ההבדל העיקרי בין לכידת חבילות באמצעות פורטים של Network TAP ו-SPAN.
שיקוף פורטים(ידוע גם בשם SPAN)
הקש על רשת(ידוע גם בשם Tap Replication, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap וכו')TAP (נקודת גישה למסוף)הוא התקן חומרה פסיבי לחלוטין, שיכול ללכוד באופן פסיבי תעבורה ברשת. הוא משמש בדרך כלל לניטור התעבורה בין שתי נקודות ברשת. אם הרשת בין שתי נקודות אלו מורכבת מכבל פיזי, רשת TAP עשויה להיות הדרך הטובה ביותר ללכוד תעבורה.
לפני שנסביר את ההבדלים בין שני הפתרונות (Port Mirror ו-Network Tap), חשוב להבין כיצד פועל ה-Ethernet. ב-100Mbit ומעלה, מארחים בדרך כלל מדברים ב-full duplex, כלומר מארח אחד יכול לשלוח (Tx) ולקבל (Rx) בו זמנית. משמעות הדבר היא שעל כבל 100Mbit המחובר למארח אחד, הכמות הכוללת של תעבורת הרשת שמארח אחד יכול לשלוח/לקבל (Tx/Rx) היא 2 × 100 Mbit = 200 Mbit.
שיקוף פורטים הוא שכפול חבילות אקטיבי, מה שאומר שהתקן הרשת אחראי פיזית על העתקת החבילה לפורט המשוקף.
לכידת תנועה: TAP לעומת SPAN
בעת ניטור תעבורת רשת, אם אינך מעוניין להפעיל את התמיכה ישירות בזמן שמשתמש מעבד עסקה, עומדות בפניך שתי אפשרויות עיקריות. במאמר הבא, נספק סקירה כללית של TAP (Test Access Point) ו-SPAN (Switch Port Analyzer). לניתוח מעמיק יותר, מומחה בדיקת החבילות טימו'ניל פרסם מספר מאמרים באתר lovemytool.com הנכנסים לפרטים רבים, אך כאן ננקוט בגישה כללית יותר.
לְהַקִיף
שיקוף פורטים הוא שיטה לניטור תעבורת רשת על ידי העברת עותק של כל חבילה נכנסת ו/או יוצאת מפורטת אחת או יותר (או VLAN) של מתג לפורט אחר המחובר למנתח תעבורת רשת. Span משמשים לעתים קרובות במערכות פשוטות יותר כדי לנטר אתרים מרובים בו זמנית. המספר המדויק של שידורי רשת שהוא מסוגל לנטר תלוי במקום שבו ה-SPAN מותקן ביחס לציוד מרכז הנתונים. סביר להניח שתמצא את מה שאתה מחפש, אך קל למצוא את עצמך עם יותר מדי נתונים. לדוגמה, ניתן למצוא עותקים מרובים של אותם נתונים על פני VLAN שלם. זה מקשה על פתרון בעיות LAN, וגם משפיע על מהירות מעבדי המתג או משפיע על ה-Ethernet באמצעות זיהוי מיקום. בעיקרון, ככל שיש יותר spans, כך גדל הסיכוי לאבד מנות. בהשוואה ל-taps, ניתן לנהל spans מרחוק, מה שאומר שפחות זמן מושקע בשינוי תצורות, אך עדיין נדרשים מהנדסי רשת.
פורטי SPAN אינם טכנולוגיה פסיבית, כפי שטוענים חלק, מכיוון שיכולות להיות להם השפעות מדידות אחרות על תעבורת הרשת, כולל:
- הגיע הזמן לשנות את האינטראקציה עם המסגרת
- נפילת חבילות עקב חיפושים מוגזמים
- חבילות פגומות נשמטות ללא הודעה מוקדמת, מה שפוגע בניתוח
לכן, פורטים של SPAN מתאימים יותר למצבים שבהם שחרור חבילות אינו משפיע על הניתוח, או כאשר עלות נלקחת בחשבון.
בֶּרֶז
לעומת זאת, נתבים (taps) דורשים הוצאה כספית מראש על חומרה, אך הם אינם דורשים התקנה רבה. למעשה, מכיוון שהם פסיביים, ניתן לחבר אותם ולנתק אותם מהרשת מבלי להשפיע עליה. נתבים (taps) הם התקני חומרה המספקים דרך גישה לנתונים הזורמים דרך רשת מחשבים ומשמשים בדרך כלל למטרות אבטחת רשת וניטור ביצועים. התעבורה המנוטרת נקראת תעבורת "מעבר" והפורט המשמש לניטור נקרא "פורט ניטור". כדי לבדוק את הרשת בצורה ברורה יותר, ניתן למקם נתבים (taps) בין נתבים למתגים.
מכיוון ש-TAP אינו משפיע על חבילות, ניתן לראות בו דרך פסיבית באמת לצפות בתעבורת רשת.
ישנם בעיקרון שלושה סוגים של פתרונות TAP:
- מפצל רשת (1:1)
- TAP מצרפי (רב : 1)
- ברז התחדשות (1: רב)
TAP משכפל תעבורה לכלי ניטור פסיבי יחיד, או להתקן ממסר חבילות רשת בצפיפות גבוהה, ומשרת כלי בדיקת QOS מרובים (לעתים קרובות מרובים), כלי ניטור רשת וכלי גישוש רשת כמו Wireshark.
בנוסף, סוגי TAP משתנים בהתאם לסוג הכבל, כולל TAP של סיב אופטי ו-TAP של נחושת בג'יגה-ביט, שניהם פועלים באופן דומה על ידי העברת חלק מהאות למנתח תעבורת הרשת, בעוד שהדגם הראשי ממשיך לשדר ללא הפרעה. עבור TAP של סיב אופטי, זהו פיצול הקרן לשניים, בעוד שבמערכת כבלי נחושת, זהו פיצול האות החשמלי.
השוואה בין TAP ו-SPAN
ראשית, פורט SPAN אינו מתאים לקישור 1G דו-צדדי מלא, ואפילו כאשר הוא מתחת לקיבולת המקסימלית שלו, הוא משליך במהירות חבילות מכיוון שהוא עמוס יתר על המידה, או פשוט מכיוון שהמתג נותן עדיפות לתאריכי יציאה ליציאה רגילים על פני נתוני יציאת SPAN. שלא כמו ניתוקי רשת, פורטי SPAN מסננים שגיאות בשכבה הפיזית, מה שמקשה על סוגים מסוימים של ניתוח, וכפי שראינו, זמני תוספת שגויים ומסגרות שהשתנו עלולים לגרום לבעיות אחרות. מצד שני, TAP יכול להפעיל קישור 1G דו-צדדי מלא.
TAP יכול גם לבצע לכידת חבילות מלאה ולבצע בדיקת חבילות מעמיקה עבור פרוטוקולים, הפרות, חדירות וכו'. לפיכך, נתוני TAP יכולים לשמש כראיה בבית משפט, בעוד שנתוני יציאת SPAN אינם יכולים.
אבטחה היא היבט נוסף שבו ישנם הבדלים בין שתי הטכניקות. פורטי SPAN מוגדרים בדרך כלל לתקשורת חד-כיוונית, אך הם יכולים גם לקבל תקשורת במקרים מסוימים, מה שגורם לפגיעויות חמורות. לעומת זאת, TAP אינו ניתן לכתובת ואין לו כתובת IP, כך שלא ניתן לפרוץ אותו.
פורטי SPAN בדרך כלל אינם מעבירים תגי VLAN, מה שיכול להקשות על זיהוי כשלים ב-VLAN, אך טאצ'ים (TAPs) אינם יכולים לראות את כל רשת ה-VLAN בבת אחת. אם לא משתמשים בטאצ'ים מצרפיים (aggregated taps), ה-TAP לא יספק את אותו המעקב עבור שני הערוצים, אך יש לנקוט משנה זהירות בזיהוי עודף. ישנם טאצ'ים מצרפיים, כגון Booster for Profitap, אשר צוברים שמונה פורטי 10/100/1G בפלט 1G-10G.
Booster מסוגל להזין חבילות על ידי הוספת תגי VLAN. בדרך זו, פרטי יציאת המקור של כל חבילה יועברו למנתח.
פורטי SPAN עדיין משמשים מנהלי רשת, אך אם מהירות וגישה אמינה לכל נתוני הרשת הן קריטיות, TAP היא הבחירה הטובה יותר. כאשר מחליטים באיזו גישה לנקוט, פורטי SPAN מתאימים יותר לרשתות עם ניצול נמוך, מכיוון שאובדן חבילות אינו משפיע על הניתוח או שהן אופציונליות במקרים בהם העלות מהווה דאגה. עם זאת, ברשתות עם תעבורה גבוהה, הקיבולת, האבטחה והאמינות של TAP יספקו נראות מלאה לתעבורה ברשת שלך ללא חשש מאובדן חבילות או סינון שגיאות בשכבה הפיזית.
○ גלוי לחלוטין
○ שכפול כל התעבורה (כל החבילות מכל הגדלים והסוגים)
○ פסיבי, לא פולשני (לא משנה נתונים)
○ בטור, אין יציאות מתג בשימוש כדי לשכפל תעבורה דו-צדדית מלאה בצמות. התקנה קלה (חבר והפעל).
○ לא פגיע להאקרים (מכשיר ניטור בלתי נראה, מבודד מהרשת, ללא כתובת IP/MAC)
○ ניתן להרחבה
○ מתאים לכל סיטואציה
○ ראות חלקית
○ אי העתקת כל התעבורה (הסרת גדלים וסוגים מסוימים של חבילות)
○ לא פסיבי (שינוי תזמון חבילות, הגדלת זמן השהייה)
○ השתמש ביציאת מתג (כל יציאת SPAN משתמשת ביציאת מתג)
○ לא ניתן לטפל בתקשורת דו-צדדית מלאה (חבילות נופלות בעת עומס יתר, עלולות גם להפריע לפעולת המתג הראשי)
○ מהנדסים צריכים להגדיר
○ לא בטוח (מערכת הניטור היא חלק מהרשת, בעיות אבטחה אפשריות)
○ לא ניתן להרחבה
○ אפשרי רק בנסיבות מסוימות
אולי יעניין אותך המאמר הרלוונטי: כיצד ללכוד תעבורת רשת? Network Tap לעומת Port Mirror
זמן פרסום: 09 ביוני 2025
