Tap), mahalagang maunawaan kung paano gumagana ang Ethernet. Sa 100Mbit at mas mataas, ang mga host ay karaniwang nagsasalita sa full duplex, ibig sabihin, ang isang host ay maaaring magpadala (Tx) at tumanggap (Rx) nang sabay-sabay. Nangangahulugan ito na sa isang 100 Mbit cable na konektado sa isang host, ang kabuuang halaga ng trapiko sa network na maaaring ipadala/tanggap ng isang host(Tx/Rx)) ay 2 × 100 Mbit = 200 Mbit.
Ang Port mirroring ay aktibong packet replication, na nangangahulugan na ang network device ay pisikal na responsable para sa pagkopya ng packet sa mirrored port.
Pagkuha ng Trapiko: TAP vs SPAN
Kapag sinusubaybayan ang trapiko sa network, kung ayaw mong direktang isagawa ang suporta habang pinoproseso ng isang user ang isang transaksyon, mayroon kang dalawang pangunahing opsyon. Sa susunod na artikulo, magbibigay kami ng pangkalahatang-ideya ng TAP (Test Access Point) at SPAN (Switch Port Analyzer). Para sa isang mas malalim na pagsusuri, ang dalubhasa sa packet inspection na si Timo'Neill ay may ilang mga artikulo sa lovemytool.com na napakadetalye, ngunit dito, gagawa kami ng mas pangkalahatang diskarte.
SPAN
Ang port mirroring ay isang paraan ng pagsubaybay sa trapiko ng network sa pamamagitan ng pagpapasa ng kopya ng bawat papasok at/o papalabas na packet mula sa isa o higit pang mga port (o VLans) ng switch sa isa pang port na konektado sa isang network traffic analyzer. Ang mga span ay kadalasang ginagamit sa mga mas simpleng system upang subaybayan ang maramihang mga site nang sabay-sabay. Ang eksaktong bilang ng mga pagpapadala ng network na nagagawa nitong subaybayan ay depende sa kung saan naka-install ang SPAN kaugnay ng kagamitan sa data center. Malamang na mahahanap mo ang iyong hinahanap, ngunit madaling mahanap ang iyong sarili na may napakaraming data. Halimbawa, posibleng makahanap ng maraming kopya ng parehong data sa buong VLAN. Ginagawa nitong mas mahirap ang pag-troubleshoot ng LAN, at nakakaapekto rin sa bilis ng switch cpus o nakakaapekto sa Ethernet sa pamamagitan ng pagtukoy ng placement. Karaniwan, ang mas maraming span, mas malamang na mawala ang mga packet. Kung ikukumpara sa mga pag-tap, maaaring pamahalaan ang mga span nang malayuan, na nangangahulugang mas kaunting oras ang ginugugol sa pagpapalit ng mga configuration, ngunit kailangan pa rin ng mga network engineer.
Ang mga port ng SPAN ay hindi isang passive na teknolohiya, gaya ng sinasabi ng ilan, dahil maaari silang magkaroon ng iba pang masusukat na epekto sa trapiko ng network, kabilang ang:
- Oras upang baguhin ang pakikipag-ugnayan ng frame
- Pag-drop ng mga packet dahil sa labis na paghahanap
- Ang mga sirang packet ay ibinabagsak nang walang abiso, na humahadlang sa pagsusuri
Samakatuwid, ang mga SPAN port ay mas angkop para sa mga sitwasyon kung saan ang pag-drop ng mga packet ay hindi nakakaapekto sa pagsusuri, o kung saan ang gastos ay isinasaalang-alang.
TAP
Sa kabaligtaran, ang mga gripo ay kailangang gumastos ng pera sa hardware sa harap, ngunit hindi sila nangangailangan ng maraming pag-setup. Sa katunayan, dahil ang mga ito ay pasibo, maaari silang ikonekta at idiskonekta mula sa network nang hindi ito naaapektuhan. Ang mga gripo ay mga hardware device na nagbibigay ng paraan upang ma-access ang data na dumadaloy sa isang computer network at karaniwang ginagamit para sa seguridad ng network at mga layunin ng pagsubaybay sa pagganap. Ang sinusubaybayang trapiko ay tinatawag na "pass-through" na trapiko at ang port na ginagamit para sa pagsubaybay ay tinatawag na "monitoring port". Upang mas malinaw na suriin ang network, maaaring maglagay ng mga pag-tap sa pagitan ng mga router at switch.
Dahil ang TAP ay hindi nakakaapekto sa mga packet, maaari itong tingnan bilang isang tunay na passive na paraan upang tingnan ang trapiko sa network.
Mayroong tatlong uri ng mga solusyon sa TAP:
- Network splitter (1: 1)
- Pinagsama-samang TAP (multi : 1)
- Regeneration TAP (1 : marami)
Ginagaya ng TAP ang trapiko sa iisang passive monitoring tool, o sa isang high-density network packet relay device, at naghahatid ng maramihang (madalas na maramihang) QOS testing tool, network monitoring tool, at network sniffer tool gaya ng wireshark.
Bilang karagdagan, ang mga uri ng TAP ay nag-iiba-iba depende sa uri ng cable, kabilang ang fiber TAP at gigabit copper TAP, parehong gumagana sa mahalagang parehong paraan sa pamamagitan ng pag-offload ng bahagi ng signal sa network traffic analyzer, habang ang pangunahing modelo ay patuloy na nagpapadala nang walang pagkaantala. Para sa fiber TAP, ito ay upang hatiin ang beam sa dalawa, habang sa tansong cable system, ito ay upang kopyahin ang electrical signal.
Paghahambing ng TAP at SPAN
Una, ang SPAN port ay hindi angkop para sa isang full-duplex na 1G na link, at kahit na mas mababa sa maximum na kapasidad nito, mabilis itong nag-drop ng mga packet dahil ito ay labis na pasanin, o dahil lang na inuuna ng switch ang mga regular na petsa ng port-to-port kaysa sa SPAN port data. Hindi tulad ng mga pag-tap sa network, sinasala ng mga port ng SPAN ang mga error sa pisikal na layer, na ginagawang mas mahirap ang ilang uri ng pagsusuri, at gaya ng nakita natin, maaaring magdulot ng iba pang mga problema ang mga maling pagtaas ng oras at mga binagong frame. Sa kabilang banda, ang TAP ay maaaring magpatakbo ng full-duplex 1G link.
Ang TAP ay maaari ding magsagawa ng kumpletong pag-capture ng packet at magsagawa ng malalim na inspeksyon ng packet para sa mga protocol, paglabag, panghihimasok, atbp. Kaya, ang data ng TAP ay maaaring gamitin bilang ebidensya sa korte, samantalang ang SPAN port data ay hindi.
Ang seguridad ay isa pang aspeto kung saan may mga pagkakaiba sa pagitan ng dalawang diskarte. Ang mga port ng SPAN ay karaniwang naka-configure para sa one-way na komunikasyon, ngunit maaari rin silang makatanggap ng komunikasyon sa ilang mga kaso, na nagdudulot ng mga malubhang kahinaan. Sa kabaligtaran, ang TAP ay hindi ma-address at walang IP address, kaya hindi ito ma-hack.
Ang mga SPAN port ay karaniwang hindi pumasa sa mga tag ng VLAN, na maaaring magpahirap sa pagtukoy ng mga pagkabigo sa VLAN, ngunit hindi makikita ng mga pag-tap ang buong VLAN network nang sabay-sabay. Kung ang pinagsama-samang mga gripo ay hindi ginagamit, ang TAP ay hindi magbibigay ng parehong bakas para sa parehong mga channel, ngunit ang pag-iingat ay dapat gawin sa overage detection. May mga pinagsama-samang pag-tap, gaya ng Booster para sa Profitap, na pinagsama-sama ang walong 10/100/1G port sa isang 1G-10G na output.
Ang Booster ay nakakapagpasok ng mga packet sa pamamagitan ng pagpasok ng mga VLAN tag. Sa ganitong paraan, ang source port information ng bawat packet ay ipapasa sa analyzer.
Ang mga SPAN port ay isa pa ring tool na gagamitin ng mga administrator ng network, ngunit kung ang bilis at maaasahang pag-access sa lahat ng data ng network ay kritikal, ang TAP ay ang mas mahusay na pagpipilian. Kapag nagpapasya kung aling diskarte ang gagawin, ang mga port ng SPAN ay mas angkop para sa mga network na may mababang paggamit, dahil ang mga nawawalang packet ay hindi nakakaapekto sa pagsusuri o opsyonal sa mga kaso kung saan ang gastos ay isang alalahanin. Gayunpaman, sa mga network na may mataas na trapiko, ang kapasidad, seguridad, at pagiging maaasahan ng TAP ay magbibigay ng ganap na kakayahang makita sa trapiko sa iyong network nang walang takot sa pagkawala ng packet o pag-filter ng mga error sa pisikal na layer.
○ Ganap na nakikita
○ Ginagaya ang lahat ng trapiko (lahat ng mga packet ng lahat ng laki at uri)
○ Passive, non-intrusive (hindi nagbabago ng data)
○ Sa serye, walang switch port ang ginagamit upang kopyahin ang full-duplex na trapiko sa mga harness Madaling pag-setup (plug and play)
○ Hindi mahina sa mga hacker (invisible, nakahiwalay na monitoring device mula sa network, walang IP/MAC address)
○ Nasusukat
○ Angkop para sa anumang sitwasyon
○ Bahagyang visibility
○ Hindi kinokopya ang lahat ng trapiko (pagbaba ng ilang partikular na laki at uri ng mga packet)
○ Non-passive (pagbabago ng packet timing, pagtaas ng latency)
○ Gumamit ng switch port (bawat SPAN port ay gumagamit ng switch port)
○ Hindi makayanan ang full-duplex na komunikasyon (nahulog ang mga packet kapag na-overload, maaari ring makagambala sa pagpapatakbo ng pangunahing switch)
○ Kailangang i-configure ng mga inhinyero
○ Hindi ligtas (Ang sistema ng pagsubaybay ay bahagi ng network, mga potensyal na problema sa seguridad)
○ Hindi nasusukat
○ Magagawa lamang sa ilalim ng ilang mga pangyayari
Maaaring kawili-wili ka sa kaugnay na artikulo: Paano Kumuha ng Trapiko sa Network? Network Tap vs Port Mirror
Oras ng post: Hun-09-2025
