La ĉefa diferenco inter kapti pakaĵetojn uzante Network TAP kaj SPAN-pordojn.
Spegulado de Havenoj(ankaŭ konata kiel SPAN)
Reta Frapeto(ankaŭ konata kiel Replikada Frapeto, Agregada Frapeto, Aktiva Frapeto, Kupra Frapeto, Eterreta Frapeto, ktp.)TAP (Finala Alirpunkto)estas tute pasiva aparataro, kiu povas pasive kapti trafikon en reto. Ĝi estas ofte uzata por monitori la trafikon inter du punktoj en la reto. Se la reto inter ĉi tiuj du punktoj konsistas el fizika kablo, reta TAP povas esti la plej bona maniero kapti trafikon.
Antaŭ ol klarigi la diferencojn inter la du solvoj (Port Mirror kaj Network Tap), gravas kompreni kiel funkcias Eterreto. Ĉe 100Mbit kaj pli, gastigantoj kutime parolas plene duplekse, kio signifas, ke unu gastiganto povas sendi (Tx) kaj ricevi (Rx) samtempe. Tio signifas, ke sur 100-Mbita kablo konektita al unu gastiganto, la tuta kvanto de la rettrafiko, kiun unu gastiganto povas sendi/ricevi (Tx/Rx) estas 2 × 100 Mbit = 200 Mbit.
La spegulita pordo estas aktiva pakaĵreplikado, kio signifas, ke la retaparato fizike respondecas pri kopiado de la pakaĵo al la spegulita pordo.
Kaptado de Trafiko: TAP kontraŭ SPAN
Dum monitorado de rettrafiko, se vi ne volas rekte funkciigi subtenon dum uzanto prilaboras transakcion, vi havas du ĉefajn eblojn. En la sekva artikolo, ni donos superrigardon pri TAP (Test Access Point) kaj SPAN (Switch Port Analyzer). Por pli profunda analizo, la pakaĵ-inspekta fakulo Timo'Neill havas plurajn artikolojn ĉe lovemytool.com, kiuj detale priskribas, sed ĉi tie ni prenos pli ĝeneralan aliron.
INTERSPACO
Spegulado de pordoj estas metodo por monitori rettrafikon per plusendado de kopio de ĉiu alvenanta kaj/aŭ eliranta pakaĵeto de unu aŭ pluraj pordoj (aŭ VLAN-oj) de ŝaltilo al alia pordo konektita al rettrafika analizilo. Spanoj ofte estas uzataj en pli simplaj sistemoj por monitori plurajn lokojn samtempe. La preciza nombro da retaj dissendoj, kiujn ĝi kapablas monitori, dependas de kie la SPAN estas instalita rilate al la ekipaĵo de la datumcentro. Vi probable trovos tion, kion vi serĉas, sed estas facile trovi vin kun tro da datumoj. Ekzemple, eblas trovi plurajn kopiojn de la samaj datumoj tra tuta VLAN. Tio malfaciligas la LAN-problemsolvadon, kaj ankaŭ influas la rapidon de la procesoroj de la ŝaltilo aŭ influas la Eterreton per lokigdetekto. Baze, ju pli da spanoj, des pli probable estas perdi pakaĵetojn. Kompare kun konektiloj, spanoj povas esti administrataj malproksime, kio signifas, ke malpli da tempo estas pasigata ŝanĝante agordojn, sed retinĝenieroj ankoraŭ estas bezonataj.
SPAN-havenoj ne estas pasiva teknologio, kiel iuj asertas, ĉar ili povas havi aliajn mezureblajn efikojn sur rettrafiko, inkluzive de:
- Tempo por ŝanĝi kadran interagadon
- Forlasante pakaĵojn pro troaj serĉoj
- Koruptitaj pakaĵoj estas forĵetitaj sen avizo, malhelpante la analizon
Tial, SPAN-havenoj estas pli taŭgaj por situacioj kie forlaso de pakaĵetoj ne influas la analizon, aŭ kie kosto estas konsiderata.
FRAPETO
Kontraste, konektiloj devas elspezi monon por aparataro anticipe, sed ili ne postulas multan agordon. Efektive, ĉar ili estas pasivaj, ili povas esti konektitaj kaj malkonektitaj de la reto sen influi ĝin. Konektiloj estas aparataraj aparatoj, kiuj provizas manieron aliri datumojn fluantajn tra komputila reto kaj estas ofte uzataj por retsekureco kaj monitorado de rendimento. La monitorata trafiko nomiĝas "trapasa" trafiko kaj la haveno uzata por monitorado nomiĝas "monitorada haveno". Por pli klare esplori la reton, konektiloj povas esti metitaj inter enkursigiloj kaj ŝaltiloj.
Ĉar TAP ne influas pakaĵojn, ĝi povas esti rigardata kiel vere pasiva maniero vidi rettrafikon.
Ekzistas baze tri tipoj de TAP-solvoj:
- Reta dividilo (1 : 1)
- Agregaĵa TAP (multobla: 1)
- Regenerada TAP (1: plurfoja)
TAP reproduktas trafikon al ununura pasiva monitora ilo, aŭ al alt-denseca retpaka relajso-aparato, kaj servas plurajn (ofte plurajn) QOS-testilojn, retmonitorajn ilojn, kaj retsnufemulilojn kiel ekzemple Wireshark.
Krome, la TAP-tipoj varias depende de la kablotipo, inkluzive de fibra TAP kaj gigabita kupra TAP, ambaŭ funkciante esence sammaniere per transdono de parto de la signalo al la rettrafika analizilo, dum la ĉefa modelo daŭre sendas sen interrompo. Por la fibra TAP, temas pri disigo de la fasko en du, dum en la kupra kablosistemo, temas pri reproduktado de la elektra signalo.
Komparante la TAP kaj SPAN
Unue, la SPAN-haveno ne taŭgas por plen-dupleksa 1G-ligo, kaj eĉ kiam ĝi estas sub sia maksimuma kapacito, ĝi rapide forĵetas pakaĵojn ĉar ĝi estas troŝarĝita, aŭ simple ĉar la ŝaltilo prioritatigas regulajn haven-al-havenajn datojn super SPAN-havenaj datumoj. Male al retkonektiloj, SPAN-havenoj filtras erarojn en la fizika tavolo, malfaciligante iujn specojn de analizo, kaj kiel ni vidis, malĝustaj pliigaj tempoj kaj ŝanĝitaj kadroj povas kaŭzi aliajn problemojn. Aliflanke, TAP povas funkciigi plen-dupleksan 1G-ligon.
TAP ankaŭ povas plenumi kompletan pakaĵkapton kaj plenumi profundan pakaĵinspektadon por protokoloj, malobservoj, entrudiĝoj, ktp. Tiel, TAP-datumoj povas esti uzataj kiel pruvo en tribunalo, dum SPAN-havendatumoj ne povas.
Sekureco estas alia aspekto kie ekzistas diferencoj inter la du teknikoj. SPAN-havenoj estas kutime agorditaj por unudirekta komunikado, sed ili ankaŭ povas ricevi komunikadon en iuj kazoj, kaŭzante gravajn vundeblecojn. Kontraste, TAP ne estas adresebla kaj ne havas IP-adreson, do ĝi ne povas esti hakita.
SPAN-havenoj tipe ne pasas VLAN-etikedojn, kio povas malfaciligi la detekton de VLAN-eraroj, sed frapetiloj ne povas vidi la tutan VLAN-reton samtempe. Se agregitaj frapetiloj ne estas uzataj, la TAP ne provizos la saman spuron por ambaŭ kanaloj, sed oni devas esti singarda pri la detekto de troaĝo. Ekzistas agregitaj frapetiloj, kiel ekzemple Booster por Profitap, kiuj agregas ok 10/100/1G-havenojn en 1G-10G-eligo.
Booster kapablas enigi pakaĵojn per enmeto de VLAN-etikedoj. Tiel, la informoj pri la fonta pordo de ĉiu pakaĵo estos plusenditaj al la analizilo.
SPAN-pordoj estas ankoraŭ ilo, kiun retadministrantoj uzos, sed se rapideco kaj fidinda aliro al ĉiuj retdatumoj estas kritikaj, TAP estas la pli bona elekto. Kiam oni decidas, kiun aliron preni, SPAN-pordoj estas pli taŭgaj por retoj kun malalta utiligo, ĉar perditaj pakaĵoj ne influas la analizon aŭ estas laŭvolaj en kazoj kie kosto estas zorgo. Tamen, en retoj kun alta trafiko, la kapacito, sekureco kaj fidindeco de TAP provizos plenan videblecon pri la trafiko en via reto sen timo pri pakaĵperdo aŭ filtrado de eraroj en la fizika tavolo.
○ Plene videbla
○ Repliki la tutan trafikon (ĉiujn pakaĵetojn de ĉiuj grandecoj kaj tipoj)
○ Pasiva, netrudema (ne ŝanĝas datumojn)
○ En serio, neniuj ŝaltilaj havenoj estas uzataj por reprodukti plen-dupleksan trafikon en kablaroj Facila agordo (konekti kaj uzi)
○ Ne vundebla al retpiratoj (nevidebla, izolita monitora aparato de la reto, sen IP/MAC-adreso)
○ Skalebla
○ Taŭga por ĉiu situacio
○ Parta videbleco
○ Ne kopiante la tutan trafikon (forigante certajn grandecojn kaj tipojn de pakaĵetoj)
○ Ne-pasiva (ŝanĝante pakaĵtempigon, pliigante latentecon)
○ Uzi ŝaltilan pordon (ĉiu SPAN-pordo uzas ŝaltilan pordon)
○ Ne eblas pritrakti plen-dupleksan komunikadon (pakaĵetoj falas dum troŝarĝo, povas ankaŭ interrompi la funkciadon de la ĉefa ŝaltilo)
○ Inĝenieroj bezonas agordi
○ Nesekura (monitorada sistemo estas parto de la reto, eblaj sekurecaj problemoj)
○ Ne skalebla
○ Farebla nur sub certaj cirkonstancoj
Eble interesos vin la rilata artikolo: Kiel Kapti Retan Trafikon? Reta Frapeto kontraŭ Portspegulo
Afiŝtempo: 9-a de junio 2025
