Sự khác biệt chính giữa việc bắt gói tin bằng cổng Network TAP và SPAN.
Phản chiếu cổng(còn được gọi là SPAN)
Mạng lưới Tap(còn được gọi là Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, v.v.)TAP (Điểm truy cập thiết bị đầu cuối)là một thiết bị phần cứng hoàn toàn thụ động, có thể thụ động nắm bắt lưu lượng trên mạng. Nó thường được sử dụng để giám sát lưu lượng giữa hai điểm trong mạng. Nếu mạng giữa hai điểm này bao gồm cáp vật lý, TAP mạng có thể là cách tốt nhất để nắm bắt lưu lượng.
Trước khi giải thích sự khác biệt giữa hai giải pháp (Port Mirror và Network Tap), điều quan trọng là phải hiểu cách Ethernet hoạt động. Ở 100Mbit trở lên, các máy chủ thường nói ở chế độ full duplex, nghĩa là một máy chủ có thể gửi (Tx) và nhận (Rx) cùng lúc. Điều này có nghĩa là trên cáp 100 Mbit được kết nối với một máy chủ, tổng lượng lưu lượng mạng mà một máy chủ có thể gửi/nhận (Tx/Rx)) là 2 × 100 Mbit = 200 Mbit.
Phản chiếu cổng là quá trình sao chép gói tin chủ động, nghĩa là thiết bị mạng có trách nhiệm vật lý trong việc sao chép gói tin vào cổng được phản chiếu.
Thu thập lưu lượng truy cập: TAP so với SPAN
Khi giám sát lưu lượng mạng, nếu bạn không muốn vận hành hỗ trợ trực tiếp trong khi người dùng đang xử lý giao dịch, bạn có hai lựa chọn chính. Trong bài viết sau, chúng tôi sẽ cung cấp tổng quan về TAP (Điểm truy cập thử nghiệm) và SPAN (Bộ phân tích cổng chuyển mạch). Để phân tích sâu hơn, chuyên gia kiểm tra gói tin Timo'Neill có một số bài viết tại lovemytool.com đi sâu vào chi tiết, nhưng ở đây, chúng tôi sẽ áp dụng cách tiếp cận tổng quát hơn.
KHOẢNG CÁCH
Phản chiếu cổng là phương pháp giám sát lưu lượng mạng bằng cách chuyển tiếp một bản sao của mỗi gói tin đến và/hoặc đi từ một hoặc nhiều cổng (hoặc VLans) của một thiết bị chuyển mạch đến một cổng khác được kết nối với một trình phân tích lưu lượng mạng. Các khoảng cách thường được sử dụng trong các hệ thống đơn giản hơn để giám sát nhiều trang web cùng một lúc. Số lượng chính xác các lần truyền mạng mà nó có thể giám sát phụ thuộc vào vị trí SPAN được cài đặt so với thiết bị trung tâm dữ liệu. Bạn có thể sẽ tìm thấy những gì bạn đang tìm kiếm, nhưng rất dễ thấy mình có quá nhiều dữ liệu. Ví dụ: có thể tìm thấy nhiều bản sao của cùng một dữ liệu trên toàn bộ VLAN. Điều này làm cho việc khắc phục sự cố LAN trở nên khó khăn hơn và cũng ảnh hưởng đến tốc độ của CPU chuyển mạch hoặc ảnh hưởng đến Ethernet thông qua phát hiện vị trí. Về cơ bản, càng nhiều khoảng cách thì khả năng mất gói tin càng cao. So với tap, các khoảng cách có thể được quản lý từ xa, nghĩa là ít thời gian hơn dành cho việc thay đổi cấu hình, nhưng vẫn cần đến các kỹ sư mạng.
Cổng SPAN không phải là công nghệ thụ động như một số người khẳng định, vì chúng có thể có những tác động có thể đo lường được khác đến lưu lượng mạng, bao gồm:
- Thời gian thay đổi tương tác khung
- Loại bỏ các gói tin do tra cứu quá nhiều
- Các gói tin bị hỏng bị loại bỏ mà không được thông báo, cản trở việc phân tích
Do đó, cổng SPAN phù hợp hơn với những tình huống mà việc loại bỏ các gói tin không ảnh hưởng đến quá trình phân tích hoặc khi cần cân nhắc đến chi phí.
VỖ NHẸ
Ngược lại, tap cần phải chi tiền cho phần cứng ngay từ đầu, nhưng chúng không yêu cầu nhiều thiết lập. Thật vậy, vì chúng thụ động, chúng có thể được kết nối và ngắt kết nối khỏi mạng mà không ảnh hưởng đến mạng. Tap là thiết bị phần cứng cung cấp một cách để truy cập dữ liệu chảy qua mạng máy tính và thường được sử dụng cho mục đích bảo mật mạng và giám sát hiệu suất. Lưu lượng được giám sát được gọi là lưu lượng "truyền qua" và cổng được sử dụng để giám sát được gọi là "cổng giám sát". Để thăm dò mạng rõ ràng hơn, tap có thể được đặt giữa các bộ định tuyến và bộ chuyển mạch.
Vì TAP không ảnh hưởng đến các gói tin nên có thể xem đây là một cách thực sự thụ động để xem lưu lượng mạng.
Về cơ bản có ba loại giải pháp TAP:
- Bộ chia mạng (1 : 1)
- TAP tổng hợp (nhiều : 1)
- TAP tái sinh (1 : nhiều)
TAP sao chép lưu lượng truy cập đến một công cụ giám sát thụ động duy nhất hoặc đến một thiết bị chuyển tiếp gói tin mạng mật độ cao và phục vụ nhiều (thường là nhiều) công cụ kiểm tra QOS, công cụ giám sát mạng và công cụ đánh hơi mạng như wireshark.
Ngoài ra, các loại TAP khác nhau tùy thuộc vào loại cáp, bao gồm TAP sợi quang và TAP đồng gigabit, cả hai đều hoạt động theo cùng một cách về cơ bản bằng cách chuyển một phần tín hiệu đến bộ phân tích lưu lượng mạng, trong khi mô hình chính vẫn tiếp tục truyền mà không bị gián đoạn. Đối với TAP sợi quang, nó chia chùm tia thành hai, trong khi trong hệ thống cáp đồng, nó sao chép tín hiệu điện.
So sánh TAP và SPAN
Đầu tiên, cổng SPAN không phù hợp với liên kết 1G song công hoàn toàn và ngay cả khi dưới công suất tối đa của nó, nó vẫn nhanh chóng loại bỏ các gói tin vì quá tải hoặc đơn giản là vì bộ chuyển mạch ưu tiên các ngày cổng-đến-cổng thông thường hơn dữ liệu cổng SPAN. Không giống như các vòi mạng, các cổng SPAN lọc ra các lỗi lớp vật lý, khiến một số loại phân tích trở nên khó khăn hơn và như chúng ta đã thấy, thời gian gia số không chính xác và các khung thay đổi có thể gây ra các vấn đề khác. Mặt khác, TAP có thể vận hành liên kết 1G song công hoàn toàn.
TAP cũng có thể thực hiện việc bắt gói tin hoàn chỉnh và thực hiện kiểm tra gói tin chuyên sâu để tìm giao thức, vi phạm, xâm nhập, v.v. Do đó, dữ liệu TAP có thể được sử dụng làm bằng chứng trước tòa, trong khi dữ liệu cổng SPAN thì không.
Bảo mật là một khía cạnh khác có sự khác biệt giữa hai kỹ thuật. Các cổng SPAN thường được cấu hình để giao tiếp một chiều, nhưng chúng cũng có thể nhận giao tiếp trong một số trường hợp, gây ra các lỗ hổng nghiêm trọng. Ngược lại, TAP không thể định địa chỉ và không có địa chỉ IP, do đó không thể bị hack.
Các cổng SPAN thường không vượt qua thẻ VLAN, điều này có thể gây khó khăn cho việc phát hiện lỗi VLAN, nhưng các tap không thể nhìn thấy toàn bộ mạng VLAN cùng một lúc. Nếu không sử dụng các tap tổng hợp, TAP sẽ không cung cấp cùng một dấu vết cho cả hai kênh, nhưng phải cẩn thận khi phát hiện quá mức. Có các tap tổng hợp, chẳng hạn như Booster for Profitap, tổng hợp tám cổng 10/100/1G trong đầu ra 1G-10G.
Booster có thể nhập các gói tin bằng cách chèn thẻ VLAN. Theo cách này, thông tin cổng nguồn của mỗi gói tin sẽ được chuyển tiếp đến máy phân tích.
Cổng SPAN vẫn là một công cụ mà quản trị viên mạng sẽ sử dụng, nhưng nếu tốc độ và khả năng truy cập đáng tin cậy vào tất cả dữ liệu mạng là quan trọng, thì TAP là lựa chọn tốt hơn. Khi quyết định phương pháp tiếp cận nào, cổng SPAN phù hợp hơn với các mạng có mức sử dụng thấp, vì các gói tin bị mất không ảnh hưởng đến quá trình phân tích hoặc là tùy chọn trong trường hợp chi phí là mối quan tâm. Tuy nhiên, trên các mạng có lưu lượng truy cập cao, khả năng, bảo mật và độ tin cậy của TAP sẽ cung cấp khả năng hiển thị đầy đủ lưu lượng truy cập trên mạng của bạn mà không sợ mất gói tin hoặc lọc ra các lỗi lớp vật lý.
○ Hiển thị đầy đủ
○ Sao chép toàn bộ lưu lượng (tất cả các gói tin ở mọi kích cỡ và loại)
○ Thụ động, không xâm lấn (không thay đổi dữ liệu)
○ Trong chuỗi, không có cổng chuyển mạch nào được sử dụng để sao chép lưu lượng song công trong các dây nịt Thiết lập dễ dàng (cắm và chạy)
○ Không dễ bị tin tặc tấn công (thiết bị giám sát vô hình, tách biệt khỏi mạng, không có địa chỉ IP/MAC)
○ Có thể mở rộng
○ Phù hợp với mọi tình huống
○ Khả năng hiển thị một phần
○ Không sao chép toàn bộ lưu lượng (loại bỏ một số kích thước và loại gói tin nhất định)
○ Không thụ động (thay đổi thời gian gói tin, tăng độ trễ)
○ Sử dụng cổng chuyển mạch (mỗi cổng SPAN sử dụng một cổng chuyển mạch)
○ Không thể xử lý giao tiếp song công hoàn toàn (các gói tin bị loại bỏ khi quá tải, cũng có thể gây trở ngại cho hoạt động của bộ chuyển mạch chính)
○ Các kỹ sư cần cấu hình
○ Không an toàn (Hệ thống giám sát là một phần của mạng, có khả năng xảy ra sự cố bảo mật)
○ Không thể mở rộng quy mô
○ Chỉ khả thi trong một số trường hợp nhất định
Bạn có thể quan tâm đến bài viết liên quan: Làm thế nào để nắm bắt lưu lượng mạng? Network Tap so với Port Mirror
Thời gian đăng: 09-06-2025
