Sự khác biệt chính giữa việc bắt gói tin bằng cổng Network TAP và SPAN.
Phản chiếu cổng(còn được gọi là SPAN)
Mạng Tap(còn được gọi là Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, v.v.)TAP (Điểm truy cập thiết bị đầu cuối)là một thiết bị phần cứng hoàn toàn thụ động, có thể thu thập lưu lượng mạng một cách thụ động. Thiết bị này thường được sử dụng để giám sát lưu lượng giữa hai điểm trong mạng. Nếu mạng giữa hai điểm này được kết nối bằng cáp vật lý, TAP mạng có thể là giải pháp tốt nhất để thu thập lưu lượng.
Trước khi giải thích sự khác biệt giữa hai giải pháp (Port Mirror và Network Tap), điều quan trọng là phải hiểu cách thức hoạt động của Ethernet. Ở tốc độ 100 Mbit trở lên, các máy chủ thường giao tiếp ở chế độ song công hoàn toàn, nghĩa là một máy chủ có thể gửi (Tx) và nhận (Rx) cùng lúc. Điều này có nghĩa là trên cáp 100 Mbit được kết nối với một máy chủ, tổng lưu lượng mạng mà một máy chủ có thể gửi/nhận (Tx/Rx)) là 2 × 100 Mbit = 200 Mbit.
Phản chiếu cổng là quá trình sao chép gói tin chủ động, nghĩa là thiết bị mạng có trách nhiệm vật lý trong việc sao chép gói tin vào cổng được phản chiếu.
Ghi lại lưu lượng truy cập: TAP so với SPAN
Khi giám sát lưu lượng mạng, nếu bạn không muốn triển khai hỗ trợ trực tiếp trong khi người dùng đang xử lý giao dịch, bạn có hai lựa chọn chính. Trong bài viết sau, chúng tôi sẽ cung cấp tổng quan về TAP (Điểm truy cập kiểm tra) và SPAN (Trình phân tích cổng chuyển mạch). Để phân tích sâu hơn, chuyên gia kiểm tra gói tin Timo'Neill có một số bài viết tại lovemytool.com đi sâu vào chi tiết, nhưng ở đây, chúng tôi sẽ áp dụng cách tiếp cận tổng quát hơn.
KHOẢNG CÁCH
Phản chiếu cổng là một phương pháp giám sát lưu lượng mạng bằng cách chuyển tiếp một bản sao của mỗi gói tin đến và/hoặc đi từ một hoặc nhiều cổng (hoặc VLans) của một thiết bị chuyển mạch đến một cổng khác được kết nối với một bộ phân tích lưu lượng mạng. Span thường được sử dụng trong các hệ thống đơn giản hơn để giám sát nhiều trang web cùng một lúc. Số lượng chính xác các lần truyền mạng mà nó có thể giám sát phụ thuộc vào vị trí SPAN được cài đặt so với thiết bị trung tâm dữ liệu. Bạn có thể sẽ tìm thấy những gì bạn đang tìm kiếm, nhưng rất dễ thấy mình có quá nhiều dữ liệu. Ví dụ: có thể tìm thấy nhiều bản sao của cùng một dữ liệu trên toàn bộ VLAN. Điều này làm cho việc khắc phục sự cố mạng LAN trở nên khó khăn hơn và cũng ảnh hưởng đến tốc độ của CPU chuyển mạch hoặc ảnh hưởng đến Ethernet thông qua phát hiện vị trí. Về cơ bản, càng nhiều span, khả năng mất gói tin càng cao. So với tap, span có thể được quản lý từ xa, nghĩa là ít thời gian hơn để thay đổi cấu hình, nhưng vẫn cần có kỹ sư mạng.
Cổng SPAN không phải là công nghệ thụ động như một số người khẳng định, vì chúng có thể có những tác động có thể đo lường được khác đến lưu lượng mạng, bao gồm:
- Thời gian để thay đổi tương tác khung
- Loại bỏ các gói tin do tra cứu quá nhiều
- Các gói tin bị hỏng bị loại bỏ mà không báo trước, cản trở việc phân tích
Do đó, cổng SPAN phù hợp hơn với những tình huống mà việc loại bỏ các gói tin không ảnh hưởng đến quá trình phân tích hoặc khi cần cân nhắc đến chi phí.
VỖ NHẸ
Ngược lại, các thiết bị tap cần phải đầu tư phần cứng ngay từ đầu, nhưng lại không yêu cầu thiết lập nhiều. Thực tế, vì chúng thụ động, nên có thể được kết nối và ngắt kết nối khỏi mạng mà không ảnh hưởng đến mạng. Tap là thiết bị phần cứng cung cấp phương thức truy cập dữ liệu truyền qua mạng máy tính và thường được sử dụng cho mục đích bảo mật mạng và giám sát hiệu suất. Lưu lượng được giám sát được gọi là lưu lượng "truyền qua" (pass-through) và cổng được sử dụng để giám sát được gọi là "cổng giám sát". Để thăm dò mạng rõ ràng hơn, các thiết bị tap có thể được đặt giữa các bộ định tuyến và bộ chuyển mạch.
Vì TAP không ảnh hưởng đến các gói tin nên có thể coi đây là cách thực sự thụ động để xem lưu lượng mạng.
Về cơ bản có ba loại giải pháp TAP:
- Bộ chia mạng (1 : 1)
- TAP tổng hợp (nhiều : 1)
- TAP tái tạo (1 : nhiều)
TAP sao chép lưu lượng truy cập đến một công cụ giám sát thụ động duy nhất hoặc đến một thiết bị chuyển tiếp gói tin mạng mật độ cao và phục vụ nhiều (thường là nhiều) công cụ kiểm tra QOS, công cụ giám sát mạng và công cụ đánh hơi mạng như wireshark.
Ngoài ra, các loại TAP khác nhau tùy thuộc vào loại cáp, bao gồm TAP cáp quang và TAP cáp đồng gigabit, cả hai đều hoạt động về cơ bản giống nhau bằng cách chuyển một phần tín hiệu sang bộ phân tích lưu lượng mạng, trong khi mô hình chính vẫn tiếp tục truyền tải mà không bị gián đoạn. Đối với TAP cáp quang, nó có chức năng chia chùm tia thành hai, trong khi ở hệ thống cáp đồng, nó có chức năng sao chép tín hiệu điện.
So sánh TAP và SPAN
Đầu tiên, cổng SPAN không phù hợp với liên kết 1G full-duplex, và ngay cả khi dưới công suất tối đa, nó vẫn nhanh chóng loại bỏ các gói tin do quá tải, hoặc đơn giản là do bộ chuyển mạch ưu tiên ngày cổng-đến-cổng thông thường hơn dữ liệu cổng SPAN. Không giống như các tap mạng, cổng SPAN lọc bỏ các lỗi lớp vật lý, khiến một số loại phân tích trở nên khó khăn hơn, và như chúng ta đã thấy, thời gian tăng không chính xác và các khung bị thay đổi có thể gây ra các vấn đề khác. Mặt khác, TAP có thể vận hành liên kết 1G full-duplex.
TAP cũng có thể thực hiện việc bắt gói tin hoàn chỉnh và kiểm tra gói tin chuyên sâu để tìm giao thức, vi phạm, xâm nhập, v.v. Do đó, dữ liệu TAP có thể được sử dụng làm bằng chứng trước tòa, trong khi dữ liệu cổng SPAN thì không.
Bảo mật là một khía cạnh khác biệt giữa hai kỹ thuật này. Cổng SPAN thường được cấu hình cho giao tiếp một chiều, nhưng trong một số trường hợp, chúng cũng có thể nhận giao tiếp, gây ra các lỗ hổng nghiêm trọng. Ngược lại, TAP không thể định địa chỉ và không có địa chỉ IP, vì vậy không thể bị tấn công.
Các cổng SPAN thường không truyền thẻ VLAN, điều này có thể gây khó khăn cho việc phát hiện lỗi VLAN, nhưng các tap không thể nhìn thấy toàn bộ mạng VLAN cùng một lúc. Nếu không sử dụng các tap tổng hợp, TAP sẽ không cung cấp cùng một dấu vết cho cả hai kênh, nhưng cần cẩn thận khi phát hiện tình trạng quá tải. Có các tap tổng hợp, chẳng hạn như Booster for Profitap, cho phép tổng hợp tám cổng 10/100/1G thành đầu ra 1G-10G.
Booster có thể nhập các gói tin bằng cách chèn thẻ VLAN. Bằng cách này, thông tin cổng nguồn của mỗi gói tin sẽ được chuyển tiếp đến bộ phân tích.
Cổng SPAN vẫn là một công cụ mà quản trị viên mạng sẽ sử dụng, nhưng nếu tốc độ và khả năng truy cập đáng tin cậy vào tất cả dữ liệu mạng là yếu tố quan trọng, TAP là lựa chọn tốt hơn. Khi quyết định phương pháp nào nên áp dụng, cổng SPAN phù hợp hơn với các mạng có mức sử dụng thấp, vì việc mất gói tin không ảnh hưởng đến việc phân tích hoặc là tùy chọn trong trường hợp chi phí là vấn đề đáng quan tâm. Tuy nhiên, trên các mạng có lưu lượng truy cập cao, dung lượng, tính bảo mật và độ tin cậy của TAP sẽ cung cấp khả năng hiển thị đầy đủ lưu lượng truy cập trên mạng của bạn mà không lo mất gói tin hoặc lọc bỏ các lỗi lớp vật lý.
○ Hiển thị đầy đủ
○ Sao chép toàn bộ lưu lượng (tất cả các gói tin với mọi kích cỡ và loại)
○ Thụ động, không xâm lấn (không thay đổi dữ liệu)
○ Trong chuỗi, không có cổng chuyển mạch nào được sử dụng để sao chép lưu lượng song công trong các dây nịt Dễ dàng thiết lập (cắm và chạy)
○ Không dễ bị tin tặc tấn công (thiết bị giám sát vô hình, tách biệt khỏi mạng, không có địa chỉ IP/MAC)
○ Có thể mở rộng
○ Phù hợp với mọi tình huống
○ Tầm nhìn hạn chế
○ Không sao chép toàn bộ lưu lượng (bỏ qua một số kích thước và loại gói tin nhất định)
○ Không thụ động (thay đổi thời gian gói tin, tăng độ trễ)
○ Sử dụng cổng chuyển mạch (mỗi cổng SPAN sử dụng một cổng chuyển mạch)
○ Không thể xử lý giao tiếp song công hoàn toàn (các gói tin bị loại bỏ khi quá tải, cũng có thể gây trở ngại cho hoạt động của bộ chuyển mạch chính)
○ Các kỹ sư cần cấu hình
○ Không an toàn (Hệ thống giám sát là một phần của mạng, có khả năng xảy ra sự cố bảo mật)
○ Không thể mở rộng
○ Chỉ khả thi trong một số trường hợp nhất định
Bạn có thể quan tâm đến bài viết liên quan: Làm thế nào để nắm bắt lưu lượng mạng? Network Tap so với Port Mirror
Thời gian đăng: 09-06-2025
