नेटवर्क टॅप आणि स्पॅन पोर्ट वापरून पॅकेट्स कॅप्चर करण्यामधील मुख्य फरक.
पोर्ट मिररिंग(स्पॅन म्हणूनही ओळखले जाते)
नेटवर्क टॅप(ज्याला रेप्लिकेशन टॅप, अॅग्रीगेशन टॅप, अॅक्टिव्ह टॅप, कॉपर टॅप, इथरनेट टॅप इत्यादी म्हणूनही ओळखले जाते)टॅप (टर्मिनल अॅक्सेस पॉइंट)हे पूर्णपणे निष्क्रिय हार्डवेअर डिव्हाइस आहे, जे नेटवर्कवरील ट्रॅफिक निष्क्रियपणे कॅप्चर करू शकते. हे सामान्यतः नेटवर्कमधील दोन पॉइंट्समधील ट्रॅफिकचे निरीक्षण करण्यासाठी वापरले जाते. जर या दोन पॉइंट्समधील नेटवर्कमध्ये भौतिक केबल असेल, तर नेटवर्क TAP हा ट्रॅफिक कॅप्चर करण्याचा सर्वोत्तम मार्ग असू शकतो.
दोन उपायांमधील फरक स्पष्ट करण्यापूर्वी (पोर्ट मिरर आणि नेटवर्क टॅप), इथरनेट कसे कार्य करते हे समजून घेणे महत्वाचे आहे. १००Mbit आणि त्यावरील वर, होस्ट सहसा पूर्ण डुप्लेक्समध्ये बोलतात, म्हणजे एक होस्ट एकाच वेळी (Tx) पाठवू शकतो आणि (Rx) प्राप्त करू शकतो. याचा अर्थ असा की एका होस्टला जोडलेल्या १०० Mbit केबलवर, एक होस्ट पाठवू/प्राप्त करू शकणारा (Tx/Rx) एकूण नेटवर्क ट्रॅफिक २ × १०० Mbit = २०० Mbit आहे.
पोर्ट मिररिंग हे सक्रिय पॅकेट प्रतिकृती आहे, याचा अर्थ असा की नेटवर्क डिव्हाइस मिरर केलेल्या पोर्टवर पॅकेट कॉपी करण्यासाठी भौतिकदृष्ट्या जबाबदार आहे.
ट्रॅफिक कॅप्चर करणे: TAP विरुद्ध SPAN
नेटवर्क ट्रॅफिकचे निरीक्षण करताना, जर तुम्हाला वापरकर्ता व्यवहार प्रक्रिया करत असताना थेट सपोर्ट चालू करायचा नसेल, तर तुमच्याकडे दोन मुख्य पर्याय आहेत. पुढील लेखात, आम्ही TAP (टेस्ट अॅक्सेस पॉइंट) आणि SPAN (स्विच पोर्ट अॅनालायझर) चा आढावा देऊ. सखोल विश्लेषणासाठी, पॅकेट तपासणी तज्ञ टिमो'नील यांचे lovemytool.com वर अनेक लेख आहेत जे खूप तपशीलवार आहेत, परंतु येथे, आम्ही अधिक सामान्य दृष्टिकोन घेऊ.
स्पॅन
पोर्ट मिररिंग ही नेटवर्क ट्रॅफिकचे निरीक्षण करण्याची एक पद्धत आहे ज्यामध्ये स्विचच्या एका किंवा अधिक पोर्ट (किंवा VLans) वरून प्रत्येक येणारे आणि/किंवा आउटगोइंग पॅकेटची प्रत नेटवर्क ट्रॅफिक अॅनालायझरशी जोडलेल्या दुसऱ्या पोर्टवर फॉरवर्ड केली जाते. एकाच वेळी अनेक साइट्सचे निरीक्षण करण्यासाठी सोप्या सिस्टीममध्ये स्पॅनचा वापर केला जातो. डेटा सेंटर उपकरणांच्या तुलनेत SPAN कुठे स्थापित केले आहे यावर ते किती नेटवर्क ट्रान्समिशनचे निरीक्षण करू शकते हे अवलंबून असते. तुम्हाला जे हवे आहे ते तुम्हाला सापडेल, परंतु त्यात खूप जास्त डेटा असणे सोपे आहे. उदाहरणार्थ, संपूर्ण VLAN मध्ये समान डेटाच्या अनेक प्रती शोधणे शक्य आहे. यामुळे LAN समस्यानिवारण अधिक कठीण होते आणि स्विच cpus च्या गतीवर देखील परिणाम होतो किंवा प्लेसमेंट डिटेक्शनद्वारे इथरनेटवर परिणाम होतो. मुळात, जितके जास्त स्पॅन तितके पॅकेट गमावण्याची शक्यता जास्त असते. टॅप्सच्या तुलनेत, स्पॅन दूरस्थपणे व्यवस्थापित केले जाऊ शकतात, याचा अर्थ कॉन्फिगरेशन बदलण्यात कमी वेळ जातो, परंतु नेटवर्क अभियंत्यांना अजूनही आवश्यक आहे.
काही जणांच्या म्हणण्याप्रमाणे, SPAN पोर्ट हे निष्क्रिय तंत्रज्ञान नाही, कारण त्यांचे नेटवर्क ट्रॅफिकवर इतर मोजता येण्याजोगे परिणाम होऊ शकतात, ज्यात हे समाविष्ट आहे:
- फ्रेम परस्परसंवाद बदलण्याची वेळ आली आहे.
- जास्त लुकअपमुळे पॅकेट्स खाली पडत आहेत.
- दूषित पॅकेट्स सूचना न देता टाकले जातात, ज्यामुळे विश्लेषणात अडथळा येतो.
म्हणून, SPAN पोर्ट अशा परिस्थितींसाठी अधिक योग्य आहेत जिथे पॅकेट टाकल्याने विश्लेषणावर परिणाम होत नाही किंवा जिथे खर्चाचा विचार केला जातो.
टॅप करा
याउलट, टॅप्सना हार्डवेअरवर आधी पैसे खर्च करावे लागतात, परंतु त्यांना जास्त सेटअपची आवश्यकता नसते. खरंच, ते निष्क्रिय असल्याने, नेटवर्कवर परिणाम न करता ते कनेक्ट आणि डिस्कनेक्ट केले जाऊ शकतात. टॅप्स हे हार्डवेअर डिव्हाइस आहेत जे संगणक नेटवर्कमधून वाहणाऱ्या डेटामध्ये प्रवेश करण्याचा मार्ग प्रदान करतात आणि सामान्यतः नेटवर्क सुरक्षा आणि कार्यप्रदर्शन देखरेखीसाठी वापरले जातात. देखरेख केलेल्या ट्रॅफिकला "पास-थ्रू" ट्रॅफिक म्हणतात आणि देखरेखीसाठी वापरल्या जाणाऱ्या पोर्टला "मॉनिटरिंग पोर्ट" म्हणतात. नेटवर्क अधिक स्पष्टपणे तपासण्यासाठी, राउटर आणि स्विच दरम्यान टॅप्स ठेवता येतात.
TAP पॅकेट्सवर परिणाम करत नसल्यामुळे, नेटवर्क ट्रॅफिक पाहण्याचा हा खरोखरच निष्क्रिय मार्ग म्हणून पाहिला जाऊ शकतो.
मुळात तीन प्रकारचे TAP उपाय आहेत:
- नेटवर्क स्प्लिटर (१: १)
- एकूण टॅप (बहु: १)
- पुनर्जन्म टॅप (१: बहु)
TAP ट्रॅफिकला एकाच पॅसिव्ह मॉनिटरिंग टूल किंवा हाय-डेन्सिटी नेटवर्क पॅकेट रिले डिव्हाइसवर प्रतिकृती बनवते आणि अनेक (बहुतेकदा अनेक) QOS चाचणी साधने, नेटवर्क मॉनिटरिंग साधने आणि वायरशार्क सारख्या नेटवर्क स्निफर टूल्सची सेवा देते.
याव्यतिरिक्त, केबलच्या प्रकारानुसार TAP प्रकार बदलतात, ज्यामध्ये फायबर TAP आणि गिगाबिट कॉपर TAP यांचा समावेश आहे, दोन्ही सिग्नलचा काही भाग नेटवर्क ट्रॅफिक अॅनालायझरला ऑफलोड करून मूलत: समान प्रकारे कार्य करतात, तर मुख्य मॉडेल कोणत्याही व्यत्ययाशिवाय प्रसारित करत राहतो. फायबर TAP साठी, ते बीमला दोन भागात विभाजित करणे आहे, तर कॉपर केबल सिस्टममध्ये, ते विद्युत सिग्नलची प्रतिकृती तयार करणे आहे.
TAP आणि SPAN ची तुलना
प्रथम, SPAN पोर्ट फुल-डुप्लेक्स 1G लिंकसाठी योग्य नाही, आणि त्याच्या कमाल क्षमतेपेक्षा कमी असतानाही, ते पॅकेट लवकर खाली टाकते कारण त्यावर जास्त भार असतो, किंवा फक्त स्विच SPAN पोर्ट डेटापेक्षा नियमित पोर्ट-टू-पोर्ट तारखांना प्राधान्य देतो. नेटवर्क टॅप्सच्या विपरीत, SPAN पोर्ट भौतिक स्तर त्रुटी फिल्टर करतात, ज्यामुळे काही प्रकारचे विश्लेषण अधिक कठीण होते आणि जसे आपण पाहिले आहे, चुकीच्या वाढीच्या वेळा आणि बदललेल्या फ्रेम्समुळे इतर समस्या उद्भवू शकतात. दुसरीकडे, TAP फुल-डुप्लेक्स 1G लिंक ऑपरेट करू शकते.
TAP संपूर्ण पॅकेट कॅप्चर देखील करू शकते आणि प्रोटोकॉल, उल्लंघन, घुसखोरी इत्यादींसाठी सखोल पॅकेट तपासणी करू शकते. अशा प्रकारे, TAP डेटा न्यायालयात पुरावा म्हणून वापरला जाऊ शकतो, तर SPAN पोर्ट डेटा करू शकत नाही.
सुरक्षा हा आणखी एक पैलू आहे जिथे दोन्ही तंत्रांमध्ये फरक आहे. SPAN पोर्ट सामान्यतः एकेरी संप्रेषणासाठी कॉन्फिगर केले जातात, परंतु काही प्रकरणांमध्ये ते संप्रेषण देखील प्राप्त करू शकतात, ज्यामुळे गंभीर भेद्यता निर्माण होतात. याउलट, TAP अॅड्रेस करण्यायोग्य नाही आणि त्याचा IP पत्ता नाही, म्हणून तो हॅक केला जाऊ शकत नाही.
SPAN पोर्ट सामान्यतः VLAN टॅग्ज पास करत नाहीत, ज्यामुळे VLAN अपयश शोधणे कठीण होऊ शकते, परंतु टॅप्स एकाच वेळी संपूर्ण VLAN नेटवर्क पाहू शकत नाहीत. जर एकत्रित टॅप्स वापरले गेले नाहीत, तर TAP दोन्ही चॅनेलसाठी समान ट्रेस प्रदान करणार नाही, परंतु ओव्हरएज डिटेक्शनसह काळजी घेतली पाहिजे. बूस्टर फॉर प्रॉफिटॅप सारखे एकत्रित टॅप्स आहेत जे 1G-10G आउटपुटमध्ये आठ 10/100/1G पोर्ट एकत्रित करतात.
बूस्टर VLAN टॅग टाकून पॅकेट्समध्ये प्रवेश करू शकतो. अशा प्रकारे, प्रत्येक पॅकेटची सोर्स पोर्ट माहिती विश्लेषकाकडे पाठवली जाईल.
SPAN पोर्ट हे अजूनही नेटवर्क प्रशासकांसाठी वापरण्याचे एक साधन आहे, परंतु जर सर्व नेटवर्क डेटाची गती आणि विश्वासार्ह प्रवेश महत्त्वाचा असेल, तर TAP हा चांगला पर्याय आहे. कोणता दृष्टिकोन घ्यायचा हे ठरवताना, कमी वापर असलेल्या नेटवर्कसाठी SPAN पोर्ट अधिक योग्य आहेत, कारण हरवलेले पॅकेट विश्लेषणावर परिणाम करत नाहीत किंवा खर्चाची चिंता असलेल्या प्रकरणांमध्ये पर्यायी असतात. तथापि, जास्त ट्रॅफिक असलेल्या नेटवर्कवर, TAP ची क्षमता, सुरक्षा आणि विश्वासार्हता पॅकेट गमावण्याच्या किंवा भौतिक थर त्रुटी फिल्टर करण्याच्या भीतीशिवाय तुमच्या नेटवर्कवरील ट्रॅफिकमध्ये पूर्ण दृश्यमानता प्रदान करेल.
○ पूर्णपणे दृश्यमान
○ सर्व रहदारीची प्रतिकृती बनवा (सर्व आकार आणि प्रकारांचे सर्व पॅकेट)
○ निष्क्रिय, गैर-हस्तक्षेपक (डेटा बदलत नाही)
○ मालिकेत, हार्नेसमध्ये पूर्ण-डुप्लेक्स ट्रॅफिकची प्रतिकृती तयार करण्यासाठी कोणतेही स्विच पोर्ट वापरले जात नाहीत सोपे सेटअप (प्लग अँड प्ले)
○ हॅकर्ससाठी असुरक्षित नाही (अदृश्य, नेटवर्कपासून वेगळे मॉनिटरिंग डिव्हाइस, कोणताही IP/MAC पत्ता नाही)
○ स्केलेबल
○ कोणत्याही परिस्थितीसाठी योग्य
○ आंशिक दृश्यमानता
○ सर्व रहदारी कॉपी न करणे (विशिष्ट आकार आणि प्रकारचे पॅकेट टाकणे)
○ निष्क्रिय नसलेले (पॅकेटची वेळ बदलणे, विलंब वाढवणे)
○ स्विच पोर्ट वापरा (प्रत्येक SPAN पोर्ट स्विच पोर्ट वापरतो)
○ फुल-डुप्लेक्स कम्युनिकेशन हाताळण्यास अक्षम (ओव्हरलोड झाल्यावर पॅकेट्स खाली पडतात, त्यामुळे प्राथमिक स्विच ऑपरेशनमध्ये देखील व्यत्यय येऊ शकतो)
○ अभियंत्यांना कॉन्फिगर करणे आवश्यक आहे
○ असुरक्षित (मॉनिटरिंग सिस्टम नेटवर्कचा भाग आहे, संभाव्य सुरक्षा समस्या)
○ स्केलेबल नाही
○ फक्त काही विशिष्ट परिस्थितीतच शक्य
तुम्हाला संबंधित लेख मनोरंजक वाटू शकेल: नेटवर्क ट्रॅफिक कसा कॅप्चर करायचा? नेटवर्क टॅप विरुद्ध पोर्ट मिरर
पोस्ट वेळ: जून-०९-२०२५
