Сүлжээний TAP болон SPAN портуудыг ашиглан пакетуудыг барихын гол ялгаа.
Портын толин тусгал(мөн SPAN гэж нэрлэдэг)
Сүлжээний цорго(мөн хуулбарлах цорго, нэгтгэх цорго, идэвхтэй цорго, зэс цорго, Ethernet цорго гэх мэт гэж нэрлэдэг)TAP (Терминалын хандалтын цэг)нь сүлжээнд байгаа урсгалыг идэвхгүй байдлаар барьж авах боломжтой бүрэн идэвхгүй техник хангамжийн төхөөрөмж юм. Үүнийг сүлжээнд байгаа хоёр цэгийн хоорондох урсгалыг хянах зорилгоор түгээмэл ашигладаг. Хэрэв эдгээр хоёр цэгийн хоорондох сүлжээ нь физик кабелиас бүрддэг бол сүлжээний TAP нь урсгалыг барьж авах хамгийн сайн арга байж болох юм.
Хоёр шийдлийн (Port Mirror болон Network Tap) ялгааг тайлбарлахаасаа өмнө Ethernet хэрхэн ажилладагийг ойлгох нь чухал юм. 100Mbit ба түүнээс дээш хурдтай үед хостууд ихэвчлэн бүрэн дуплексээр ярьдаг бөгөөд энэ нь нэг хост нэгэн зэрэг илгээх (Tx) болон хүлээн авах (Rx) боломжтой гэсэн үг юм. Энэ нь нэг хост руу холбогдсон 100 Mbit кабель дээр нэг хост илгээх/хүлээн авах боломжтой сүлжээний нийт урсгал (Tx/Rx) нь 2 × 100 Mbit = 200 Mbit гэсэн үг юм.
Портын толин тусгал нь идэвхтэй пакет хуулбарлалт бөгөөд энэ нь сүлжээний төхөөрөмж нь пакетийг толин тусгал порт руу хуулах үүрэгтэй гэсэн үг юм.
Замын хөдөлгөөнийг бүртгэх нь: TAP болон SPAN
Сүлжээний урсгалыг хянах үед, хэрэв та хэрэглэгч гүйлгээг боловсруулж байх үед дэмжлэгийг шууд ажиллуулахыг хүсэхгүй байгаа бол танд хоёр үндсэн сонголт байна. Дараагийн нийтлэлд бид TAP (Test Access Point) болон SPAN (Switch Port Analyzer)-ийн тоймыг өгөх болно. Илүү гүнзгий дүн шинжилгээ хийхийн тулд пакет шалгах мэргэжилтэн Тимо'Нилл lovemytool.com дээр хэд хэдэн дэлгэрэнгүй өгүүлэл бичсэн боловч энд бид илүү ерөнхий хандлагыг авч үзэх болно.
СПАН
Портын толин тусгал гэдэг нь свичийн нэг буюу хэд хэдэн порт (эсвэл VLan)-аас сүлжээний урсгалын анализаторт холбогдсон өөр порт руу ирж буй болон/эсвэл гарах пакет бүрийн хуулбарыг дамжуулах замаар сүлжээний урсгалыг хянах арга юм. Спаныг олон сайтыг нэгэн зэрэг хянахын тулд энгийн системд ихэвчлэн ашигладаг. Хянаж чадах сүлжээний дамжуулалтын яг тоо нь SPAN нь өгөгдлийн төвийн тоног төхөөрөмжтэй харьцуулахад хаана суурилагдсанаас хамаарна. Та хайж байгаа зүйлээ олох байх, гэхдээ хэт их өгөгдөлтэй байхад амархан байдаг. Жишээлбэл, бүхэл бүтэн VLAN дээр ижил өгөгдлийн олон хуулбарыг олох боломжтой. Энэ нь LAN-ийн алдааг олж засварлахад илүү хэцүү болгодог бөгөөд мөн свичийн процессорын хурдад нөлөөлдөг эсвэл байршлыг илрүүлэх замаар Ethernet-д нөлөөлдөг. Үндсэндээ, спан их байх тусам пакет алдах магадлал өндөр байдаг. Цорготой харьцуулахад спаныг алсаас удирдаж болох бөгөөд энэ нь тохиргоог өөрчлөхөд бага цаг зарцуулдаг гэсэн үг боловч сүлжээний инженерүүд шаардлагатай хэвээр байна.
SPAN портууд нь зарим хүмүүсийн мэдэгдэж байгаачлан идэвхгүй технологи биш юм, учир нь тэдгээр нь сүлжээний урсгалд бусад хэмжигдэхүйц нөлөө үзүүлж болно, үүнд:
- Хүрээний харилцан үйлчлэлийг өөрчлөх цаг болжээ
- Хэт их хайлтаас болж пакетуудыг хаяж байна
- Гэмтсэн пакетуудыг урьдчилан мэдэгдэлгүйгээр хаяж, дүн шинжилгээ хийхэд саад учруулдаг
Тиймээс SPAN портууд нь пакетуудыг хаях нь шинжилгээнд нөлөөлөхгүй эсвэл зардлыг харгалзан үзэх тохиолдолд илүү тохиромжтой байдаг.
ТОРГОХ
Үүний эсрэгээр, цорго нь тоног төхөөрөмжид мөнгө зарцуулах шаардлагатай боловч тийм ч их тохиргоо шаарддаггүй. Үнэндээ тэдгээр нь идэвхгүй тул сүлжээнд нөлөөлөхгүйгээр холбогдож, салгаж болно. Цорго нь компьютерын сүлжээгээр дамжин урсаж буй өгөгдөлд хандах боломжийг олгодог техник хангамжийн төхөөрөмжүүд бөгөөд сүлжээний аюулгүй байдал, гүйцэтгэлийг хянах зорилгоор түгээмэл хэрэглэгддэг. Хяналттай урсгалыг "нэвтрэх" урсгал, хяналтад ашигладаг портыг "хяналтын порт" гэж нэрлэдэг. Сүлжээг илүү тодорхой шалгахын тулд цоргыг чиглүүлэгч болон унтраалга хооронд байрлуулж болно.
TAP нь пакетуудад нөлөөлдөггүй тул үүнийг сүлжээний урсгалыг харах үнэхээр идэвхгүй арга гэж үзэж болно.
TAP шийдлүүдийн үндсэн гурван төрөл байдаг:
- Сүлжээний хуваагч (1 : 1)
- Нийт TAP (олон: 1)
- Нөхөн сэргээх TAP (1: олон)
TAP нь урсгалыг ганц идэвхгүй хяналтын хэрэгсэл эсвэл өндөр нягтралтай сүлжээний пакет реле төхөөрөмж рүү хуулбарладаг бөгөөд олон (ихэвчлэн олон) QOS тестийн хэрэгслүүд, сүлжээний хяналтын хэрэгслүүд, мөн wireshark зэрэг сүлжээний шиншлэгч хэрэгслүүдэд үйлчилдэг.
Үүнээс гадна, TAP-ын төрлүүд нь кабелийн төрлөөс хамааран өөр өөр байдаг бөгөөд үүнд шилэн кабелийн TAP болон гигабит зэсийн TAP багтдаг бөгөөд хоёулаа дохионы нэг хэсгийг сүлжээний урсгалын анализатор руу буулгах замаар үндсэндээ ижил аргаар ажилладаг бол үндсэн загвар нь тасалдалгүйгээр дамжуулсаар байдаг. Шилэн кабелийн TAP-ын хувьд энэ нь цацрагийг хоёр хуваах, харин зэс кабелийн системд цахилгаан дохиог хуулбарлах явдал юм.
TAP болон SPAN-г харьцуулах нь
Нэгдүгээрт, SPAN порт нь бүрэн дуплекс 1G холболтод тохиромжгүй бөгөөд хамгийн их багтаамжаасаа доогуур байсан ч хэт ачаалалтай эсвэл зүгээр л свич нь SPAN портын өгөгдлөөс илүү тогтмол портоос порт руу шилжих огноог чухалчилдаг тул пакетуудыг хурдан унагадаг. Сүлжээний товшилтоос ялгаатай нь SPAN портууд нь физик давхаргын алдааг шүүж, зарим төрлийн шинжилгээг илүү хэцүү болгодог бөгөөд бидний харж байгаагаар буруу нэмэгдэл хугацаа болон өөрчлөгдсөн хүрээ нь бусад асуудал үүсгэж болзошгүй юм. Нөгөөтэйгүүр, TAP нь бүрэн дуплекс 1G холболтыг ажиллуулж чадна.
TAP нь пакетийг бүрэн барьж авах, протокол, зөрчил, халдлага гэх мэтийг нарийвчлан шалгах боломжтой. Тиймээс TAP өгөгдлийг шүүхэд нотлох баримт болгон ашиглаж болох бол SPAN порт өгөгдлийг ашиглаж чадахгүй.
Аюулгүй байдал нь хоёр аргын хооронд ялгаа байдаг бас нэг тал юм. SPAN портууд нь ихэвчлэн нэг талын харилцаа холбоонд зориулагдсан байдаг боловч зарим тохиолдолд харилцаа холбоог хүлээн авч, ноцтой эмзэг байдлыг үүсгэдэг. Үүний эсрэгээр TAP нь хаяглагдах боломжгүй бөгөөд IP хаяггүй тул хакердах боломжгүй.
SPAN портууд нь ихэвчлэн VLAN шошгыг дамжуулдаггүй бөгөөд энэ нь VLAN-ийн алдааг илрүүлэхэд хэцүү болгодог боловч цорго нь VLAN сүлжээг бүхэлд нь нэг дор харж чадахгүй. Хэрэв нэгтгэсэн цоргыг ашиглахгүй бол TAP нь хоёр сувгийн хувьд ижил ул мөр өгөхгүй боловч хэт ачааллыг илрүүлэхэд болгоомжтой хандах хэрэгтэй. 1G-10G гаралтад найман 10/100/1G портыг нэгтгэдэг Booster for Profitap гэх мэт нэгтгэсэн цорго байдаг.
Booster нь VLAN шошгыг оруулснаар пакетуудыг оруулах боломжтой. Ингэснээр пакет бүрийн эх портын мэдээллийг анализатор руу дамжуулна.
SPAN портууд нь сүлжээний админуудын ашиглах хэрэгсэл хэвээр байгаа ч хэрэв сүлжээний бүх өгөгдөлд хурд болон найдвартай хандах нь чухал бол TAP нь илүү сайн сонголт юм. Аль аргыг сонгохоо шийдэхдээ SPAN портууд нь бага ашиглалттай сүлжээнд илүү тохиромжтой байдаг, учир нь алдагдсан пакетууд нь шинжилгээнд нөлөөлөхгүй эсвэл өртөг өндөртэй тохиолдолд заавал биш юм. Гэсэн хэдий ч өндөр урсгалтай сүлжээнд TAP-ийн багтаамж, аюулгүй байдал, найдвартай байдал нь пакет алдагдах эсвэл физик давхаргын алдааг шүүхээс айхгүйгээр таны сүлжээн дэх урсгалыг бүрэн харах боломжийг олгоно.
○ Бүрэн харагдахуйц
○ Бүх урсгалыг хуулбарлах (бүх хэмжээ, төрлийн бүх пакетууд)
○ Идэвхгүй, хөндлөнгөөс оролцдоггүй (өгөгдлийг өөрчлөхгүй)
○ Цуваа холболттой үед холболтын холболтод бүрэн дуплекс урсгалыг хуулбарлахын тулд ямар ч свич порт ашигладаггүй. Хялбар тохиргоо (залгаад ажиллуулна)
○ Хакеруудад өртөмтгий биш (үл үзэгдэх, сүлжээнээс тусгаарлагдсан хяналтын төхөөрөмж, IP/MAC хаяггүй)
○ Өргөтгөх боломжтой
○ Ямар ч нөхцөлд тохиромжтой
○ Хэсэгчилсэн харагдах байдал
○ Бүх урсгалыг хуулбарлахгүй байх (тодорхой хэмжээ, төрлийн пакетуудыг хаях)
○ Идэвхгүй бус (пакетийн хугацааг өөрчлөх, хоцрогдолыг нэмэгдүүлэх)
○ Шилжүүлэгч портыг ашиглах (SPAN порт бүр нь шилжүүлэгч порт ашигладаг)
○ Бүрэн дуплекс холболтыг зохицуулах боломжгүй (хэт ачаалалтай үед пакетууд унадаг бөгөөд энэ нь үндсэн шилжүүлэгчийн ажиллагаанд саад учруулж болзошгүй)
○ Инженерүүд тохиргоо хийх шаардлагатай
○ Аюултай (Хяналтын систем нь сүлжээний нэг хэсэг тул аюулгүй байдлын асуудал гарч болзошгүй)
○ Өргөтгөх боломжгүй
○ Зөвхөн тодорхой нөхцөлд л хэрэгжих боломжтой
Та холбогдох нийтлэлд сонирхолтой байж магадгүй: Сүлжээний урсгалыг хэрхэн бүртгэх вэ? Сүлжээний Tap болон Port Mirror
Нийтэлсэн цаг: 2025-06-09
