Sự khác biệt chính giữa việc thu thập gói tin bằng cổng Network TAP và SPAN.
Phản chiếu cổng(còn được gọi là SPAN)
Điểm truy cập mạng(Còn được gọi là Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, v.v.)TAP (Điểm truy cập đầu cuối)Đây là một thiết bị phần cứng hoàn toàn thụ động, có khả năng thu thập lưu lượng truy cập trên mạng một cách thụ động. Nó thường được sử dụng để giám sát lưu lượng truy cập giữa hai điểm trong mạng. Nếu mạng giữa hai điểm này bao gồm một cáp vật lý, thì thiết bị TAP mạng có thể là cách tốt nhất để thu thập lưu lượng truy cập.
Trước khi giải thích sự khác biệt giữa hai giải pháp (Port Mirror và Network Tap), điều quan trọng là phải hiểu cách thức hoạt động của Ethernet. Ở tốc độ 100 Mbit trở lên, các máy chủ thường giao tiếp ở chế độ song công toàn phần, nghĩa là một máy chủ có thể gửi (Tx) và nhận (Rx) đồng thời. Điều này có nghĩa là trên một cáp 100 Mbit được kết nối với một máy chủ, tổng lượng lưu lượng mạng mà một máy chủ có thể gửi/nhận (Tx/Rx) là 2 × 100 Mbit = 200 Mbit.
Tính năng phản chiếu cổng (Port mirroring) là sao chép gói dữ liệu chủ động, có nghĩa là thiết bị mạng chịu trách nhiệm vật lý sao chép gói dữ liệu đến cổng được phản chiếu.
Thu thập lưu lượng truy cập: TAP so với SPAN
Khi giám sát lưu lượng mạng, nếu bạn không muốn trực tiếp hỗ trợ kỹ thuật trong khi người dùng đang thực hiện giao dịch, bạn có hai lựa chọn chính. Trong bài viết sau, chúng ta sẽ xem xét tổng quan về TAP (Test Access Point) và SPAN (Switch Port Analyzer). Để phân tích sâu hơn, chuyên gia kiểm tra gói tin Timo'Neill có một số bài viết trên lovemytool.com đi sâu vào chi tiết, nhưng ở đây, chúng ta sẽ tiếp cận theo cách tổng quát hơn.
SPAN
Phản chiếu cổng (Port mirroring) là một phương pháp giám sát lưu lượng mạng bằng cách chuyển tiếp một bản sao của mỗi gói tin đến và/hoặc đi từ một hoặc nhiều cổng (hoặc VLAN) của bộ chuyển mạch đến một cổng khác được kết nối với bộ phân tích lưu lượng mạng. Span thường được sử dụng trong các hệ thống đơn giản hơn để giám sát nhiều địa điểm cùng một lúc. Số lượng chính xác các đường truyền mạng mà nó có thể giám sát phụ thuộc vào vị trí cài đặt SPAN so với thiết bị trung tâm dữ liệu. Bạn có thể sẽ tìm thấy những gì mình đang tìm kiếm, nhưng rất dễ rơi vào tình trạng có quá nhiều dữ liệu. Ví dụ, có thể tìm thấy nhiều bản sao của cùng một dữ liệu trên toàn bộ VLAN. Điều này làm cho việc khắc phục sự cố mạng LAN trở nên khó khăn hơn, đồng thời ảnh hưởng đến tốc độ CPU của bộ chuyển mạch hoặc ảnh hưởng đến Ethernet thông qua việc phát hiện vị trí. Về cơ bản, càng nhiều span, khả năng mất gói tin càng cao. So với tap, span có thể được quản lý từ xa, nghĩa là ít thời gian hơn được dành cho việc thay đổi cấu hình, nhưng vẫn cần đến các kỹ sư mạng.
Cổng SPAN không phải là công nghệ thụ động như một số người khẳng định, bởi vì chúng có thể có những tác động có thể đo lường được khác đối với lưu lượng mạng, bao gồm:
- Đã đến lúc thay đổi tương tác khung
- Mất gói dữ liệu do tra cứu quá mức
- Các gói dữ liệu bị lỗi sẽ bị loại bỏ mà không báo trước, gây cản trở quá trình phân tích.
Do đó, cổng SPAN phù hợp hơn trong các trường hợp việc mất gói tin không ảnh hưởng đến quá trình phân tích, hoặc khi yếu tố chi phí được xem xét.
VỖ NHẸ
Ngược lại, các thiết bị thu thập dữ liệu (tap) cần phải đầu tư tiền vào phần cứng ban đầu, nhưng chúng không yêu cầu nhiều thiết lập. Thật vậy, vì chúng là thiết bị thụ động, chúng có thể được kết nối và ngắt kết nối khỏi mạng mà không ảnh hưởng đến mạng. Tap là các thiết bị phần cứng cung cấp cách thức truy cập dữ liệu truyền qua mạng máy tính và thường được sử dụng cho mục đích giám sát an ninh mạng và hiệu suất. Lưu lượng truy cập được giám sát được gọi là lưu lượng "truyền qua" và cổng được sử dụng để giám sát được gọi là "cổng giám sát". Để thăm dò mạng rõ ràng hơn, các thiết bị thu thập dữ liệu có thể được đặt giữa bộ định tuyến và bộ chuyển mạch.
Vì TAP không tác động đến các gói dữ liệu, nên nó có thể được xem như một phương pháp thụ động thực sự để quan sát lưu lượng mạng.
Về cơ bản có ba loại giải pháp TAP:
- Bộ chia mạng (1:1)
- Tổng TAP (đa : 1)
- TAP tái tạo (1 : nhiều)
TAP sao chép lưu lượng truy cập đến một công cụ giám sát thụ động duy nhất, hoặc đến một thiết bị chuyển tiếp gói mạng mật độ cao, và phục vụ nhiều (thường là nhiều) công cụ kiểm tra chất lượng dịch vụ (QOS), công cụ giám sát mạng và công cụ phân tích mạng như Wireshark.
Ngoài ra, các loại TAP khác nhau tùy thuộc vào loại cáp, bao gồm TAP cáp quang và TAP cáp đồng gigabit, cả hai về cơ bản hoạt động theo cùng một cách bằng cách chuyển một phần tín hiệu đến bộ phân tích lưu lượng mạng, trong khi mô hình chính tiếp tục truyền mà không bị gián đoạn. Đối với TAP cáp quang, chức năng là chia chùm tia thành hai, trong khi ở hệ thống cáp đồng, chức năng là sao chép tín hiệu điện.
So sánh TAP và SPAN
Thứ nhất, cổng SPAN không phù hợp với liên kết 1G song công toàn phần, và ngay cả khi hoạt động dưới công suất tối đa, nó vẫn nhanh chóng làm mất gói tin do quá tải, hoặc đơn giản là do bộ chuyển mạch ưu tiên dữ liệu giữa các cổng thông thường hơn dữ liệu trên cổng SPAN. Không giống như các thiết bị thu tín hiệu mạng (TAP), cổng SPAN lọc bỏ các lỗi ở lớp vật lý, khiến một số loại phân tích trở nên khó khăn hơn, và như chúng ta đã thấy, thời gian tăng không chính xác và khung dữ liệu bị thay đổi có thể gây ra các vấn đề khác. Mặt khác, TAP có thể hoạt động trên liên kết 1G song công toàn phần.
TAP cũng có thể thực hiện thu thập toàn bộ gói dữ liệu và kiểm tra gói dữ liệu chuyên sâu để phát hiện các giao thức, vi phạm, xâm nhập, v.v. Do đó, dữ liệu TAP có thể được sử dụng làm bằng chứng tại tòa án, trong khi dữ liệu cổng SPAN thì không.
Bảo mật là một khía cạnh khác mà hai kỹ thuật này có sự khác biệt. Cổng SPAN thường được cấu hình cho giao tiếp một chiều, nhưng trong một số trường hợp, chúng cũng có thể nhận tín hiệu, gây ra những lỗ hổng nghiêm trọng. Ngược lại, TAP không thể định địa chỉ và không có địa chỉ IP, do đó không thể bị tấn công.
Các cổng SPAN thường không truyền thẻ VLAN, điều này có thể gây khó khăn trong việc phát hiện lỗi VLAN, nhưng các thiết bị chia tín hiệu (tap) không thể nhìn thấy toàn bộ mạng VLAN cùng một lúc. Nếu không sử dụng các thiết bị chia tín hiệu tổng hợp, TAP sẽ không cung cấp cùng một dấu vết cho cả hai kênh, nhưng cần phải cẩn thận với việc phát hiện vượt quá giới hạn. Có những thiết bị chia tín hiệu tổng hợp, chẳng hạn như Booster của Profitap, tổng hợp tám cổng 10/100/1G thành đầu ra 1G-10G.
Bộ tăng cường có khả năng chèn các gói tin bằng cách thêm thẻ VLAN. Bằng cách này, thông tin cổng nguồn của mỗi gói tin sẽ được chuyển tiếp đến bộ phân tích.
Cổng SPAN vẫn là công cụ mà các quản trị viên mạng sẽ sử dụng, nhưng nếu tốc độ và khả năng truy cập đáng tin cậy vào tất cả dữ liệu mạng là yếu tố quan trọng, thì TAP là lựa chọn tốt hơn. Khi quyết định phương pháp nào phù hợp hơn, cổng SPAN thích hợp hơn cho các mạng có mức sử dụng thấp, vì các gói tin bị mất không ảnh hưởng đến việc phân tích hoặc có thể bỏ qua trong trường hợp chi phí là vấn đề cần quan tâm. Tuy nhiên, trên các mạng có lưu lượng truy cập cao, dung lượng, tính bảo mật và độ tin cậy của TAP sẽ cung cấp khả năng hiển thị đầy đủ về lưu lượng truy cập trên mạng của bạn mà không lo ngại về việc mất gói tin hoặc lọc bỏ các lỗi ở lớp vật lý.
○ Hiển thị đầy đủ
○ Sao chép toàn bộ lưu lượng truy cập (tất cả các gói dữ liệu với mọi kích thước và loại)
○ Thụ động, không xâm phạm (không thay đổi dữ liệu)
○ Trong cấu hình nối tiếp, không sử dụng cổng chuyển mạch nào để sao chép lưu lượng song công toàn phần trong các bó dây. Cài đặt dễ dàng (cắm và chạy).
○ Không dễ bị tin tặc tấn công (thiết bị giám sát vô hình, tách biệt khỏi mạng, không có địa chỉ IP/MAC)
○ Có khả năng mở rộng
○ Phù hợp với mọi tình huống
○ Tầm nhìn hạn chế
○ Không sao chép toàn bộ lưu lượng truy cập (loại bỏ một số gói dữ liệu có kích thước và loại nhất định)
○ Không thụ động (thay đổi thời gian truyền gói dữ liệu, làm tăng độ trễ)
○ Sử dụng cổng chuyển mạch (mỗi cổng SPAN sử dụng một cổng chuyển mạch)
○ Không thể xử lý giao tiếp song công toàn phần (gói tin bị mất khi quá tải, cũng có thể gây nhiễu hoạt động của bộ chuyển mạch chính)
○ Các kỹ sư cần cấu hình
○ Không an toàn (Hệ thống giám sát là một phần của mạng, tiềm ẩn các vấn đề bảo mật)
○ Không thể mở rộng
○ Chỉ khả thi trong một số trường hợp nhất định
Bạn có thể quan tâm đến bài viết liên quan: Làm thế nào để thu thập lưu lượng mạng? So sánh Network Tap và Port Mirror
Thời gian đăng bài: 09/06/2025
