تفاوت اصلی بین ضبط بستهها با استفاده از پورتهای Network TAP و SPAN.
آینه کاری بندر(همچنین به عنوان SPAN شناخته میشود)
شیر شبکه(همچنین با نامهای Replication Tap، Aggregation Tap، Active Tap، Copper Tap، Ethernet Tap و غیره شناخته میشود.)TAP (نقطه دسترسی ترمینال)یک دستگاه سختافزاری کاملاً غیرفعال است که میتواند ترافیک شبکه را به صورت غیرفعال ضبط کند. معمولاً برای نظارت بر ترافیک بین دو نقطه در شبکه استفاده میشود. اگر شبکه بین این دو نقطه از یک کابل فیزیکی تشکیل شده باشد، یک TAP شبکه ممکن است بهترین راه برای ضبط ترافیک باشد.
قبل از توضیح تفاوتهای بین دو راهکار (Port Mirror و Network Tap)، درک نحوهی کار اترنت مهم است. در سرعتهای ۱۰۰ مگابیت و بالاتر، میزبانها معمولاً به صورت کاملاً دوطرفه (full duplex) ارتباط برقرار میکنند، به این معنی که یک میزبان میتواند همزمان ارسال (Tx) و دریافت (Rx) داشته باشد. این بدان معناست که در یک کابل ۱۰۰ مگابیتی متصل به یک میزبان، کل ترافیک شبکهای که یک میزبان میتواند ارسال/دریافت (Tx/Rx) کند، ۲ × ۱۰۰ مگابیت = ۲۰۰ مگابیت است.
Port mirroring یک تکثیر فعال بسته است، به این معنی که دستگاه شبکه از نظر فیزیکی مسئول کپی کردن بسته به پورت mirror شده است.
جذب ترافیک: TAP در مقابل SPAN
هنگام نظارت بر ترافیک شبکه، اگر نمیخواهید پشتیبانی را مستقیماً در حالی که کاربر در حال پردازش تراکنش است، عملیاتی کنید، دو گزینه اصلی دارید. در مقاله زیر، مروری بر TAP (نقطه دسترسی آزمایشی) و SPAN (آنالیزور پورت سوئیچ) خواهیم داشت. برای تجزیه و تحلیل عمیقتر، متخصص بازرسی بسته، تیمونیل، مقالات متعددی در lovemytool.com دارد که به جزئیات زیادی میپردازند، اما در اینجا، ما رویکرد کلیتری را در پیش خواهیم گرفت.
اسپان
Port Mirroring روشی برای نظارت بر ترافیک شبکه است که با ارسال یک کپی از هر بسته ورودی و/یا خروجی از یک یا چند پورت (یا VLans) یک سوئیچ به پورت دیگری که به یک تحلیلگر ترافیک شبکه متصل است، انجام میشود. Spanها اغلب در سیستمهای سادهتر برای نظارت همزمان بر چندین سایت استفاده میشوند. تعداد دقیق انتقالهای شبکهای که Span قادر به نظارت بر آن است، به محل نصب SPAN نسبت به تجهیزات مرکز داده بستگی دارد. احتمالاً آنچه را که به دنبال آن هستید پیدا خواهید کرد، اما به راحتی میتوانید خود را با دادههای بیش از حد پیدا کنید. به عنوان مثال، میتوان چندین کپی از همان دادهها را در کل یک VLAN پیدا کرد. این امر عیبیابی LAN را دشوارتر میکند و همچنین بر سرعت پردازندههای سوئیچ تأثیر میگذارد یا از طریق تشخیص محل قرارگیری، بر اترنت تأثیر میگذارد. اساساً، هرچه Spanهای بیشتری وجود داشته باشد، احتمال از دست دادن بستهها بیشتر است. در مقایسه با Tapها، Spanها را میتوان از راه دور مدیریت کرد، به این معنی که زمان کمتری برای تغییر پیکربندی صرف میشود، اما هنوز به مهندسان شبکه نیاز است.
پورتهای SPAN برخلاف ادعای برخی، یک فناوری غیرفعال نیستند، زیرا میتوانند تأثیرات قابل اندازهگیری دیگری بر ترافیک شبکه داشته باشند، از جمله:
- زمان تغییر تعامل قاب
- از دست دادن بستهها به دلیل جستجوهای بیش از حد
بستههای خراب بدون اطلاع قبلی حذف میشوند و مانع از تجزیه و تحلیل میشوند.
بنابراین، پورتهای SPAN برای موقعیتهایی که حذف بستهها تأثیری بر تحلیل ندارد، یا جایی که هزینه در نظر گرفته میشود، مناسبتر هستند.
شیر
در مقابل، Tapها نیاز به صرف هزینه برای سختافزار از قبل دارند، اما به تنظیمات زیادی نیاز ندارند. در واقع، از آنجایی که غیرفعال هستند، میتوانند بدون تأثیر بر شبکه به آن متصل و جدا شوند. Tapها دستگاههای سختافزاری هستند که راهی برای دسترسی به دادههای جاری در یک شبکه کامپیوتری فراهم میکنند و معمولاً برای اهداف امنیت شبکه و نظارت بر عملکرد استفاده میشوند. ترافیک نظارت شده، ترافیک "عبور" نامیده میشود و پورتی که برای نظارت استفاده میشود، "پورت نظارت" نامیده میشود. برای بررسی دقیقتر شبکه، Tapها را میتوان بین روترها و سوئیچها قرار داد.
از آنجا که TAP روی بستهها تأثیری نمیگذارد، میتوان آن را به عنوان یک روش واقعاً غیرفعال برای مشاهده ترافیک شبکه در نظر گرفت.
اساساً سه نوع راهحل TAP وجود دارد:
- تقسیم کننده شبکه (1:1)
- جمع کل (چند: 1)
- شیر بازسازی (1: چند)
TAP ترافیک را به یک ابزار مانیتورینگ غیرفعال یا به یک دستگاه رله بسته شبکه با چگالی بالا تکرار میکند و به چندین (اغلب چندین) ابزار تست QOS، ابزارهای مانیتورینگ شبکه و ابزارهای شنود شبکه مانند wireshark سرویس میدهد.
علاوه بر این، انواع TAP بسته به نوع کابل متفاوت است، از جمله TAP فیبری و TAP مسی گیگابیت، که هر دو اساساً به یک روش کار میکنند و بخشی از سیگنال را به تحلیلگر ترافیک شبکه منتقل میکنند، در حالی که مدل اصلی بدون وقفه به انتقال ادامه میدهد. برای TAP فیبری، هدف تقسیم پرتو به دو قسمت است، در حالی که در سیستم کابل مسی، هدف تکثیر سیگنال الکتریکی است.
مقایسه TAP و SPAN
اول اینکه، پورت SPAN برای یک لینک 1G فول داپلکس مناسب نیست و حتی وقتی کمتر از حداکثر ظرفیت خود باشد، به سرعت بستهها را از دست میدهد زیرا بیش از حد بارگذاری شده است، یا به این دلیل ساده که سوئیچ، تاریخهای منظم پورت به پورت را بر دادههای پورت SPAN اولویت میدهد. برخلاف tapهای شبکه، پورتهای SPAN خطاهای لایه فیزیکی را فیلتر میکنند و برخی از انواع تحلیلها را دشوارتر میکنند و همانطور که دیدهایم، زمانهای افزایش نادرست و فریمهای تغییر یافته میتوانند مشکلات دیگری ایجاد کنند. از سوی دیگر، TAP میتواند یک لینک 1G فول داپلکس را اجرا کند.
TAP همچنین میتواند بستهها را به طور کامل ضبط کرده و بازرسی عمیقی از بستهها برای یافتن پروتکلها، تخلفات، نفوذها و غیره انجام دهد. بنابراین، دادههای TAP میتوانند به عنوان مدرک در دادگاه استفاده شوند، در حالی که دادههای پورت SPAN نمیتوانند.
امنیت جنبه دیگری است که در آن تفاوتهایی بین این دو تکنیک وجود دارد. پورتهای SPAN معمولاً برای ارتباط یک طرفه پیکربندی میشوند، اما در برخی موارد میتوانند ارتباط را نیز دریافت کنند که باعث آسیبپذیریهای جدی میشود. در مقابل، TAP آدرسپذیر نیست و آدرس IP ندارد، بنابراین نمیتوان آن را هک کرد.
پورتهای SPAN معمولاً برچسبهای VLAN را عبور نمیدهند، که میتواند تشخیص خرابیهای VLAN را دشوار کند، اما tapها نمیتوانند کل شبکه VLAN را به طور همزمان ببینند. اگر از tapهای تجمیعی استفاده نشود، TAP ردیابی یکسانی را برای هر دو کانال ارائه نمیدهد، اما باید در تشخیص مصرف بیش از حد دقت شود. tapهای تجمیعی مانند Booster برای Profitap وجود دارند که هشت پورت 10/100/1G را در یک خروجی 1G-10G تجمیع میکنند.
بوستر قادر است با درج تگهای VLAN، بستهها را وارد کند. به این ترتیب، اطلاعات پورت مبدا هر بسته به تحلیلگر ارسال میشود.
پورتهای SPAN هنوز ابزاری هستند که مدیران شبکه از آنها استفاده خواهند کرد، اما اگر سرعت و دسترسی قابل اعتماد به تمام دادههای شبکه حیاتی باشد، TAP انتخاب بهتری است. هنگام تصمیمگیری در مورد اینکه کدام رویکرد را انتخاب کنید، پورتهای SPAN برای شبکههایی با استفاده کم مناسبتر هستند، زیرا بستههای از دست رفته بر تجزیه و تحلیل تأثیری ندارند یا در مواردی که هزینه نگرانکننده است، اختیاری هستند. با این حال، در شبکههایی با ترافیک بالا، ظرفیت، امنیت و قابلیت اطمینان TAP، بدون ترس از از دست دادن بسته یا فیلتر کردن خطاهای لایه فیزیکی، دید کاملی از ترافیک شبکه شما ارائه میدهد.
○ کاملاً قابل مشاهده
○ تکثیر تمام ترافیک (تمام بستهها از هر اندازه و نوع)
○ غیرفعال، غیر مزاحم (دادهها را تغییر نمیدهد)
○ در حالت سری، از هیچ پورت سوئیچی برای تکرار ترافیک دوطرفه در مهارها استفاده نمیشود. راهاندازی آسان (اتصال و اجرا)
○ در برابر هکرها آسیبپذیر نیست (دستگاه نظارتی نامرئی، ایزوله از شبکه، بدون آدرس IP/MAC)
○ مقیاسپذیر
○ مناسب برای هر موقعیتی
○ دید جزئی
○ کپی نکردن تمام ترافیک (حذف اندازهها و انواع خاصی از بستهها)
○ غیرمنفعل (تغییر زمانبندی بسته، افزایش تأخیر)
○ استفاده از پورت سوئیچ (هر پورت SPAN از یک پورت سوئیچ استفاده میکند)
○ قادر به مدیریت ارتباط دوطرفه کامل نیست (بستهها هنگام اضافه بار از بین میروند، همچنین ممکن است در عملکرد سوئیچ اصلی اختلال ایجاد کنند)
○ مهندسان باید پیکربندی کنند
○ ناامن (سیستم مانیتورینگ بخشی از شبکه است، مشکلات امنیتی بالقوه)
○ مقیاسپذیر نیست
○ فقط تحت شرایط خاص امکانپذیر است
ممکن است مقاله مرتبط برای شما جالب باشد: چگونه ترافیک شبکه را ضبط کنیم؟ Network Tap در مقابل Port Mirror
زمان ارسال: 9 ژوئن 2025
