नेटवर्क टॅप आणि स्पॅन पोर्ट वापरून पॅकेट कॅप्चर करण्यामधील मुख्य फरक.
पोर्ट मिररिंग(स्पॅन म्हणूनही ओळखले जाते)
नेटवर्क टॅप(याला रेप्लिकेशन टॅप, ॲग्रीगेशन टॅप, ॲक्टिव्ह टॅप, कॉपर टॅप, इथरनेट टॅप इत्यादी नावांनीही ओळखले जाते.)टॅप (टर्मिनल ऍक्सेस पॉइंट)नेटवर्क टॅप (TAP) हे एक पूर्णपणे निष्क्रिय हार्डवेअर उपकरण आहे, जे नेटवर्कवरील ट्रॅफिक निष्क्रियपणे कॅप्चर करू शकते. याचा उपयोग सामान्यतः नेटवर्कमधील दोन बिंदूंमधील ट्रॅफिकचे निरीक्षण करण्यासाठी केला जातो. जर या दोन बिंदूंमधील नेटवर्कमध्ये भौतिक केबलचा समावेश असेल, तर ट्रॅफिक कॅप्चर करण्यासाठी नेटवर्क टॅप हा सर्वोत्तम मार्ग असू शकतो.
दोन उपायांमधील (पोर्ट मिरर आणि नेटवर्क टॅप) फरक स्पष्ट करण्यापूर्वी, इथरनेट कसे कार्य करते हे समजून घेणे महत्त्वाचे आहे. 100Mbit आणि त्याहून अधिक वेगावर, होस्ट सामान्यतः फुल डुप्लेक्समध्ये संवाद साधतात, म्हणजेच एक होस्ट एकाच वेळी पाठवू (Tx) आणि प्राप्त करू (Rx) शकतो. याचा अर्थ असा की, एका होस्टला जोडलेल्या 100 Mbit केबलवर, एक होस्ट पाठवू/प्राप्त करू (Tx/Rx) शकणाऱ्या नेटवर्क ट्रॅफिकचे एकूण प्रमाण 2 × 100 Mbit = 200 Mbit असते.
पोर्ट मिररिंग हे सक्रिय पॅकेट प्रतिकृतीकरण आहे, म्हणजेच नेटवर्क डिव्हाइस प्रत्यक्षपणे पॅकेट मिरर केलेल्या पोर्टवर कॉपी करण्यासाठी जबाबदार असते.
ट्रॅफिक कॅप्चर करणे: टॅप विरुद्ध स्पॅन
नेटवर्क ट्रॅफिकचे निरीक्षण करताना, जर वापरकर्ता व्यवहार करत असताना तुम्हाला थेट सपोर्ट कार्यान्वित करायचा नसेल, तर तुमच्याकडे दोन मुख्य पर्याय आहेत. पुढील लेखात, आम्ही TAP (टेस्ट ऍक्सेस पॉइंट) आणि SPAN (स्विच पोर्ट ॲनालायझर) यांचा आढावा घेऊ. अधिक सखोल विश्लेषणासाठी, पॅकेट तपासणी तज्ञ टिमो'नील यांचे lovemytool.com वर अनेक लेख आहेत ज्यात सविस्तर माहिती दिली आहे, परंतु येथे आपण अधिक सामान्य दृष्टिकोन स्वीकारणार आहोत.
स्पॅन
पोर्ट मिररिंग ही नेटवर्क ट्रॅफिकवर लक्ष ठेवण्याची एक पद्धत आहे, ज्यामध्ये स्विचच्या एक किंवा अधिक पोर्ट्स (किंवा व्हीलॅन्स) वरून येणाऱ्या आणि/किंवा जाणाऱ्या प्रत्येक पॅकेटची एक प्रत नेटवर्क ट्रॅफिक ॲनालायझरला जोडलेल्या दुसऱ्या पोर्टवर पाठवली जाते. सोप्या सिस्टीममध्ये एकाच वेळी अनेक साइट्सवर लक्ष ठेवण्यासाठी स्पॅनचा वापर अनेकदा केला जातो. ते किती नेटवर्क ट्रान्समिशनवर लक्ष ठेवू शकते याची नेमकी संख्या, डेटा सेंटरच्या उपकरणांच्या तुलनेत स्पॅन कुठे स्थापित केला आहे यावर अवलंबून असते. तुम्ही जे शोधत आहात ते तुम्हाला बहुधा सापडेल, परंतु तुमच्याकडे गरजेपेक्षा जास्त डेटा जमा होण्याची शक्यता असते. उदाहरणार्थ, संपूर्ण व्हीलॅनमध्ये एकाच डेटाच्या अनेक प्रती सापडणे शक्य आहे. यामुळे लॅन ट्रबलशूटिंग अधिक कठीण होते, तसेच स्विच सीपीयूच्या गतीवर किंवा प्लेसमेंट डिटेक्शनद्वारे इथरनेटवर परिणाम होतो. मुळात, स्पॅनची संख्या जितकी जास्त असेल, तितके पॅकेट्स गमावण्याची शक्यता जास्त असते. टॅप्सच्या तुलनेत, स्पॅनचे व्यवस्थापन दूरस्थपणे केले जाऊ शकते, ज्यामुळे कॉन्फिगरेशन बदलण्यात कमी वेळ लागतो, परंतु नेटवर्क इंजिनिअर्सची आवश्यकता अजूनही असते.
काही जण दावा करतात त्याप्रमाणे, स्पॅन पोर्ट्स हे निष्क्रिय तंत्रज्ञान नाहीत, कारण त्यांचे नेटवर्क ट्रॅफिकवर इतर मोजता येण्याजोगे परिणाम होऊ शकतात, ज्यामध्ये खालील गोष्टींचा समावेश आहे:
फ्रेम इंटरॅक्शन बदलण्याची वेळ
अत्याधिक लुकअपमुळे पॅकेट ड्रॉप होणे
सदोष पॅकेट्स पूर्वसूचना न देता टाकून दिली जातात, ज्यामुळे विश्लेषणात अडथळा येतो.
त्यामुळे, ज्या परिस्थितीत पॅकेट ड्रॉप झाल्याने विश्लेषणावर परिणाम होत नाही किंवा जिथे खर्चाचा विचार केला जातो, अशा परिस्थितींसाठी स्पॅन पोर्ट्स अधिक योग्य आहेत.
टॅप
याउलट, टॅप्ससाठी सुरुवातीला हार्डवेअरवर पैसे खर्च करावे लागतात, परंतु त्यांना जास्त सेटअपची आवश्यकता नसते. खरे तर, ते पॅसिव्ह (निष्क्रिय) असल्यामुळे, नेटवर्कवर कोणताही परिणाम न करता त्यांना नेटवर्कशी जोडले किंवा डिस्कनेक्ट केले जाऊ शकते. टॅप्स ही अशी हार्डवेअर उपकरणे आहेत जी संगणक नेटवर्कमधून वाहणाऱ्या डेटापर्यंत पोहोचण्याचा मार्ग प्रदान करतात आणि सामान्यतः नेटवर्क सुरक्षा व कार्यप्रदर्शन देखरेखीच्या उद्देशाने वापरली जातात. ज्या ट्रॅफिकवर देखरेख ठेवली जाते त्याला "पास-थ्रू" ट्रॅफिक म्हणतात आणि देखरेखीसाठी वापरल्या जाणाऱ्या पोर्टला "मॉनिटरिंग पोर्ट" म्हणतात. नेटवर्कची अधिक स्पष्टपणे तपासणी करण्यासाठी, राउटर्स आणि स्विचेसच्या मध्ये टॅप्स ठेवले जाऊ शकतात.
TAP पॅकेट्सवर परिणाम करत नसल्यामुळे, नेटवर्क ट्रॅफिक पाहण्याचा हा एक पूर्णपणे निष्क्रिय मार्ग मानला जाऊ शकतो.
मूलतः TAP सोल्यूशन्सचे तीन प्रकार आहेत:
- नेटवर्क स्प्लिटर (१ : १)
- एग्रीगेट टॅप (मल्टी : १)
- पुनर्जनन टॅप (1 : मल्टी)
TAP एकाच पॅसिव्ह मॉनिटरिंग टूलवर किंवा हाय-डेन्सिटी नेटवर्क पॅकेट रिले डिव्हाइसवर ट्रॅफिकची प्रतिकृती तयार करते आणि अनेक (बऱ्याचदा अनेक) QOS टेस्टिंग टूल्स, नेटवर्क मॉनिटरिंग टूल्स आणि वायरशार्क सारख्या नेटवर्क स्निफर टूल्सना सेवा देते.
याव्यतिरिक्त, केबलच्या प्रकारानुसार टॅपचे (TAP) प्रकार बदलतात, ज्यात फायबर टॅप आणि गिगाबिट कॉपर टॅप यांचा समावेश आहे. हे दोन्ही मूलतः एकाच प्रकारे कार्य करतात, ज्यात सिग्नलचा काही भाग नेटवर्क ट्रॅफिक ॲनालायझरकडे पाठवला जातो, तर मुख्य मॉडेल अखंडपणे प्रसारण सुरू ठेवते. फायबर टॅपमध्ये, बीमला दोन भागांमध्ये विभागले जाते, तर कॉपर केबल प्रणालीमध्ये विद्युत सिग्नलची प्रतिकृती तयार केली जाते.
टॅप आणि स्पॅन यांची तुलना
सर्वप्रथम, स्पॅन पोर्ट फुल-डुप्लेक्स 1G लिंकसाठी योग्य नाही, आणि त्याच्या कमाल क्षमतेपेक्षा कमी वापर होत असतानाही, ओव्हरबर्डनमुळे किंवा स्विच स्पॅन पोर्ट डेटापेक्षा नियमित पोर्ट-टू-पोर्ट डेटाला प्राधान्य देत असल्यामुळे ते पॅकेट्स पटकन ड्रॉप करते. नेटवर्क टॅप्सच्या विपरीत, स्पॅन पोर्ट्स फिजिकल लेयरमधील त्रुटी फिल्टर करतात, ज्यामुळे काही प्रकारचे विश्लेषण करणे अधिक कठीण होते, आणि आपण पाहिल्याप्रमाणे, चुकीच्या इन्क्रिमेंट टाइम्स आणि बदललेल्या फ्रेम्समुळे इतर समस्या निर्माण होऊ शकतात. याउलट, टॅप फुल-डुप्लेक्स 1G लिंक चालवू शकतो.
TAP संपूर्ण पॅकेट कॅप्चर करू शकते आणि प्रोटोकॉल, उल्लंघन, घुसखोरी इत्यादींसाठी सखोल पॅकेट तपासणी देखील करू शकते. त्यामुळे, TAP डेटा न्यायालयात पुरावा म्हणून वापरला जाऊ शकतो, तर SPAN पोर्ट डेटा वापरला जाऊ शकत नाही.
सुरक्षा हा आणखी एक पैलू आहे जिथे दोन्ही तंत्रांमध्ये फरक आहेत. स्पॅन पोर्ट्स सामान्यतः एक-मार्गी संवादासाठी कॉन्फिगर केलेले असतात, परंतु काही प्रकरणांमध्ये ते संवाद स्वीकारूही शकतात, ज्यामुळे गंभीर असुरक्षितता निर्माण होते. याउलट, टॅपला कोणताही पत्ता नसतो आणि त्याला आयपी ॲड्रेस नसतो, त्यामुळे ते हॅक केले जाऊ शकत नाही.
स्पॅन पोर्ट्स सामान्यतः व्हीलॅन टॅग्स पास करत नाहीत, ज्यामुळे व्हीलॅन फेल्युअर शोधणे कठीण होऊ शकते, परंतु टॅप्स संपूर्ण व्हीलॅन नेटवर्क एकाच वेळी पाहू शकत नाहीत. जर ॲग्रीगेटेड टॅप्स वापरले नाहीत, तर टॅप दोन्ही चॅनल्ससाठी समान ट्रेस देणार नाही, परंतु ओव्हरएज डिटेक्शनच्या बाबतीत काळजी घेणे आवश्यक आहे. बूस्टर फॉर प्रॉफिटॅपसारखे काही ॲग्रीगेट टॅप्स आहेत, जे आठ 10/100/1G पोर्ट्सना 1G-10G आउटपुटमध्ये एकत्रित करतात.
बूस्टर VLAN टॅग टाकून पॅकेट्स दाखल करू शकतो. अशा प्रकारे, प्रत्येक पॅकेटच्या सोर्स पोर्टची माहिती ॲनालायझरकडे पाठवली जाईल.
स्पॅन पोर्ट्स हे अजूनही नेटवर्क प्रशासकांद्वारे वापरले जाणारे एक साधन आहे, परंतु जर वेग आणि सर्व नेटवर्क डेटाचा विश्वसनीय प्रवेश अत्यंत महत्त्वाचा असेल, तर टॅप (TAP) हा एक उत्तम पर्याय आहे. कोणता दृष्टिकोन स्वीकारावा हे ठरवताना, कमी वापर असलेल्या नेटवर्क्ससाठी स्पॅन पोर्ट्स अधिक योग्य आहेत, कारण गमावलेल्या पॅकेट्सचा विश्लेषणावर परिणाम होत नाही किंवा जिथे खर्चाची चिंता असते तिथे ते ऐच्छिक ठरतात. तथापि, जास्त रहदारी असलेल्या नेटवर्क्सवर, टॅपची क्षमता, सुरक्षा आणि विश्वसनीयता पॅकेट गमावण्याच्या किंवा फिजिकल लेयरमधील त्रुटी फिल्टर करण्याच्या भीतीशिवाय तुमच्या नेटवर्कवरील रहदारीची संपूर्ण माहिती प्रदान करेल.
○ पूर्णपणे दृश्यमान
○ सर्व ट्रॅफिकची प्रतिकृती तयार करा (सर्व आकारांचे आणि प्रकारांचे सर्व पॅकेट्स)
○ निष्क्रिय, हस्तक्षेप न करणारे (डेटा बदलत नाही)
○ सिरीजमध्ये, हार्नेसमध्ये फुल-डुप्लेक्स ट्रॅफिकची प्रतिकृती तयार करण्यासाठी कोणतेही स्विच पोर्ट वापरले जात नाहीत. सुलभ सेटअप (प्लग अँड प्ले).
○ हॅकर्सकडून धोका नाही (अदृश्य, नेटवर्कपासून वेगळे केलेले मॉनिटरिंग डिव्हाइस, कोणताही IP/MAC पत्ता नाही)
○ स्केलेबल
○ कोणत्याही परिस्थितीसाठी योग्य
○ आंशिक दृश्यमानता
○ सर्व ट्रॅफिकची कॉपी न करणे (विशिष्ट आकाराचे आणि प्रकारचे पॅकेट्स टाकून देणे)
○ नॉन-पॅसिव्ह (पॅकेटची वेळ बदलणे, लेटन्सी वाढवणे)
○ स्विच पोर्ट वापरा (प्रत्येक स्पॅन पोर्ट एक स्विच पोर्ट वापरतो)
○ फुल-डुप्लेक्स कम्युनिकेशन हाताळण्यास असमर्थ (ओव्हरलोड झाल्यास पॅकेट्स ड्रॉप होतात, तसेच प्रायमरी स्विचच्या कार्यात व्यत्यय आणू शकते)
○ अभियंत्यांना कॉन्फिगर करणे आवश्यक आहे
○ असुरक्षित (मॉनिटरिंग सिस्टीम नेटवर्कचा भाग आहे, संभाव्य सुरक्षा समस्या)
○ वाढवता येत नाही
○ केवळ विशिष्ट परिस्थितीतच शक्य
तुम्हाला संबंधित लेखात रस असू शकतो: नेटवर्क ट्रॅफिक कसे कॅप्चर करावे? नेटवर्क टॅप विरुद्ध पोर्ट मिरर
पोस्ट करण्याची वेळ: जून-०९-२०२५
