Асноўнае адрозненне паміж захопам пакетаў з выкарыстаннем партоў Network TAP і SPAN.

Люстраное адлюстраванне партоў(таксама вядомы як SPAN)

Сеткавы кран(таксама вядомы як рэплікцыйны адгалінаванне, агрэгацыйны адгалінаванне, актыўны адгалінаванне, медны адгалінаванне, адгалінаванне Ethernet і г.д.)TAP (пункт доступу да тэрмінала)— гэта цалкам пасіўная апаратная прылада, якая можа пасіўна захопліваць трафік у сетцы. Звычайна яна выкарыстоўваецца для маніторынгу трафіку паміж двума кропкамі ў сетцы. Калі сетка паміж гэтымі двума кропкамі складаецца з фізічнага кабеля, сеткавы TAP можа быць найлепшым спосабам захопу трафіку.

Перш чым тлумачыць адрозненні паміж двума рашэннямі (Port Mirror і Network Tap), важна зразумець, як працуе Ethernet. Пры хуткасці 100 Мбіт і вышэй хосты звычайна маюць зносіны ў поўным дуплексе, гэта значыць, адзін хост можа адначасова адпраўляць (Tx) і прымаць (Rx). Гэта азначае, што па кабелі 100 Мбіт, падлучаным да аднаго хоста, агульны аб'ём сеткавага трафіку, які адзін хост можа адпраўляць/атрымліваць (Tx/Rx)), складае 2 × 100 Мбіт = 200 Мбіт.

Люстэрка порта — гэта актыўная рэплікацыя пакетаў, што азначае, што сеткавая прылада фізічна адказвае за капіраванне пакета на люстраны порт.

Захоп трафіку: TAP супраць SPAN
Калі вы не хочаце непасрэдна ўключаць падтрымку, пакуль карыстальнік апрацоўвае транзакцыю, падчас маніторынгу сеткавага трафіку ў вас ёсць два асноўныя варыянты. У наступным артыкуле мы разгледзім TAP (Test Access Point - тэставая кропка доступу) і SPAN (Switch Port Analyzer - аналізатар партоў камутатара). Для больш падрабязнага аналізу эксперт па праверцы пакетаў Ціма'Ніл напісаў некалькі артыкулаў на сайце lovemytool.com, у якіх падрабязна апісана гэтая тэма, але тут мы будзем выкарыстоўваць больш агульны падыход.

ІСПАН
Люстраное адлюстраванне партоў — гэта метад маніторынгу сеткавага трафіку шляхам перасылкі копіі кожнага ўваходнага і/або выходнага пакета з аднаго або некалькіх партоў (або віртуальных лакальных сетак) камутатара на іншы порт, падлучаны да аналізатара сеткавага трафіку. Прамежкавыя сеткі (Span) часта выкарыстоўваюцца ў больш простых сістэмах для адначасовага маніторынгу некалькіх сайтаў. Дакладная колькасць сеткавых перадач, якія ён можа кантраляваць, залежыць ад таго, дзе ўсталяваны SPAN адносна абсталявання цэнтра апрацоўкі дадзеных. Вы, верагодна, знойдзеце тое, што шукаеце, але лёгка апынуцца з занадта вялікай колькасцю дадзеных. Напрыклад, можна знайсці некалькі копій адных і тых жа дадзеных па ўсёй VLAN. Гэта ўскладняе ліквідацыю непаладак лакальнай сеткі, а таксама ўплывае на хуткасць працэсараў камутатара або ўплывае на Ethernet праз выяўленне размяшчэння. У прынцыпе, чым больш прамежкавых сетак (span), тым большая верагоднасць страты пакетаў. У параўнанні з адводамі (taps), прамежкавымі сеткамі (span) можна кіраваць дыстанцыйна, што азначае, што менш часу траціцца на змену канфігурацый, але сеткавыя інжынеры ўсё роўна патрабуюцца.

Парты SPAN не з'яўляюцца пасіўнай тэхналогіяй, як некаторыя сцвярджаюць, бо яны могуць мець іншыя вымерныя ўплывы на сеткавы трафік, у тым ліку:
- Час змены ўзаемадзеяння кадраў

- Страта пакетаў з-за празмернай колькасці пошукаў

- Пашкоджаныя пакеты губляюцца без папярэджання, што перашкаджае аналізу
Такім чынам, парты SPAN больш падыходзяць для сітуацый, калі страта пакетаў не ўплывае на аналіз або калі ўлічваецца кошт.

НАЦІСНІЦЕ
У адрозненне ад гэтага, адгалінавальнікі патрабуюць выдаткаў на абсталяванне адразу, але яны не патрабуюць шмат наладкі. Насамрэч, паколькі яны пасіўныя, іх можна падключаць і адключаць ад сеткі, не ўплываючы на ​​яе. Адгалінавальнікі — гэта апаратныя прылады, якія забяспечваюць доступ да дадзеных, якія праходзяць праз камп'ютэрную сетку, і звычайна выкарыстоўваюцца для маніторынгу бяспекі сеткі і прадукцыйнасці. Кантраляваны трафік называецца «скразным» трафікам, а порт, які выкарыстоўваецца для маніторынгу, называецца «портам маніторынгу». Для больш дакладнага даследавання сеткі адгалінавальнікі можна размясціць паміж маршрутызатарамі і камутатарамі.
Паколькі TAP не ўплывае на пакеты, яго можна разглядаць як сапраўды пасіўны спосаб прагляду сеткавага трафіку.
Існуе тры асноўныя тыпы рашэнняў TAP:

- Сеткавы раздзяляльнік (1:1)

- Агрэгатны TAP (мульты: 1)

- Рэгенерацыйны TAP (1: мульты)

TAP рэплікуе трафік на адзін пасіўны інструмент маніторынгу або на прыладу рэтрансляцыі пакетаў высокай шчыльнасці ў сетцы і абслугоўвае некалькі (часта некалькі) інструментаў тэсціравання QOS, інструментаў маніторынгу сеткі і інструментаў сеткавага сніфера, такіх як Wireshark.
Акрамя таго, тыпы TAP адрозніваюцца ў залежнасці ад тыпу кабеля, у тым ліку валаконна-аптычны TAP і гігабітны медны TAP, якія працуюць па сутнасці аднолькава, перадаючы частку сігналу аналізатару сеткавага трафіку, у той час як асноўная мадэль працягвае перадаваць без перапынкаў. У валаконна-аптычным TAP гэта падзяляе прамень на дзве часткі, а ў меднай кабельнай сістэме — рэплікуе электрычны сігнал.